Linux Avanzado - Amazon Web Services
Anuncio
Linux Avanzado Tema 12: TCP/IP, NFS, Samba, FTP, DHCP, DNS, Proxy. Configuración de un servidor NFS Uso de NFS en un cliente Si el servidor está correctamente configurado y el cliente tiene los permisos adecuados, el montaje de un sistema de archivos remoto con NFS solamente requiere el comando mount: mount -t nfs my.nfs.server.com:/path/on/server /path/on/client o una entrada adecuada en /etc/fstab: my.nfs.server.com:/path/on/server /path/on/client nfs rw,soft 0 0 La opción soft le indicará al kernel que envíe un error de E/S (EIO) a los procesos de usuario en caso de dificultades en la red. La opción predeterminada hard provocará que los procesos se cuelguen mientras el servidor NFS permanece inaccesible. Además, los programas auxiliares rpc.lockd, rpc.statd y rpc.quotad se pueden ejecutar en cliente y/o servidor. Configuración de un servidor NFS (parte uno) Un servidor NFS requiere tres programas distintos, así como tres programas opcionales. Cuando un cliente NFS monta un sistema de archivos NFS, se contacta con los siguientes daemons de servidor, la mayoría de los cuales se deben ejecutar de forma independiente (en contraposición a su inicio a través de inetd): • portmap: a veces llamado portmapper o rpc.bind. • rpc.mountd: a veces mounted. • rpc.nfsd: a veces nfsd. Además, existen tres programas auxiliares opcionales: rpc.lockd, rpc.statd y rpc.quotad que, respectivamente, proporcionan un bloqueo global, aceleran la familia de llamadas al sistema lstat (usada por ls -l, etc.) y dan soporte a las cuotas. Configuración de un servidor NFS (parte dos) Todos los servidores relacionados con NFS usan TCPwrappers (tcpd) para el control de acceso y, por lo tanto, pueden requerir entradas en /etc/host.allow. Por lo general, ni nfsd ni portmap requieren otra configuración además de /etc/hosts.allow. El archivo de configuración de mountd es (indirectamente) /etc/exports. Indica qué sistemas de archivos pueden ser montados por qué clientes. Con la implementación Linux de NFS, /etc/exports no es directamente analizado por mountd. En cambio, el comando exportfs -a analiza /etc/exports y escribe el resultado en /var/lib/nfs/xtab, donde mountd lo puede leer. Existen otros indicadores para exportfs que permiten desincronizar estos dos archivos. Es decir, es posible agregar o quitar temporariamente directorios exportados sin modificar los registros semipermanentes en /etc/exports. Los administradores de otros servidores similares a Unix deben tener en cuenta que la sintaxis del archivo /etc/exports de Linux difiere considerablemente de la de SunOS o BSD. Configuración de /etc/hosts.allow y /etc/hosts.deny El archivo de configuración /etc/hosts.allow describe los hosts que tienen permiso para conectarse a un sistema Linux. Esta configuración no es específica de NFS, sino que es necesario que un sistema tenga permiso para poder conectarse y usar un servidor NFS. Por su parte, /etc/hosts.deny es una lista de hosts que tienen prohibido conectarse. De una manera un poco irracional, primero se buscan los hosts permitidos y luego los denegados, y se le concede acceso a todo aquello que no esté asociado. Esto no significa que los mecanismos de inicio de sesión de los servidores no funcionen; sin embargo, un administrador cauteloso podría denegar todo aquello que no esté expresamente permitido (un poco de paranoia viene bien) usando: 1 # /etc/hosts.deny ALL:ALL EXCEPT localhost:DENY Si se configura /etc/hosts.deny de manera de denegar todo (excepto conexiones desde LOCALHOST), solo tendrán permiso aquellas conexiones expresamente permitidas. Por ejemplo: #/etc/hosts.allow# Allow localhost and intra-net domain to use all servers ALL : 127.0.0.1, 192.168. # Let everyone ssh here except 216.73.92.* and .microsoft.com sshd: ALL EXCEPT 216.73.92. .microsoft.com : ALLOW # Let users in the *.example.net domain ftp in ftpd: .example.net Configuración de /etc/exports El siguiente es un archivo /etc/export de muestra: # sample /etc/exports file / master(rw) trusty(rw,no_root_squash) /projects proj*.local.domain(rw) /usr *.local.domain(ro) @trusted(rw) /home/joe pc001(rw,all_squash,anonuid=150,anongid=100) /pub (ro,insecure,all_squash) Por lo general, a root (uid 0) en el cliente se lo considera nobody (uid 65534) en el servidor; esto se denomina aplastamiento de raíz ya que protege los archivos de propiedad de raíz (no de grupo ni editables) para evitar su modificación por parte de los clientes NFS. La etiqueta no_root_squash deshabilita este comportamiento y permite el acceso completo del usuario raíz entrusty a la partición /. Esto puede resultar para la instalación y configuración de software. La partición /usr será de solo lectura para todos los hosts excepto para aquellos que estén en el netgroup "confiable". Cuando /home/joe está montado por pc001, se considera que todos los usuarios remotos (independientemente de uid/gid) tienen uid=150 y gid=100. Esto es útil si el cliente NFS remoto es una estación de trabajo de usuario único o incompatible con diferentes usuarios (p. ej., DOS). Por lo general, Linux (y otros sistemas operativos similares a Unix) reserva el uso de los puertos TCP y UDP 1-1023 (denominados puertos seguros) a los procesos que se ejecutan como raíz. Para garantizar el inicio del usuario raíz como montaje NFS remoto, el servidor NFS generalmente requiere que los clientes remotos usen puertos seguros al montar sistemas de archivos NFS. Sin embargo, esta convención no es respetada por ciertos sistemas operativos (en particular, Windows). En esos casos, la opción Insecure (inseguro) permite al cliente NFS usar cualquier puerto TCP/UDP. Esto suele ser necesario en el caso de clientes Windows. Utilidades de NFS nfsstat muestra una serie temporal de estadísticas relacionadas con NFS (cliente y/o servidor) sobre la máquina local de un modo similar a iostat y vmstat. El comando showmount consulta mountd y muestra cuáles son los clientes que montan sistemas de archivos. Como NFS es un protocolo sin estado y el daemon mountd no se consulta con frecuencia, el resultado de showmount puede ser incorrecto. Desgraciadamente, no existe una manera de forzar la corrección de showmount. Sin embargo, en caso de incorrección, el error de showmount casi siempre consiste en mostrar montajes obsoletos**** y no en omitir montajes activos, lo cual es relativamente inofensivo. En este contexto, "sin estado" significa que los daemons nfsd que proporcionan los datos de archivo no mantienen en la memoria qué archivos están abiertos ni qué clientes tienen montadas qué particiones. Cada una de las solicitudes (readblock, writeblock, etc.) contiene toda la información necesaria para su compleción (id. de partición proporcionado por mountd, número de inodo, número de bloque, datos de lectura, escritura, etc.). El protocolo HTTP es similar en este sentido. Una ventaja de la falta de estado es que si se reinicia el servidor, los clientes solamente notarán un breve período de acceso interrumpido. Configuración de un servidor Samba Configuración de un servidor Samba El servidor Samba smbd proporciona servicios de archivos y de impresión (principalmente para clientes Windows). Si bien es posible iniciarlo desde inetd, generalmente se lo ejecuta como un 2 daemon independiente smbd -D. nmbd es el servidor de nombres de NetBios (o servidor WINS). También se lo puede ejecutar desde inetd, pero, generalmente, se lo ejecuta como un daemon independiente nmbd -D. Samba puede actuar como servidor en un grupo de trabajo Windows y como controlador de dominio principal. El archivo de configuración tanto de smbd como de nmbd es /etc/samba/smb.conf. En la página man smb.conf se describen abundantes parámetros de configuración. El archivo lmhosts se usa para asignar nombres de NetBios a direcciones IP. Su formato es similar (pero no idéntico) al archivo /etc/hosts. Existen excelentes instructivos sobre la configuración de Samba, así como varios libros sobre el tema. Esta sección toca las ideas básicas y contiene indicadores de documentación más completa. Configuración de un recurso compartido de archivos de directorio principal El siguiente fragmento de código smb.conf permite a los usuarios acceder a sus directorios principales (locales) desde clientes Samba remotos: [homes]comment = Home Directories browseable = no Por lo general, el fragmento está incluido en el archivo smb.conf predeterminado. Configuración de un recurso compartido de impresión con CUPS De los numerosos sistemas de impresión Unix, CUPS es el menos anticuado y, probablemente, el más popular en la actualidad. Dependiendo de la distribución, CUPS puede estar habilitado en el smb.conf predeterminado. El siguiente es un ejemplo simple de un recurso compartido de impresión CUPS: [global]load printers = yes printing = cups printcap name = cups [printers] comment = All Printers path = /var/spool/samba browseable = no public = yes guest ok = yes writable = no printable = yes printer admin = root [print$] comment = Printer Drivers path = /etc/samba/drivers browseable = yes guest ok = no read only = yes write list = root CUPS puede proporcionar archivos ppd (descripción de impresora Postscript) y controladores de Windows para clientes que, si se configuran correctamente, permiten a los usuarios remotos aprovechar toda la gama de características de una impresora (color vs. blanco y negro, resolución, selección de bandeja de papel, impresión doble cara vs. una cara, etc.). Los sistemas de impresión Unix tradicionales son, en comparación, muy complicados. Si desea obtener más información, consulte la página man cupsaddsmb. Autenticación Samba (a diferencia de NFS) requiere que cada uno de los usuarios se autentique en el servidor. Como con cualquier servicio de autenticación de red, hay que asegurarse de que las contraseñas no pasen por la red sin cifrar. Para obtener más detalles, consulte la sección relativa al cifrado de contraseñas en la página man smb.conf. Existen varios mecanismos que puede usar Samba para autenticar usuarios remotos (clientes). Por naturaleza, la mayoría de ellos son incompatibles con el hash de contraseña Unix estándar. La excepción notable se da cuando las contraseñas se pasan en línea sin cifrar, lo cual es siempre una mala idea. Si se cifran contraseñas en línea, smbpasswd generalmente se usará para establecer una contraseña Samba inicial para los usuarios. La opción "Unix password sync" permite que smbpasswd cambie las contraseñas Unix cada vez que los usuarios cambien su contraseña Samba. 