Servidor de comunicacions Linkat 4
De Wiki Linkat
(Pàgina nova, amb el contingut: «__TOC__ == Servidor de Comunicacions == {| |- | style="text-align: justify;" | El Servidor de comunicacions és una eina per millorar les comunicacions dels cent...».) |
Revisió actual (12:58, 21 maig 2012) (mostra codi font) |
||
Línia 1: | Línia 1: | ||
- | __TOC__ | + | __TOC__ |
- | + | ||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | <br> |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
|} | |} | ||
- | == Instal·lació == | + | == Instal·lació == |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Aquest apartat us guiarà en el procés d'instal·lació del perfil de Servidor de Comunicacions de la Linkat4.<br> Explicarem el procés d'instal·lació dividint-lo en diferents parts, la implantació a dins de la topología de xarxa, la instal·lació del sistema base i la instal·lació del perfil de Servidor de Comunicacions.<br> Per realitzar la instal·lació cal tenir la imatge ISO de instal·lació de la Linkat4 gravada en un medi (DVD per exemple) que la màquina física pugui llegir i des d'on pugui engegar. | + | Aquest apartat us guiarà en el procés d'instal·lació del perfil de Servidor de Comunicacions de la Linkat4.<br> Explicarem el procés d'instal·lació dividint-lo en diferents parts, la implantació a dins de la topología de xarxa, la instal·lació del sistema base i la instal·lació del perfil de Servidor de Comunicacions.<br> Per realitzar la instal·lació cal tenir la imatge ISO de instal·lació de la Linkat4 gravada en un medi (DVD per exemple) que la màquina física pugui llegir i des d'on pugui engegar. |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
|} | |} | ||
- | + | ||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | <br> |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
|} | |} | ||
- | === Instal·lació del sistema base === | + | |
+ | === Instal·lació del sistema base === | ||
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per instal·lar una Linkat4 adequada per aquest perfil cal obtenir la versió d'instal·lació, que inclou els perfils de servidors de Linkat4. La podreu trobar [http://linkat.xtec.cat/portal/index.php?module=P%E0gines&func=display&pageid=6 aquí], baixeu la ultima versió del DVD d'instal·lació i graveu-lo en un medi que es pugui utilitzar per engegar el sistema (típicament un DVD).<br> | + | Per instal·lar una Linkat4 adequada per aquest perfil cal obtenir la versió d'instal·lació, que inclou els perfils de servidors de Linkat4. La podreu trobar [http://linkat.xtec.cat/portal/index.php?module=P%E0gines&func=display&pageid=6 aquí], baixeu la ultima versió del DVD d'instal·lació i graveu-lo en un medi que es pugui utilitzar per engegar el sistema (típicament un DVD).<br> Cal instal·lar i configurar la Linkat4 tal com s'indica a [[Instal·lació Linkat 4|instal·lació bàsica]]. |
- | Cal instal·lar i configurar la Linkat4 tal com s'indica a [[ | + | |
|} | |} | ||
- | === Instal·lació del perfil de Servidor de Comunicacions === | + | === Instal·lació del perfil de Servidor de Comunicacions === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Un cop instal·lat el sistema base i després de reiniciar, s'engegarà una pantalla (Yast2-install) que farà unes configuracions, a continuació en apareixerà el Firefox a pantalla completa mostrant-nos el selector de perfils: | + | Un cop instal·lat el sistema base i després de reiniciar, s'engegarà una pantalla (Yast2-install) que farà unes configuracions, a continuació en apareixerà el Firefox a pantalla completa mostrant-nos el selector de perfils: [[Image:Servidor de Comunicacions selector perfils 1.png|frame|center|Vista general del selector de perfils.]]Quan veieu aquesta pantalla, seleccioneu el perfil de Servidor de comunicacions.<br> A continuació obriu el one-click-install amb el ''Yast Meta Package Handler'':[[Image:Servidor de Comunicacions obrir ymp.png|frame|center|Obrir el one-click-install.]]Tot seguit accepteu les preguntes tal i com mostren les imatges:[[Image:Servidor de Comunicacions install 1.png|frame|center|Pas 1.]] [[Image:Servidor de Comunicacions install 2.png|frame|center|Pas 2.]] [[Image:Servidor de Comunicacions install 3.png|frame|center|Pas 3.]] [[Image:Servidor de Comunicacions install 4.png|frame|center|Pas 4.]] En aquest punt es començarà a instal·lar el perfil. Quan acabi ja podeu finalitzar: [[Image:Servidor de Comunicacions install 5.png|frame|center|Pas 5.]] Un cop finalitzat el procés d'instal·lació tornareu al selector de perfils, tanqueu el Firefox ja sigui tancant la finestra o amb l'enllaç que es veu a la següent imatge: [[Image:Servidor de Comunicacions finalitzar.png|frame|center|Finalitzar la instal·lació del perfil.]] |
- | [[Image: | + | |
- | A continuació obriu el one-click-install amb el | + | |
- | [[Image: | + | |
- | [[Image: | + | |
- | [[Image: | + | |
- | En aquest punt es començarà a instal·lar el perfil. Quan acabi ja podeu finalitzar: | + | |
- | [[Image: | + | |
- | Un cop finalitzat el procés d'instal·lació tornareu al selector de perfils, tanqueu el Firefox ja sigui tancant la finestra o amb l'enllaç que es veu a la següent imatge: | + | |
- | [[Image: | + | |
|} | |} | ||
- | |||
- | == Configuració == | + | Un cop fet tot això, el perfil de Servidor de Comunicacions estarà instal·lat, el sistema es reiniciarà i ja podreu començar a configurar-lo! |
+ | |||
+ | == Configuració == | ||
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Aquest apartat us guiarà en el procés de configuració de les diferents parts que composen el Servidor de Comunicacions, també s'explica com cal configurar i/o modificar els elements externs al servidor, per exemple els clients.<br>Explicarem primer els aspectes bàsics de la configuració de xarxa, com cal fer la configuració bàsica del servidor i dels clients. A continuació explicarem detalladament com configurar i utilitzar cada un dels components que porta el Servidor de Comunicacions.<br>La interfície principal de configuració és el | + | Aquest apartat us guiarà en el procés de configuració de les diferents parts que composen el Servidor de Comunicacions, també s'explica com cal configurar i/o modificar els elements externs al servidor, per exemple els clients.<br>Explicarem primer els aspectes bàsics de la configuració de xarxa, com cal fer la configuració bàsica del servidor i dels clients. A continuació explicarem detalladament com configurar i utilitzar cada un dels components que porta el Servidor de Comunicacions.<br>La interfície principal de configuració és el '''webmin''', que per accedir-hi cal posar la IP del Servidor de Comunicacions i el port 10000, l'usuari que cal utilitzar és root, a continuació us mostrem un exemple: [[Image:Servidor de Comunicacions webmin login.png|frame|center|Login al webmin.]] |
- | [[Image: | + | |
|} | |} | ||
- | === Configuració de la xarxa === | + | |
+ | === Configuració de la xarxa === | ||
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Aquest apartat explica les configuracions de xarxa a nivell IP que han de tenir els diferents elements de la infraestructura on s'implanta el servidor de comunicacions. També s'explica com configurar-ho i es donen recomanacions per al bon ús del servidor.<br>Per crear una configuració de xarxa cal tenir clar quins equips hi estan implicats, tenir nocions de xarxes de comunicacions i nocions del protocol IP. Recomanem fer un esquema general de la infraestructura implicada, amb totes les màquines, les xarxes que hi han, els routers i les adreces IP de cada targeta de xarxa. | + | Aquest apartat explica les configuracions de xarxa a nivell IP que han de tenir els diferents elements de la infraestructura on s'implanta el servidor de comunicacions. També s'explica com configurar-ho i es donen recomanacions per al bon ús del servidor.<br>Per crear una configuració de xarxa cal tenir clar quins equips hi estan implicats, tenir nocions de xarxes de comunicacions i nocions del protocol IP. Recomanem fer un esquema general de la infraestructura implicada, amb totes les màquines, les xarxes que hi han, els routers i les adreces IP de cada targeta de xarxa. |
