Tema 4: Servicios bsicos de servidor a cliente

Administracin de Sistemas e Redes

Toms Fernndez Pena
tf.pena@usc.es

ndice
1. Introduccin 2. Acceso remoto y transferencia de cheros
2.1. 2.2. Servicio de telnet y ftp . . . . . . . . . . . . . . . . . . . . . . SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2 2
3 5

3. Sistemas de archivos de red (NFS)

3.1. 3.2. 3.3. Caractersticas principales . . . . . . . . . . . . . . . . . . . . Instalacin de NFS en Debian . . . . . . . . . . . . . . . . . . Consideraciones de seguridad en NFS . . . . . . . . . . . . . .

8
9 11 13

4. Servicios de directorio
4.1. Servicio de Informacin de Red NIS . . . . . . . . . . . . . . .

14
15

5. Servicio de directorio: LDAP

5.1. 5.2. 5.3. 5.4. 5.5. 5.6. 5.7. OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Modelo de datos de LDAP . . . . . . . . . . . . . . . . . . . . Instalacin de un servidor LDAP Instalacin de un cliente LDAP Migracin desde cheros o NIS . . . . . . . . . . . . . . . . . . Conguracin de LDAP con mltiples servidores . . . . . . . . Herramientas de administracin de LDAP

20
21 22 23 28 29 32 33

6. Comparticin Linux-Windows: Samba

6.1. 6.2. 6.3. 6.4. Funcionamiento de Samba Conguracin de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Instalacin bsica de Samba . . . . . . . . . . . . . . . . . . . . .

34
34 35 36 38

Otros comandos Samba . . . . . . . . . . . . . . . . . . . . . .

1.

Introduccin
Dos tipos de servicios: 1. Servicios de Internet: Servicios de ejecucin remota: telnet, ssh Servicios de transferencia de cheros: ftp, sftp Servicio de DNS Servicio de Proxy Servicio de correo electrnico: SMTP, POP, . . . Servicio Web 2. Servicios de intranet Sistemas de archivos de red (NFS) Servicio de informacin de red (NIS) Servicio de directorio (LDAP) Comparticin Windows/Linux (Samba) Los servicios de DNS, Web, Proxy y e-mail se tratan en la asignatura Administracin Avanzada de Sistemas e Redes

2.

Acceso remoto y transferencia de cheros

Permiten acceder a un sistema remoto y transferir cheros de/hacia este sistema Aplicaciones clsicas 1.

telnet (TELetype NETwork )

permite conectarnos a otros orde-

nadores de la red como terminal remoto

2.

ftp (File Transfer Protocol

permite intercambiar cheros entre

distintos ordenadores de la red Problema: la informacin se transere en claro El uso de

telnet

ftp

se desaconseja

Reemplazarlos por 1.

ssh, scp, sftp

ssh (Secure Shell ) permite conectarnos a otro sistema encriptando

toda la informacin

2.

scp, sftp
tada

permiten la transferencia de cheros de forma encrip-

scp
2.1.

similar a

cp

sftp

similar a

ftp

Servicio de telnet y ftp

Los servicios TCP (telnet, ftp, talk, nger, etc.) son normalmente lanzados por el superdemonio de red

inetd

(o

xinetd) /etc/inetd.conf

El chero de conguracin es el Ejemplo de lnea

telnet

cuando tipo

stream

tcp

nowait

telnetd

/usr/sbin/in.telnetd

stream y ejecuta fork() y exec() del programa /usr/sbin/in.telnetd,

telnetd
indica que el servidor puede continuar procesando cone-

inetd reciba una peticin al puerto telnet abre un socket

bajo la identidad del usuario

nowait

xiones en el socket Versin mejorada de

inetd: xinetd

Para mayor control usar

TCP Wrapper

(programa

tcpd)

Permite conceder/denegar acceso a determinados hosts/redes mediante los chero

/etc/hosts.allow

/etc/hosts.deny

Servicio de telnet
Instalacin de un servidor telnet Descargar el paquete

telnetd /etc/inetd.conf

El paquete actualiza el

Por defecto usa TCP wrappers El servidor escucha el puerto 23

Desistalar el servicio telnet

Desinstalar el paquete

telnetd,

Comentar la lnea correspondiente en

/etc/inetd.conf

Servicio de FTP
Transere cheros a/desde un host remoto Permite usuarios registrados o annimos (

anonymous )

Utiliza dos puertos: 21 (conexin de control) y 20 (conexin de datos) Dos modos de funcionamiento: 1. Activo (modo por defecto en el comando ftp)

El servidor inicia la conexin de datos desde su puerto 20 a un puerto > 1023 del cliente Problema con los rewalls en el cliente

2. Pasivo (modo recomendable, por defecto en navegadores) El cliente inicia las conexiones de control y datos No se utiliza el puerto 20 No tiene problema con los rewall

Instalacin de un servidor ftp bsico

1. Instalar el paquete

ftpd /etc/inetd.conf

El paquete actualiza el

Por defecto usa TCP wrappers Podemos denegar el acceso ftp a ciertos usuarios incluyndolos en el chero

/etc/ftpusers
4

Servicio de FTP avanzado

Servidores avanzados de FTP Proporcionan numerosas facilidades, tanto para ftp normal cono annimo Existen numerosos servidores comerciales u open source: Wu-FTPD, Pure-FTPd, ProFTPD, wzdftpd, vsftpd Estos servidores proporcionan normalmente:

2.2.

Operacin a travs de inetd o

standalone

Servidores FTP virtuales (varios servidores de FTP annimos en el mismo host) Usuarios FTP virtuales (cuentas ftp diferentes de las cuentas del sistema) Facilidades para registro y monitorizacin de accesos Facilidades para controlar y limitar accesos Comunicacin encriptada

SSH
SSH: Shell seguro Permite comunicarnos de forma segura con un servidor remoto

Permite abrir sesiones o transferir cheros (scp o Reemplazo de

sftp)

rlogin, telnet

ftp

Todos los datos viajan encriptados Dos versiones SSH-1 y SSH-2:

Recomendable SSH-2 Versin open-source OpenSSH

Paquetes Debian:

Ciente:

openssh-client openssh-server

Servidor:

Modos de autenticacin mediante SSH

SSH soporta 4 modos de autenticacin: 1. Si el nombre del host remoto desde el cual un usuario se conecta al servidor esta listado en