3 Por otro lado, el módulo pam_smb configurado puede autenticar usuarios Linux usando la base de datos Samba directamente. Y si estas opciones no fueran suficientes, se puede usar LDAP para autenticar usuarios Samba o Linux. Depuración de Samba Al configurar un servidor Samba, el comando testparm (osmbtestparm) puede resultar muy útil. Analizará el archivo smb.conf e informará problemas. El comando nmblookup hace en Samba lo que nslookup hace en DNS; consulta el directorio NetBios. Si desea obtener más detalles, consulte la página man nmblookup. Configuración del cliente Samba El comando smbclient proporciona un acceso similar a FTP a un recurso compartido de archivos Samba. Un acceso transparente a los recursos compartidos de archivos SMB es más complicado; para obtener más información, consulte la página man smbmount o el paquete sharit'. Configuración de los servidores de protocolo de transferencia de archivos Acerca de FTP FTP es un protocolo de red tradicional de uso generalizado. Por lo general, FTP se ejecuta en dos puertos separados, 20 y 21. El puerto 21 actúa como una secuencia de control (para transmitir comandos e información de inicio de sesión), mientras que el puerto 20 actúa como una secuencia de datos por donde se transmite el contenido de los archivos. A FTP no se lo suele considerar un protocolo muy seguro debido a que, en su modo de funcionamiento predeterminado, la información de control—contraseñas de inicio de sesión—se transmiten sin cifrar. En realidad, las secuencias de datos también están cifradas, pero FTP comparte esa característica con NFS y Samba (con canales de datos seguros, SSH/SCP es una mejor opción). Sin embargo, es posible disponer en capas el puerto de control de FTP a través de SSH de manera de proteger la información de control. Los clientes FTP tradicionales proporcionan su propio entorno shell para transmitir comandos de control y configurar conexiones. A veces se usan front-ends GUI para dotar a las transferencias FTP de interfaces fáciles de usar. Sin embargo, en la actualidad, muchas herramientas no dedicadas incorporan FTP (generalmente todos los programas, desde los administradores de archivos hasta los editores de texto, están felices cuando trabajan con archivos proporcionados por un servidor FTP). FTP anónimo Con el uso más extendido de FTP, la seguridad no suele ser un problema. Probablemente los servidores FTP se usen con "FTP anónimo", es decir, datos que están disponibles para todo el mundo y que, por lo tanto, no requieren tanta seguridad. Convencionalmente, se configura un nombre de usuario de anónimo para permitir acceso, y se solicita una contraseña de identificación (por lo general, una dirección de correo electrónico) que no se verifica. A veces se requiere un nombre de usuario y una contraseña, pero esta combinación se proporciona sin ninguna autenticación de usuario profunda (por ejemplo, con gente que se ofrece como voluntaria para un proyecto determinado). La mayoría de los exploradores Web y muchos administradores y herramientas de archivos son compatibles con los servidores FTP de manera transparente. Estas herramientas suelen usar una URL FTP para solicitar un archivo (o para cargar un archivo en un servidor). Por ejemplo, la herramienta de línea de comandos wget recupera archivos de servidores FTP usando el siguiente código: $ wget ftp://example.net/pub/somefile $ wget ftp://user:[email protected]/pub/somefile Por lo general, los administradores de archivos montan un servidor FTP de manera que sea esencialmente idéntico a un sistema de archivos local o a una unidad de NFS o Samba (sin 4 embargo, aquí no se usa el sistema mount y /etc/fstab; a estas seudoparticiones se las suele nombrar con su URL). Elección de servidores FTP Debido a la antigüedad y la omnipresencia de FTP, existe un sorprendente número de implementaciones disponibles e instaladas para varias distribuciones Linux. La configuración del servidor FTP que se decida usar hace necesario consultar la documentación que acompaña al servidor específico. Entre los servidores FTP Linux más populares cabe incluir los siguientes: • wu-ftpd. • vsftpd. • ProFTPd. • BSD ftpd. • TUX FTP. Además, existen muchos servidores de uso menos generalizado. En casi todos los casos, la configuración del servidor se aloja en un archivo como /etc/FOOftpd.conf (con un valor adecuado de "FOO"). Personalmente, me gusta vsftpd, que es rápido y evita problemas de seguridad conocidos ("vs" significa "muy seguro "). Archivo de configuración FTPd de muestra Debido a la abundancia de servidores, las sintaxis de configuración difieren. Sin embargo, algunos conceptos extraídos de /etc/vsftpd.conf ilustran los tipos de opciones que proporcionan los otros servidores. Con vsftpd, cada opción toma la formaoption=value; las marcas hash habituales corresponden a las líneas de comentarios. La mayoría de los otros archivos de configuración FTPd son similares. • anonymous_enable: controla si se permiten los inicios de sesión anónimos. • anon_world_readable_only: si está activado, los usuarios anónimos solo podrán descargar archivos de legibilidad mundial. • chroot_local_user: si está activado, se colocará a los usuarios locales en una cárcel chroot() en su directorio principal después del inicio de sesión. • pasv_enable: el servidor usa el estilo "FTP pasivo" en que los clientes inician los puertos (ayuda con los firewalls en los clientes). • ssl_enable: si está activado, vsftpd será compatible con las conexiones seguras SSL. • tcp_wrappers: si está activado, las conexiones entrantes se alimentarán a través del control de acceso (como /etc/hosts.allow y /etc/hosts.deny). Iniciación de un servidor FTP En el caso más simple, el servidor FTP se puede iniciar de la misma manera que cualquier daemon: % sudo vsftpd En este punto, el servidor detectará las conexiones entrantes de acuerdo con las reglas configuradas en el archivo de configuración correspondiente. También es posible iniciar un servidor FTP desde un "superservidor de red" como inetd o xinetd. En los tutoriales para el examen 202 del LPI se analizarán estos superservidores. Si el daemon se inicia de manera individual, incluso con scripts de inicio adecuados – tanto como para un nivel de ejecución específico como para /etc/rcS.d/–, usted tendrá un control más preciso del comportamiento del servidor FTP. Sistema de nombres de dominio (DNS) Acerca de DNS 5 El sistema de nombres de dominio permite a los usuarios de aplicaciones TCP/IP referirse a los servidores por nombre simbólico en vez de por dirección IP numérica. El software Berkeley Internet Name Domain (BIND) provee un daemon de servidor llamado named que responde pedidos de información sobre la dirección IP asignada a un nombre simbólico (un una búsqueda inversa u otra información). Del lado del cliente del sistema DNS, un resolutor es un conjunto de bibliotecas que pueden utilizar las aplicaciones para comunicarse con los servidores DNS. El paquete BIND viene con varias utilidades para el cliente que ayudan a configurar, consultar y depurar un servidor BIND 9: dig, nslookup, host, y rndc(anteriormente ndc). En esencia, estas utilidades llaman a las mismas bibliotecas que otras aplicaciones de clientes, pero dan información directa sobre las respuestas proporcionadas por los servidores DNS. Acerca de BIND Al momento de esta redacción, la versión actual de BIND es 9.3.1. La primera versión estable de la serie BIND 9 salió en octubre de 2000. Puede encontrar BIND 8, que aún se mantiene por los parches de seguridad (actualmente de la versión 8.4.6), en algunas instalaciones más antiguas, pero como norma, actualice a BIND 9 donde sea posible. Los sistemas muy antiguos podrían tener instalado BIND 4, pero debe actualizarlos lo antes posible ya que BIND 4 ya no se soporta en las versiones actuales. Todas las versiones de BIND se pueden obtener del Consorcio de Sistemas de Internet (ISC; ver Recursos para obtener un enlace). La documentación y otros recursos sobre BIND también están en ese sitio. Debido a que los objetivos LPI requieren específicamente conocimientos de la configuración de BIND 8, y aquí cubrimos BIND 9, la recomendamos que revise la información de BIND 8 en el sitio USC antes de dar el examen LPI 202. Otros recursos Al igual que con la mayoría de las herramientas de Linux, siempre es útil examinar las páginas del manual para ver toda utilidad tratada. Las versiones y los conmutadores pueden cambiar entre la utilidad o la versión del kernel o con las distintas distribuciones de Linux. Para obtener información más detallada, el Proyecto de documentación Linux (ver Recursos para obtener un enlace) tiene una cantidad de instructivos útiles. Se han publicado una variedad de buenos libros sobre redes Linux, en particular TCP/IP Network Administration de O'Reilly es bastante útil (fíjese qué edición es la más actual cuando lea esto; verRecursos para obtener un enlace). Para obtener específicamente información sobre DNS y BIND, DNS and BIND, Fourth Edition de O’Reilly es un buen recurso (ver Recursos para obtener un enlace); en 622 páginas cubre más detalles de los que puede abarcar este tutorial. También hay otros libros sobre BIND de diversos editores. Cómo comprender las consultas del sistema de nombres de dominio La topología de DNS DNS es un sistema jerárquico de zonas de dominio. Cada zona brinda un conjunto limitado de respuestas sobre mapeos de nombres de dominio, aquellos dentro de su propio subdominio. Cierto servidor consulta un servidor más general cuando no conoce un mapeo y, de ser necesario, sigue las sugerencias de redireccionamiento hasta que encuentra la respuesta correcta (o determina que no se puede encontrar una respuesta, lo que produce un error). Cuando un servidor local named encuentra la respuesta a una consulta DNS, almacena en caché esa respuesta durante una cantidad de tiempo configurable (generalmente en el orden de horas en vez de segundos o días). Al almacenar en caché las consultas DNS, la demanda general de red se reduce considerablemente, sobre todo en los servidores de dominio de nivel superior (TLD). El artículo sobre DNS que figura en Wikipedia (ver la sección Recursos para obtener un enlace) es un punto de partida excelente para comprender la