+ | |||
|} | |} | ||
- | ==== Recomanacions ==== | + | ==== Recomanacions ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Abans de configurar les interfícies de xarxa del Servidor de Comunicacions es recomana desactivar el NetworkManager i configurar les interfícies implicades sense IP. | + | Abans de configurar les interfícies de xarxa del Servidor de Comunicacions es recomana desactivar el NetworkManager i configurar les interfícies implicades sense IP. Per fer-ho es pot executar la següent comanda (com a root), no és la única forma, també es pot fer amb el sysconfig o, gràficament, amb el YaST2: |
- | Per fer-ho es pot executar la següent comanda (com a root), no és la única forma, també es pot fer amb el sysconfig o, gràficament, amb el YaST2: | + | |
yast lan | yast lan | ||
- | [[Image: | + | |
- | [[Image: | + | [[Image:Servidor de Comunicacions yast lan 1.png|frame|left|Desactivar NetworkManager.]] [[Image:Servidor de Comunicacions yast lan 2.png|frame|right|Desconfigurar IP.]] |
+ | |||
|} | |} | ||
- | ==== Visió general de les xarxes i les interfícies ==== | + | ==== Visió general de les xarxes i les interfícies ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar correctament el Servidor de Comunicacions cal tenir present la topologia general de xarxa de tota la infraestructura implicada. A continuació exposarem un exemple molt simplificat, suposem que tenim els següents elements a la infraestructura: | + | Per configurar correctament el Servidor de Comunicacions cal tenir present la topologia general de xarxa de tota la infraestructura implicada. A continuació exposarem un exemple molt simplificat, suposem que tenim els següents elements a la infraestructura: [[Image:Servidor de Comunicacions topologia exemple.png|frame|center|Topologia senzilla d'exemple.]] Veiem que tenim les següents màquines: |
- | [[Image: | + | |
- | Veiem que tenim les següents màquines: | + | *Un Router, és el que ens dona sortida cap a Internet, te una interfície de xarxa externa i una altra interna. Només ens interessa la interna. |
- | *Un Router, és el que ens dona sortida cap a Internet, te una interfície de xarxa externa i una altra interna. Només ens interessa la interna. | + | *El servidor de comunicacions, té dugues interfícies de xarxa, una per els routers i l'altra per la xarxa interna. |
- | *El servidor de comunicacions, té dugues interfícies de xarxa, una per els routers i l'altra per la xarxa interna. | + | |
*Un client, és una màquina que ha de poder sortir a Internet, té una interfície de xarxa. | *Un client, és una màquina que ha de poder sortir a Internet, té una interfície de xarxa. | ||
- | Veiem que existeixen les següents xarxes: | + | |
- | *Xarxa A, és la xarxa composada per la interfície interna del router i la interfície de sortida del Servidor de Comunicacions. | + | Veiem que existeixen les següents xarxes: |
+ | |||
+ | *Xarxa A, és la xarxa composada per la interfície interna del router i la interfície de sortida del Servidor de Comunicacions. | ||
*Xarxa B, és la xarxa composada pels clients, en aquest cas hi ha la interfície interna del Servidor de Comunicacions i la interfície del client. | *Xarxa B, és la xarxa composada pels clients, en aquest cas hi ha la interfície interna del Servidor de Comunicacions i la interfície del client. | ||
- | |||
- | {| | + | Amb aquest mapa general podem plantejar-nos quines adreces IP volem posar a cada màquina. Generalment les adreces IP de les màquines ja estaran configurades així que el que caldrà fer és adaptar la configuració existent al Servidor de Comunicacions.<br>Suposem que la Xarxa A té el rang d'adreces IP 192.168.1.0/24 i la Xarxa B té el rang 192.168.0.0/24, a continuació hi ha una taula on indica una configuració correcta de les adreces de les màquines segons l'exemple. |
+ | |||
+ | {| align="center" cellspacing="0" cellpadding="5" border="1" | ||
|- | |- | ||
- | ! style="background:#ffdead;text-align:center" | Màqina | + | ! style="background:#ffdead;text-align:center" | Màqina |
- | ! style="background:#ffdead;text-align:center" | Interfície | + | ! style="background:#ffdead;text-align:center" | Interfície |
- | ! style="background:#ffdead;text-align:center" | IP | + | ! style="background:#ffdead;text-align:center" | IP |
! style="background:#ffdead;text-align:center" | Gateway | ! style="background:#ffdead;text-align:center" | Gateway | ||
|- | |- | ||
- | ! | + | ! valign="middle" style="background:#E8E8E8;text-align:center" rowspan="2" | Router |
- | | style="background:#F8F8F8;text-align:center" | Externa | + | | style="background:#F8F8F8;text-align:center" | Externa |
- | | style="background:#F8E0E0;text-align:center" | - | + | | style="background:#F8E0E0;text-align:center" | - |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | | style="background:#F8F8F8;text-align:center" | Interna | + | | style="background:#F8F8F8;text-align:center" | Interna |
- | | style="text-align:center" | 192.168.1.1/24 | + | | style="text-align:center" | 192.168.1.1/24 |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | ! | + | ! style="background:#E8E8E8;text-align:center" rowspan="2" | Servidor de Comunicacions |
- | | style="background:#F8F8F8;text-align:center" | eth0 | + | | style="background:#F8F8F8;text-align:center" | eth0 |
- | | style="text-align:center" | 192.168.1.10/24 | + | | style="text-align:center" | 192.168.1.10/24 |
| style="text-align:center" | 192.168.1.1 | | style="text-align:center" | 192.168.1.1 | ||
|- | |- | ||
- | | style="background:#F8F8F8;text-align:center" | eth1 | + | | style="background:#F8F8F8;text-align:center" | eth1 |
- | | style="text-align:center" | 192.168.0.1/24 | + | | style="text-align:center" | 192.168.0.1/24 |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | ! style="background:#E8E8E8;text-align:center" | Client | + | ! style="background:#E8E8E8;text-align:center" | Client |
- | | style="background:#F8F8F8;text-align:center" | eth0 | + | | style="background:#F8F8F8;text-align:center" | eth0 |
- | | style="text-align:center" | 192.168.0.40/24 | + | | style="text-align:center" | 192.168.0.40/24 |
| style="text-align:center" | 192.168.0.1 | | style="text-align:center" | 192.168.0.1 | ||
|} | |} | ||
Línia 155: | Línia 122: | ||
|} | |} | ||
- | ==== Configuració del Lustitia ==== | + | ==== Configuració del Lustitia ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar les interfícies del Servidor de Comunicacions cal utilitzar el mòdul de webmin del Lustitia, també és possible (però no recomanable) fer-ho editant el fitxer de configuració del Lustitia: | + | Per configurar les interfícies del Servidor de Comunicacions cal utilitzar el mòdul de webmin del Lustitia, també és possible (però no recomanable) fer-ho editant el fitxer de configuració del Lustitia: ''/usr/share/lustitia/lustitia.conf''.<br>Seguirem l'exemple anterior i utilitzarem les adreces IP que s'hi mostren.<br>Primer accedim al mòdul de configuració del Lustitia: [[Image:Servidor de Comunicacions webmin lustitia 1.png|frame|center|Accés al mòdul del Lustitia.]] Un cop dins de la configuració, accedim a l'apartat que diu '''Router 0''': [[Image:Servidor de Comunicacions webmin lustitia 2.png|frame|center|Mòdul de configuració del Lustitia.]] Aquí hi hem de configurar diferents coses: |
- | [[Image: | + | |
- | Un cop dins de la configuració, accedim a l'apartat que diu | + | *La IP que té el Router (192.168.1.1). |
- | [[Image: | + | *Una IP per monitorar el router (192.168.1.4), ha de ser una IP lliure a la Xarxa A que estarà configurada com a ''IP alias'' de la interfície eth0 del servidor. |