/etc/shosts.equiv

~/.rhosts, ~/.shosts, /etc/hosts.equiv

el usuario remoto puede entrar sin contrasea

Mtodo absolutamente desaconsejado 2. Igual que el anterior pero la clave pblica del host remoto debe aparecer en

/etc/ssh_known_hosts

~/.ssh/known_hosts

No demasiado seguro (si el host remoto se ve comprometido, el servidor local queda comprometido) 3. La clave pblica del usuario remoto debe estar en

~/.ssh/authorized_keys

El usuario remoto debe tener acceso a su clave privada Mtodo ms seguro, pero un poco incomodo 4. Acceso mediante contrasea (modo por defecto) Menos seguro que el anterior

Opciones para autenticacin

Fichero de conguracin del servidor ssh:

Opcin

M
2 2 2 2 3 3 4

Dfto. Signicado
no no yes no yes yes yes no
Si Si

/etc/ssh/sshd_config yes yes

permite autenticacin por host permite autenticacin por host los cheros

RhostsRSAAuthentication HostbasedAuthentication IgnoreRhosts IgnoreUserKnownHosts RSAAuthentication PubkeyAuthentication PasswordAuthentication UsePAM

(SSH-1) (SSH-2) No usa

~/.shosts
Ignora el chero Autenticacin Autenticacin usuario (SSH-1)

~/.rhosts

~/.ssh/known_hosts
clave clave pblica pblica de de

de de

usuario (SSH-2) Autenticacin mediante contrasea Usa PAM para autenticacin 2,3,4

Otras opciones de conguracin del servidor

Otras opciones en

/etc/ssh/sshd_config

Opcin
Port Protocol ListenAddress PermitRootLogin X11Forwarding Para ms opciones

Dfto. Signicado
22 2,1 Todas Puerto (puede ser interesante cambiarlo a >1024) Protocolo aceptado (ms seguro slo 2) Direccin local por la que escucha Permite acceder al root Permite forwarding X11

yes no

man sshd_config

Opciones para el cliente

Fichero de conguracin del cliente ssh:

/etc/ssh/ssh_config o ~/.ssh/config ssh, scp

o

En este chero se especican opciones para los comandos

sftp
cutar el comando, p.e.

Algunas de estas opciones se pueden especicar en el momento de eje-

$ ssh -p port servidor # Indica otro puerto

Algunas opciones:

Opcin
Hosts Port Protocol Cipher[s] ForwardX11

Dfto. Signicado
22 2,1

Host para los que se aplican las opciones (*

implica todos) Puerto por defecto Protocolo usado por defecto Mecanismos de cifrado usados Reenvo X11 y

no

Para ms opciones

man ssh_config

man ssh

Otros comandos
ssh-keygen generacin y gestin de claves pblicas/privadas para SSH

Permite claves RSA o DSA (DSA slo SSH-2, por defecto RSA-2) Ficheros (para SSH-2)

Clave privada: para SSH-1) Clave pblica: para SSH-1)

~/.ssh/id_rsa o ~/.ssh/id_dsa (~/.ssh/identity

~/.ssh/id_rsa.pub o ~/.ssh/id_dsa.pub (~/.ssh/identity.pub

La clave privada debe tener una

passphrase
-p

de longitud arbitraria

Puede cambiarse con la opcin Agente de autenticacin

ssh-agent

Mantiene en memoria la clave privada Evita tener que escribir la

passphrase

cada vez que usemos ssh

Habitualmente, si entramos en X11 se activa automticamente

use-ssh-agent de /etc/X11/Xsession.options (ver man xsession.options)

Opcin

Para activarlo en consola usar (como usuario)

eval $(ssh-agent)
Dene las variables

SSH_AUTH_SOCK

SSH_AGENT_PID

ssh-add

Aade las claves privadas al agente

Uso:

ssh-add [opciones ] [-t life ] [fichero ]

Por defecto aade los cheros

~/.ssh/identity,

~/.ssh/id_rsa, ~/.ssh/id_dsa

pidiendo las correspondientes

passphrases

Pueden aadirse mltiples claves En una conexin se prueban las diferentes claves hasta que coincide

Algunas opciones:

-l Muestra las identidades aadidas -t life Especica un tiempo de vida

3.

de la identidad

Sistemas de archivos de red (NFS)

NFS (

Network File System ) permite compartir sistemas de cheros en la red

Introducido por Sun MicroSystems en 1985, y soportado por todos los Unixes

Versiones principales: NFSv2 y NFSv3

NFSv4 ms reciente (RFC 3530, incluido en kernel 2.6, ltima revisin 4.1)

NFSv2 y 3: protocolo sin estado: no hay prdida de informacin si el servidor cae

NFSv4 incorpora estado: mecanismo complejo de recuperacin de cadas

Comunicacin mediante TCP o UDP

normalmente UDP (NFSv4 usa TCP)

Dos tipos de servidores en Linux:

servidor en espacio de usuario: ms lento y con problemas servidor en modo kernel: ms rpido, menos caractersticas (versin por defecto)

Para ms informacin: captulo 16 (

The Network File System ) del libro Linux System Admi-

nistration Handbook (2a ed.), Evi Nemeth et.al. Linux NFS-HOWTO nfs.sourceforge.net

3.1.

Caractersticas principales
Ejemplo de funcionamiento

Procesos implicados
NFS se basa en RPC ( el servicio activo

Remote Procedure Call )

(tambin llamado

portmap

rpcbind ) debe estar disponible y

convierte nmeros de programas RPC en nmeros de puertos utiliza el puerto 111 necesario para aplicaciones que usen RPC el comando

rpcinfo

nos muestra informacin RPC

en Debian, paquete

portmap

Otros demonios necesarios:

rpc.nfsd:

implementa la parte de usuario del servidor NFS (atender

y resolver las peticiones de acceso del cliente a archivos situados en el directorio remoto)

rpc.mountd:

proceso que recibe la peticin de montaje desde un clien-

te NFS y chequea para mirar si coincide con un sistema de cheros actualmente exportado, y si el cliente tiene permisos sucientes para montar dicho directorio

rpc.rquotad: rpc.statd:

proporciona informacin de cuotas a usuarios remotos

implementa el protocolo NSM (

Network Status Monitor );

proporciona un servicio de noticacin de reinicio, cuando NFS cae; lo usa el servicio de bloqueo de cheros

lockd

10

rpc.lockd: servicio de bloqueo de cheros (NFS lock manager, NLM);

no necesario en kernels modernos (>= 2.4) en los que el boqueo es realizado por el kernel NFSv4 no usa

portmap,

ni los demonios

rpc.mountd

rpc.statd

Usa autenticacin basada en Kerberos mediante los siguientes servicios:

rpcsec_gss

(cliente

rpc.gssd,

servidor

rpc.svcgssd):

autenti-

cacin de la conexin cliente-servidor

rpc.idmapd: mapeo entre UIDs (o GIDs) y nombres de usuario (o

nombres de grupos)

3.2.

