ر ز ×طض سز ث ×ط ر - DSIC
Anuncio
DEPARTAMENTO DE SISTEMAS INFORMATICOS Y COMPUTACION Administracion de Sistemas RedHat Linux 6.2 y Windows NT 4.0 Agust n Espinosa Minguet Andr es M. Terrasa Barrena Apuntes y Actividades Practicas de las Asignaturas CSO (FI) y AUW (EUI) Curso Academico 2000/2001 Valencia, 1 de febrero de 2001 Indice General 1 Introduccion 1 1.1 Profesorado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.3 Evaluacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.4 Horarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.5 Pagina Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 Los Discos Duros 5 2.1 Geometra del Disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2 Lmites a la Geometra de los Discos IDE . . . . . . . . . . . . . . . . . . . 6 2.3 Problemas Causados por Lmites a la Geometra de los Discos IDE . . . . . 7 2.4 Particiones del Disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.5 Utilizacion de las Particiones . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.5.1 DOS, Windows 95, 98 y NT . . . . . . . . . . . . . . . . . . . . . . . 10 2.5.2 Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.6 Utilizacion de los Discos en el Laboratorio de Practicas . . . . . . . . . . . 10 3 Usuarios y Proteccion en Linux 13 3.1 La Tabla de Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2 La Extension de la Tabla de Usuarios . . . . . . . . . . . . . . . . . . . . . 14 3.3 La Tabla de Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 i INDICE GENERAL ii 3.4 Procedimientos para la Creacion de Grupos y Usuarios . . . . . . . . . . . . 15 3.5 Atributos de Proteccion de los Procesos . . . . . . . . . . . . . . . . . . . . 16 3.6 Atributos de Proteccion de los Ficheros . . . . . . . . . . . . . . . . . . . . 16 3.7 Las Reglas de Proteccion Basicas . . . . . . . . . . . . . . . . . . . . . . . . 18 3.8 Cambio de Atributos de Proteccion en Ficheros . . . . . . . . . . . . . . . . 18 3.9 Los Bits SETUID y SETGID en Ficheros Ejecutables . . . . . . . . . . . . 19 3.10 El bit SETGID en Directorios . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.11 La Mascara de Creacion de Ficheros . . . . . . . . . . . . . . . . . . . . . . 20 3.12 La Estrategia de los Grupos Privados . . . . . . . . . . . . . . . . . . . . . . 20 3.13 Sintaxis y Funcionamiento de los Mandatos Unix Relacionados . . . . . . . 21 4 Usuarios y Proteccion en Windows NT 25 4.1 Conceptos de Usuario y de Cuenta de Usuario . . . . . . . . . . . . . . . . . 25 4.2 Grupos de Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4.3 Permisos y Derechos (o Privilegios) . . . . . . . . . . . . . . . . . . . . . . . 28 4.4 Asignacion de Permisos a Archivos y Directorios . . . . . . . . . . . . . . . 30 4.5 Mandatos NT para la creacion de usuarios y grupos . . . . . . . . . . . . . 33 5 Dominios en Windows NT 35 5.1 Concepto de Dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 5.2 Usuarios y Grupos en un Domino . . . . . . . . . . . . . . . . . . . . . . . . 37 5.3 Ordenadores Miembros de un Dominio . . . . . . . . . . . . . . . . . . . . . 39 5.4 Comparticion de Recursos entre Sistemas NT . . . . . . . . . . . . . . . . . 39 5.5 Conanzas entre Dominios NT . . . . . . . . . . . . . . . . . . . . . . . . . 41 5.6 Mandatos NT para compartir recursos . . . . . . . . . . . . . . . . . . . . . 43 6 Niveles de ejecucion en Linux 45 6.1 Inicio y Detencion de un Sistema Linux . . . . . . . . . . . . . . . . . . . . 45 6.2 El Concepto de Nivel de Ejecucion . . . . . . . . . . . . . . . . . . . . . . . 45 6.3 Ficheros y Directorios de Conguracion de los Niveles de Ejecucion . . . . . 47 6.4 Secuencia de Arranque de un Sistema Linux . . . . . . . . . . . . . . . . . . 47 c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV INDICE GENERAL iii 6.5 Secuencia de Entrada en un Nivel de Ejecucion . . . . . . . . . . . . . . . . 48 6.6 Conguracion de los Niveles de Ejecucion . . . . . . . . . . . . . . . . . . . 49 7 Montaje de Dispositivos en Linux 51 7.1 Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 7.2 Utilizacion Basica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 7.3 La tabla de Montaje de Dispositivos . . . . . . . . . . . . . . . . . . . . . . 52 7.4 Montaje de directorios remotos va NFS . . . . . . . . . . . . . . . . . . . . 54 7.5 Otros mandatos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . 54 8 Dominios en Linux 55 8.1 Concepto de Dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 8.2 Network Information System (NIS) . . . . . . . . . . . . . . . . . . . . . . . 55 8.2.1 Instalacion de los Componentes NIS Server . . . . . . . . . . . . . . 56 8.2.2 Conguracion del Servidor de NIS . . . . . . . . . . . . . . . . . . . 56 8.2.3 Conguracion del Cliente de NIS . . . . . . . . . . . . . . . . . . . . 57 8.3 Network File System (NFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 8.3.1 Como Funciona NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 8.3.2 Instalacion y Conguracion del Cliente NFS . . . . . . . . . . . . . . 59 8.3.3 Instalacion y Conguracion del Servidor NFS . . . . . . . . . . . . . 60 9 Conguracion de Samba 63 9.1 >Que es samba? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 9.2 Instalacion de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 9.3 Conguracion de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 9.4 Instalacion y Conguracion de swat . . . . . . . . . . . . . . . . . . . . . . 66 9.5 Niveles de Seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 9.6 Conguracion de Samba con el Nivel de Seguridad domain . . . . . . . . . . 68 9.7 Tratamiento de los Accesos como Invitado . . . . . . . . . . . . . . . . . . . 69 9.8 El Sistema de Ficheros SMB para Linux . . . . . . . . . . . . . . . . . . . . 70 9.9 Opciones del Servidor Samba . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 INDICE GENERAL iv 9.10 Opciones del Recurso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 10 Servicio de Nombres de Internet de Windows 73 10.1 Descripcion Basica de WINS . . . . . . . . . . . . . . . . . . . . . . . . . . 