- | Aquí hi hem de configurar diferents coses: | + | *La màscara de xarxa del la IP del router (255.255.255.0). |
- | *La IP que té el Router (192.168.1.1). | + | *L'ample de banda del router, aquí cal posar l'ample de banda efectiu que ofereix el router, és la velocitat que teniu contractada, si no la sabeu podeu fer un test de velocitat d'Internet. |
- | *Una IP per monitorar el router (192.168.1.4), ha de ser una IP lliure a la Xarxa A que estarà configurada com a | + | *Ample de banda generat al servidor de comunicacions, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per les connexions que far el Servidor de Comunicacions. |
- | *La màscara de xarxa del la IP del router (255.255.255.0). | + | *Ample de banda generat per serveis prioritaris de la LAN, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per els serveis que es consideren prioritaris de la Xarxa B. |
- | *L'ample de banda del router, aquí cal posar l'ample de banda efectiu que ofereix el router, és la velocitat que teniu contractada, si no la sabeu podeu fer un test de velocitat d'Internet. | + | *Resta del tràfic de la LAN, millor no tocar aquest paràmetres si no hi teniu bones raons, és l'ample de banda generat per la resta de connexions que passen pel servidor. |
- | *Ample de banda generat al servidor de comunicacions, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per les connexions que far el Servidor de Comunicacions. | + | |
- | *Ample de banda generat per serveis prioritaris de la LAN, millor no tocar aquest paràmetre si no hi teniu bones raons, és l'ample de banda reservat per els serveis que es consideren prioritaris de la Xarxa B. | + | |
- | *Resta del tràfic de la LAN, millor no tocar aquest paràmetres si no hi teniu bones raons, és l'ample de banda generat per la resta de connexions que passen pel servidor. | + | |
*Pes aritmètic, serveix per balancejar la càrrega entre routers, millor no canviar-lo si no hi teniu bones raons. | *Pes aritmètic, serveix per balancejar la càrrega entre routers, millor no canviar-lo si no hi teniu bones raons. | ||
- | Aquesta configuració cal fer-la per cadascun dels routers que tingueu a la Xarxa A.<br>Un cop canviades les configuracions pertinents premem salvar. | + | |
- | [[Image: | + | Aquesta configuració cal fer-la per cadascun dels routers que tingueu a la Xarxa A.<br>Un cop canviades les configuracions pertinents premem salvar. [[Image:Servidor de Comunicacions webmin lustitia 3.png|frame|center|Configuració del router.]] Ara anem a l'apartat de configuració de les interfícies de xarxa: [[Image:Servidor de Comunicacions webmin lustitia 4.png|frame|center|Mòdul de configuració del Lustitia.]] Posem la configuració desitjada i premem salvar: [[Image:Servidor de Comunicacions webmin lustitia 5.png|frame|center|Configuració de les interfícies.]] Ara ja podem aplicar la configuració! A partir d'aquest moment el Lustitia estarà funcionant, les màquines de la Xarxa B que estiguin correctament configurades haurien de poder sortir a Internet. [[Image:Servidor de Comunicacions webmin lustitia 6.png|frame|center|Aplicar la configuració.]] |
- | Ara anem a l'apartat de configuració de les interfícies de xarxa: | + | |
- | [[Image: | + | |
- | Posem la configuració desitjada i premem salvar: | + | |
- | [[Image: | + | |
- | Ara ja podem aplicar la configuració! A partir d'aquest moment el Lustitia estarà funcionant, les màquines de la Xarxa B que estiguin correctament configurades haurien de poder sortir a Internet. | + | |
- | [[Image: | + | |
|} | |} | ||
- | ==== Configuració d'un client ==== | + | ==== Configuració d'un client ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar una màquina client segons l'exemple anterior cal fer que tingui la següent configuració de xarxa: | + | Per configurar una màquina client segons l'exemple anterior cal fer que tingui la següent configuració de xarxa: |
- | *Adreça IP: 192.168.0.40 | + | |
- | *Màscara de xarxa: 255.255.255.0 | + | *Adreça IP: 192.168.0.40 |
- | *Porta d'enllaç per defecte ( | + | *Màscara de xarxa: 255.255.255.0 |
+ | *Porta d'enllaç per defecte (''default gateway''): 192.168.0.1 | ||
*Servidor DNS: 192.168.0.1 o podeu posar-hi altres. | *Servidor DNS: 192.168.0.1 o podeu posar-hi altres. | ||
+ | |||
|} | |} | ||
- | === Configuració del servidor DNS === | + | === Configuració del servidor DNS === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per habilitar el | + | Per habilitar el ''DNS caching'' cal executar les següents comandes, des de una consola amb l'usuari '''root''': |
+ | |||
rcnamed start | rcnamed start | ||
- | Per fer que el servidor de DNS s'engegui sempre a l'inici executeu: | + | |
+ | Per fer que el servidor de DNS s'engegui sempre a l'inici executeu: | ||
+ | |||
insserv named | insserv named | ||
- | Per configurar servidors DNS (el 8.8.8.8 i el 192.168.2.3 per exemple) com a | + | |
- | *Editar el fitxer | + | Per configurar servidors DNS (el 8.8.8.8 i el 192.168.2.3 per exemple) com a ''forwarders'' del nostre servidor DNS cal seguir els següents passos: |
+ | |||
+ | *Editar el fitxer ''/etc/sysconfig/network/config'' i canviar el valor de les següents variables tal com s'indica, a la variable ''NETCONFIG_DNS_STATIC_SERVERS'' hi podríeu posar una llista d'adreces de servidors separades per espais: | ||
+ | |||
NETCONFIG_DNS_FORWARDER="bind" | NETCONFIG_DNS_FORWARDER="bind" | ||
NETCONFIG_DNS_STATIC_SERVERS="8.8.8.8 192.168.2.3" | NETCONFIG_DNS_STATIC_SERVERS="8.8.8.8 192.168.2.3" | ||
- | *Editar el fitxer | + | |
+ | *Editar el fitxer ''/etc/named.conf'' per a que tingui les següents línies: | ||
+ | |||
forward first; | forward first; | ||
include "/etc/named.d/forwarders.conf"; | include "/etc/named.d/forwarders.conf"; | ||
- | *Executar com a | + | |
+ | *Executar com a '''root''' el següent: | ||
+ | |||
netconfig update | netconfig update | ||
rcnamed reload | rcnamed reload | ||
- | echo nameserver 127.0.0.1 | + | echo nameserver 127.0.0.1 > /etc/resolv.conf |
+ | |||
|} | |} | ||
- | === Configuració del client LDAP === | + | === Configuració del client LDAP === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per administrar un servidor d'LDAP cal que aneu al webmin i seguiu els següents passos:<br> | + | Per administrar un servidor d'LDAP cal que aneu al webmin i seguiu els següents passos:<br> Anar a l'apartat Client LDAP: [[Image:Servidor de Comunicacions client LDAP 1.png|frame|center|Mòdul de configuració del client LDAP.]] Si hi entreu per primer cop haureu de configurar el mòdul, trobareu la següent pantalla. Cliqueu a configuració del mòdul. [[Image:Servidor de Comunicacions client LDAP modul config 1.png|frame|center|Configuració del mòdul.]] A continuació configureu el mòdul tal com es veu a la imatge, cal emplenar el camp '''Fitxer de configuració del client LDAP''' amb ''/etc/openldap/ldap.conf'' i el camp '''Fitxer arrel de contrasenyes del client LDAP''' amb ''/etc/openldap/ldap_passwd''. [[Image:Servidor de Comunicacions client LDAP modul config 2.png|frame|center|Configuració del mòdul.]] Anar a l'apartat de configuració del servidor LDAP. [[Image:Servidor de Comunicacions client LDAP 2.png|frame|center|Configuració de la connexió amb el servidor LDAP.]] Configurar el client amb les dades del servidor LDAP remot. [[Image:Servidor de Comunicacions client LDAP 3.png|frame|center|Configurar el client d'LDAP.]] Podeu validar que tot és correcte fent una prova de connexió. [[Image:Servidor de Comunicacions client LDAP 4.png|frame|center|Validar configuració.]] També podeu definir els camps següents dins de l'apartat Base de Recerca de LDAP. [[Image:Servidor de Comunicacions client LDAP base recerca 1.png|frame|center|Apartat Base de Recerca de LDAP.]] Configureu el camp '''Base de recerca global''' amb ''dc=intracentre'' (per exemple) i el camp '''Base dels usuaris Unix''' amb ''ou=people,dc=intracentre''. [[Image:Servidor de Comunicacions client LDAP base recerca 2.png|frame|center|Configuració de la Base de Recerca de LDAP.]] Finalment cliqueu al botó '''Desa''' que es troba a baix de tot del formulari. [[Image:Servidor de Comunicacions client LDAP base recerca 3.png|frame|center|Desar la configuració de la Base de Recerca de LDAP.]] |