arquitectura general. Este tutorial toma prestado un diagrama de dominio público de ese sitio (ver la Figura 1 a continuación). Un diagrama de una consulta DNS hipotética facilita comprender el proceso de búsqueda general. Suponga que su máquina desea contactar el nombre simbólico de dominio www.wikipedia.org. Para encontrar la dirección IP correspondiente, su máquina consultaría primero el servidor de 6 nombres que ha configurado para la máquina de un cliente. Este servidor de nombres local puede ejecutarse en la misma máquina que la aplicación del cliente; puede ejecutarse en un servidor DNS en su LAN local; o puede proporcionarlo su proveedor de servicios de Internet. En casi todos los casos, es una instancia del named del BIND. Este servidor de nombres local primero verifica su caché, pero suponiendo que no haya información almacenada en caché disponible, realizará los pasos que se muestran en el siguiente diagrama: Figura 1. Ejemplo de recursividad de DNS Comprenda que en este diagrama, el “DNS Recurser” es el servidor DNS real (named), no la aplicación del cliente que le habla. DNS utiliza TCP y UDP en el puerto 53 para atender solicitudes. Casi todas las consultas DNS consisten en una solicitud UDP individual del cliente seguida de una respuesta UDP individual del servidor. Cómo sabe una aplicación dónde encontrar un servidor DNS Configurar el acceso de la aplicación de cliente a su servidor (o servidores) DNS es bastante sencillo. Toda la configuración está dentro del archivo /etc/resolve.conf, cuya tarea principal es especificar direcciones IP para uno o más servidores DNS "locales". Puede configurar /etc/resolve.conf manualmente con servidores DNS conocidos; sin embargo, si usa DHCP para configurar un cliente, el proceso de enlace agregará automáticamente esta información a /etc/resolve.conf (aún puede leerla o incluso modificarla después de que DHCP la configure, pero se restablecerá al reiniciar la máquina). El código de biblioteca modificado por /etc/resolv.conf se llama "solucionador DNS". Si se configura más de un servidor DNS en un archivo /etc/resolv.conf, se consultarán servidores DNS secundarios y terciarios si el servidor primario no da respuesta dentro del tiempo de espera especificado. Se puede configurar un máximo de tres servidores DNS. La entrada básica dentro de un archivo /etc/resolv.conf contiene las entradas nameserver <IPaddr>. Algunas otras entradas le permiten modificar las respuestas recibidas. Por ejemplo, las directivas domain y search le permiten expandir los nombres sin puntos en ellos (como por ejemplo máquinas de la LAN local). La directiva options le permite modificar tiempos de espera por servidor DNS, activar el depurador, decidir cuándo anexar nombres de dominio completos, y modificar otros aspectos del comportamiento del solucionador DNS. Por ejemplo, una de mis máquinas está configurada con: Listado 1. Modificación de opciones para configurar servidores DNS # cat /etc/resolv.conf search gnosis.lan nameserver 0.0.0.0 nameserver 192.168.2.1 nameserver 151.203.0.84 options timeout:3 La primera directiva la permite a esta máquina saber que las máquinas de la LAN local usan el dominio privado gnosis.lan, así que el nombre simple bacchus se puede resolver como bacchus.gnosis.lan. Se puede listar más de un dominio separado por espacio en la directiva search. A continuación, indico varios servidores DNS para probar. El primero es la máquina local misma, que se puede llamar 0.0.0.0 o por su dirección IP oficial, pero no con una dirección de bucle invertido. La siguiente directiva nameserver lista el router de la oficina hogareña que conecta mi 7 LAN con Internet (y provee servicios DHCP y DNS). El servidor de nombres terciario lo proporciona mi proveedor de servicios de Internet. También configuro una opción para utilizar un tiempo de espera de tres segundos en cada servidor de nombres en lugar de los cinco segundos predeterminados. Utilidades de cliente DNS BIND 9 viene con cuatro utilidades de cliente principales. Tres de ellas: dig, nslookup y host -realizan funciones similares, más o menos en orden de detalle descendente. Las tres utilidades son simplemente utilidades de línea de comandos para ejercitar el solucionador DNS. Básicamente hacen lo que muchas aplicaciones de cliente hacen internamente; estas utilidades tan sólo proveen datos de salida sobre los resultados de las búsquedas en STDOUT. La más poderosa de las tres utilidades,dig, también tuene la mayor cantidad de opciones para limitar o configurar su salida. Estas utilidades se usan con mayor frecuencia para buscar una dirección IP de un nombre de dominio simbólico, pero puede realizar búsquedas inversas u otros tipos de registro que no sean registros “A” predeterminados. Por ejemplo, el comandohost -t MX gnosis.cx le muestra servidores de correo asociados a gnosis.cx. Algunos ejemplos podrían ser de ayuda: Listado 2. Consulta de host en google.com $ host google.com google.com has address 72.14.207.99 google.com has address 64.233.187.99 Listado 3. Consulta de host MX en gnosis.cx $ host -t MX gnosis.cx gnosis.cx mail is handled by 10 mail.gnosis.cx. Para la utilidad:nslookup Listado 4. nslookup usando servidor predeterminado (máquina local) $ nslookup gnosis.cx Server: 0.0.0.0 Address: 0.0.0.0#53 Non-authoritative answer: Name: gnosis.cx Address: 64.41.64.172 O una búsqueda inversa usando la utilidad dig y especificando un servidor de nombres no predeterminado: Listado 5. Indagar búsqueda inversa especificando un servidor de nombres no predeterminado $ dig @192.168.2.2 -x 64.233.187.99 ; <<>> DiG 9.2.4 <<>> @192.168.2.2 -x 64.233.187.99 ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 3950 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;99.187.233.64.in-addr.arpa. IN PTR ;; AUTHORITY SECTION: 187.233.64.in-addr.arpa. 2613 IN SOA ns1.google.com. dns-admin.google.com. 2004041601 21600 3600 1038800 86400 ;; Query time: 1 msec ;; SERVER: 192.168.2.2#53(192.168.2.2) ;; WHEN: Thu Nov 10 02:00:27 2005 ;; MSG SIZE rcvd: 104 La utilidad BIND 9 restante para recordar es rndc. La utilidad rndc controla el funcionamiento de un servidor de nombres. Sustituye la utilidad ndc que se brindaba en versiones BIND anteriores. Si se invoca rndc sin opciones de línea de comando o argumentos, imprime un breve resumen de comandos soportados. Ver la manpage para rndc para obtener información completa sobre su uso. 8 Configuración BIND básica y ejecución de un name server Configuraciones BIND Cuando ejecuta el daemon con nombre para brindar un servidor DNS, puede elegir entre tres modos de operación: maestro,esclavo y almacenamiento en caché únicamente. El mismo daemon con nombre busca en sus archivos de configuración, principalmente /etc/bind/named.conf, para determinar su modo de operación. En modo maestro, el servidor con nombre actúa como la fuente autoritativa de toda la información sobre su zona. La información de dominio proporcionada por el servidor se carga de un archivo de disco local que se modifica o actualiza en forma manual. Cada zona de DNS debería tener exactamente un servidor maestro. En modo esclavo, el servidor con nombre trasfiere su información de zona desde el servidor maestro para su zona. Técnicamente, un servidor multi zona puede ser maestro de una zona y esclavo de otra, pero con mayor frecuencia una instalación Lan tiene una única jerarquía de servidores entre los servidores maestro y esclavo o de almacenamiento en caché únicamente. Un servidor esclavo transfiere información de zona completa desde su servidor maestro, para que las respuestas proporcionadas por un servidor esclavo se sigan considerando autoritativas. En el modo almacenamiento en caché únicamente, el servidor con nombre no guarda archivos de zona. Cada consulta depende de otro servidor con nombre para obtener una respuesta inicial, pero para minimizar el uso de ancho de banda, el servidor de almacenamiento en caché únicamente almacena en caché consultas anteriores. Sin embargo, toda consulta nueva se debe responder mediante una consulta enviada por la red. Los servidores de almacenamiento en caché únicamente son más comunes en máquinas locales donde las aplicaciones de cliente a menudo pueden realizar una búsqueda sin tráfico de red. En la configuración de /etc/resolv.conf que ofrecí como ejemplo antes en Listado 1, 0.0.0.0 es un servidor de almacenamiento en caché únicamente, 192.168.2.1 es un servidor esclavo, y 151.203.0.84 es un servidor maestro. No puede saber con seguridad solo basándose en el orden o en las direcciones IP utilizadas, pero el uso de la dirección pseudo IP 0.0.0.0 de la máquina local sugiere que está ejecutando un servidor de almacenamiento en caché únicamente. Cómo configurar named.conf Hay algunas funciones estándar que tienen casi todos los archivos /etc/bind/named.conf. Una directiva inicial optionsconfigura alguna información básica. Después, varias directivas zone brindan información sobre cómo manejar diversas solicitudes de zonza. Los dominios indicados en las directivas zone como direcciones IP representan porciones iniciales de rangos de dirección IP, pero si indican “hacia atrás”. Los nombres simbólicos también pueden definir zonas, permitiendo otros subdominios especificados. Los archivos named.conf (y otros archivos de configuración BIND) siguen convenciones de formato tipo C, en gran parte. Los comentarios de bloque estilo C (/* comment */) y los comentarios de línea estilo C++ (// comment) se permiten, al igual que los comentarios de línea estilo shell (# comment). Las directivas son seguidas por instrucciones divididas por punto y coma entre llaves. Para empezar, aquí hay algunas opciones comunes. Mi /etc/bind/named.conf local comienza con: Listado 6. Mi named.conf local comienza así ncluir "/etc/bind/named.conf.options"; Pero también puede utilizar la directiva options directamente: Listado 7. Configuración de opciones named.conf options { directory "/var/bind"; forwarders { 192.168.2.1; 192.168.3.1}; // forward only; } 9 Esta configuración permite a los archivos especificados sin ruta completa ser ubicados en un directorio relativo; también le dice al servidor con nombre local que busque primero en 192.168.2.1 y 192.168.3.1 resultados no almacenados en caché. La directiva forward only (comentada aquí) indica buscar sólo en esos servidores de nombres en la LAN local en lugar de consultar a los servidores raíz en Internet. Una directiva especial zone está presente en casi todos los archivos named.conf: Listado 8. Zona hint para servidores raíz zone "." { type hint; file "/etc/bind/db.root"; }; El contenido de db.root (a veces llamado named.ca por la "autoridad certificadora") es especial. Señala servidores raíz canónicos, los registradores de dominio mismos. Sus valores rara vez cambian, pero puede obtener la versión oficial más reciente en ftp.rs.internic.net. Este no es un archivo que modifica un administrador común. Más allá de la pista zona raíz, un archivo named.conf debe contener algunas zonas maestro y/o esclavo. Por ejemplo, para el bucle invertido local: Listado 9. Configuración de zona de bucle invertido zone "127.in-addr.arpa" { type master; file "/etc/bind/db.127"; }; Curiosamente, un servidor con nombre podría actuar como maestro para un dominio (y brindar búsqueda inversa): Listado 10. Configuración de zona externa zone "example.com" { type master; file "example.com.hosts"; // file relative to /var/bind }; // Reverse lookup for 64.41.