Instalacin de NFS en Debian

Veremos como instalar un servidor y con cliente NFS en Debian

Servidor NFS
1. Instalar el paquete

nfs-kernel-server

nfs-common
y para

nfs-kernel-server proporciona rpc.nfsd, rpc.mountd, NFSv4 rpc.svcgssd nfs-common proporciona rpc.lockd, rpc.statd, rpc.gssd y rpc.idmapd
2. Congurar los directorios a exportar: chero Ejemplo de chero

y para NFSv4

/etc/exports

/etc/exports

/projects /home /pub

exporta

(ro) proj*.usc.es(rw,no_subtree_check) 193.144.84.0/24(rw,no_subtree_check,root_squash,sync) (ro,all_squash)

de slo lectura para todo el mundo y lectu-

/projects

ra/escritura para los sistemas

proj*.usc.es

Algunas opciones de la exportacin:

rw/ro

exporta el directorio en modo lectura/escritura o slo

lectura

root_squash
usuario

annimo

mapea los requerimientos del UID/GID 0 al (por defecto usuario

nobody,

con UID/GID

65534); es la opcin por defecto

no_root_squash

no mapea root al usuario annimo

11

 all_squash mapea todos los usuarios al usuario annimo squash_uids/squash_gids especica una lista de UIDs
GIDs que se deberan trasladar al usuario annimo

squash_uids=0-15,20,25-50 anonuid/anongid ja el UID/GID

defecto 65534)

del usuario

annimo

(por

subtree_check/no_subtree_check

si se exporta un subdi-

rectorio (no un lesystem completo) el servidor comprueba que el chero solicitado est en el rbol de directorios exportado

sync modo sncrono: requiere que todas las escrituras se completen antes de continuar; es opcin por defecto

async modo asncrono: no requiere que todas las escrituras se

completen; ms rpido, pero puede provocar prdida de datos en una cada

secure

los requerimientos deben provenir de un puerto por

debajo de 1024

insecure
puerto

los requerimientos pueden provenir de cualquier

Para ms opciones

man exports

Cada vez que se modica este chero se debe ejecutar el comando

exportfs

ver

para actualizar el servidor

# exportfs -ra man exportfs

para opciones del comando

3. Iniciar el demonio:

# service nfs-kernel-server start

4. Comprobar los directorios exportados con

showmount

# showmount --exports localhost showmount

muestra informacin de un servidor NFS: directorios que exporta, directorios montados por algn cliente y clientes que montan los directorios 5. Podemos ver las estadsticas del servidor NFS con

nfsstat

12

Cliente NFS
El cliente NFS en Linux est integrado en el nivel del Sistema de Ficheros Virtual (VFS) del kernel no necesita un demonio particular de gestin (en otros UNIX, demonio

biod )

Instalacin: 1. Instalar (si no est ya instalado) el paquete 2. Montar los directorios remotos con en

nfs-common

fstab

mount -t nfs o aadir una entrada

(ver Tema 3: Montado de los sistemas de cheros)

Ejemplo de uso con

mount

(IP servidor NFS 193.144.84.1):

# mount -t nfs 193.144.84.1:/home /mnt/home

Ejemplo de entrada en

fstab /mnt/home nfs rw 0 0

193.144.84.1:/home

Automount se usa frecuentemente con NFS (ver la parte de Autofs en Tema 3: Montado de los sistemas de cheros: Autofs) Opciones particulares de montado con NFS:

rsize=n /wsize=n

especican el tamao del datagrama utilizado por

los clientes NFS cuando realizan peticiones de lectura/escritura (pueden ajustarse para optimizar)

hard

el programa accediendo al sistema de cheros remoto se colgar

cuando el servidor falle; cuando el servidor est disponible, el programa continuar como si nada (opcin ms recomendable)

soft cuando una peticin no tiene respuesta del servidor en un tiempo jado por timeo=t el cliente devuelve un cdigo de error al proceso
que realiz la peticin (puede dar problemas) Para ver ms opciones, ver

nfs(5)

3.3.

Consideraciones de seguridad en NFS

NFS no fue diseado pensando en la seguridad: Los datos se transmiten en claro

13

Usa el UID/GID del usuario en el cliente para gestionar los permisos en el servidor:

El usuario con UID usuarios distintos)

en el cliente obtiene permisos de acceso a

los recursos del usuario con UID

en el servidor (aunque sean

Un usuario con acceso a root en un cliente podra acceder a los cheros de cualquier usuario en el servidor (no a los de root, si se usa la opcin

root_squash)

Precauciones bsicas: 1. Usar NFS slo en Intranets seguras, donde los usuarios no tengan acceso de administrador en sus sistemas 2. Evitar el acceso a NFS desde fuera de la Intranet Bloquear los puertos TCP/UDP 111 ( 3. Usar NFSv4 con

portmap ) y 2049 (nfs )

RPCSEC_GSS , que incluye autenticacin

4. Usar versiones seguras de NFS (Secure NFS) u otros sistemas de cheros (p.e. Self-certifying File System, SFS) Ver NFS howto y http://www.cert.org/tech_tips/unix_conguration_guidelines.html#A13

4.

Servicios de directorio
Necesidad de mantener una conguracin nica a travs de mltiples sistemas Comparticin de los cheros de conguracin Ficheros a compartir:

/etc/passwd, /etc/shadow, /etc/group,

Mecanismos de comparticin:

etc.

Copia de cheros de un servidor central al resto de los equipos mediante

rdist

rsync

Utilizacin de un servidor de dominio, que centralice esa informacin

NIS: Network Information Service

14

LDAP: Lightweight Directory Access Protocol

Concepto de dominio Dominio conjunto de equipos

interconectados que comparten informacin

administrativa (usuarios, grupos, contraseas, etc.) centralizada Necesidad de uno (o varios) servidores que almacenen fsicamente dicha informacin y que la comunique al resto cuando sea necesario Normalmente se usa un esquema cliente/servidor

p.e. un usuario se conecta en un sistema cliente y este valida las credenciales del usuario en el servidor

En Windows 2000, la implementacin del concepto de dominio se realiza mediante el denominado Directorio Activo (

Active directory )

Basado en LDAP y DNS

En UNIX, el servicio clsico de gestin de dominios es NIS

NIS se considera bastante obsoleto

Existen implementaciones libre del protocolo LDAP para Unix (openLDAP)

ms potente y escalable que NIS para la implementacin de dominios

4.1.