- | Anar a l'apartat Client LDAP: | + | |
- | [[Image: | + | |
- | Si hi entreu per primer cop haureu de configurar el mòdul, trobareu la següent pantalla. Cliqueu a configuració del mòdul. | + | |
- | [[Image: | + | |
- | A continuació configureu el mòdul tal com es veu a la imatge, cal emplenar el camp | + | |
- | [[Image: | + | |
- | Anar a l'apartat de configuració del servidor LDAP. | + | |
- | [[Image: | + | |
- | Configurar el client amb les dades del servidor LDAP remot. | + | |
- | [[Image: | + | |
- | Podeu validar que tot és correcte fent una prova de connexió. | + | |
- | [[Image: | + | |
- | També podeu definir els camps següents dins de l'apartat Base de Recerca de LDAP. | + | |
- | [[Image: | + | |
- | Configureu el camp | + | |
- | [[Image: | + | |
- | Finalment cliqueu al botó | + | |
- | [[Image: | + | |
|} | |} | ||
- | === Configuració del servidor LDAP === | + | === Configuració del servidor LDAP === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar el servidor LDAP a dins del Servidor de Comunicacions cal seguir els següents passos. Tingueu en compte que són un exemple per crear un LDAP bàsic, vosaltres haureu de crear l'estructura que necessiteu.<br> | + | Per configurar el servidor LDAP a dins del Servidor de Comunicacions cal seguir els següents passos. Tingueu en compte que són un exemple per crear un LDAP bàsic, vosaltres haureu de crear l'estructura que necessiteu.<br> Accedim al mòdul de configuració del servidor LDAP del webmin. [[Image:Servidor de Comunicacions servidor LDAP 1.png|frame|center|Mòdul de configuració del servidor LDAP.]] Si en aparegués la següent pantalla cal prèmer l'enllaç mòdul de configuració. [[Image:Servidor de Comunicacions servidor LDAP error 1.png|frame|center|Error del servidor LDAP.]] Cal corregir les rutes on diu ''/etc/ldap/...'' per ''/etc/openldap/...'' i prémer Desa. [[Image:Servidor de Comunicacions servidor LDAP error 2.png|frame|center|Correcció de l' error del servidor LDAP.]] Accedim a l'apartat de configuració del servidor LDAP. [[Image:Servidor de Comunicacions servidor LDAP 2.png|frame|center|Apartat de configuració del servidor LDAP.]] Configurem els paràmetres de la forma que necessitem (aquests són d'exemple) i premem el botó Desa. [[Image:Servidor de Comunicacions servidor LDAP 3.png|frame|center|Configuració del servidor LDAP.]] Iniciem el servidor LDAP prement el botó ''Inicia el servidor''. [[Image:Servidor de Comunicacions servidor LDAP 4.png|frame|center|Iniciar el servidor LDAP.]] A continuació cal crear el DN arrel quan ho pregunti i tornar a l'índex. [[Image:Servidor de Comunicacions servidor LDAP 5.png|frame|center|Crear el DN arrel.]][[Image:Servidor de Comunicacions servidor LDAP 6.png|frame|center|Tornar a l'índex.]] Per crear l'estructura de l'LDAP anem a ''Exploració de la Base de Bades''. [[Image:Servidor de Comunicacions servidor LDAP 7.png|frame|center|Exploració de la Base de Bades.]] Anem a ''Objectes fills'' de ''dc=intracentre''. [[Image:Servidor de Comunicacions servidor LDAP 8.png|frame|center|Objectes fills.]] Configurem l'usuari administrador de l'LDAP, que en aquest cas es diu ''Administrator'', premem ''Crea''. [[Image:Servidor de Comunicacions servidor LDAP 9.png|frame|center|Creació de root.]] Afegim el grup ''people''. [[Image:Servidor de Comunicacions servidor LDAP 10.png|frame|center|Afegir el grup people.]] El configurem i premem ''Crea''. [[Image:Servidor de Comunicacions servidor LDAP 11.png|frame|center|Configuració del grup people.]] Afegim l'usuari ''tux'' al grup ''people''. [[Image:Servidor de Comunicacions servidor LDAP 12.png|frame|center|Creació de l'usuari tux.]] El configurem i premem ''Crea''. [[Image:Servidor de Comunicacions servidor LDAP 13.png|frame|center|Configuració de l'usuari tux.]] Ara podem canviar la contrasenya de l'usuari tux amb la següent comanda (en un terminal, com a usuari root): |
- | Accedim al mòdul de configuració del servidor LDAP del webmin. | + | |
- | [[Image: | + | |
- | Si en aparegués la següent pantalla cal prèmer l'enllaç mòdul de configuració. | + | |
- | [[Image: | + | |
- | Cal corregir les rutes on diu | + | |
- | [[Image: | + | |
- | Accedim a l'apartat de configuració del servidor LDAP. | + | |
- | [[Image: | + | |
- | Configurem els paràmetres de la forma que necessitem (aquests són d'exemple) i premem el botó Desa. | + | |
- | [[Image: | + | |
- | Iniciem el servidor LDAP prement el botó | + | |
- | [[Image: | + | |
- | A continuació cal crear el DN arrel quan ho pregunti i tornar a l'índex. | + | |
- | [[Image: | + | |
- | Per crear l'estructura de l'LDAP anem a | + | |
- | [[Image: | + | |
- | Anem a | + | |
- | [[Image: | + | |
- | Configurem l'usuari administrador de l'LDAP, que en aquest cas es diu | + | |
- | [[Image: | + | |
- | Afegim el grup | + | |
- | [[Image: | + | |
- | El configurem i premem | + | |
- | [[Image: | + | |
- | Afegim l'usuari | + | |
- | [[Image: | + | |
- | El configurem i premem | + | |
- | [[Image: | + | |
- | Ara podem canviar la contrasenya de l'usuari tux amb la següent comanda (en un terminal, com a usuari root): | + | |
ldappasswd -D cn=Administrator,dc=intracentre -x -w noladiguis -s nova_contrasenya_del_tux uid=tux,ou=people,dc=intracentre | ldappasswd -D cn=Administrator,dc=intracentre -x -w noladiguis -s nova_contrasenya_del_tux uid=tux,ou=people,dc=intracentre | ||
- | I finalment afegim el servei a l'inici del sistema amb la següent comanda (en un terminal, com a usuari root): | + | |
+ | I finalment afegim el servei a l'inici del sistema amb la següent comanda (en un terminal, com a usuari root): | ||
+ | |||
chkconfig --add ldap | chkconfig --add ldap | ||
+ | |||
|} | |} | ||
- | === Configuració del proxy cache Squid === | + | === Configuració del proxy cache Squid === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | El proxy cache Squid us permet controlar el tràfic HTTP i HTTPS, us permet denegar llocs, fer llistes blanques, fer llistes negres, establir ACLs, implementa una cache per tal d'accelerar la navegació i reduir la càrrega de la xarxa i permet modular l'ample de banda de les connexions que controla.<br>A continuació es mostren exemples bàsics de configuració de cadascuna d'aquestes possibilitats.<br>Per configurar-lo utilitzarem el seu mòdul de webmin, és aquest: | + | El proxy cache Squid us permet controlar el tràfic HTTP i HTTPS, us permet denegar llocs, fer llistes blanques, fer llistes negres, establir ACLs, implementa una cache per tal d'accelerar la navegació i reduir la càrrega de la xarxa i permet modular l'ample de banda de les connexions que controla.<br>A continuació es mostren exemples bàsics de configuració de cadascuna d'aquestes possibilitats.<br>Per configurar-lo utilitzarem el seu mòdul de webmin, és aquest: [[Image:Servidor de Comunicacions squid 1.png|frame|center|Mòdul de webmin del proxy cache Squid.]] |
- | [[Image: | + | |
|} | |} | ||
- | ==== ACLs ==== | + | ==== ACLs ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar una ACL ( | + | Per configurar una ACL (''Access Control List''), cal seguir els següents passos. En aquest exemple farem una ACL que engloba a totes les connexions (0.0.0.0).<br>Anem a la configuració de ''Control d'Accés''. [[Image:Servidor de Comunicacions squid 2.png|frame|center|Control d'Accés.]] Seleccionem l'ACL all. [[Image:Servidor de Comunicacions squid 3.png|frame|center|Llista d'ACLs.]] La configurem amb la IP 0.0.0.0 per englobar tots els clients. [[Image:Servidor de Comunicacions squid 4.png|frame|center|Configuració dels ACLs.]] |
- | [[Image: | + | |
- | Seleccionem l'ACL all. | + | |
- | [[Image: | + | |