73 10.2 Servidores de Duplicacion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 10.3 El Proceso de Registro, Renovacion y Liberacion . . . . . . . . . . . . . . . 76 10.4 El Proceso de Resolucion de Nombres . . . . . . . . . . . . . . . . . . . . . 77 10.5 Instalacion del Servidor y de los Clientes WINS en NT . . . . . . . . . . . . 77 11 Servicio DHCP en Windows NT 79 11.1 Descripcion Basica de DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . 79 11.2 Concepto de Ambito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 11.3 Instalacion del Servidor y de los Clientes DHCP en NT . . . . . . . . . . . 81 11.4 El Administrador DHCP de NT . . . . . . . . . . . . . . . . . . . . . . . . . 82 11.5 La Utilidad ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 ANEXOS c Agust n Espinosa, Andr es Terrasa, 2001 85 Administraci on de Sistemas, DSIC, UPV Indice de Figuras 5.1 Ejemplo de relacion de conanza entre dominios NT. . . . . . . . . . . . . . 42 6.1 Editor de niveles de ejecucion (panel de control) de RedHat linux. . . . . . 49 9.1 Fichero /etc/smb.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 10.1 Servidores de Insercion y Extraccion en WINS. . . . . . . . . . . . . . . . . 76 11.1 Ejemplo de la utilidad ipconfig. . . . . . . . . . . . . . . . . . . . . . . . . 83 v Indice de Tablas 4.1 Derechos iniciales y habilidades preinstaladas de los gruos en NT . . . . . . 29 4.2 Permisos estandar sobre directorios en Windows NT . . . . . . . . . . . . . 31 4.3 Permisos estandar sobre archivos en Windows NT . . . . . . . . . . . . . . 32 5.1 Diferencias entre grupos globales y locales en Windows NT . . . . . . . . . 38 6.1 Niveles de ejecucion en RedHat Linux. . . . . . . . . . . . . . . . . . . . . . 46 7.1 Principales tipos de particiones utilizables desde Linux. . . . . . . . . . . . 52 7.2 Interpretacion del chero /etc/fstab. . . . . . . . . . . . . . . . . . . . . . 53 7.3 Opciones mas comunes en el montaje de dispositivos en Linux. . . . . . . . 54 8.1 Opciones mas usuales en la exportacion de directorios mediante NFS. . . . 61 9.1 Secciones globales en el chero /etc/smb.conf. . . . . . . . . . . . . . . . . 66 9.2 Principales opciones de la seccion [global] de Samba. . . . . . . . . . . . . 71 9.4 Principales opciones de recurso de Samba. . . . . . . . . . . . . . . . . . . . 72 vii Cap tulo 1 Introduccion Indice General 1.1 1.2 1.3 1.4 1.5 Profesorado Programa . Evaluacion . Horarios . . Pagina Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Profesorado Agustn Espinosa Minguet ([email protected]) Andres Terrasa Barrena ([email protected]) Alvaro Alvarez Rodrguez ([email protected]) 1.2 Programa 1) Instalacion de RedHat Linux. 2) Instalacion de Windows NT. 3) Seguridad y Proteccion en RedHat Linux. 4) Seguridad y Proteccion en Windows NT. 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 2 2 3 2 Introduccion 5) Dominios y Sistemas de Archivos en Red en Unix. 6) Dominios y Sistemas de Archivos en Red en Windows NT. 7) Interoperatividad entre Unix y Windows NT (Samba). 8) Conguracion de la red en Windows NT (Enrutamiento, Wins, DHCP). 9) Conguracion de la red en RedHat Linux (Enrutamiento, DNS). 10) Servidores de correo. 1.3 Evaluacion a) Convocatoria Ordinaria Actividad de laboratorio 70%. { Cada no asistencia a practicas resta un 10% de la nota de practicas. { Cada practica es evaluada con calicacion al grupo de Suspenso, Notable o Sobresaliente. { Deben aprobarse las practicas para aprobar la asignatura. Examen escrito 30% { Debe aprobarse el examen escrito para aprobar la asignatura b) Convocatoria Extraordinaria Examen escrito 30% Recupera el examen escrito de la convocatoria ordinaria. S olo pueden presentarse aquellos alumnos que hayan aprobado las practicas en la convocatoria ordinaria. 1.4 Horarios Teor a CSO Da Hora Aula Profesor Miercoles Jueves De 15 a 17 De 8:30 a 10:30 Aula 2.3 Facultad Aula 2.3 Facultad Andres Terrasa Andres Terrasa Martes Viernes Viernes Viernes De De De De Laboratorio CSO 15 10 10 15 a a a a 17 12 12 17 c Agust n Espinosa, Andr es Terrasa, 2001 Laboratorio 4 Laboratorio 4 Laboratorio 4 Laboratorio 4 DSIC DSIC DSIC DSIC Andres Terrasa Agustn Espinosa Agustn Espinosa Agustn Espinosa Administraci on de Sistemas, DSIC, UPV 3 1.5 Pagina Web Teor a AUW Da Hora Aula Profesor Lunes Miercoles De 10 a 12 De 12:30 a 14:30 Aula B-5 Escuela Aula B-5 Escuela Agustn Espinosa Agustn Espinosa Laboratorio AUW Martes Jueves Viernes Viernes De De De De 17 a 19 10:30 a 12:30 17 a 19 19 a 21 Laboratorio 4 Laboratorio 4 Laboratorio 4 Laboratorio 4 DSIC DSIC DSIC DSIC Andres Terrasa Andres Terrasa Alvaro Alvarez Alvaro Alvarez 1.5 Pagina Web http://www.dsic.upv.es/asignaturas/facultad/cso Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Cap tulo 2 Los Discos Duros Indice General 2.1 Geometra del Disco . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Lmites a la Geometra de los Discos IDE . . . . . . . . . . . . 2.3 Problemas Causados por Lmites a la Geometra de los Discos IDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Particiones del Disco . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Utilizacion de las Particiones . . . . . . . . . . . . . . . . . . . 2.5.1 2.5.2 . . 5 6 . . . 7 8 9 DOS, Windows 95, 98 y NT . . . . . . . . . . . . . . . . . . . . . Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 10 2.6 Utilizacion de los Discos en el Laboratorio de Practicas . . . . 