Servicio de Informacin de Red NIS

Desarrollado por Sun Microsystem en los aos 80 Nombre original

Yellow Pages

(modicado por razones legales)

Muy popular como sistema de administracin de dominios en UNIX A principios de los aos 90, versin NIS+ para Solaris 2.x

muy diferente de NIS incorpora soporte para encriptacin y autenticacin de datos complejo y poco soportado

Para ms informacin:

The Linux NIS(YP)/NYS/NIS+ HOWTO Debian NIS HOWTO Introduccin a NIS y NFS

15

Funcionamiento bsico de NIS

Base de datos distribuida Un servidor (

temas (/etc/passwd,

master ) mantiene los cheros de conguracin de los sis/etc/group,

etc.)

cada archivo de conguracin se convierte en una o ms tablas (

mapas

NIS) de una base de datos

esos mapas se guardan en un formato binario llamado DBM (

taBase Management )
las DBM

Da-

el servidor NIS maestro debera tener ambas, las tablas ASCII y

en una red debe haber al menos una mquina actuando como un servidor NIS maestro

Los clientes hablan directamente con el servidor NIS para leer la informacin almacenada en sus bases de datos DBM Pueden existir servidores NIS esclavos:

tienen copias de las bases de datos NIS reciben estas copias del servidor NIS maestro cada vez que se realizan cambios a las bases de datos maestras

Un servidor maestro y sus servidores esclavos y clientes constituyen un dominio NIS

una red puede tener mltiples servidores NIS, cada uno sirviendo a un dominio NIS diferente

Esquema de un dominio NIS

16

Comandos bsicos de NIS

NIS incluye un conjunto amplio de comandos y demonios, algunos de los cuales son:

ypserv ypbind

demonio de servidor demonio de cliente establece el nombre del dominio

domainname ypinit ypxfr

mapas

congura un servidor como maestro o esclavo

descarga un mapa desde servidor maestro (en los esclavos) ejecutado en el maestro, hace que los esclavos actualicen sus

yppush

ypwhich ypcat

muestra el sombre del servidor NIS

muestra las entradas de un mapa cambia la contrasea en la base de datos de NIS

yppasswd ypchfn ypchsh

cambia el campo GECOS en la base de datos de NIS cambia el login shell en la base de datos de NIS

17

Instalacin de NIS en Debian

El proceso de puesta en marcha de NIS depende de la distribucin veremos como instalar un servidor maestro y un cliente en Debian

Servidor maestro
1. Instalar el paquete

nis

a)

Indicar un nombre de dominio NIS (que no tiene que corresponder con el dominio de RED) El nombre de dominio puede cambiarse con

domainname

b)

La conguracin puede tardar, ya que intenta iniciarse como cliente NIS y se queda buscando un servidor

2. Cambiar el chero

/etc/default/nis NISSERVER=master
aadir el nmero de la red

debemos poner 3. En el chero

/etc/ypserv.securenets

local, para permitir acceso exclusivo a los sistemas de esa red

255.255.255.0
4. Ejecutar

192.168.0.0
para iniciar el servidor

/usr/sbin/ypserv

5. Editar (si es necesario) el chero

/var/yp/Makefile

permite congurar caractersticas generales as como las tablas a partir de las cuales se crean los mapas NIS haciendo en

make en ese directorio se crean los mapas que se guardan /var/yp/dominio make
para actualizar los mapas NIS

cada vez que se modique alguna tabla (p.e. aadiendo un nuevo usuario), debemos hacer 6. Ejecutar

/usr/lib/yp/ypinit -m para que el sistema se congure co-

mo servidor maestro no aadir ningn servidor NIS ms (Ctrl-D) 7. Podemos comprobar que funciona bien haciendo un de los mapas (p.e.

ypcat passwd)

ypcat

de alguno

8. Por ltimo, el servidor debe congurarse tambin como cliente seguir los pasos de la siguiente seccin

18

Cliente NIS
1. Eliminar de los cheros locales los usuarios, grupos y otra informacin que queramos que sea accesible por NIS (slo en los clientes) 2. Instalar el paquete

nis

e indicar el nombre del dominio NIS para especicar el servidor NIS

3. Si se desea, cambiar concreto

/etc/yp.conf

por defecto, busca el servidor mediante un broadcast 4. Modicar el archivo

group

shadow

/etc/nsswitch.conf files nis files nis files nis

para que busque

passwd,

por NIS:

passwd: group: shadow:

El formato y opciones de ese chero lo vimos en el Tema 5: Ficheros de conguracin de red Alternativamente, se puede dejar el modo nal de los cheros indicar que vamos a usar NIS este mtodo permite incluir/excluir determinados usuarios ver NIS-HOWTO: Setting up a NIS Client using Traditional NIS

compat aadiendo al passwd, shadow y group del cliente un +, para

Fichero /etc/netgroup
NIS introduce el concepto de

netgroups

grupos de usuarios, mquinas y redes que pueden ser referenciadas como un conjunto se denen en el chero NIS maestro Formato de una entrada en

/etc/netgroup, en principio, slo en el servidor netgroup

netgroup_name (host, user, NIS_domain), ... host user

nombre de una mquina en el grupo nombre de login de un usuario de la mquina

host

19

NIS_domain

dominio NIS nombre del dominio NIS

Pueden dejarse entradas en blanco o con un guin: Una entrada en blanco implica cualquier valor, p.e.

(doc19, , )

indica todos los usuarios del host

doc19

Una entrada con un guin (-) implica campo sin valor, p.e.

(-, pepe, )
Ejemplo de un chero

indica el usuario

pepe

y nada ms

/etc/netgroup

sysadmins servers clients research allusers allhosts

Estos

(-,pepe,) (-,heidis,) (-,jnguyen,) (-,mpham,) (numark,-,) (vestax,-,) (denon,-,) (technics,-,) (mtx,-,) (-,boson,) (-,jyom,) (-,weals,) (-,jaffe,) sysadmins research servers clients
pueden usarse en varios cheros del sistema para denir

netgroups

permisos: con NIS en modo daramos

compat, p.e. aadiendo +@sysadminds en /etc/passwd permiso de acceso a los usuarios denidos como sysadmins /etc/exports, para indicar grupos de mquinas a las que allhosts(rw,root_squash,sync) /etc/hosts.allow
y

en el chero

exportar un directorio por NFS

/home
en los cheros Wrappers etc.