- | La configurem amb la IP 0.0.0.0 per englobar tots els clients. | + | |
- | [[Image: | + | |
|} | |} | ||
- | ==== Delay pools ==== | + | ==== Delay pools ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar un | + | Per configurar un ''Delay Pool'', cal seguir els següents passos. En aquest exemple crearem un ''Delay Pool'' per limitar l'ample de banda del tràfic HTTP i HTTPS de tots els clients de l'Squid a 8 KB/s.<br>Anem a la configuració dels ''Delay Pools''. [[Image:Servidor de Comunicacions squid 5.png|frame|center|Delay Pools.]] Creem un nou ''Delay Pool''. [[Image:Servidor de Comunicacions squid 6.png|frame|center|Creació d'un Delay Pool nou.]] Configurem el ''Delay Pool'' amb els valors que ens interessen i premem ''Crea''. [[Image:Servidor de Comunicacions squid 7.png|frame|center|Configuració del Delay Pool.]] Hi entrem un altre cop. [[Image:Servidor de Comunicacions squid 8.png|frame|center|Delay Pool.]] Afegim un ACL per aquest ''Delay Pool''. [[Image:Servidor de Comunicacions squid 9.png|frame|center|Afegir ACL.]] Seleccionem l'ACL '''all''' per el nostre ''Delay Pool'' i premem ''Desa''. [[Image:Servidor de Comunicacions squid 10.png|frame|center|Selecionar un ACL.]] Finalment apliquem la configuració. [[Image:Servidor de Comunicacions squid aplica.png|frame|center|Selecionar un ACL.]] A partir d'aquest moment els clients de l'Squid no podran navegar a més de 8 KB/s. |
- | [[Image: | + | |
- | Creem un nou | + | |
- | [[Image: | + | |
- | Configurem el | + | |
- | [[Image: | + | |
- | Hi entrem un altre cop. | + | |
- | [[Image: | + | |
- | Afegim un ACL per aquest | + | |
- | [[Image: | + | |
- | Seleccionem l'ACL | + | |
- | [[Image: | + | |
- | Finalment apliquem la configuració. | + | |
- | [[Image: | + | |
- | A partir d'aquest moment els clients de l'Squid no podran navegar a més de 8 KB/s. | + | |
|} | |} | ||
- | ==== Squidguard ==== | + | ==== Squidguard ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Squidguard és un redirector d'URLs per Squid, ens permet implementar llistes blanques i negres per a les connexions que passen per l'Squid i, en general, controlar l'accés a llocs web.<br>Per configurar les llistes hi ha dues formes: | + | Squidguard és un redirector d'URLs per Squid, ens permet implementar llistes blanques i negres per a les connexions que passen per l'Squid i, en general, controlar l'accés a llocs web.<br>Per configurar les llistes hi ha dues formes: |
+ | |||
|} | |} | ||
- | ===== Llistes negres ===== | + | ===== Llistes negres ===== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Les llistes negres són llistes que contenen noms de domini o URLs que volem controlar, hom pot crear les seves própies llistes i també n'hi han de fetes a Internet.<br>En aquest exemple utilitzarem una llista negra qualsevol i configurarem l'Squidguard perque la utilitzi.<br>Accedim al mòdul de configuració de l'Squidguard. | + | Les llistes negres són llistes que contenen noms de domini o URLs que volem controlar, hom pot crear les seves própies llistes i també n'hi han de fetes a Internet.<br>En aquest exemple utilitzarem una llista negra qualsevol i configurarem l'Squidguard perque la utilitzi.<br>Accedim al mòdul de configuració de l'Squidguard. [[Image:Servidor de Comunicacions squidguard 1.png|frame|center|Mòdul d'Squidguard.]] És possible que ens surti el segent missatge, introduïm l'usuari ''squid'' i premem ''Desa''. [[Image:Servidor de Comunicacions squidguard 2.png|frame|center|Configuració de l'usuari amb que s'executa Squidguard.]] També és possible que ens avisi que l'Squid no esta configurat per utilitzar l'Squidguard, el configurem prement l'enllaç. [[Image:Servidor de Comunicacions squidguard 3.png|frame|center|Configurar Squid.]] Ara ja podem accedir a l'apartat de llistes negres. [[Image:Servidor de Comunicacions squidguard 4.png|frame|center|Llistes negres.]] Com que no tindrem cap llista, premem ''Download Blacklists''. |
- | [[Image: | + | <pre>Nota: Descarregarem les llistes negres des de la URL següent: http://squidguard.mesd.k12.or.us/blacklists.tgz</pre> |
- | És possible que ens surti el segent missatge, introduïm l'usuari | + | [[Image:Servidor de Comunicacions squidguard 5.png|frame|center|Baixar llistes negres.]] Posem la llista negre que ens interessa i premem ''Download!''. Es poden trobar més llistes negres a Internet. [[Image:Servidor de Comunicacions squidguard 6.png|frame|center|Introduir la URL d'una llista negra.]] Tornem al menú de llistes negres. [[Image:Servidor de Comunicacions squidguard 7.png|frame|center|Tornar a les llistes negres.]] Entrem a la que volguem activar i premem ''Enables this blacklist'' per poder-la utilitzar. Els enllaços ''Add Domain'' i ''Add URL'' ens permeten editar les llistes. [[Image:Servidor de Comunicacions squidguard 8.png|frame|center|Una llista negre.]] Ara que ja tenim una llista negra que podem utilitzar, configurarem l'Squidguard per utilitzar-la. Anem a la configuració d'ACLs. [[Image:Servidor de Comunicacions squidguard 9.png|frame|center|Apartat d'ACLs.]] Seleccionem el grup a qui afectarà (all), la llista negra que volem i premem ''Desa''. [[Image:Servidor de Comunicacions squidguard 10.png|frame|center|Configuració de l'ACL.]] Perque la configuració faci efecte cal aplicar-la a l'Squid. [[Image:Servidor de Comunicacions squid aplica.png|frame|center|Aplicar.]] A partir d'aquest moment, cap client de l'Squid podrà visitar pàgines de la llista negra. Quan ho intentin, se'ls redirigirà cap a la URL que hem configurat a l'apartat ''Redirect URL'' de l'ACL . |
- | [[Image: | + | |
- | També és possible que ens avisi que l'Squid no esta configurat per utilitzar l'Squidguard, el configurem prement l'enllaç. | + | |
- | [[Image: | + | |
- | Ara ja podem accedir a l'apartat de llistes negres. | + | |
- | [[Image: | + | |
- | Com que no tindrem cap llista, premem | + | |
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
- | |||
|} | |} | ||
- | ===== Llistes blanques ===== | + | ===== Llistes blanques ===== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per configurar llistes blanques primer creem una llista de les pàgines a les que volem que es pugui accedir i després ho deneguem tot menys la llista.<br>Accedim a l'apartat | + | Per configurar llistes blanques primer creem una llista de les pàgines a les que volem que es pugui accedir i després ho deneguem tot menys la llista.<br>Accedim a l'apartat ''Destination groups''. [[Image:Servidor de Comunicacions squidguard 11.png|frame|center|Apartat Destination groups.]] Creem un grup nou. [[Image:Servidor de Comunicacions squidguard 12.png|frame|center|Creació d'un grup nou.]] Afegim els dominis i les URLs que volguem. [[Image:Servidor de Comunicacions squidguard 13.png|frame|center|Configurar el grup.]] Anem a la configuració d'ACL i la configurem amb ''Destination groups'' a ningú (none) i a la nostra llista (white), premem ''Desa''. [[Image:Servidor de Comunicacions squidguard 14.png|frame|center|Configuració de l'ACL.]] Perque la configuració faci efecte cal aplicar-la a l'Squid. [[Image:Servidor de Comunicacions squid aplica.png|frame|center|Aplicar.]] A partir d'aquest moment els clients de l'Squid només podran visitar les pàgines de la llista blanca, quan intentin accedir a altres pàgines s'els redirigirà cap a la URL que hem configurat a l'apartat ''Redirect URL'' de l'ACL. |
- | [[Image: | + | |
- | Creem un grup nou. | + | |
- | [[Image: | + | |
- | Afegim els dominis i les URLs que volguem. | + | |
- | [[Image: | + | |
- | Anem a la configuració d'ACL i la configurem amb | + | |
- | [[Image: | + | |
- | Perque la configuració faci efecte cal aplicar-la a l'Squid. | + | |
- | [[Image: | + | |
- | A partir d'aquest moment els clients de l'Squid només podran visitar les pàgines de la llista blanca, quan intentin accedir a altres pàgines s'els redirigirà cap a la URL que hem configurat a l'apartat | + | |
|} | |} | ||