10 2.1 Geometra del Disco Los discos duros son el medio de almacenamiento masivo y permanente por excelencia en los ordenadores. Existen dos grandes grupos de discos en funcion de su interfaz con el ordenador, IDE y SCSI. En esencia, ambos grupos son equivalentes, salvo en aspectos de rendimiento, abilidad y precio. Dieren, eso s, en las limitaciones que el software de sistemas ha impuesto de forma articial a los discos IDE en el mundo de los PCs. Un disco almacena su informacion en uno o mas platos, disponiendo de una cabeza lectora para cada una de las dos caras del plato (aunque en algunas ocasiones una cara no es utilizada). Cada cara esta dividida en varios anillos concentricos, denominados pistas. Esta division es debida a que el plato gira sobre su eje, y la cabeza lectora se desplaza longitudinalmente hacia o desde el eje. A su vez, cada pista esta subdividida en sectores, todos ellos de igual capacidad, 512 bytes en la gran mayora de los casos. Todos los platos 5 6 Los Discos Duros de un disco estan unidos y tambien lo estan entre si las cabezas lectoras. El conjunto de pistas que se encuentran bajo todas las cabezas lectoras recibe el nombre de cilindro. Resumiendo, la capacidad de un disco puede describirse indicando su numero de cilindros, cabezales y sectores por pista. Por ejemplo, un disco con 4096 cilindros, 16 cabezales y 63 sectores por pista alberga un total de: 4096 x 16 x 63 = 4.128.768 sectores de 512 bytes = 2.113.929.216 bytes = 2.064.384 Kbytes = 2.016 Mbytes = 1'96875 Gbytes. Hay que tener en cuenta que el fabricante del disco dira que su disco tiene 211 Gbytes. Los fabricantes de discos asumen que un Gbyte equivale a mil millones de bytes, no a 230 bytes. Por cierto, los nuevos estandares dan la razon a los fabricantes, y nos indican que deberamos utilizar los nuevos terminos Kibytes, Mibytes, Gibytes para expresar las correspondientes potencias de 2. Sin embargo, en este documento no vamos a utilizar este estandar. 2.2 Lmites a la Geometra de los Discos IDE Existen diferentes lmites a la geometra descrita que han sido impuestos (articialmente) por el hardware o el software. Los mas importantes son los siguientes: a) La especicacion ATA (127'5 Gbytes). Se calcula como: 65536 cilindros * 16 cabezales * 256 sectores por pista. En el momento de escribir estas lneas, este lmite aun no se ha alcanzado, pero ya estan a la venta discos IDE de mas de 30 Gbytes, as que no andamos muy lejos. b) La limitacion de las rutinas de disco \clasicas" de la BIOS (7,84 Gbytes). Se calcula como: 1024 cilindros * 255 cabezales * 63 sectores por pista. Esta es una seria limitacion para el software que requiere de la BIOS para acceder al disco, como, por ejemplo, el ancestral sistema DOS y LILO, el cargador por excelencia del sistema operativo Linux. c) La limitacion conjunta de las dos anteriores (504 Mbytes). En este caso, su calculo es de: 1024 cilindros * 16 cabezales * 63 sectores por pista. Es decir, como un disco no puede tener mas de 16, cabezales, la limitacion de la BIOS se limita aun mas al pasar de 255 cabezales (BIOS) a 16 cabezales (ATA). c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 2.3 Problemas Causados por Lmites a la Geometra de los Discos IDE 7 La aparicion de discos de mas de 504 Mb, con mas de 1024 cilindros, causo serios problemas, ya que millones de ordenadores con DOS instalado no podan utilizarlos directamente. Las BIOS fueron modicadas y se invento el truco de la traduccion de direcciones conocida como LBA (o Logical Block Addressing). La BIOS informa al sistema que el disco tiene menos de 1024 cilindros. Cuando el sistema accede al disco, la BIOS realiza la traduccion y accede al lugar correcto. Para llorar. Las BIOS incorporaron tambien nuevas rutinas de acceso al disco distintas de las \clasicas" para acceder a los discos grandes, con mas de 1024 cilindros en modo LBA. Un ejemplo de traduccion podra ser: Disco real: 20.928 cilindros, 16 cabezales, 63 sectores por pista. Disco con LBA: 1.313 cilindros, 255 cabezales, 63 sectores por pista. 2.3 Problemas Causados por Lmites a la Geometra de los Discos IDE Estas limitaciones en los discos tpicos para PC han ocasionado limitaciones en algunos sistemas operativos. A continuacion se revisan los sistemas mas populares: a) DOS, Windows 3.x, Windows 95, Windows NT 3.x. DOS utiliza las rutinas \clasicas" de la BIOS para acceder al disco. Por tanto, DOS no puede utilizar mas de 1024 cilindros. El modo LBA es imprescindible y el tama~no maximo de disco soportado, tal como se ha explicado anteriormente, es de 7'84 Gbytes. Los sistemas Windows que aparecieron a continuacion heredaron esta restriccion de DOS por motivos de compatibilidad. b) Windows 95 OSR2, Windows 98. No tienen ningun problema. No utilizan las rutinas clasicas de la BIOS y por tanto pueden utilizar mas de 1024 cilindros. c) Linux. A partir de los nucleos 2.0.34 y 2.2.* Linux puede acceder sin problemas a discos con mas de 1024 cilindros LBA. Los nucleos anteriores no utilizaban la BIOS, pero entendan que era un error que un disco informase mas de 1024 cilindros LBA. No obstante, LILO, el cargador de Linux, utiliza las rutinas clasicas de la BIOS (Linux aun no esta en funcionamiento), con lo cual LILO no puede funcionar si el nucleo de Linux a cargar reside todo o en parte a partir de los 1024 cilindros. La estrategia para que LILO no cause problemas es simple. Hay que hacer que el chero que contiene el codigo del nucleo de Linux (/boot/vmlinuz generalmente) resida completamente en cilindros anteriores al 1024. Esto puede conseguirse instalando la particion raz de Linux antes del cilindro 1024 o creando una particion peque~na (unos 10 Mbytes es suciente) que contenga el directorio /boot, y haciendo que sea esta la particion que resida antes de los 1024 cilindros. d) Windows NT 4.0. Este sistema tiene soporte para discos grandes desde su aparicion. No obstante, el proceso de instalacion de NT esta basado en DOS, con lo cual, la particion donde reside NT debe estar antes de la barrera de los 1024 cilindros. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 8 Los Discos Duros En resumen, en nuestros das aun seguimos atados a las restricciones que impuso el dise~no original de la BIOS. Es de esperar que LILO sea modicado y Windows 2000 (sucesor de Windows NT) disponga de un mecanismo de instalacion que no dependa de DOS. Hasta entonces, el modo LBA debe seguir siendo utilizado salvo que en el ordenador vaya a utilizarse tan solo Windows 98 (y, >quien quiere tener solo eso?). 