/etc/hosts.deny

de los TCP

5.

Servicio de directorio: LDAP

cess Protocol )
X.500 LDAP: Protocolo Ligero de Acceso a Directorios (

Lightweight Directory Ac-

Protocolo de red para consulta y modicacin de datos de directorios

20

X.500: Estndares de la ITU-T para servicios de directorio Dene, entre otros, un protocolo de acceso a directorios llamado DAP (

Directory Access Protocol )

DAP denido sobre la pila completa de niveles OSI: costoso y complejo

LDAP es una alternativa ligera al protocolo DAP

Opera directamente sobre TCP/IP Actualmente, la mayora de servidores de directorio X.500 incorporan LDAP como uno de sus protocolo de acceso

Diferentes implementaciones del protocolo LDAP

Microsoft Server 2003 Active Directory Novell eDirectory Oracle Internet Directory IBM Tivoli Directory Server Apache Directory Server 389 Directory Server Red Hat Directory Server OpenLDAP

Ms informacin sobre LDAP 1. LDAP Linux HOWTO 2. IBM RedBooks: Understanding LDAP - Design and Implementation 3. Recursos, ayudas, . . . : ldapman.org

5.1.

OpenLDAP
Implementacin

open source

del protocolo LDAP

Basado en software desarrollado en la Universidad de Michigan Incluye cuatro componentes principales

slapd - demonio LDAP stand-alone (servidor)

21

slurpd - demonio de replicacin y actualizacin de LDAP libreras que implementan el protocolo LDAP utilidades, herramientas, y clientes bsicos

Ms informacin sobre la conguracin de OpenLDAP en el OpenLDAP Administrator's Guide

5.2.

Modelo de datos de LDAP

Un directorio es una base de dato optimizada para lectura, navegacin y bsqueda la informacin se almacena de manera jerrquica generalmente no se soportan transacciones complejas ni sistemas de recuperacin las actualizaciones son cambios simples proporcionan respuestas rpidas a grandes volmenes de bsquedas el directorio puede estar replicado y/o distribuido entre varios sistemas (p.e. DNS) LDAP organiza el directorio como una estructura jerrquica de entradas (nodos) en forma de rbol Cada entrada posee un conjunto de atributos, que pueden ser de diferentes tipos

cada atributo se identica por su tipo y uno o ms valores

uid (identicador de usuario), cn (common name ), c (country ), dc (domain

los tipos son normalmente palabras nemotcnicas, como

component ), etc.

los diferentes atributos de un nodo estn determinados por la clase a la que pertenece las clases permiten denir entradas con diferente informacin: clases para personas, para equipos, administrativas, etc. las clases se denen mediante cheros de

esquema (schema )
o

Cada nodo debe poseer un nombre nico:

distinguished name )

nombre distinguido

dn

22

el

dn

identica de forma unvoca cada objeto en la base de datos

Ejemplo: rbol de usuarios y grupos en LDAP, basado en nombres de dominios de Internet:

cada nodo puede tener varios atributos, p.e. el nodo los siguientes atributos:

pepe

podra tener

dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: account uid: pepe sn: Pena description: alumno mail: pepe@midominio.com
el formato en el que se muestran los atributos del objeto se denomina LDIF (

LDAP Data Interchange Format )

formato de intercambio de datos para importar y exportar datos a un servidor LDAP

5.3.

Instalacin de un servidor LDAP

Describiremos como montar un servidor LDAP simple que nos permita la gestin de usuarios y grupos

23

el servidor mantendr la lista de usuarios y grupos del dominio en los clientes la autenticacin de usuarios y los permisos se basar en el servidor LDAP

Pasos para la instalacin del servidor en Debian

1. Instalar los paquetes

slapd

(servidor OpenLDAP) y

lidades del paquete OpenLDAP:

ldap-utils ldapsearch, ldapadd)

(uti-

En la conguracin, elegir una contrasea para el administrador del LDAP (no tiene que ser la contrasea de root del sistema) El comando

slapcat

permite ver la estructura creada

comprobar que la estructura creada por defecto es correcta

Podemos hacer bsquedas sencillas con

ldapsearch

# ldapsearch -x -b dc=midominio,dc=com '(cn=admin)'

2. Ficheros de conguracin:

a)

Fichero de opciones del demonio

/etc/default/slapd

Permite, entre otras cosas, especicar las interfaces donde se desea que escuche ldap (por defecto, todas las interfaces usando TCP puerto 389, La variable

URI ldap://389) SLAPD_SERVICES indica los

mecanismos de escu-

cha de slapd

Puede aceptar conexiones estndar (ldap://), conexiones seguras con SASL (

Layer ),

usando

sockets UNIX

ldaps:/// (ldapi:///)

Simple Authentication and Security

o peticiones realizadas desde

Indicar que acepte conexiones estndar en la red del cliente (ldap://172.23.20.1:389/), y reiniciar el servicio (service

slapd restart)

b)

Fichero de conguracin del servidor

/etc/ldap/sldap.conf slapd

Fichero de conguracin del demonio

En principio, no es necesario cambiarlo Para ms info, ver

man slapd.conf

c)

Fichero

/etc/ldap/ldap.conf

Fichero de conguracin global para los clientes LDAP

24

Permite especicar la base por defecto, el servidor LDAP, etc. (cambiarlo para poner nuestra conguracin, comprobar que tiene permisos 644) Para ms info, ver

man ldap.conf People

3. Crear la estructura de la base de datos: crearemos los nodos de y

Group

del rbol LDAP

a)

Crear el siguiente chero

estructura.ldif

en formato LDIF:

dn: ou=People,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: People dn: ou=Group,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: Group

b)

Aadir los nodos a la base de datos:

# ldapadd -x -D 'cn=admin,dc=midominio,dc=com' -W -f estructura.ldif -x -D -W -f

autenticacin simple sin SASL nombre distinguido con el que nos conectamos a LDAP

(ponemos el del administrador) pide la contrasea de forma interaciva chero a cargar

4. Aadir un usuario y un grupo a la base de datos

a)

Crear un chero como este, que tiene la informacin para un usuario y un grupo:

dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount uid: pepe cn: Jose Pena uidNumber: 2000 gidNumber: 2000
25

homeDirectory: /home/pepe loginShell: /bin/bash gecos: Jose Pena, Despacho 22,, dn: cn=pepe,ou=Group,dc=midominio,dc=com objectClass: top objectClass: posixGroup cn: pepe gidNumber: 2000
dene un usuario

pepe

y un grupo

milar a la aparece en el chero

pepe con /etc/passwd

informacin si-

puede aadirse ms informacin, como la que aparece en el chero etc.