* IP addresses (backward IP address) zone "41.64.in-addr.arpa" { type master; file "41.64.rev"; }; Para una configuración de esclavo, podría utilizar en cambio: Listado 11. Configuración de zona externa (esclavo) zone "example.com" { type slave; file "example.com.hosts"; // file relative to /var/bind masters { 192.168.2.1; }; }; // Reverse lookup for 64.41.* IP addresses (backward IP address) zone "41.64.in-addr.arpa" { type slave; file "41.64.rev"; masters { 192.168.2.1; }; }; Otros archivos de configuración El archivo named.conf hace referencia a una cantidad de otros archivos de configuración con la directiva file. Estos nombres dependen de su configuración específica, pero en general contienen diversos registros de recursos que se definen en RFC 1033 (Guía de operaciones para administradores de dominios; ver Recursos para obtener un enlace). Los registros de recursos estándar son: SOA Inicio de autoridad. Parámetros que afectan a toda una zona. NS Servidor de nombres. El nombre del servidor de un dominio. A Dirección. Nombre de host a dirección IP. 10 PTR Indicador. Dirección IP a nombre de host. MX Intercambio de correo. Dónde entregar correo para un dominio. CNAME Nombre canónico. Alias del nombre de host. TXT Texto. Almacena valores arbitrarios. El formato de un registro es: <name><time-to-live>IN <type> <data>. El nombre y el tiempo de vida son opcionales y predeterminados conforme a los últimos valore sutilizados. La cadena literal INsignifica que siempre se utiliza Internet en la práctica. Los archivos de registro de recursos también pueden contener directivas, que comienzan con un signo de dólar. El más común quizás sea $TTL, que fija un tiempo de vida predeterminado. Por ejemplo, un archivo de registro algo trivial para el localhost 127.* se ve así: Listado 12. Archivo de registro trivial # cat /etc/bind/db.127 ; BIND reverse data file for local loopback interface ; $TTL 604800 @ IN SOA localhost. root.localhost. ( 1 ; Serial 604800 ; Refresh 86400 ; Retry 2419200 ; Expire 604800 ) ; Negative Cache TTL ; @ IN NS localhost. 1.0.0 IN PTR localhost. Otras directivas son: $ORIGIN, que fija el nombre de dominio utilizado para completar todo nombre de dominio relativo;$INCLUDE, que lee un archivo externo; y $GENERATE, que crea una serie de registros de recursos que cubren una gama de direcciones IP. Crear y mantener zonas DNS Archivos de zona inversa Los archivos de zona inversa (a menudo indicados con una extensión .rev) contienen mapeos de direcciones IP de zonas específicas a nombres simbólicos. Por ejemplo, podría tener un archivo /var/bind/41.64.rev que contiene: Listado 13. Reverse zone file for 64.41.* $TTL 86400 ; IP address to hostname @ IN SOA example.com. mail.example.com. ( 2001061401 ; Serial 21600 ; Refresh 1800 ; Retry 604800 ; Expire 900 ) ; Negative cach TTL IN NS ns1.example.com. IN NS ns2.example.com. ; Define names for 64.41.2.1, 64.41.2.2, etc. 1.2 IN PTR foo.example.com. 2.2 IN PTR bar.example.com. 3.2 IN PTR baz.example.com. Archivos de zona hacia adelante Los archivos de zona hacia adelante (a menudo llamados domain.hosts) contienen los registros cruciales "A" para nombres simbólicos de mapeo a direcciones IP. Por ejemplo, podría tener una archivo /var/bind/example.com.hosts que contiene lo siguiente: Listado 14. Reenviar archivo de zona para example.com $TTL 86400 ; Hostname to IP address @ IN SOA example.com. mail.example.com. ( 2001061401 ; Serial 21600 ; Refresh 1800 ; Retry 604800 ; Expire 900 ) ; Negative cach TTL IN NS ns1.example.com. IN NS ns2.example.com. localhost IN A 127.0.0.1 foo IN A 11 64.41.2.1 www IN CNAME foo.example.com bar IN A 64.41.2.2 bar IN A 64.41.2.3 Cómo asegurar un servidor DNS Cómo asegurar un servidor DNS Al igual que con muchos servicios, es buena idea ejecutar BIND en una jaula chroot. , Esto limita el accedo de BIND a otros archivos o recursos del sistema si existiera una vulnerabilidad o un error en BIND. Encuentre un tutorial más detallado sobre ejecutar BIND con chroot en el instructivo "Chroot-BIND HOWTO" (ver Recursos para obtener un enlace). La utilidad general de este procedimiento es que no es bueno ejecutar BIND co usuario raíz, o incluso como un usuario común especial como “nadie". A menudo se crea el usuario "named" para ejecutar BIND. Los archivos utilizados por este usuario especial se colocan en un directorio local como /chroot/named/ y subdirectorios relativos apropiados. BIND 9 brinda soporte mucho más limpio para chroot de lo que lo hacía BIND 8; una compilación limpia debería ser suficiente sin conmutadores especiales o ajustes Makefile. DNSSEC Además de asegurar la máquina local que ejecuta BIND, también es deseable brindar garantías de seguridad para el protocolo DNS mismo. Las Extensiones de Seguridad DNS (DNSSEC) son un conjunto de extensiones que brindan autenticidad e integridad DNS está basado en UPD en vez de TCP, y por ende no tiene un mecanismo para verificar una fuente paquete. Esta limitación hace posibles ataques de suplantación e intercepción. En otras palabras, los solicitantes de DNS pueden recibir información maliciosa, por ejemplo para redirigir comunicación al host de un intruso. Al agregar Firmas Transaccionales (TSIG) a solicitudes DNS, DNSSEC puede evitar la suplantación de respuestas DNS. Cada servidor BIND 9 que desea comunicarse en forma segura debe activar DNSSEC, pero el protocolo mejorado es compatible en forma inversa. Lo primero que deben hacer los servidores DNS (los que desean comunicarse de manera segura) es generar key pairs. Esto funciona de manera muy similar a las claves SSH para host y servidor. Por ejemplo: Listado 15. Generación de claves DNSSEC dnssec-keygen -r /dev/urandom -a HMAC-MD5 -b 128 -n HOST \ primary-secondary.my.dom # ls Kprimary-secondary.my.dom.* Kprimary-secondary.my.dom.+157+46713.key Kprimary-secondary.my.dom.+157+46713.private Como sugieren los nombres de archivo, esto general claves públicas y privadas para el host configurado, y la clave pública se distribuye a otros servidores. Obtenga una buena introducción a DNSSEC en "The Basics of DNSSEC" en la Red O'Reilly (verRecursos para obtener un enlace). Recursos • El artículo sobre DNS que se encuentra en Wikipedia es un buen punto de partida para comprender la arquitectura general. • DNS and BIND, Fourth Edition por Paul Albitz y Cricket Liu (O'Reilly, 2001) cubre minuciosamente los temas relacionados con DNS y BIND. • TCP/IP Network Administration, Third Edition por Craig Hunt (O'Reilly, abril de 2002) es un recurso excelente sobre redes Linux. • El instructivo Chroot-BIND HOWTO muestra cómo configurar BIND para ejecutarse en una jaula chroot. 12 • El instructivo Basics of DNSSEC ofrece una buena introducción a DNSSEC. • Vea 700 Grupos de usuarios de Linux (LUG) en todo el mundo; muchos LUGs tienen grupos de estudio locales y a distancia para los exámenes LPI. • El Proyecto de Documentación Linux Tiene una variedad de documentos útiles, especialmente sus instructivos. • Encuentre más tutoriales para desarrolladores Linux en la zona developerWorks Linux. Servicios web Acerca de Apache y Squid Servidor Web Apache Apache es el servidor Web dominante en Internet en su conjunto; su predominio es aún mayor entre los servidores Linux. Existen algunos otros servidores Web de propósitos especiales (algunos ofrecen un mejor rendimiento para tareas específicas), pero el servidor Apache es siempre la opción predeterminada. Apache viene preinstalado en la mayoría de las distribuciones Linux y, a menudo, ya está funcionando después de ser lanzado durante la inicialización, aun cuando usted no haya configurado específicamente un servidor Web. Si Apache no está instalado, utilice el sistema de instalación normal de su distribución para instalarlo, o descargue el último servidor HTTP del Apache HTTP Server Project (Proyecto de Servidor HTTP Apache). Los módulos aportan muchas otras capacidades, muchas de las cuales se distribuyen con Apache en sí y otras pueden obtenerse de terceros. Aunque el último Apache se encuentra en el nivel 2.x desde 2001, el Apache 1.3.x sigue siendo de uso generalizado y la serie 1.3.x sigue manteniéndose para la corrección de errores y las actualizaciones de seguridad. Existen algunas diferencias de configuración menores entre 1.3 y 2.x; hay algunos módulos disponibles para 1.3 que no están disponibles para 2.x. Las últimas versiones a la fecha de este tutorial son 1.3.34 (estable), 2.0.55 (estable) y 2.1.9 (beta). Como norma, un nuevo servidor debería utilizar la última versión disponible de la serie 2.x. A menos que usted tenga una necesidad especifica para utilizar un módulo no habitual más antiguo, 2.x proporciona buena estabilidad, más capacidades y un mejor rendimiento general (para algunas tareas, como soporte PHP, el 1.3 sigue teniendo un mejor rendimiento). Con miras al futuro, las nuevas funcionalidades tendrán sin duda un mejor soporte en 2.x que en 1.3.x. Servidor proxy Squid Squid es un servidor proxy-caché para clientes Web que soporta los protocolos HTTP, FTP, TLS, SSL y HTTPS. Ejecutando un caché en una red local, o al menos más cerca de su red que los recursos consultados, se puede mejorar la velocidad y reducir el ancho de banda de la red. Cuando las máquinas atendidas por el mismo servidor Squid solicitan el mismo recurso varias veces, el recurso es prestado desde