2.4 Particiones del Disco En el primer sector de un disco duro reside el denominado MBR (o Master Boot Record). En estos 512 bytes residen el codigo inicial de carga del sistema operativo, la tabla de particiones primarias y la rma del disco. El codigo de carga mas frecuente es el que dene el sistema operativo DOS, el cual se encarga de buscar la particion de arranque, cargar en memoria el primer sector de dicha es el metodo utilizado por todos los sistemas operativos particion y cederle el control. Este de Microsoft. Este codigo de carga puede recuperarse (reinstalarse) con el mandato DOS FDISK /MBR, el cual deja intacta la tabla de particiones. Otro codigo de carga bastante utilizado es LILO (mejor dicho, la primera fase de dicho cargador). Es mas complejo y exible que el codigo de carga de DOS, y utiliza la informacion que reside en el directorio /boot de Linux para determinar que sistema operativo debe cargarse. Existen otros codigos de carga con funcionamientos muy diversos, pero hoy en da son escasamente utilizados. Para restaurar (reinstalar) este codigo de arranque, basta con ejecutar el mandato Linux lilo, el cual utiliza el chero /etc/lilo.conf para congurar el mecanismo de carga de LILO. El codigo de carga se utiliza tan solo en el disco principal del sistema (es decir, el disco maestro del interfaz IDE primario). Hay BIOS que permiten arrancar de otros discos duros, pero generalmente aparecen numerosos problemas al utilizar esta opcion. La tabla de particiones esta formada por cuatro entradas, donde cada una de ellas describe una potencial particion primaria. Los detalles de cada entrada son algo oscuros, y su utilizacion vara sensiblemente de un sistema operativo a otro. No obstante, simplicando un poco, cada entrada indica, para la particion que describe, la siguiente informacion: El sector del disco donde comienza. Su tama~ no. Si es una partici on de arranque (activa). Su tipo. DOS, Windows 3.x y Windows 95 representan el inicio de la particion utilizando la tripleta <cilindro,cabezal,sector>, con lo cual el tama~no maximo de una particion es de 7'84 Gbytes (debido a la limitacion de los 1024 cilindros). El resto de sistemas c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 9 2.5 Utilizacion de las Particiones representan el inicio de la particion indicando cual es el sector logico donde comienza (viendo al disco como un vector de sectores logicos). Estos sistemas utilizan una palabra de 32 bits, lo que permite 232 sectores, equivalente a 2 Tbytes (2 x 1024 Gbytes). En este caso, aun estamos algo lejos de disponer de discos de estas caractersticas. El indicador de particion de arranque es utilizado tan solo por el codigo de carga de DOS. Linux ignora por completo esta informacion. Existen numerosos tipos de particiones, en funcion de su utilizacion o de su organizacion interna (establecida por el sistema operativo que la dena). Existe una convencion que establece el identicador de cada tipo de particion como un numero concreto en hexadecimal. La siguiente tabla expone los tipos de particiones mas habituales: Tipo Uso Limitacion 0 Particion vaca { 5 Particion extendida 1024 cilindros (7'84 Gbytes) 6 DOS FAT 16 2 Gbytes 7 OS2 o NTFS 2 Tbytes b Windows 95 FAT 32 2 Tbytes f Extendida Windows 95 2 Tbytes 80 Old Minix { 82 Linux swap { 83 Linux native 2 Tbytes Una particion extendida es un contenedor para otras particiones, a las cuales se les denomina particiones logicas. Solo una de las particiones primarias puede declararse como extendida. La representacion de las unidades logicas se realiza utilizando una lista enlazada que reside dentro de la particion extendida, por lo que no hay lmite en cuanto al numero de particiones logicas que se pueden crear. La particion extendida convencional ha tenido que ser cambiada por la nueva particion extendida Windows 95, ya que la primera no puede abarcar discos mayores de 7'84 Gbytes. 2.5 Utilizacion de las Particiones A continuacion se muestra a que tipos de particiones pueden acceder los distintos sistemas operativos. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 10 Los Discos Duros 2.5.1 DOS, Windows 95, 98 y NT Todos estos sistemas requieren una particion primaria en el disco principal marcada como de arranque para poder ser instalados. Ademas, presentan las siguientes caractersticas: En el caso de la familia Windows, pueden emplearse conjuntamente a la anterior particiones logicas ubicadas en cualquier disco o particiones primarias que residan en un disco no principal. Todos estos sistemas pueden acceder a particiones FAT16. Windows NT no puede acceder a particiones FAT32. Una consecuencia importante de esta restriccion es que Windows NT no puede ser instalado en un ordenador en el cual la particion primaria de arranque sea de tipo FAT32. DOS y Windows 95 no pueden acceder tampoco a particiones FAT32, las cuales s olo pueden ser utilizadas por Windows 95 OSR2 y Windows 98. DOS y Windows 9x no pueden acceder a particiones NTFS. 2.5.2 Linux Este sistema requiere al menos una particion de tipo Linux native para poder ser instalado. Esta particion puede ser primaria o logica y residir en cualquier disco; en esta particion residira el sistema de archivos raz (/). La particion de tipo Linux swap es necesaria si se requiere area de intercambio en disco; en este caso, pueden emplearse varias, ser logicas o primarias y residir en cualquier disco. La particion del sistema de archivos raz debe estar ntegramente ubicada antes del cilindro 1024 si se va a utilizar LILO. De no ser esto posible (o conveniente), puede crearse otra particion para que albergue al directorio /boot, la cual basta que tenga 10 Mbytes, y crearla antes del cilindro 1024. Linux puede acceder a particiones FAT16 y FAT32. El acceso a particiones NTFS es posible solo para lectura. 