- | ==== Calamaris ==== | + | ==== Calamaris ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per veure informació variada i estadístiques de l'Squid tenim l'eina Calamaris, és un apartat de l'Squid on podem consultar diferents tipus d'informació. | + | Per veure informació variada i estadístiques de l'Squid tenim l'eina Calamaris, és un apartat de l'Squid on podem consultar diferents tipus d'informació. [[Image:Servidor de Comunicacions calamaris 1.png|frame|center|Accés al calamaris.]] |
- | [[Image: | + | |
|} | |} | ||
- | ==== HTTPS ==== | + | ==== HTTPS ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per fer possible que el tràfic HTTPS estigui controlat per l'Squid i quedi subjecte a totes les configuracions de control que hem explicat cal que | + | Per fer possible que el tràfic HTTPS estigui controlat per l'Squid i quedi subjecte a totes les configuracions de control que hem explicat cal que '''TOTS''' els clients configurin el seu navegador per utilitzar l'Squid com a proxy SSL. Si un client no fa això, quedaria lliure de les restriccions que vulguem posar-li i per evitar-ho cal inhabilitar l'accés al port 443 (HTTPS).<br>El Servidor de Comunicacions té una configuració per defecte que deshabilita l'ús del port 443 (HTTPS) redireccionant-lo cap a l'Squid, això fa que els clients que intentin accedir a pàgines web segures pel port 443 no puguin i els hi sorti un error d'SSL. Ara bé això fa que l'Squid treballi una mica més del que caldria.<br>Hi ha una altra opció per deshabilitar el port 443, és configurar el Servidor de Comunicacions per que no accepti tràfic d'aquest port. D'aquesta forma alliberem l'Squid d'aquest treball.<br>Per fer-ho cal editar el fitxer ''/usr/share/lustitia/nat'' i comentar la línia 20 de forma que quedi així: |
+ | |||
#iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 443 -j REDIRECT --to-port 3128 | #iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 443 -j REDIRECT --to-port 3128 | ||
- | Després cal afegir a sota el següent: | + | |
+ | Després cal afegir a sota el següent: | ||
+ | |||
iptables -A FORWARD -i ${ETH_IN}+ -p tcp --dport 443 -j DROP | iptables -A FORWARD -i ${ETH_IN}+ -p tcp --dport 443 -j DROP | ||
- | Un cop aplicada aquesta configuració cal reiniciar el lustitia fent: | + | |
+ | Un cop aplicada aquesta configuració cal reiniciar el lustitia fent: | ||
+ | |||
/etc/init.d/lustitia_rc restart | /etc/init.d/lustitia_rc restart | ||
- | Per configurar el Firefox d'un client perquè pugui utilitzar connexions HTTPS cal aplicar-hi la següent configuració, editem les propietats de xarxa del Firefox. | + | |
- | [[Image: | + | Per configurar el Firefox d'un client perquè pugui utilitzar connexions HTTPS cal aplicar-hi la següent configuració, editem les propietats de xarxa del Firefox. [[Image:Servidor de Comunicacions https client firefox 1.png|frame|center|Propietats de xarxa.]] Configurem l'Squid com a proxy SSL (s'utilitza la IP de l'exemple anterior, poseu-hi la IP de la interfície eth1 del Servidor de Comunicacions). [[Image:Servidor de Comunicacions https client firefox 2.png|frame|center|Configuració del proxy SSL.]] |
- | Configurem l'Squid com a proxy SSL (s'utilitza la IP de l'exemple anterior, poseu-hi la IP de la interfície eth1 del Servidor de Comunicacions). | + | |
- | [[Image: | + | |
|} | |} | ||
- | === Configuració del servidor freeRADUIS === | + | === Configuració del servidor freeRADUIS === |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per utilitzar una autenticació comuna dels clients WiFi contra l'LDAP del centre tenim una molt bona eina, és el servidor d'autenticació freeRADIUS.<br>El servidor està preconfigurat per acceptar encriptacions PEAP+GTC i TTLS+PAP però no pas PEAP+MSCHAPv2 (la que utilitza windows), això vol dir que els clients Windows necessitaran canvis al seu sistema de connexió per poder-se connectar (compatiblitat amb els sistemes d'encriptació oferits).<br>Per configurar un | + | Per utilitzar una autenticació comuna dels clients WiFi contra l'LDAP del centre tenim una molt bona eina, és el servidor d'autenticació freeRADIUS.<br>El servidor està preconfigurat per acceptar encriptacions PEAP+GTC i TTLS+PAP però no pas PEAP+MSCHAPv2 (la que utilitza windows), això vol dir que els clients Windows necessitaran canvis al seu sistema de connexió per poder-se connectar (compatiblitat amb els sistemes d'encriptació oferits).<br>Per configurar un ''Access Point'' de forma que utilitzi el nostre freeRADIUS cal que tingui la capacitat d'autenticació anomenada "Enterprise RADIUS", també cal tenir clara la forma de connectar-lo a la xarxa. Típicament l'AP estarà a la Xarxa B però realment l'única cosa que es necessita és que l'AP pugui accedir a la interfície '''eth1''' del Servidor de Comunicacions.<br>A continuació explicarem com connectar un AP i després com configurar el freeRADIUS i l'AP. |
+ | |||
+ | ==== Connexió d'un ''Access Point'' (topologia) ==== | ||
- | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Per implantar un | + | Per implantar un ''Access Point'' a la infraestructura d'un centre amb Servidor de Comunicacions cal tenir en compte com estaran situats dins de la topologia de xarxa, l'AP pot estar a qualsevol lloc de la xarxa sempre que tingui accés a la interfície '''eth1''' del Servidor de Comunicacions tal com es veu al següent exemple senzill: [[Image:Servidor de Comunicacions topologia WiFi.png|frame|center|Exemple senzill de la topologia del Servidor de Comunicacions amb un AP i un client WiFi.]] Segons aquest esquema podem definir una taula amb una configuració de xarxa d'exemple de cadascun dels elements: |
- | [[Image: | + | |
- | Segons aquest esquema podem definir una taula amb una configuració de xarxa d'exemple de cadascun dels elements: | + | |
- | {| | + | {| align="center" cellspacing="0" cellpadding="5" border="1" |
|- | |- | ||
- | ! style="background:#ffdead;text-align:center" | Màqina | + | ! style="background:#ffdead;text-align:center" | Màqina |
- | ! style="background:#ffdead;text-align:center" | Interfície | + | ! style="background:#ffdead;text-align:center" | Interfície |
- | ! style="background:#ffdead;text-align:center" | IP | + | ! style="background:#ffdead;text-align:center" | IP |
! style="background:#ffdead;text-align:center" | Gateway | ! style="background:#ffdead;text-align:center" | Gateway | ||
|- | |- | ||
- | ! | + | ! valign="middle" style="background:#E8E8E8;text-align:center" rowspan="2" | Servidor de Comunicacions |
- | | style="background:#F8F8F8;text-align:center" | eth0 | + | | style="background:#F8F8F8;text-align:center" | eth0 |
- | | style="background:#F8E0E0;text-align:center" | - | + | | style="background:#F8E0E0;text-align:center" | - |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | | style="background:#F8F8F8;text-align:center" | eth1 | + | | style="background:#F8F8F8;text-align:center" | eth1 |
- | | style="text-align:center" | 192.168.0.1/24 | + | | style="text-align:center" | 192.168.0.1/24 |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | ! | + | ! style="background:#E8E8E8;text-align:center" rowspan="2" | ''Access Point'' |
- | | style="background:#F8F8F8;text-align:center" | eth0 | + | | style="background:#F8F8F8;text-align:center" | eth0 |
- | | style="text-align:center" | 192.168.0.20/24 | + | | style="text-align:center" | 192.168.0.20/24 |
| style="text-align:center" | 192.168.0.1 | | style="text-align:center" | 192.168.0.1 | ||
|- | |- | ||
- | | style="background:#F8F8F8;text-align:center" | WiFi | + | | style="background:#F8F8F8;text-align:center" | WiFi |
- | | style="text-align:center" | 192.168.2.1/24 | + | | style="text-align:center" | 192.168.2.1/24 |
| style="background:#F8E0E0;text-align:center" | - | | style="background:#F8E0E0;text-align:center" | - | ||
|- | |- | ||
- | ! style="background:#E8E8E8;text-align:center" | Client | + | ! style="background:#E8E8E8;text-align:center" | Client |