/etc/shadow: campos shadowMax, shadowExpire, shadowWarning,

b)

Aadir el chero con:

# ldapadd -x -D 'cn=admin,dc=midominio,dc=com' -W -f user-group.ldif

c) d)

Probarlo haciendo bsquedas, tipo:

# ldapsearch -x uid=pepe
Aadir una contrasea al usuario: puede hacerse directamente metiendo un campo ferible hacerlo mediante el comando

userPassword en el chero anterior, pero es preldappasswd

# ldappasswd -x 'cn=Jose Pena,ou=People,dc=midominio,dc=com' -D 'cn=admin,dc=midominio,dc=com' -W -S

5. Por ltimo, tambin podemos querer instalar el servidor como cliente, por lo que debemos seguir los pasos indicados en la seccin de instalacin de un cliente

Fichero de conguracin slapd.conf

Fichero de conguracin del demonio Tiene dos partes: 1. Directivas globales: distintos tipos de opciones del servidor, entre ellas los esquemas que el directorio debe conocer:

slapd

nis.schema

dene los atributos de objetos para las cuentas de

usuario, grupos, etc.

26

se basa en los esquemas bsicos

core.schema

cosine.schema

inetorgperson.schema
sonal para los usuarios

aade objetos con ms informacin per-

2. Directivas especcas para las distintas bases de datos Incluye el

sujo,

directorio donde guardar la base, y el tipo de

database a usar (por defecto

bdb,

Berkeley Database)

Tambin un conjunto de reglas de acceso de la forma:

access to <what>[by <who><access_control>]+ <what>

es una expresin que especica a qu datos del directorio se aplica la regla. Tres opciones:

a) b)

puede indicarse todo el directorio mediante un asterisco (*) un subconjunto de entradas cuyo nombre distinguido contiene un cierto sujo (por ejemplo,

dn=".*,dc=midominio,dc=com") c ) un atributo concreto de dichos objetos (por ejemplo, dn=".*,ou=People,dc=midom

<who> indica a quin (a qu usuario(s)) se especica la regla; puede

tomar diferentes valores, siendo los ms comunes los siguientes:

self el propietario de la entrada dn="..." el usuario representado por el nombre users cualquier usuario acreditado anonymous cualquier usuarios no acreditado * cualquier usuario none sin acceso auth utilizar la entrada compare comparar search bsqueda read lectura write modicacin

distinguido

<access_control>

indica qu operacin concede la regla:

para validarse

Por ejemplo, la regla por defecto para y el administrador las de todos

userPassword permite que

los usuarios puedan autenticarse y cambiar sus propias contraseas

27

5.4.

Migracin desde cheros o NIS

Si tenemos un sistema congurado mediante cheros (passwd, o NIS, migrar a LDAP puede ser laborioso los scripts del paquete

shadow,

etc.)

MigrationTools

son de gran ayuda

Migracin desde cheros

Pasos para migrar los usuarios denidos en 1. Instalar el paquete 2. Modicar el chero

/etc/passwd

a LDAP

migrationtools /usr/share/migrationtools/migrate_common.ph

para indicar el dominio y la base LDAP

$DEFAULT_MAIL_DOMAIN = "midominio.com" $DEFAULT_BASE = "dc=midominio,dc=com"

3. Descomentad la denicin de las variables

$IGNORE_UID_... y $IGNORE_GID_... /usr/share/migrationtools

para que solo considere los usuarios y grupos del sistema 4. Utilizar los diferentes scripts del directorio

para incorporar la informacin del sistema al directorio

migrate_base.pl
tenemos)

genera entradas correspondientes a las unida-

des organizativas por defecto:

People, Group, Hosts,

etc. (ya lo

Otros scripts generan entradas asociadas a diferentes cheros del sistema

Script
migrate_passwd.pl migrate_group.pl migrate_hosts.pl migrate_fstab.pl ... /etc/hosts /etc/fstab

Migra
/etc/passwd y /etc/shadow /etc/group

Estos scripts generan cheros LDIF que podemos aadir a la base LDAP con

ldapadd

Ejemplo: migracin de los usuarios

crear el chero ldif con los usuarios con el comando

# ./migrate_passwd.pl /etc/passwd ./passwd.ldif

aadir el chero generado a la base LDAP con

28

# ldapadd -x -D 'cn=admin,dc=midominio,dc=com' -W -f ./passwd.ldif

5.5.

Instalacin de un cliente LDAP

Describiremos como como congurar un cliente para que acceda a la informacin almacenada en el directorio de LDAP del servidor Tres pasos: 1. Indicar en el chero

/etc/ldap/ldap.conf

la informacin sobre

el servidor LDAP y el URI 2. Instalar y congurar el 3.

Name Service Switch (chero /etc/nsswitch.conf) Instalar y congurar el mdulo de autenticacin (PAM, Pluggable Authentication Modules )

Los mdulos necesarios para esta conguracin pueden descargarse de la pgina de PADL (www.padl.com) o directamente como paquetes Debian

Descargar los paquetes

te, descargar tambin el

libnss-ldap, libpam-ldap (opcionalmennscd)

En la conguracin indicar como URI (ldap://ip_del_servidor ), el DN de la base del directorio LDAP, versin 3 de LDAP, y el password del administrador LDAP

/etc/libnss-ldap.conf y /etc/pam_ldap.conf (ver man libnss-ldap.conf y man pam_ldap.conf)

Estas conguraciones se guardan en los cheros En la instalacin nos pide la clave del administrador de LDAP:

esta clave se guarda en plano en los cheros y

/etc/libnss-ldap.secret,

y se usa para que el

/etc/pam_ldap.secret root del

sistema pueda modicar directamente las contraseas de los usuarios

si no se quiere tener ese chero con la clave, no indicar ninguna clave cuando nos la pide y en los cheros