2.6 Utilizacion de los Discos en el Laboratorio de Practicas Los ordenadores del laboratorio de practicas disponen de dos discos, uno principal e interno y otro secundario y extrable. En el disco principal residen los sistemas Windows 98 y Linux utilizados en las practicas convencionales, siendo LILO el encargado de arrancar ambos sistemas. El disco extrable se utiliza exclusivamente en esta asignatura, y en el, tras las primeras sesiones de laboratorio, residiran varios sistemas Linux y Windows NT. El disco extrable tiene 10 Gbytes, con un total de 1313 cilindros en modo LBA. Esto supone algunos problemas para las instalaciones de NT y Linux, tal como se ha expuesto anteriormente en este documento. Como solucion se ha optado por instalar NT c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 11 2.6 Utilizacion de los Discos en el Laboratorio de Practicas en particiones ubicadas antes de los 1024 cilindros y utilizar la particion /boot para la instalacion de Linux. Cada grupo de laboratorio requiere cuatro particiones para instalar NT y Linux: FAT16 (NT), Linux swap, Linux native (raz) y otra Linux native (/boot). Dado que hasta siete grupos pueden utilizar el mismo ordenador, se requieren en total 32 particiones en cada disco extrable (o 25, si tenemos en cuenta que la particion Linux swap puede ser compartida). Aunque es factible crear tal numero de particiones en un disco, se ha observado que la instalacion de Linux no esta preparada para esta cifra. En cualquier caso, tambien resulta confusa la utilizacion de un disco particionado de este modo. Para solventar este problema, se ha escogido otra estrategia, la cual consiste en crear una tabla de particiones \a medida" cada vez que se inicia una sesion de practicas. Dicha tabla de particiones contiene tan solo las cuatro particiones necesarias, todas ellas primarias. La utilidad activa-hdc, instalada en el sistema Linux del disco principal, se encarga de crear esta tabla de forma que no se solapen particiones entre distintos turnos de practicas. Otro aspecto a destacar es relativo a la instalacion de Windows NT. Tal como se ha comentado, NT requiere utilizar la particion activa. En la particion activa de los ordenadores del laboratorio reside el sistema Windows 98 utilizado por las practicas convencionales, por lo cual no puede ser utilizada. Para poder instalar Windows NT es necesario \crear" una particion activa diferente, para lo cual existe una particion oculta en el disco principal (de tipo 80, Old Minix). Antes de la instalacion de NT, esta particion es convertida a FAT 16 y hecha activa, pasando la verdadera particion activa a ocultarse cambiando su tipo a Old Minix. Adicionalmente, la instalacion de Windows NT requiere el codigo de carga estandar de DOS en el MBR, y, en cambio, el codigo de carga utilizado actualmente es LILO. Por tanto, LILO debe ser sustituido antes de la instalacion de Window NT por el codigo de carga estandar. Una vez nalizada la instalacion de Windows NT debe recuperarse la situacion original, tras lo que se pierde la posibilidad de arrancar Windows NT desde disco duro, por lo que es necesario generar un disquete de arranque mientras se tiene acceso todava al sistema Windows NT instalado. Los documentos de instalacion de NT detallan los procedimientos a seguir para realizar estos cambios. Por contra, la instalacion de Linux puede realizarse mas facilmente, ya que no se requiere de la particion activa y la propia instalacion puede generar un disquete de arranque. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Cap tulo 3 Usuarios y Proteccion en Linux Indice General 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 La Tabla de Usuarios . . . . . . . . . . . . . . . . . . . . . . . . . La Extension de la Tabla de Usuarios . . . . . . . . . . . . . . . La Tabla de Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . Procedimientos para la Creacion de Grupos y Usuarios . . . . Atributos de Proteccion de los Procesos . . . . . . . . . . . . . . Atributos de Proteccion de los Ficheros . . . . . . . . . . . . . . Las Reglas de Proteccion Basicas . . . . . . . . . . . . . . . . . . Cambio de Atributos de Proteccion en Ficheros . . . . . . . . . Los Bits SETUID y SETGID en Ficheros Ejecutables . . . . . El bit SETGID en Directorios . . . . . . . . . . . . . . . . . . . . La Mascara de Creacion de Ficheros . . . . . . . . . . . . . . . . La Estrategia de los Grupos Privados . . . . . . . . . . . . . . . Sintaxis y Funcionamiento de los Mandatos Unix Relacionados 13 14 15 15 16 16 18 18 19 19 20 20 21 3.1 La Tabla de Usuarios Los usuarios de un sistema Unix son registrados en un chero denominado /etc/passwd. Cada lnea corresponde a un usuario y describe los atributos del mismo. Los atributos son separados por el caracter `:'. Por ejemplo, dada la siguiente lnea del chero /etc/passwd, a continuacion se describe cada elemento de la misma: usu1:$1$ZtoHwEykKW/eCLHzSUigg5KAEyxa51:1002:2000:Usuario 1:/home/usu1: /bin/bash 13 14 Usuarios y Proteccion en Linux Elemento Signicado usu1 $1$ZtoHwEykKW/eCLH zSUigg5KAEyxa51 1002 2000 Nombre del usuario. Contrase~na cifrada. Usuario 1 /home/usu1 /bin/bash Identicador del usuario (UID). Indenticador del grupo primario al que pertenece el usuario (GID). Descripcion del usuario. Directorio de conexion inicial del usuario. Programa interprete de ordenes (shell). 