una copia local del servidor en lugar de que el pedido salga por múltiples routers de red que pueden potencialmente desacelerar o sobrecargar a los servidores de destino. Usted puede configurar a Squid como proxy explícito que debe configurarse en cada cliente Web (navegador) o configurarlo para que intercepte todos los pedidos Web que salen de una LAN y almacenar en caché todo ese tráfico. Puede configurar a Squid con diversas opciones respecto de la duración y las condiciones en que habrán de mantenerse las páginas almacenadas en caché. Otros recursos Tal como ocurre con la mayoría de las herramientas Linux, siempre es útil examinar las páginas man para conocer las utilidades que se analizan. Las versiones y switches podrían cambiar entre las distintas versiones de utilidad o kernel o con diferentes distribuciones de Linux. Si desea 13 información más detallada, el Proyecto de Documentación de Linux contiene una serie de documentos útiles, en especial los instructivos. Se han publicado una serie de libros sobre redes Linux; en mi opinión,TCP/IP Network Administration (Administración de redes TCP/IP) de O’Reilly,, escrito por Craig Hunt, es especialmente útil. (Vea Recursos más adelante en este tutorial si desea los vínculos.) También se han escrito buenos libros sobre cómo trabajar con Apache. Algunos se refieren a la administración general mientras que otros cubren módulos determinados o configuraciones especiales de Apache. Consulte en la librería de su preferencia la gama de títulos disponibles. Implementación de un servidor Web Una multitud daemons El inicio de Apache es similar al inicio de cualquier otro daemon. Por lo general, usted prefiere colocar su inicio en los scripts de inicialización del sistema pero, en principio, puede iniciar el Apache en cualquier momento. En la mayoría de los sistemas, al Apache se lo llama httpd, aunque también puede llamárselo apache2. Es probable que el servidor esté instalado en /usr/sbin/, pero otras ubicaciones son posibles dependiendo de la distribución y de cómo haya instalado usted el servidor. En la mayoría de las ocasiones, usted iniciará el Apache sin opciones pero vale la pena tener en cuenta las opciones -d serverroot y -f config. La primera opción le permite especificar una ubicación en los discos locales desde la cual se brindará contenido; la segunda le permitirá especificar un archivo de configuración no predeterminado. Un archivo de configuración puede anular la opción f utilizando la directiva ServerRoot (la mayoría lo hace). De forma predeterminada, los archivos de configuración son apache2.conf o httpd.conf, dependiendo de las opciones de compilación. Estos archivos podrían estar en /etc/apache2/, /etc/apache/, /etc/httpd/conf/, /etc/httpd/apache/conf, o en algunas otras ubicaciones dependiendo de la versión, la distribución de Linux y la forma en que usted instaló o compiló Apache. La verificación de man apache2 o man httpd debería darle detalles específicos del sistema. El daemon de Apache es poco común si se lo compara con otros servidores en el sentido de que, por lo general, crea varias copias ejecutables de sí mismo. La copia principal sencillamente engendra las otras, mientras que estas copias secundarias atienden los pedidos entrantes reales. El objetivo de tener múltiples copias ejecutables es actuar como "pool" (grupo) para los pedidos que pueden llegar en paquetes; las copias adicionales del daemon se inician cuando resulta necesario, de acuerdo con varios parámetros de configuración. Por lo general, la copia principal se ejecuta como raíz pero las otras copias se ejecutan como usuario más restringido por razones de seguridad. Por ejemplo: Listado 1. Las numerosas caras de copias ejecutables múltiples de Apache # ps axu | grep apache2 root 6620 Ss Nov12 0:00 /usr/sbin/apache2 -k start -DSSL www-data 6621 S Nov12 0:00 /usr/sbin/apache2 -k start -DSSL www-data 6622 Sl Nov12 0:00 /usr/sbin/apache2 -k start -DSSL www-data 6624 Sl Nov12 0:00 /usr/sbin/apache2 -k start -DSSL dqm 313 S+ 03:44 0:00 man apache2 root 637 S+ 03:59 0:00 grep apache2 En muchos sistemas, el usuario restringido no será nadie. En el Listado 1, es www-data. Inclusión de los archivos de configuración Como se mencionó antes, la conducta de Apache se ve afectada por directivas de su archivo de configuración. Para los sistemas Apache2, es muy probable que el principal archivo de configuración resida en /etc/apache2/apache2.conf pero, a menudo, este archivo contiene múltiples instrucciones Include (incluir) para agregar información de configuración de otros archivos, posiblemente mediante patrones de comodines. En términos generales, es probable que una configuración de Apache contenga cientos de directivas y opciones (la mayoría de las cuales no se documentaron específicamente en este tutorial). 14 También es muy probable que se incluyan algunos archivos. Usted podría ver httpd.conf para las configuraciones del "usuario", para utilizar los archivos de configuración anteriores a Apache 1.3 que utilizan ese nombre. En general, los hosts virtuales se especifican en archivos de configuración independientes, compatibilizados en un comodín, como se muestra a continuación: Listado 2. Especificación de hosts virtuales # Include the virtual host configurations (incluye las configuraciones de host virtuales): Incluye /etc/apache2/sites-enabled/[^.#]* Con Apache 2.x, los módulos también se especifican por lo general en archivos de configuración independientes (a menudo en el mismo archivo en 1.3.x). Por ejemplo, un sistema propio incluye: Listado 3. Desde /etc/apache2/apache2.conf # Include module configuration (incluye la configuración del módulo): Incluye /etc/apache2/mods-enabled/*.load Incluye /etc/apache2/mods-enabled/*.conf En realidad, para utilizar un módulo en un servidor Apache ejecutable hacen falta dos pasos en el archivo de configuración, cargarlo y habilitarlo: Listado 4. Carga de un módulo Apache opcional # cat /etc/apache2/mods-enabled/userdir.load LoadModule userdir_module /usr/lib/apache2/modules/mod_userdir.so # cat /etc/apache2/mods-enabled/userdir.conf <IfModule mod_userdir.c> UserDir public_html UserDir disabled root <Directory /home/*/public_html> AllowOverride FileInfo AuthConfig Limit Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec </Directory> </IfModule> Los comodines de las líneas Include (Incluir) insertarán todos los archivos .load y .conf en el directorio /etc/apache2/mods-enabled/. Observe el patrón general: las directivas básicas son comandos de una línea con algunas opciones; las directivas más complejas anidan comandos que utilizan una etiqueta abrir/cerrar tipo XML. Para cada directiva, usted sólo deberá saber si es una línea o estilo abrir/cerrar – no puede elegir el estilo que desea a voluntad. Archivos de registro Una clase importante de directivas de configuración se refieren al registro de las operaciones de Apache. Usted podrá mantener diferentes tipos de información y niveles de detalle para las operaciones de Apache. Llevar un registro de errores siempre es una buena idea; podrá especificarlo con la siguiente directiva única: Listado 5. Especificación de un registro de errores # Global error log. ErrorLog /var/log/apache2/error.log Podrá personalizar otros registros de acceso al servidor, de referenciador y de cualquier otra información apropiada para su configuración individual. La operación de registro se configura con dos directivas. Primero, una directiva LogFormat utiliza un conjunto de variables especiales para especificar lo que va en el archivo de registro; segundo, una directiva CustomLog le dice a Apache que registre realmente los eventos en el formato especificado. Usted podrá especificar un número 15 ilimitado de formatos independientemente de que se utilicen o no. Esto le permite activar y desactivar detalles del registro de acuerdo con las necesidades que pudieran surgir. Las variables de un LogFormat son similares a las variables shell, pero con un % inicial. Algunas variables tienen letras únicas, mientas que otras tienen nombres largos rodeados de corchetes, tal como se muestra en el Listado 6. Listado 6. Variables de LogFormat LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined CustomLog /var/log/apache2/referer_log combined Consulte un libro o la documentación completa de Apache si desea una lista de todas las variables. Entre las más comunes se encuentran: %h para la dirección IP del cliente solicitante, %t para la fecha y hora del pedido, %>s para el código de estado de HTTP, y la variable mal escrita %{Referer} para el sitio referenciador que llegó a la página atendida . El nombre utilizado en las directivas LogFormat y CustomLog es arbitrario. En el Listado 6, se utilizó el nombre combined pero también podría ser myfoobarlog. Sin embargo, hay algunos nombres que habitualmente se utilizan y que vienen con archivos de configuración de muestra, como combined, common, referer y agent. Por lo general, estos formatos específicos reciben el soporte directo de las herramientas analizadoras de registros. Mantenimiento de un servidor Web Hosts virtuales, multi-homing y opciones por directorio Los directorios individuales servidos por un servidor Apache pueden tener sus propias opciones de configuración. Sin embargo, la configuración principal puede limitar las opciones que pueden configurarse localmente. Si desea una configuración por directorio, utilice la directiva AccessFileName y especifique el nombre de archivo de configuración local de .htaccess. Las limitaciones de configuración local se especifican dentro de una directiva <Directory>.Por ejemplo: Listado 7. Ejemplo de directiva de directorio #Let's have some Icons, shall we? Alias /icons/ "/usr/share/apache2/icons/" <Directory "/usr/share/apache2/icons"> Options Indexes AllowOverride None Order allow,deny Allow from all </Directory> MultiViews A menudo, trabajando en conjunto con las opciones por directorio, Apache puede atender a los hosts virtuales. Múltiples nombres de dominio pueden ser atendidos desde el mismo proceso Apache, cada uno de los cuales accede a un directorio apropiado. Usted puede definir los hosts virtuales con la directiva <VirtualHost>; coloque los archivos de configuración en un directorio incluido, como /etc/apache2/sites-enabled/ o en un archivo de configuración principal. Por ejemplo, usted podría especificar: Listado 8. Configuración de hosts