/etc/pam_ldap.conf rootbinddn
y facilita esta conguracin

/etc/libnss-ldap.conf

comentar la lnea que empieza por

En algunas distros (RedHat) existe la herramienta

authconfig

que

29

Congurar el Name

Service Switch

El NSS se encarga, entre otras, de realizar la correspondencia entre los nmeros y nombres de usuario permite gestionar los permisos de acceso de usuarios a cheros se congura a travs del chero

/etc/nsswitch.conf

la conguracin de ese chero la vimos en el tema 3 Pasos (despues de haber instalado el paquete 1. Modicar las lneas de

libnss-ldap):

passwd, group y shadow del chero nsswitch.conf

passwd: group: shadow:

files ldap files ldap files ldap

esto indica al NSS que busque la informacin primero en los cheros y, si no la encuentra, en el servidor LDAP 2. Probar que funciona:

a) b)

Crear el directorio Hacer un

/home/pepe

y cambiarle el propietario a

pepe

pepe

su - pepe

para ver que podemos cambiar al usuario

en el cliente

Congurar el mdulo de autenticacin

Aunque el usuario es vlido en el cliente, todava no podemos autenticarnos (entrar en la cuenta) Debemos congurar el servicio PAM

PAM (Pluggable

genrica que cualquier aplicacin puede utilizar para validar usuarios, utilizando por debajo mltiples esquemas de autenticacin alternativos (cheros locales, Kerberos, LDAP, etc.) permite aadir nuevos mecanismos de autenticacin (Kerberos, LDAP,. . . ) sin tener que modicar los servicios de entrada al sistema como

Authentication Module )

biblioteca de autenticacin

login, ftp, ssh,

etc.

PAM utiliza mdulos que proporcionan autenticacin en los servicios de entrada al sistema:

30

Mdulos de autenticacin (auth): comprobacin de contraseas (utilizado por el proceso de son correctas)

login

para averiguar si las

credenciales tecleadas por el usuario (nombre y contrasea)

Mdulos de cuentas (account): controlan que la autenticacin sea permitida (que la cuenta no haya caducado, que el usuario tenga permiso de iniciar sesiones a esa hora del da, etc.)

Mdulos de contrasea (password): permiten cambiar contraseas Mdulos de sesin (session): conguran y administran sesiones de usuarios (tareas adicionales que son necesitadas para permitir acceso, como el montaje de directorios, actualizacin del chero

lastlog,

etc.)

Las libreras de PAM estn en conguracin en

/etc/pam.d/

/lib/security

y los cheros de

Existe un chero de conguracin para cada servicio que usa PAM Tambin existen cheros comunes que son incluidos por los cheros de conguracin: y

common-auth, common-account, common-password common-session pam-auth-update y los cheros en /usr/share/pam-configs

el proceso de instalacin del

Versiones recientes de PAM gestionan estos cheros mediante el comando

Conguracin de PAM para usar LDAP

paquete

libpam-ldap

ya modica de forma adecuada los cheros de con-

guracin de PAM, pero da algunos problemas 1. En el chero y ejecuta

/usr/share/pam-configs/ldap, borra la opcin use_authtok

(con esta opcin, no permite que los usuarios cambien su contrasea)

pam-auth-update

2. Si queremos crear directorios home al vuelo (el home del usuario se crea al entrar por primera vez en su cuenta), crear el chero con el siguiente contenido

/usr/share/pam-configs/my_mk

Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel
31

y ejecutar

pam-auth-update

(Nota: el directorio solo se va a crear

cuando el usuario se conecta en servidor) 3. Probar que funciona:

a) b)

Entrar en la cuenta como un usuario LDAP Cambiar la contrasea del usuario

Paquete nscd

Se trata del

Name Service Cache Daemon

Hace cach para los nombres leidos del servidor LDAP para aumentar la eciencia

5.6.

Conguracin de LDAP con mltiples servidores

Podemos congurar varios servidores LDAP que mantengan imgenes sincronizadas de la informacin del directorio equilibran la carga de las consultas, y mejora la tolerancia a fallos Esquema de maestro nico y mltiples esclavos el

maestro mantiene la copia principal sobre la que se hacen los cambios

si un cliente intenta hacer un cambio en un esclavo, este lo redirige automticamente al maestro

cada vez que se produce un cambio en el directorio del maestro, el servicio log el demonio

slapd escribe dicho cambio, en formato LDIF, en un chero de slurpd

lee dichos cambios e invoca las operaciones de mo-

dicacin correspondientes en todos los esclavos Para congurarlo debemos hacer que el maestro y los esclavos partan de un estado de directorio comn copiar manualmente la base de datos LDAP del maestro a todos los esclavos En el maestro y en los esclavos debemos modicar el chero Maestro:

/etc/ldap/slapd.conf

32

aadir una directiva

replica

por cada esclavo, donde se indique

el nombre del esclavo y una cuenta con permiso de escrtitura en el LDAP del esclavo (bindn)

replica uri=ldap://esclavo.midominio.com:389 binddn="cn=Replicator,dc=midominio,dc=com" bindmethod=simple credentials=CONTRASEA_PLANA

indicar el chero de log donde se guardan los cambios

replogfile
Esclavo:

/var/lib/ldap/replog

aadir una lnea vicio

slurpd

updatedn

indicando la cuenta con la que el ser-

del servidor maestro va a realizar las modicaciones

en la rplica del esclavo

esa cuenta debe tener permisos de escritura en la base de datos del esclavo, y debe coindidir con la indicada en el campo del maestro

binddn

aadir una lnea

updateref

para indicar al servidor esclavo que

cualquier peticin directa de modicacin que venga de un cliente debe ser redireccionada al servidor maestro

updatedn "cn=Replicator,dc=midominio,dc=com" updateref ldap://maestro.midominio.com

Para ms detalles ver: OpenLDAP Administrator's Guide: Replication with slurpd

5.7.

Herramientas de administracin de LDAP

Administrar LDAP desde lnea de comandos resulta muy engorroso Existen numerosas herramientas visuales que facilitan la gestin de LDAP Algunas de ellas son: 1. phpldapadmin - interfaz basada en web para administrar servidores LDAP 2. gosa - herramienta de administracin, basada en PHP, para gestin de cuentas y sistemas en LDAP 3. ldap-account-manager - webfrontend para gestin de cuentas en un directorio LDAP

33

4. gq - cliente LDAP basado en GTK+/GTK2 (bastante simple) 5. cpu - herramientas de gestin para consola: proporciona comandos tipo

useradd/userdel

para usar con LDAP

6.