3.2 La Extension de la Tabla de Usuarios Ademas de la tabla de usuarios descrita en el apartado anterior, en la mayora de sistemas Unix actuales se utiliza otra tabla, contenida en el chero /etc/shadow, en la que se almacena informacion adicional para los usuarios. Cada lnea de dicho chero corresponde a una lnea del chero /etc/passwd y la informacion que contiene es la siguiente (de acuerdo con el ejemplo anterior): usu1:$1$ZtoHwEykKW/eCLHzSUigg5KAEyxa51:10989:0:99999:7:-1:-1:134538436 Elemento Signicado usu1 $1$ZtoHwEykKW/eC LHzSUigg5KAEyxa51 10989:0:99999:7: -1:-1:134538436 Nombre del usuario. Contrase~na cifrada. Informacion de caducidad de la contrase~na. Cuando el sistema emplea esta tabla, la contrase~na almacenada en el chero /etc/passwd se sustituye por una `x'. Dado que el chero /etc/passwd es legible por todos los usuarios mientras que /etc/shadow solo es legible por el administrador, mediante este cambio se consigue que ningun usuario tenga acceso a las contrase~nas cifradas. La informacion de caducidad de la contrase~na esta expresada en das, siendo su utilizacion e interpretacion compleja en algunos casos. Por este motivo, para modicar y consultar esta informacion no se recomienda en general trabajar directamente con el chero /etc/shadow, sino utilizar herramientas administrativas especcas, ya sea en forma de mandatos o mediante aplicaciones gracas. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 15 3.3 La Tabla de Grupos 3.3 La Tabla de Grupos Los grupos de un sistema Unix son registrados en un chero denominado /etc/group. Cada lnea corresponde a un grupo y describe los atributos del mismo. Los atributos son separados por el caracter `:' y su signicado se describe mediante el siguiente ejemplo: proy1::65534:usu1,usu2,usu3 Elemento Signicado proy1 Nombre del grupo. Contrase~na cifrada (vaca en el ejemplo). Esta contrase~na permite a un usuario cambiar de grupo primario si se conoce esta contrase~na. Esta funcionalidad esta en desuso. Identicador del grupo (GID). Lista de usuarios que pertenecen a este grupo. 65534 usu1,usu2,usu3 Como se deduce del ejemplo, un usuario puede gurar en la lista de distintos grupos, es decir, puede pertenecer a varios grupos. De todos esos grupos, aquel cuyo GID gura en la entrada correspondiente al usuario en el chero /etc/passwd se considera el grupo primario de dicho usuario. El resto de grupos se denominan grupos suplementarios. 3.4 Procedimientos para la Creacion de Grupos y Usuarios En la mayora de sistemas Unix System V pueden emplearse los siguientes mandatos para la gestion de usuarios y grupos: Mandato Uso useradd userdel usermod groupadd groupdel groupmod passwd chage A~nadir un usuario. Eliminar un usuario. Modicar los atributos de un usuario. A~nadir un grupo. Eliminar un grupo. Modicar los atributos de un grupo. Cambiar la contrase~na de un usuario. Gestionar la caducidad de la contrase~na. Estos mandatos son especialmente utiles cuando la gestion de usuarios debe realizarse Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 16 Usuarios y Proteccion en Linux desde scripts del shell, por ejemplo, cuando debe crearse una gran cantidad de usuarios de forma automatica. La sintaxis y opciones mas usuales de estos mandatos se citan en la Seccion 3.13, al nal de este captulo. Adicionalmente, cada vez es mas frecuente la disponibilidad de herramientas gracas que facilitan la labor del administrador. El programa linuxconf es el mas recomendable en entornos Linux, dado el amplio abanico de actividades administrativas que cubre. 3.5 Atributos de Proteccion de los Procesos Los atributos de un proceso que intervienen en el mecanismo de proteccion son: a) Identicadores del usuario propietario del proceso (rUID, eUID). La version real |rUID| corresponde al usuario que creo al proceso. La version efectiva | eUID| corresponde al usuario bajo el cual se comporta el proceso y es el utilizado en el mecanismo de proteccion. Ambos identicadores suelen ser iguales, salvo que intervenga el denominado bit SETUID en el chero ejecutable que esta ejecutando el proceso, tal como se describe mas adelante en este documento (ver Seccion 3.9). b) Identicadores del grupo propietario del proceso (rGID, eGID). La version real {rGID| corresponde al grupo primario al que pertenece el usuario que creo el proceso. La version efectiva |eGID| corresponde al grupo bajo el cual se comporta el proceso y es el utilizado en el mecanismo de proteccion. Ambos identicadores suelen ser iguales, salvo que intervenga el denominado bit SETGID en el chero ejecutable que esta ejecutando el proceso, tal como se describe mas adelante en este documento (ver Seccion 3.9). c) Lista de grupos suplementarios. Es la lista formada por los grupos suplementarios del usuario que creo el proceso. Estos atributos son asignados al proceso en el momento de su creacion, y heredados de su proceso padre. Cada usuario conectado a un sistema Unix posee un proceso de atencion denominado shell, el cual es el padre de todos los procesos que el usuario genera. Este proceso shell recibe sus atributos no por herencia, sino en el momento en el que un usuario se acredita al sistema mediante su nombre de usuario y contrase~na asociada. Los atributos rUID y rGID se extraen de la tabla de usuarios /etc/passwd. La lista de grupos suplementarios es confeccionada a partir de la tabla de grupos /etc/group. Los atributos eUID y eGID son asignados a los valores respectivos de rUID y rGID. Un mandato interesante al respecto es id, el cual muestra todos estos atibutos. 3.6 Atributos de Proteccion de los Ficheros Los atributos de un chero que intervienen en el mecanismo de proteccion son: c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 17 3.6 Atributos de Proteccion de los Ficheros OwnerUID. Identicador del usuario propietario del chero. b) OwnerGID. Identicador del grupo propietario del chero. a) c) Bits de permiso. Un total de 12 bits que expresan las operaciones del chero que son permitidas en funcion del proceso que acceda a este chero. En la tabla a continuacion se muestra el signicado de cada bit de permiso. Bit Signicado 11 10 9 8 7 6 5 4 3 2 1 0 SETUID. SETGID. Sticky. Lectura para el propietario. Escritura para el propietario. Ejecucion para el propietario. Lectura para el grupo propietario. Escritura para el grupo propietario. Ejecucion para el grupo propietario. Lectura para el resto de usuarios. Escritura para el resto de usuarios. Ejecucion para el resto de usuarios. Los bits SETUID y SETGID son tratados en