- | | style="background:#F8F8F8;text-align:center" | WiFi | + | | style="background:#F8F8F8;text-align:center" | WiFi |
- | | style="text-align:center" | 192.168.2.123/24 | + | | style="text-align:center" | 192.168.2.123/24 |
| style="text-align:center" | 192.168.2.1 | | style="text-align:center" | 192.168.2.1 | ||
|} | |} | ||
Línia 447: | Línia 346: | ||
|} | |} | ||
- | ==== Configuració del | + | ==== Configuració del ''freeRADIUS'' i de l'''Access Point'' ==== |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Seguint els exemples anteriors, tant de connexió de l'AP com de configuració del servidor LDAP, explicarem com cal configurar el servidor freeRADIUS i l'AP.<br>Primerament anem al mòdul de webmin del freeRADIUS que es diu | + | Seguint els exemples anteriors, tant de connexió de l'AP com de configuració del servidor LDAP, explicarem com cal configurar el servidor freeRADIUS i l'AP.<br>Primerament anem al mòdul de webmin del freeRADIUS que es diu ''Linkat Freeradius Config''. [[Image:Servidor de Comunicacions webmin freeradius 1.png|frame|center|Mòdul de configuració del freeRADIUS.]] Anem a l'apartat de configuració de l'LDAP. [[Image:Servidor de Comunicacions webmin freeradius 2.png|frame|center|Apartat de l'LDAP.]] Configurem els paràmetres relatius a la connexió del freeADIUS amb l'LDAP i premem ''Salvar''. El DN d'accés és l'usuari amb que el freeRADIUS farà les consultes a l'LDAP. La contrasenya és la d'aquest usuari i el DN base és la ruta d'LDAP on estan els usuaris que volem permetre a la WiFi. [[Image:Servidor de Comunicacions webmin freeradius 3.png|frame|center|Configuració de l'LDAP.]] Anem a l'apartat de configuració de l'AP. [[Image:Servidor de Comunicacions webmin freeradius 4.png|frame|center|Apartat de l'AP.]] Configurem els paràmetres relatius a l'AP, el nom no importa i la contrasenya és per que l'AP es pugui autenticar com a tal al freeRADIUS, després premem ''Salvar''. [[Image:Servidor de Comunicacions webmin freeradius 5.png|frame|center|Configuració de l'AP.]] Ara premem el botó que diu ''Aplicar la configuració actual''. [[Image:Servidor de Comunicacions webmin freeradius 6.png|frame|center|Aplicar la configuració.]] I Finalment afegim el servei ''freeradius'' a l'inici del sistema amb la següent comanda (des de un terminal, com a usuari root): |
- | [[Image: | + | |
- | Anem a l'apartat de configuració de l'LDAP. | + | |
- | [[Image: | + | |
- | Configurem els paràmetres relatius a la connexió del freeADIUS amb l'LDAP i premem | + | |
- | [[Image: | + | |
- | Anem a l'apartat de configuració de l'AP. | + | |
- | [[Image: | + | |
- | Configurem els paràmetres relatius a l'AP, el nom no importa i la contrasenya és per que l'AP es pugui autenticar com a tal al freeRADIUS, després premem | + | |
- | [[Image: | + | |
- | Ara premem el botó que diu | + | |
- | [[Image: | + | |
- | I Finalment afegim el servei | + | |
chkconfig --add freeradius | chkconfig --add freeradius | ||
- | Es poden consultar en qualsevol moment els logs d'autenticació del freeRADIUS per veure qui s'ha loguejat o quins intents hi ha hagut. Es fa a l'apartat | + | |
- | [[Image: | + | Es poden consultar en qualsevol moment els logs d'autenticació del freeRADIUS per veure qui s'ha loguejat o quins intents hi ha hagut. Es fa a l'apartat ''Llistar els clients acceptats'' i només cal prémer el botó ''Refresca''. [[Image:Servidor de Comunicacions webmin freeradius 7.png|frame|center|Visualització dels logs del freeRADIUS.]] L'''Access point'' s'ha de configurar perquè validi els usuaris contra el freeRADIUS, això es fa anant a la configuració del AP i habilitant l'autenticació per "''Enterprise RADIUS''", cal posar-li els següents paràmetres: |
- | L' | + | |
- | *Servidor RADIUS: 192.168.0.1 (adreça de la interfície | + | *Servidor RADIUS: 192.168.0.1 (adreça de la interfície '''eth1''' del Servidor de Comunicacions). |
*Contrasenya: mailadiguis (És la contrasenya que hem configurat al mòdul de webmin del freeRADIUS, a l'apartat de l'AP.). | *Contrasenya: mailadiguis (És la contrasenya que hem configurat al mòdul de webmin del freeRADIUS, a l'apartat de l'AP.). | ||
+ | |||
|} | |} | ||
- | == Preguntes freqüents == | + | == Preguntes freqüents == |
+ | |||
{| | {| | ||
|- | |- | ||
- | | style="text-align: justify;" | | + | | style="text-align: justify;" | |
- | Preguntes que ja s'han fet abans.<br>(En construcció.) | + | Preguntes que ja s'han fet abans.<br>(En construcció.) |
+ | |||
|} | |} | ||
+ | |} | ||
- | + | [[Category:Servidors]] | |
- | + |
Revisió actual
Contingut |
|
Instal·lació
Aquest apartat us guiarà en el procés d'instal·lació del perfil de Servidor de Comunicacions de la Linkat4. |
|
Instal·lació del sistema base
Per instal·lar una Linkat4 adequada per aquest perfil cal obtenir la versió d'instal·lació, que inclou els perfils de servidors de Linkat4. La podreu trobar aquí, baixeu la ultima versió del DVD d'instal·lació i graveu-lo en un medi que es pugui utilitzar per engegar el sistema (típicament un DVD). |
Instal·lació del perfil de Servidor de Comunicacions
Un cop instal·lat el sistema base i després de reiniciar, s'engegarà una pantalla (Yast2-install) que farà unes configuracions, a continuació en apareixerà el Firefox a pantalla completa mostrant-nos el selector de perfils: Quan veieu aquesta pantalla, seleccioneu el perfil de Servidor de comunicacions. A continuació obriu el one-click-install amb el Yast Meta Package Handler:Tot seguit accepteu les preguntes tal i com mostren les imatges: En aquest punt es començarà a instal·lar el perfil. Quan acabi ja podeu finalitzar: Un cop finalitzat el procés d'instal·lació tornareu al selector de perfils, tanqueu el Firefox ja sigui tancant la finestra o amb l'enllaç que es veu a la següent imatge: |
Un cop fet tot això, el perfil de Servidor de Comunicacions estarà instal·lat, el sistema es reiniciarà i ja podreu començar a configurar-lo!
Configuració
Aquest apartat us guiarà en el procés de configuració de les diferents parts que composen el Servidor de Comunicacions, també s'explica com cal configurar i/o modificar els elements externs al servidor, per exemple els clients. Explicarem primer els aspectes bàsics de la configuració de xarxa, com cal fer la configuració bàsica del servidor i dels clients. A continuació explicarem detalladament com configurar i utilitzar cada un dels components que porta el Servidor de Comunicacions. La interfície principal de configuració és el webmin, que per accedir-hi cal posar la IP del Servidor de Comunicacions i el port 10000, l'usuari que cal utilitzar és root, a continuació us mostrem un exemple: |
Configuració de la xarxa
Aquest apartat explica les configuracions de xarxa a nivell IP que han de tenir els diferents elements de la infraestructura on s'implanta el servidor de comunicacions. També s'explica com configurar-ho i es donen recomanacions per al bon ús del servidor. |
Recomanacions
Abans de configurar les interfícies de xarxa del Servidor de Comunicacions es recomana desactivar el NetworkManager i configurar les interfícies implicades sense IP. Per fer-ho es pot executar la següent comanda (com a root), no és la única forma, també es pot fer amb el sysconfig o, gràficament, amb el YaST2: yast lan |
Visió general de les xarxes i les interfícies
Per configurar correctament el Servidor de Comunicacions cal tenir present la topologia general de xarxa de tota la infraestructura implicada. A continuació exposarem un exemple molt simplificat, suposem que tenim els següents elements a la infraestructura: Veiem que tenim les següents màquines:
Veiem que existeixen les següents xarxes:
Amb aquest mapa general podem plantejar-nos quines adreces IP volem posar a cada màquina. Generalment les adreces IP de les màquines ja estaran configurades així que el que caldrà fer és adaptar la configuració existent al Servidor de Comunicacions.