virtuales <VirtualHost "foo.example.com"> ServerAdmin [email protected] DocumentRoot /var/www/foo ServerName foo.example.com <Directory /var/www/foo> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ <Directory "/usr/lib/cgi-bin"> AllowOverride None Options ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all </Directory> CustomLog /var/log/apache2/foo_access.log 16 combined </VirtualHost> <VirtualHost "bar.example.org"> DocumentRoot /var/www/bar ServerName bar.example.org </VirtualHost> <VirtualHost *> DocumentRoot /var/www </VirtualHost> La opción final * toma cualquier pedido HTTP que no esté dirigido a uno de los nombres especificados explícitamente (como los dirigidos por dirección IP o dirigidos como un dominio simbólico no especificado que también resuelve a la máquina servidor). Para que los dominios virtuales funcionen, DNS debe definir cada alias con un registro CNAME. Los servidores multi-homed suenan de manera similar al hosting virtual pero el concepto es diferente. Utilizando multi-homing, usted podrá especificar las direcciones IP a las que está conectada una máquina para permitir los pedidos Web. Por ejemplo, usted podría brindar acceso HTTP sólo a la LAN local y no al mundo exterior. Si usted especifica una dirección para escuchar, también puede indicar un puerto no predeterminado. El valor predeterminado para BindAddress es *, que significa aceptar los pedidos de cada dirección IP bajo la cual se puede acceder al servidor. El siguiente podría ser un ejemplo mixto: Listado 9. Configuración de multi-homing BindAddress 192.168.2.2 Listen 192.168.2.2:8000 Listen 64.41.64.172:8080 En este caso, aceptaremos todos los pedidos del cliente provenientes de la LAN local (que utilizan la dirección 192.168.2.2) en el puerto predeterminado 80 y en el puerto especial 8000. Esta instalación de Apache también monitoreará los pedidos HTTP del cliente que provienen de la dirección WAN, pero sólo en el puerto 8080. Limitación del acceso Web Usted puede habilitar el acceso al servidor por directorio con los comandos Order, Allowfrom, y Deny from que están dentro de una directiva <Directory>. Es posible especificar las direcciones denegadas o permitidas mediante nombres de host parciales o direcciones IP. Order le permite establecer una prioridad entre la lista de aceptación y la lista de denegación. En muchos casos, usted necesitará un control más ajustado que el que puede obtener con el simple hecho de permitir que determinados hosts accedan a su servidor Web. Para habilitar los requisitos de inicio de sesión del usuario, utilice la familia de comandos Auth*, que se encuentra también dentro de la directiva <Directory>. Por ejemplo, para configurar la Autenticación Básica, usted podría utilizar una directiva como la que aparece en el Listado 10. Listado 10. Configuración de la Autenticación Básica <Directory "/var/www/baz"> AuthName "Baz" AuthType Basic AuthUserFile /etc/apache2/http.passwords AuthGroupFile /etc/apache2/http.groups Require john jill sally bob </Directory> También puede especificar la Autenticación Básica dentro de un archivo .htaccess por directorio. La Autenticación “Digest” es más segura que la Básica, pero se encuentra mucho menos implementada en los servidores. Sin embargo, la debilidad de la Autenticación Básica (que transmite contraseñas en texto claro) de todos modos se resuelve mejor con una capa SSL. El soporte al cifrado SSL del tráfico Web es suministrado por el módulo mod_ssl. Cuando se utiliza SSL, los datos transmitidos entre el servidor y el cliente se cifran con una contraseña que se negocia de forma dinámica y que es resistente a la interceptación. Todos los navegadores importantes soportan SSL. Si desea más información sobre cómo configurar Apache 2.x con mod_ssl, vea la descripción en el sitio Web de Apache (diríjase a Recursos para ver el vínculo). 17 Implementación de un servidor proxy Instalación y ejecución de Squid En la mayoría de las distribuciones, usted puede instalar Squid utilizando los procedimientos de instalación normal. Obtenga la versión fuente de Squid en el sitio Web de Squid Web Proxy Cache (diríjase a Recursos para ver el vínculo). Construyendo a partir de la fuente, utilice la secuencia básica ./configure; make; make install. Una vez instalado, podrá ejecutarlo de manera sencilla como raíz, /usr/sbin/squid (o desde la ubicación que utilice su distribución, quizá /usr/local/sbin/). Por supuesto que para que resulte mucho más útil, usted probablemente querrá configurar el archivo de configuración de Squid en /etc/squid/squid.conf, /usr/local/squid/etc/squid.conf, o en el lugar en el que su sistema ubique con precisión a squid.conf. Tal como ocurre con casi todos los daemons, podrá utilizar un archivo de configuración diferente, en este caso con la opción -f. Puertos, direcciones IP, http_access y ACL (Listas de control de acceso) Las opciones de configuración más importantes para Squid son las opciones http_port que usted elige. Usted puede monitorear todos los puertos que desee, adjuntando opcionalmente cada uno a una dirección de IP o nombre de host determinados. El puerto predeterminado para Squid es 3128, que permite que cualquier dirección de IP se conecte al servidor Squid. Para almacenar en caché sólo para una LAN, especifique la dirección de IP local, de la siguiente manera: Listado 11. Almacenamiento en caché de Squid sólo para una LAN # default (disabled) # http_port 3128 # LAN only http_port 192.168.2.2:3128 Usted también puede habilitar el almacenamiento en caché a través de otros servidores Squid utilizando icp_port yhtcp_port. Los protocolos IPC y HTCP se utilizan para que los caché se comuniquen entre sí en lugar de hacerlo mediante los servidores y clientes Web. Para almacenar en caché los multicasts, utilice mcast_groups. Para permitir que los clientes se conecten a su servidor Squid, tendrá que darles permiso para poder hacerlo. A diferencia de un servidor Web, el servidor Squid no es absolutamente generoso con sus recursos. En el caso simple, sólo podemos utilizar un par de patrones de subred/máscara de red o CIDR (Classless Internet Domain Routing) para controlar los permisos: Listado 12. Permisos de acceso simples de Squid http_access deny 10.0.1.0/255.255.255.0 http_access allow 10.0.0.0/8 icp_access allow 10.0.0.0/8 Usted puede utilizar la directiva acl para nombrar la listas de control de acceso (ACL). Puede nombrar las ACL tipo src que sencillamente especifican rangos de dirección como se ve en el Listado 12, pero también puede crear otros tipos de ACL. Por ejemplo: Listado 13. Permisos de acceso ajustados acl mynetwork src 192.168/16 acl asp urlpath_regex \.asp$ acl bad_ports port 70 873 acl javascript rep_mime_type -i ^application/x-javascript$ # what HTTP access to allow classes http_access deny asp # don't cache active server pages http_access deny bad_ports # don't cache gopher or rsync http_access deny javascript # don't cache javascript content http_access allow mynetwork # allow LAN everything not denied El Listado 13 muestra sólo un pequeño subconjunto de los tipos de ACL disponibles. Vea una muestra de squid.conf si desea ejemplos de muchos otros. O consulte la documentación sobre control de acceso (Capítulo 6) de la Guía del Usuario de Squid (diríjase a Recursos para ver el vínculo). 18 En el Listado 13, decidimos no no almacenar en caché las direcciones URL que terminan en .asp (el contenido es probablemente dinámico), no almacenar en caché los puertos 70 y 873 y no almacenar en caché los objetos JavaScript devueltos. Fuera de lo que se deniega, las máquinas de la LAN (el rango /16 dado) tendrán todos sus pedidos almacenados en caché. Observe que cada ACL definida tiene un nombre único pero arbitrario (utilice nombres que tengan sentido; Squid no reserva los nombres). Modalidades de almacenamiento en caché La manera más simple de ejecutar Squid es en el modo proxy. Si sigue este procedimiento, los clientes deberán configurarse explícitamente para utilizar el caché. Los clientes del navegador Web tienen pantallas de configuración que les permiten especificar un puerto y dirección proxy en lugar de una conexión http directa. Este sistema simplifica al máximo la configuración de Squid pero obliga a los clientes a realizar algún trabajo de configuración si desean beneficiarse con el caché de Squid. También podrá configurar a Squid para que sea ejecutado como un caché transparente. Para ello, deberá configurar el ruteo basado en políticas (fuera de Squid en sí, utilizando ipchains o ipfilter) o usar su servidor Squid como una puerta de enlace. Suponiendo que usted está en condiciones de dirigir los pedidos externos a través del servidor Squid, el servidor deberá configurarse de la siguiente manera. Es probable que necesite recompilar Squid con la opción --enable-ipftransparent; sin embargo, en la mayoría de las instalaciones Linux, no debería ser necesario. Para configurar el servidor para el almacenamiento en caché transparente (una vez que tiene los paquetes redireccionados), agregue algo similar al Listado 14 a su squid.conf: Listado 14. Configuración de Squid para el almacenamiento en caché transparente httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Configuración DHCP Aspectos generales del protocolo Como muchos protocolos de red, el Protocolo de configuraciónn dinámica de host (DHCP) es una interfaz cliente/servidor. El cliente DHCP es un programa mucho más fácil, tanto en su estructura interna como en su configuración, que el servidor DHCP. Esencialmente, la función de un cliente DHCP es difundir un mensaje DHCPDISCOVER en su subred física local y luego esperar una respuesta. El mensaje DHCPDISCOVER PUEDE incluir opciones con sugerencias de valores para la dirección de red y la duración de la concesión. Los servidores que reciben un mensaje DHCPDISCOVER deberían responder a la dirección MAC solicitante con un mensaje DHCPOFFER. El cliente, a su vez, responde con un mensaje DHCPREQUEST a uno de los servidores oferentes, por lo general el primer (y único) servidor que responde. Los parámetros de configuración de un cliente son recibidos en un mensaje DHCPACK. En ese punto, el cliente ya ha recibido una dirección IP asignada, y sus comunicaciones pasarán, por decirlo de alguna manera, del nivel de enlace de datos (Ethernet) al nivel de red (IP). Proceso cliente Por lo general, un cliente DHCP se debe configurar