apartados posteriores. El signicado de los bits de lectura, escritura y ejecucion es diferente en funcion del tipo de archivo que los dena. Para cheros regulares, su signicado es el esperable (permiten leer, modicar o ejecutar el chero). Evidentemente, el bit de ejecucion solo tiene sentido si el chero es un ejecutable o contiene un shellscript. En un directorio, su signicado es el siguiente: a) Lectura. Puede listarse el contenido del directorio. b) Escritura. Permite la creacion, eliminacion o renombrado de cheros o directorios dentro del directorio al cual se aplica este bit. c) Ejecucion. Permite la utilizacion del directorio al cual se aplica este bit para formar parte de un nombre de ruta, es decir, puede utilizarse el directorio para nombrar un chero. De lo anteriormente expuesto, puede observarse que no existe un bit de permiso especco para el borrado de un chero/directorio. Dicho permiso es controlado realmente Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 18 Usuarios y Proteccion en Linux desde el directorio donde reside el chero que quiere eliminarse. En algunos sistemas, el bit sticky es utilizado para modicar la regla de eliminacion de cheros: si se activa en un directorio, un usuario puede borrar un chero en el solo si es el propietario de dicho chero. El ownerUID puede modicarse con el mandato chown. El ownerGID puede modicarse con el mandato chgrp. Los bits de permiso pueden modicarse con el mandato chmod. Todos estos mandatos se describen en la Seccion 3.13. 3.7 Las Reglas de Proteccion Basicas Las reglas de proteccion basicas se activan cuando un proceso notica al sistema que desea utilizar un determinado chero. El proceso tambien notica al sistema que tipo de operacion u operaciones quiere realizar: lectura, escritura o ejecucion. Las reglas son: Si el eUID del proceso es 0 se concede el permiso (estamos en el caso en el que el proceso pertenece al superusuario). Si no. . . Si el eUID del proceso es igual al ownerUID del chero, se autoriza la operacion si esta permitida en el grupo de bits 6 al 8, los que corresponden al propietario. Si no. . . Si el eGID del proceso o alguno de los grupos suplementarios del proceso es igual al ownerGID del chero, se autoriza la operacion si esta permitida en el grupo de bits 3 al 5, los que corresponden al grupo. Si no. . . En cualquier otro caso, se autoriza la operacion si est a permitida en el grupo de bits 0 al 2, los que corresponden al resto de usuarios. Debe notarse que solo se aplica una regla, aquella que corresponde a la primera condicion que se cumple para los atributos del proceso. Es decir, el sistema determina primero que grupo de tres bits debe aplicar y despues autoriza (o deniega) la operacion en funcion del tipo de operacion requerida y del estado de dichos tres bits. 3.8 Cambio de Atributos de Proteccion en Ficheros Unix establece unas reglas de proteccion especcas para controlar los cambios de cualquier atributo de proteccion de un chero, dado que dichas modicaciones se consideran operaciones distintas de la de escritura, y por tanto no pueden ser concedidas/denegadas en funcion de los bits de permiso del chero. En concreto, las reglas establecidas al respecto son las siguientes: c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 19 3.9 Los Bits SETUID y SETGID en Ficheros Ejecutables a) Cambio en los bits de permiso. Un proceso puede cambiar los bits de permiso de un chero solo si: el eUID del proceso es 0 (estamos en el caso en el que el proceso pertenece al superusuario), o bien el eUID del proceso es igual al ownerUID del chero. Es decir, solo el superusuario o el popietario de un chero pueden modicar sus bits de permiso. b) Cambio en el propietario. El cambio de propietario de un chero puede realizarlo tan solo el superusuario. c) Cambio de grupo propietario. El cambio del grupo propietario de un chero puede realizarse solo si: lo realiza el superusuario, o bien el nuevo grupo propietario del chero es igual a alguno de los grupos del usuario que realiza el cambio de grupo y este usuario es el propietario del chero. 3.9 Los Bits SETUID y SETGID en Ficheros Ejecutables Estos bits se emplean para permitir que un programa se ejecute bajo los privilegios de un usuario distinto al que lanza la ejecucion del programa. Su funcionamiento es el siguiente: Si el chero ejecutable tiene el bit SETUID activo, el eUID del proceso que ejecuta el chero es hecho igual al ownerUID del chero. Si el chero ejecutable tiene el bit SETGID activo, el eGID del proceso que ejecuta el chero es hecho igual al ownerGID del chero. Normalmente estos programas pertenecen al superusuario, y permiten a los usuarios ejecutar tareas privilegiadas bajo ciertas condiciones. El cambio de la contrase~na de un usuario es un ejemplo de esta tecnica. La existencia de estos cheros en el sistema de archivos debe ser cuidadosamente supervisada por el superusuario. Muchos de los ataques de seguridad a Unix utilizan estos cheros para conseguir atentar contra la seguridad del sistema. 3.10 El bit SETGID en Directorios La utilizacion de este bit esta orientada a facilitar el trabajo en grupo cuando varios usuarios deben acceder a una coleccion comun de cheros y directorios. Su funcionamiento es el siguiente: si un directorio, llamemosle D, tiene el bit SETGID activo, entonces: Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 20 Usuarios y Proteccion en Linux si se crea un chero dentro de D, el ownerGID del nuevo chero es hecho igual al ownerGID del directorio D. si se crea un directorio dentro de D, el ownerGID del nuevo directorio es hecho igual al ownerGID del directorio D y su bit SETGID es activado. Puede observarse que se trata, en esencia, de un mecanismo de herencia. Cuando el bit SETGID no esta activo, el ownerGID de un chero o directorio se toma del eGID del proceso que lo crea. Utilizando el SETGID, aunque varios usuarios creen cheros dentro de un directorio, todos ellos perteneceran al menos al mismo grupo, con lo que una utilizacion adecuada de los bits de permiso puede hacer que todos ellos puedan, por ejemplo, leer y modicar dichos cheros. 