|
Configuració del Lustitia
Per configurar les interfícies del Servidor de Comunicacions cal utilitzar el mòdul de webmin del Lustitia, també és possible (però no recomanable) fer-ho editant el fitxer de configuració del Lustitia: /usr/share/lustitia/lustitia.conf. Seguirem l'exemple anterior i utilitzarem les adreces IP que s'hi mostren. Primer accedim al mòdul de configuració del Lustitia: Un cop dins de la configuració, accedim a l'apartat que diu Router 0: Aquí hi hem de configurar diferents coses:
Un cop canviades les configuracions pertinents premem salvar. Ara anem a l'apartat de configuració de les interfícies de xarxa: Posem la configuració desitjada i premem salvar: Ara ja podem aplicar la configuració! A partir d'aquest moment el Lustitia estarà funcionant, les màquines de la Xarxa B que estiguin correctament configurades haurien de poder sortir a Internet. |
Configuració d'un client
Per configurar una màquina client segons l'exemple anterior cal fer que tingui la següent configuració de xarxa:
|
Configuració del servidor DNS
Per habilitar el DNS caching cal executar les següents comandes, des de una consola amb l'usuari root: rcnamed start Per fer que el servidor de DNS s'engegui sempre a l'inici executeu: insserv named Per configurar servidors DNS (el 8.8.8.8 i el 192.168.2.3 per exemple) com a forwarders del nostre servidor DNS cal seguir els següents passos:
NETCONFIG_DNS_FORWARDER="bind" NETCONFIG_DNS_STATIC_SERVERS="8.8.8.8 192.168.2.3"
forward first; include "/etc/named.d/forwarders.conf";
netconfig update rcnamed reload echo nameserver 127.0.0.1 > /etc/resolv.conf |
Configuració del client LDAP
Per administrar un servidor d'LDAP cal que aneu al webmin i seguiu els següents passos: Anar a l'apartat Client LDAP: Si hi entreu per primer cop haureu de configurar el mòdul, trobareu la següent pantalla. Cliqueu a configuració del mòdul. A continuació configureu el mòdul tal com es veu a la imatge, cal emplenar el camp Fitxer de configuració del client LDAP amb /etc/openldap/ldap.conf i el camp Fitxer arrel de contrasenyes del client LDAP amb /etc/openldap/ldap_passwd. Anar a l'apartat de configuració del servidor LDAP. Configurar el client amb les dades del servidor LDAP remot. Podeu validar que tot és correcte fent una prova de connexió. També podeu definir els camps següents dins de l'apartat Base de Recerca de LDAP. Configureu el camp Base de recerca global amb dc=intracentre (per exemple) i el camp Base dels usuaris Unix amb ou=people,dc=intracentre. Finalment cliqueu al botó Desa que es troba a baix de tot del formulari. |
Configuració del servidor LDAP
Per configurar el servidor LDAP a dins del Servidor de Comunicacions cal seguir els següents passos. Tingueu en compte que són un exemple per crear un LDAP bàsic, vosaltres haureu de crear l'estructura que necessiteu. Accedim al mòdul de configuració del servidor LDAP del webmin. Si en aparegués la següent pantalla cal prèmer l'enllaç mòdul de configuració. Cal corregir les rutes on diu /etc/ldap/... per /etc/openldap/... i prémer Desa. Accedim a l'apartat de configuració del servidor LDAP. Configurem els paràmetres de la forma que necessitem (aquests són d'exemple) i premem el botó Desa. Iniciem el servidor LDAP prement el botó Inicia el servidor. A continuació cal crear el DN arrel quan ho pregunti i tornar a l'índex. Per crear l'estructura de l'LDAP anem a Exploració de la Base de Bades. Anem a Objectes fills de dc=intracentre. Configurem l'usuari administrador de l'LDAP, que en aquest cas es diu Administrator, premem Crea. Afegim el grup people. El configurem i premem Crea. Afegim l'usuari tux al grup people. El configurem i premem Crea. Ara podem canviar la contrasenya de l'usuari tux amb la següent comanda (en un terminal, com a usuari root): ldappasswd -D cn=Administrator,dc=intracentre -x -w noladiguis -s nova_contrasenya_del_tux uid=tux,ou=people,dc=intracentre I finalment afegim el servei a l'inici del sistema amb la següent comanda (en un terminal, com a usuari root): chkconfig --add ldap |
Configuració del proxy cache Squid
El proxy cache Squid us permet controlar el tràfic HTTP i HTTPS, us permet denegar llocs, fer llistes blanques, fer llistes negres, establir ACLs, implementa una cache per tal d'accelerar la navegació i reduir la càrrega de la xarxa i permet modular l'ample de banda de les connexions que controla. A continuació es mostren exemples bàsics de configuració de cadascuna d'aquestes possibilitats. Per configurar-lo utilitzarem el seu mòdul de webmin, és aquest: |
ACLs
Per configurar una ACL (Access Control List), cal seguir els següents passos. En aquest exemple farem una ACL que engloba a totes les connexions (0.0.0.0). Anem a la configuració de Control d'Accés. Seleccionem l'ACL all. La configurem amb la IP 0.0.0.0 per englobar tots els clients. |
Delay pools
Per configurar un Delay Pool, cal seguir els següents passos. En aquest exemple crearem un Delay Pool per limitar l'ample de banda del tràfic HTTP i HTTPS de tots els clients de l'Squid a 8 KB/s. Anem a la configuració dels Delay Pools. Creem un nou Delay Pool. Configurem el Delay Pool amb els valors que ens interessen i premem Crea. Hi entrem un altre cop. Afegim un ACL per aquest Delay Pool. Seleccionem l'ACL all per el nostre Delay Pool i premem Desa. Finalment apliquem la configuració. A partir d'aquest moment els clients de l'Squid no podran navegar a més de 8 KB/s. |
Squidguard
Squidguard és un redirector d'URLs per Squid, ens permet implementar llistes blanques i negres per a les connexions que passen per l'Squid i, en general, controlar l'accés a llocs web. |
Llistes negres
Les llistes negres són llistes que contenen noms de domini o URLs que volem controlar, hom pot crear les seves própies llistes i també n'hi han de fetes a Internet. En aquest exemple utilitzarem una llista negra qualsevol i configurarem l'Squidguard perque la utilitzi. Accedim al mòdul de configuració de l'Squidguard. És possible que ens surti el segent missatge, introduïm l'usuari squid i premem Desa. També és possible que ens avisi que l'Squid no esta configurat per utilitzar l'Squidguard, el configurem prement l'enllaç. Ara ja podem accedir a l'apartat de llistes negres. Com que no tindrem cap llista, premem Download Blacklists. Nota: Descarregarem les llistes negres des de la URL següent: http://squidguard.mesd.k12.or.us/blacklists.tgzPosem la llista negre que ens interessa i premem Download!. Es poden trobar més llistes negres a Internet. Tornem al menú de llistes negres. Entrem a la que volguem activar i premem Enables this blacklist per poder-la utilitzar. Els enllaços Add Domain i Add URL ens permeten editar les llistes. Ara que ja tenim una llista negra que podem utilitzar, configurarem l'Squidguard per utilitzar-la. Anem a la configuració d'ACLs. Seleccionem el grup a qui afectarà (all), la llista negra que volem i premem Desa. Perque la configuració faci efecte cal aplicar-la a l'Squid. A partir d'aquest moment, cap client de l'Squid podrà visitar pàgines de la llista negra. Quan ho intentin, se'ls redirigirà cap a la URL que hem configurat a l'apartat Redirect URL de l'ACL . |
Llistes blanques
Per configurar llistes blanques primer creem una llista de les pàgines a les que volem que es pugui accedir i després ho deneguem tot menys la llista. Accedim a l'apartat Destination groups. Creem un grup nou. Afegim els dominis i les URLs que volguem. Anem a la configuració d'ACL i la configurem amb Destination groups a ningú (none) i a la nostra llista (white), premem Desa. Perque la configuració faci efecte cal aplicar-la a l'Squid. A partir d'aquest moment els clients de l'Squid només podran visitar les pàgines de la llista blanca, quan intentin accedir a altres pàgines s'els redirigirà cap a la URL que hem configurat a l'apartat Redirect URL de l'ACL. |
Calamaris
Per veure informació variada i estadístiques de l'Squid tenim l'eina Calamaris, és un apartat de l'Squid on podem consultar diferents tipus d'informació. |
HTTPS
Per fer possible que el tràfic HTTPS estigui controlat per l'Squid i quedi subjecte a totes les configuracions de control que hem explicat cal que TOTS els clients configurin el seu navegador per utilitzar l'Squid com a proxy SSL. Si un client no fa això, quedaria lliure de les restriccions que vulguem posar-li i per evitar-ho cal inhabilitar l'accés al port 443 (HTTPS). #iptables -t nat -A PREROUTING -i ${ETH_IN}+ -p tcp --dport 443 -j REDIRECT --to-port 3128 Després cal afegir a sota el següent: iptables -A FORWARD -i ${ETH_IN}+ -p tcp --dport 443 -j DROP Un cop aplicada aquesta configuració cal reiniciar el lustitia fent: /etc/init.d/lustitia_rc restartPer configurar el Firefox d'un client perquè pugui utilitzar connexions HTTPS cal aplicar-hi la següent configuració, editem les propietats de xarxa del Firefox. Configurem l'Squid com a proxy SSL (s'utilitza la IP de l'exemple anterior, poseu-hi la IP de la interfície eth1 del Servidor de Comunicacions). |