Comparticin Linux-Windows: Samba

Samba permite a un sistema UNIX conversar con sistemas Windows a travs de la red de forma nativa el sistema Unix aparece en el Entorno de red de Windows los clientes Windows pueden acceder a sus recursos de red e impresoras compartidas el sistema UNIX puede integrarse en un dominio Windows, bien como Controlador Primario del Dominio (PDC) o como miembro del dominio Veremos una conguracin bsica de Samba; para saber ms: 1. The Samba Homepage 2. The Ocial Samba-3 HOWTO and Reference Guide 3. The Unocial Samba HOWTO 4. The Linux Samba-OpenLDAP Howto 5. Using Samba, 2nd Edition, O'Reilly & Associates 6. Integracin de redes con OpenLDAP, Samba, CUPS y PyKota 7. Curso de Integracin de Sistemas Linux/Windows

6.1.

Funcionamiento de Samba
Samba implementa los protocolos NetBIOS y SMB NetBIOS: protocolo de nivel de sesin que permite establecer sesiones entre dos ordenadores SMB (

Server Message Block ): permite a los sistemas Windows compartir cheros e impresoras (llamado Common Internet File System, CIFS

por Microsoft) Samba ofrece los siguientes servicios

34

Servicios de acceso remoto a cheros e impresoras Autenticacin y autorizacin Servicio de resolucin de nombres

Demonios Samba
Samba utiliza dos demonios:

smbd

nmdb

smdb

permite la comparticin de archivos e impresoras sobre una red

SMB, y proporciona autenticacin y autorizacin de acceso para clientes SMB; ofrece los dos modos de comparticin de recursos existentes en Windows

modo basado en usuarios o modo Windows NT o 2000) modo basado en recursos o modo 3.11/95)

user

(propio de los dominios

share

(propio de Windows

nmbd permite que el sistema Unix participe en los mecanismos de resolucin de nombres propios de Windows (WINS), lo que incluye

anuncio en el grupo de trabajo gestin de la lista de ordenadores del grupo de trabajo contestacin a peticiones de resolucin de nombres anuncio de los recursos compartidos

Otras utilidades Samba

Adicionalmente a los dos programas anteriores, Samba ofrece varias utilidades; algunas de las ms relevantes son:

smbclient

interfaz que permite a un usuario de un sistema Unix co-

nectarse a recursos SMB y listar, transferir y enviar cheros

swat (Samba Web Administration Tool ) utilidad para congurar Samba

de forma local o remota utilizando un navegador web

smbfs sistema de cheros SMB para Linux: permite montar un recurso

SMB ofrecido por un servidor SMB (un sistema Windows o un servidor Samba) en un directorio local

winbind permite al sistema UNIX resolver nombres y grupos desde un

servidor Windows

35

6.2.

Instalacin bsica de Samba

Veremos una instalacin bsica de Samba en nuestro sistema Debian: permitir desde un Windows acceder a los directorios de usuarios

Instalacin de los paquetes

El paquete bsico a instalar es

samba

que incluye los demonios de Samba

instala tambin el paquete

smbpasswd

testparm

samba-common, que incluye utilidades como

Otros paquetes de Samba son:

smbclient smbfs

herramientas para el cliente Samba

comandos para montar y desmontar

smbfs

swat Samba Web Administration Tool winbind

Slo instalaremos

samba

samba-common

la instalacin nos pide un nombre de Grupo de Trabajo/Dominio

6.3.

indicar un nombre, que debemos usar en el sistema Windows

Conguracin de Samba
La conguracin de Samba se realiza en el chero

/etc/samba/smb.conf

establece las caractersticas del servidor Samba, as como los recursos que sern compartidos en la red Ejemplo sencillo:

[global] workgroup = MIGRUPO [homes] comment = Home Directories [pub] path = /espacio/pub

36

Estructura del archivo smb.conf

El chero

/etc/samba/smb.conf

se encuentra divido en secciones, encabe-

zados por una palabra entre corchetes En cada seccin guran opciones de conguracin, de la forma

= valor,
la seccin

etiqueta

que determinan las caractersticas del recurso exportado por

Existen tres secciones predenidas: Otras secciones (como para compartir Secciones predenidas:

global, homes

printers

pub en el ejemplo anterior) denen otros recursos

[global]

dene los parmetros de Samba a nivel global del servidor, por

ejemplo, el programa utilizado para que un usuario pueda cambiar su clave (passwd

program)

[homes]

dene automticamente un recurso de red por cada usuario conodel usuario en el ordenador en el que Samba est instalado dene un recurso compartido por cada nombre de impresora

cido por Samba; este recurso, por defecto, est asociado al directorio

home

[printers]

conocida por Samba

Niveles de Seguridad
Samba ofrece dos modos de seguridad, correspondientes a los dos modos de comparticin de recursos ya vistos Modo

share : cada vez que un cliente quiere utilizar un recurso ofrecido

por Samba, debe suministrar una contrasea de acceso asociada a dicho recurso Modo

user :

el cliente establece una sesin con el servidor Samba (me-

diante usuario y contrasea); una vez Samba valida al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba El nivel de seguridad se especica con la opcin a la seccin

[global]

security, la cual pertenece

security = share | user | server | domain | ADS

37

Los niveles seguridad

user, server, domain y ADS corresponden todos ellos al modo de user user: el encargado de validar al usuario es el sistema Unix donde

Nivel

Samba se ejecuta; es necesario que existan los mismos usuarios y con idnticas contraseas en los sistemas Windows y en el servidor Samba Nivel

server: Samba delega la validacin del usuario en otro ordenador, domain: el ordenador en el que se delega la validacin debe ser un

normalmente un sistema Windows 2000 (mtodo no recomendado) Nivel

Controlador de Dominio (DC), o una lista de DCs; el sistema Samba acta como miembro de un dominio Nivel

ADS:

en Samba-3 permite unirse a un dominio basado en Active

Directory como miembro nativo El modo por defecto es

user

6.4.

Otros comandos Samba

La suite Samba incluye otros comandos, como son:

testparm net

permite chequear el chero

smb.conf

para ver si es correcto

herramienta bsica para administrar Samba y servidores SMB re-

motos; funciona de forma similar al comando

net

de DOS

smbpasswd

permite cambiar la contrasea usada en las sesiones SMB;

si se ejecuta como root tambin permite aadir y borrar usuarios del chero de contraseas de Samba

smbstatus smbclient

muestra las conexiones Samba activas permite a un usuario de un sistema Unix conectarse a re-

cursos SMB y listar, transferir y enviar cheros

38