únicamente con la información que se desea obtener. Por ejemplo, las distribuciones basadas en Debian suelen usar el cliente DHCP, dhclient, que se configura con el archivo /etc/dhcp3/dhclient.conf. El archivo de muestra incluido en el paquete del cliente dhcp3 tiene todas las opciones de configuración deshabilitadas con comentarios, excepto una. La única opción habilitada podría tener el siguiente aspecto: Listado 1. Opción de dhclient.conf request subnet-mask, broadcast-address, 19 time-offset, routers, domain-name, domain-name-servers, host-name, netbios-name-servers, netbios-scope; En este ejemplo, con la configuración predeterminada, el cliente básicamente dice: "pido todo lo que se pueda". En los mensajes de negociación, el mensaje DHCPACK del servidor contiene información de todos estos valores solicitados que el cliente usará una vez recibidos. La dirección IP del cliente está implícita en la lista ya que esa configuración siempre es objeto de negociación. Además de especificar las opciones de tiempo de espera y de tiempo de concesión (y algunas otras), el cliente puede (en la mayoría de los casos no está obligado a hacerlo) imponer ciertas restricciones a las direcciones IP que desea usar. Para excluir una dirección en particular, es posible usar reject 192.33.137.209;. Para especificar de manera expresa la dirección que desea utilizar el cliente, usefixed-address 192.5.5.213;. Es posible que el cliente rechace una oferta de concesión con el mensaje DHCPDECLINE; sin embargo, los servidores intentarán cumplir las solicitudes cuando fuera posible. Un servidor DHCP también puede realizar la asignación fija de una dirección IP específica a una dirección MAC; es más frecuente que la configuración de una dirección IP por máquina se lleve a cabo con la configuración del servidor que con la configuración del cliente. Para tener un registro de las concesiones adquiridas, dhclient mantiene una lista con las concesiones que se le asignaron en el archivo /var/lib/dhcp3/dhclient.leases (la ruta de acceso puede variar según la distro); así, una concesión DHCP vigente no se perderá si un sistema se desconecta de la red física o se reinicia. Proceso servidor El servidor DHCP necesita conocer un poco más sus opciones ya que proporciona diversa información a los clientes en las concesiones CDP; además, debe asegurarse de que las direcciones IP se asignen de manera única exclusiva a cada cliente. Por lo general, el servidor DHCP se ejecuta como daemon, dhcpd, y obtiene la información de su configuración de /etc/dhcpd.conf (la ruta de acceso puede variar según la distro). Es posible que un solo daemon dhcpd gestione múltiples subredes, generalmente cuando existen múltiples redes físicas que se conectan a un servidor; sin embargo, es más frecuente que un servidor gestione una subred. El listado 2 es un ejemplo bastante completo de la configuración de un servidor. Listado 2. Opciones de configuración de dhcpd.conf # default/max lease in seconds: day/week default-lease-time 86400; max-lease-time 604800; option subnet-mask 255.255.255.0; option broadcast-address 192.168.2.255; option routers 192.168.2.1; # DNS locally, fallback to outside local domain option domain-name-servers 192.168.2.1, 151.203.0.84; option domain-name "example.com"; # Set the subnet in which IP address are pooled subnet 192.168.2.0 netmask 255.255.255.0 { range 192.168.2.100 192.168.2.199; } # Assign a fixed IP to a couple machines by MAC address group { use-host-decl-names true; host first.example.com { hardware ethernet 00:00:c1:a2:de:10; fixed-address 192.168.2.200; } host second.example.com { hardware ethernet 00:dd:cc:a1:78:34; fixed-address 192.168.2.201; } Cuando un cliente envía un mensaje de difusión a un servidor que se ejecuta con esta configuración, este recibirá una concesión en 192.168.2.200 ó 192.168.2.201, si tiene la dirección MAC especificada, o recibirá una concesión en una dirección disponible dentro del grupo 192.168.2.100-192.168.2.199. El cliente también puede usar el mensaje DHCPINFORM para indicarle al servidor que ya tiene una dirección IP asignada (por configuración manual), pero que desea obtener otro tipo de información 20 de configuración. Tenga presente que informar a un servidor que un cliente está usando una dirección IP específica no es lo mismo que solicitar una dirección IP específica. En el último caso, el servidor puede conceder o no la solicitud dependiendo de las concesiones existentes. En el primer caso, el servidor no tiene voz en la decisión, y no se puede otorgar una concesión per se (sin embargo, los servidores intentarán evitar la asignación de direcciones IP que estén en uso a nuevos clientes solicitantes). Cuando expira la concesión, los clientes y los servidores deben negociar nuevas concesiones para que los parámetros de configuración sigan siendo válidos. Se pueden usar concesiones más cortas cuando haya grandes posibilidades de que cambie la información de configuración de un servidor (por ejemplo, DNS dinámico a través de una WAN externa). Un cliente puede extinguir una concesión enviando el mensaje DHCPRELEASE, pero esto no es suficiente para lograr un correcto funcionamiento (después de todo, los clientes a veces se bloquean, se reinician o se desconectan sin tener la oportunidad de enviar el mensaje). En ausencia de un mensaje de liberación, la concesión es mantenida por el servidor según los términos de duración en que se otorgó la concesión, por lo que una máquina reiniciada generalmente seguirá usando la concesión anterior (que se almacenará en dhclient.leases tanto en el servidor como en el cliente). Configuración NIS Cuándo usar NIS La mayoría de las utilidades asociadas con NIS siguen llevando el prefijo yp debido al nombre anterior del protocolo, "Sun Yellow Pages". Por cuestiones legales relativas a la marca, el servicio pasó a llamarse NIS. NIS permite que una red de máquinas comparta información como usuarios y grupos (el contenido de /etc/passwd y /etc/group, respectivamente), dando a los usuarios derechos en cualquier máquina dentro de un dominio NIS. NIS funciona de manera similar a DNS al definir dominios donde se distribuye información y permitir que los servidores maestros y esclavos distribuyan información jerárquicamente dentro de un dominio. De hecho, NIS se podría usar en lugar de DNS distribuyendo la información de nombres de dominio encontrada en /etc/hosts, aunque esto rara vez suceda en la práctica. NIS tiene cierta flexibilidad: en principio, cualquier tipo de información puede colocarse en una base de datos NIS (que está en formato DBM, pese a que la herramienta makedbm del paquete de servidor NIS convierte los archivos planos en este formato, generalmente "tras bambalinas "). También existe un servicio llamado NIS+ con el que se buscó reemplazar a NIS y que incluye el cifrado y la autenticación de datos; sin embargo, NIS+ no es compatible con versiones anteriores de NIS y su uso no es muy extendido. Antes de comenzar Para ejecutar cualquiera de las utilidades NIS, es necesario ejecutar el daemon /sbin/portmap, que convierte los números del programa RPC en números de puerto del protocolo TCP/IP (o UDP/IP), debido a que los clientes NIS hacen llamadas RPC. Si bien la mayoría de las distribuciones de Linux inician /sbin/portmap en sus scripts de inicio, se recomienda verificar si este daemon se está ejecutando con % ps -ax | grep portmap. Si no está en ejecución, instale /sbin/portmap e inclúyalo en los scripts de inicio de su sistema. Utilidades del cliente NIS (daemon ypbind) Un cliente NIS incluye las herramientas ypbind, ypwhich, ypcat, yppoll y ypmatch. El daemon ypbind se debe ejecutar como raíz y, por lo general, es iniciado como parte de los scripts de inicio del sistema (si bien esto no es obligatorio). Las otras herramientas están basadas en los servicios de ypbind, pero se ejecutan a nivel de usuario. La versión anterior de ypbind difundía una solicitud de enlace en la red local; sin embargo, esto permite que un servidor NIS malicioso responda la solicitud y proporcione a los clientes información de usuario y de grupo errónea. Es preferible configurar servidores específicos para que ypbind se conecte antes que usar el archivo /etc/yp.conf. Si se configuran múltiples servidores (o si se usa la difusión a pesar del peligro), ypbind puede cambiar los servidores enlazados cada 15 21 minutos según cuál de ellos puede responder más rápidamente. Estos servidores deberían estar organizados en una configuración maestro/esclavo, pero el cliente no tiene que conocer este dato ni preocuparse por él. Por ejemplo, la configuración ypbind puede tener el siguiente aspecto: Listado 3. /etc/yp.conf ypserver 192.168.2.1 ypserver 192.168.2.2 ypserver 192.168.1.100 ypserver 192.168.2.200 Antes que se ejecute /usr/sbin/ypbind, es necesario establecer el nombre de dominio NIS de la red, que puede ser cualquier nombre que se elija para el servidor NIS y que, por lo general, debería ser diferente del nombre de dominio DNS. Establezca el nombre de dominio NIS usando (incluya el nombre real): % ypdomainname my.nis.domain. Utilidades del cliente NIS (otra configuración) Si desea usar NIS como parte de la búsqueda del nombre de dominio, debe modificar /etc/host.conf de manera que incluya NIS en el orden de búsqueda; por ejemplo, buscar un nombre en primer lugar en /etc/hosts, luego en NIS y, por último, en DNS: Listado 4. Modificación del orden de búsqueda % cat /etc/host.conf order hosts,nis,bind Para habilitar usuarios distribuidos NIS, modifique el archivo /etc/passwd del cliente de manera que incluya +::::::. La información de base de datos NIS actúa como una plantilla para los intentos de inicio de sesión con este patrón "sin rellenar". Es posible ajustar la información de usuario si así lo desea; por ejemplo: Listado 5. /etc/passwd detallado +user1:::::::+user2:::::::+user3:::::::+@sysadmins:::::::-ftp+:*::::::/etc/NoShell De esta manera, solo se permite el acceso a user1, user2 y user3, así como a todos los miembros del netgroup sysadmin, pero se proporcionan los datos de cuenta de todos los otros usuarios de la base de datos NIS. Las fuentes NIS se configuran en /etc/nsswitch.conf. El nombre podría indicar que se hace referencia estricta a una búsqueda de servidor de nombres cuando, en realidad, se describen diversos tipos de información. Básicamente, esta configuración describe el orden en que se busca en las fuentes de información. El nombre nis significa información obtenida en un servidor NIS; el nombre files implica usar un archivo de configuración local apropiado. El nombre dns se usa para la opción hosts. Además, es posible especificar qué hacer si una fuente inicial no contiene la información deseada: return implica abandonar (y a menos que NIS no responda en absoluto, continue implica buscar el dato en la siguiente fuente). Por ejemplo: Listado 6. /etc/nsswitch.conf passwd: compat group: compat shadow: compat 22 hosts: dns [!UNAVAIL=return] files networks: nis [NOTFOUND=return] files ethers: nis [NOTFOUND=continue] files protocols: nis [NOTFOUND=return] files rpc: nis [NOTFOUND=return] files services: nis [NOTFOUND=return] files Utilidades de usuario del cliente NIS Las utilidades ypwhich, ypcat, yppoll y ypmatch se usan a nivel de usuario para consultar información sobre NIS: • ypwhich imprime el nombre de un servidor NIS. • ypcat imprime los valores de todas las claves de una base de datos NIS. • yppoll imprime la versión y el servidor maestro de un mapa NIS. • ypmatch imprime los valores de una o más claves de un mapa NIS. Consulte las páginas man correspondientes a la utilidad en cuestión para obtener más información acerca de su uso. Utilidades del servidor NIS (ypinit, ypserv) El servidor NIS usa el daemon ypserv para proporcionar bases de datos NIS a los clientes y se configura en el archivo /etc/ypserv.conf. Como se mencionó anteriormente, es posible ejecutar los servidores NIS maestro y esclavo dentro de un dominio. El conjunto de bases de datos NIS se inicializa en un servidor maestro usando (solo la primera vez que se ejecuta; luego use make -C /var/yp): % /usr/lib/yp/ypinit -m. Un servidor esclavo no es sino un cliente NIS que obtiene sus bases de datos del servidor maestro (y ejecuta ypserv). Para copiar la información del servidor maestro en el servidor esclavo que se ejecuta localmente, use % /usr/lib/yp/ypinit -s my.nist.domain. En el servidor maestro, las bases de datos NIS se generan a partir de información incluida en (algunos de) los siguientes archivos de configuración: • /etc/passwd, • /etc/group, • /etc/hosts, • /etc/networks, • /etc/services, • /etc/protocols, • /etc/netgroup, • /etc/rpc. Las bases de datos que se exportan son configuradas en /var/yp/Makefile, que también propaga los cambios al momento de su regeneración. Los servidores esclavos recibirán una notificación de cualquier cambio que se produzca en los mapas NIS al momento de su regeneración (a través del programa yppush) y automáticamente recuperarán los cambios necesarios para poder sincronizar sus bases de datos. Los clientes NIS no necesitan hacer esto ya que se comunican continuamente con el servidor NIS para leer la información almacenada en sus bases de datos DBM. Configuración LDAP Cuándo usar LDAP En principio, el Protocolo ligero de acceso a directorios es similar en cuanto a su objetivo a NIS. Ambos distribuyen cierta información estructurada desde el cliente hasta el servidor; sin embargo, LDAP va más allá estructurando de forma jerárquica qué información se distribuye entre qué clientes, redirigiendo solicitudes a otros servidores LDAP si fuera necesario e incorporando mecanismos de seguridad. Además, LDAP proporciona mecanismos y herramientas para que los clientes actualicen la información almacenada en los servidores LDAP y, a su vez, la distribuyan entre otros clientes que la soliciten (conforme a los permisos correspondientes). 23 Instalación Antes de ejecutar OpenLDAP, la implementación de software libre generalmente usada en Linux (si bien existen implementaciones comerciales), es necesario instalar varias bibliotecas necesarias (o verificar su existencia): • Es posible obtener los servicios de Seguridad del nivel de transporte (TLS) desde el proyecto OpenSSL Project (o a través de los mecanismos de instalación de su distribución de Linux). • Los servicios de autenticación Kerberos son opcionales, pero muy recomendables. Es posible usar MIT Kerberos oHeimdal Kerberos. • El nivel de seguridad y autenticación simple se puede instalar como parte de la distro básica, pero también se puede obtener desde Cyrus SASL. • Se recomienda usar Sleepycat Software Berkeley DB, aunque probablemente existan otras implementaciones DBM compatibles. • Es deseable, por no decir obligatorio, usar Posix threads y TCP wrappers. Una vez satisfechos estos requisitos previos, descargue la biblioteca OpenLDAP y realice el baile más o menos habitual: Listado 7. Danza de instalación de OpenLDAP habitual % ./configure % make depend % make % make test # make sure things went OK % su root -c 'make install' Después de la instalación básica, es necesario configurar la configuración slapd, que suele estar en /usr/local/etc/openldap/slapd.conf. La configuración debe incluir los componentes del dominio: Listado 8. Componentes de dominio a incluir en slapd.conf database bdb suffix "dc=eng,dc=uni,dc=edu,dc=eu" rootdn "cn=Manager,dc=eng,dc=uni,dc=edu,dc=eu" rootpw <secret> directory /usr/local/var/openldap-data Para encontrar un valor para <secret>, use la utilidad slappasswd con la siguiente cadena codificada en base64 cifrada para su "<secret>": Listado 9. Descubrimiento del "secreto" % slappasswd New password: ******* Re-enter new password: ******** {SSHA}YzPqL5Jio2+17NFIy/pAz8pqS5Ko13fH Para obtener más información acerca de los permisos, la replicación y otras opciones de slapd.conf, observe con atención las páginas man detalladas. La iniciación del daemon slapd es similar a la iniciación de cualquier otro daemon; para comprobar su funcionamiento, useldapsearch: Listado 10. Prueba de funcionamiento de slapd su root -c /usr/local/libexec/slapd ldapsearch -x -b '' -s base '(objectclass=*)' 24 namingContexts Si todo salió bien, debería aparecer un código similar al del listado 11: Listado 11. Respuesta de slapd en funcionamiento dn:namingContexts: dc=eng,dc=uni,dc=edu,dc=eu Agregado de datos con un archivo LDIF El formato de datos usado en LDAP es un formato binario; sin embargo, para exportar e importar datos en una base de datos LDAP, se usa una serialización ASCII llamada Formato de intercambio de datos LDAP (LDIF). En LDIF, los datos binarios se representan como codificación base64. OpenLDAP incluye herramientas para exportar datos desde los servidores LDAP a LDIF (ldapsearch), para importar datos desde LDIF a los servidores LDAP (ldapadd) y para aplicar un conjunto de cambios descriptos en LDIF a los servidores LDAP (ldapmodify y ldapdelete). Además, LDIF es uno de los formatos que se usan para importar y exportar datos de la libreta de direcciones de Mozilla Application Suite y otras herramientas de usuario de nivel de aplicación. Incluso Microsoft Windows 2000 Server y Windows Server 2003 incluyen una herramienta LDIF, LDIFDE, para transferir datos desde y hasta Active Directory (Directorio activo). Para agregar información manualmente a un servidor LDAP, primero es necesario crear un archivo LDIF: Listado 12. Creación del archivo LDIF de muestra, example.ldif dn: dc=example,dc=com objectclass: dcObject objectclass: organization o: Example Company dc: example dn: cn=Manager,dc=example,dc=com objectclass: organizationalRole cn: Manager Luego agréguelo usando% ldapadd -x -D "cn=Manager,dc=example,dc=com" -W -f example.ldif. Por supuesto que el dominio example.com se debe reemplazar por un dominio adecuado para su sitio. Normalmente, las jerarquías y los nombres de dominio LDAP coinciden con aquellos usados por los nombres DNS familiares. Se le pedirá que ingrese el valor rootpw especificado en slapd.conf. Consulta de bases de datos LDAP Existe una herramienta, slurpd (Standalone LDAP Update Replication Daemon), que se utiliza para replicar una base de datos de información completa; sin embargo, para el caso de valores de datos individuales, se usa una herramienta como ldapsearch o bien (más probablemente) se incorpora la compatibilidad con LDAP en alguna aplicación que se ejecute. La herramientaslapcatsirve para volcar una base de datos LDAP en LDIF. Por ejemplo, muchos Mail User Agents (MUA) pueden usar LDAP para buscar información de dirección y de contacto. Dentro de algunas aplicaciones, incluso aquellas que se pueden programar usando lenguajes de scripting o de aplicación, es posible acceder a los recursos LDAP con URL LDAP, que toman la siguiente forma: ldap://host:port/dn?attributes?scope?filter?extensions. La mayoría de estos campos son opcionales. El nombre de host predeterminado es localhost; el puerto predeterminado es 389. El nombre distintivo raíz predeterminado es la cadena vacía. Si necesita información de autenticación, especifíquela en la porción extensions de la URL. 25 Además de las URL LDAP, muchos servidores y clientes LDAP son compatibles con las URL LDAPS, no estándar pero ampliamente usadas. Las URL LDAPS usan conexiones SSL en lugar de conexiones de texto simple y usan un puerto predeterminado 636: ldaps://host:port/dn?attributes?scope?filter?extensions. Recursos Aprender • Lea las especificaciones formales de DHCP (RFC 2131) para conocer este protocolo. • Lea "The Linux NIS(YP)/NYS/NIS+ HOWTO" para conocer NIS. • La especificación formal de LDAP es RFC 2251. • TCP/IP Network Administration, tercera edición , de Craig Hunt, (O'Reilly, abril de 2002) es un excelente recurso sobre las redes Linux. • Esta lista de más de 700 grupos de usuarios Linux de todo el mundo lo ayudará a encontrar grupos de estudio locales y remotos para los exámenes de LPI. • Si desea obtener información más detallada, el proyecto Linux Documentation Project tiene una gran variedad de documentos útiles, entre los que se destacan sus instructivos. • En la zona Linux de developerWorks encontrará más recursos para desarrolladores Linux. • Manténgase al día con los eventos técnicos y las transmisiones por Internet de developerWorks. Autor: David Mertz es Turing completo, pero probablemente no apruebe la Prueba de Turing. Para conocer más acerca de su vida, consulte su página Web personal. David escribe las columnas developerWorks Charming Python y XML Matters desde el año 2000. Consulte su libroText Processing in Python [Procesamiento de texto en Python]. Compilación y edición: Ing. Sergio Aguilera. Facultad de Tecnología Informática. Universidad de Belgrano. [email protected] Todos los Derechos Reservados a IBM Corp. – Marzo 2012. 26 27