3.11 La Mascara de Creacion de Ficheros Las utilidades de Unix que crean cheros utilizan por defecto la palabra de proteccion rw-rw-rw si se trata de cheros no ejecutables o rwxrwxrwx si se crea un directorio o un ejecutable. Puede observarse, por tanto, que todos los permisos son activados. Para modicar este funcionamiento, cada usuario puede especicar al sistema aquellos bits que no desea que sean activados mediante la mascara de creacion de cheros. La mascara se establece mediante el mandato umask. Cada bit activo en la mascara es un bit que sera desactivado cuando se cree un chero. Por ejemplo, una mascara 022 desactivara los bits de escritura para el grupo y el resto de usuarios. El administrador debera velar porque exista una mascara de creacion de cheros razonable por defecto para cualquier usuario. Esto puede conseguirse facilmente utilizando el chero /etc/profile, el cual sirve para personalizar el entorno de un usuario en el momento de su conexion. 3.12 La Estrategia de los Grupos Privados Esta estrategia, empleada por defecto en Redhat Linux, esta orientada a racionalizar y exibilizar la asignacion de usuarios a grupos. Las claves de esta estrategia son: Crear un grupo para cada usuario (utilizando para ello el mismo nombre del usuario), y hacer que este sea el grupo primario del usuario. Utilizar exclusivamente grupos suplementarios para agrupar usuarios. Utilizar el bit SETGID y un grupo suplementario en aquellos directorios donde varios usuarios tengan que colaborar. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3.13 Sintaxis y Funcionamiento de los Mandatos Unix Relacionados 21 Utilizar el grupo privado en el directorio de conexi on de cada usuario. Asignar como m ascara por defecto para todos los usuarios 00X, es decir, todos los permisos activos para el propietario y para el grupo y lo que se considere oportuno para el resto de usuarios. Se invita al lector a reexionar sobre las consecuencias de esta estrategia. 3.13 Sintaxis y Funcionamiento de los Mandatos Unix Relacionados useradd useradd [-u uid [-o]] [-g group] [-G group,...] [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire mm/dd/yy] [-p passwd] [-n] [-r] name useradd -D [-g group] [-b base] [-s shell] [-f inactive] [-e expire mm/dd/yy] Crea un usuario. Opciones: -c -d -e -f Comentario sobre el usuario Directorio de conexion del usario Fecha en la cual la cuenta de usuario se desactiva D as que transcurrir an desde la caducidad de la contrase~na hasta la desactivaci on de la cuenta -g Nombre o numero del grupo primario -G Lista de los grupos suplementarios del usuario (separados por ,) (sin espacios) -m Crea el directorio de conexion. Si no se especifica la opcion -k, copia al directorio de conexion los ficheros del directorio /etc/skel -k Copia al directorio de conexion los ficheros del directorio template -p Asigna una contrase~ na cifrada al usuario -r Crea una cuenta del sistema -s Asigna el shell a utilizar por el usuario -u Asigna un UID concreto al usuario -o Permite crear un UID duplicado con la opcion -u -D Se asignan valores por defecto para las opciones indicadas. (No crea usuario) --------------------------------------------------------------------------userdel userdel [-r] name Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 22 Usuarios y Proteccion en Linux Elimina un usuario. Opciones: -r Elimina el directorio de conexi on del usario --------------------------------------------------------------------------usermod usermod [-u uid [-o]] [-g group] [-G group,...] [-d home [-m]] [-s shell] [-c comment] [-l new_name] [-f inactive] [-e expire mm/dd/yy] [-p passwd] [-L|-U] name Modifica atributos de un usuario. Opciones: -c -d -e -f Comentario sobre el usuario Directorio de conexion del usario Fecha en la cual la cuenta de usuario se desactiva D as que transcurrir an desde la caducidad de la contrase~ na hasta la desactivaci on de la cuenta -g Nombre o numero del grupo primario -G Lista de los grupos suplementarios del usuario (separados por ,) (sin espacios) -l Modifica el nombre de conexion del usuario -L Bloquea la contrase~ na del usuario -m Crea el directorio de conexion Si no se especifica la opci on -k, copia al directorio de conexion los ficheros del directorio /etc/skel -p Asigna una contrase~ na cifrada al usuario -s Asigna el shell a utilizar por el usuario -u Asigna un UID concreto al usuario -o Permite crear un UID duplicado con la opcion -u -U Desbloquea la contrase~ na del usuario --------------------------------------------------------------------------groupadd groupadd [-g gid [-o]] [-r] group Crea un grupo de usuarios. Opciones: -g Asigna un GID concreto al grupo -o Permite crear un GID duplicado con la opcion -g -r Crea una cuenta de grupo del sistema --------------------------------------------------------------------------groupmod groupmod [-g gid [-o]] [-n name] group c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3.13 Sintaxis y Funcionamiento de los Mandatos Unix Relacionados 23 Modifica los atributos de un grupo de usuarios. Opciones: -g Asigna un GID concreto al grupo -o Permite crear un GID duplicado con la opcion -g -n Cambia el nombre del grupo --------------------------------------------------------------------------groupdel groupdel group Elimina un grupo de usuarios. No tiene opciones. --------------------------------------------------------------------------passwd passwd [-l] [-u [-f]] [-d] [-S] [ username ] Modifica la contrase~na y el estado de la cuenta un usuario. Opciones: -d -f -l -S -u Elimina la contrase~na del usuario Fuerza el desbloqueo Bloquea la cuenta del usuario Informa sobre el estado de la cuenta de un usuario Desbloquea la cuenta del usuario Sin argumentos modifica la contrase~na del usuario que lo invoca. Si se especifica un nombre de usuario y no se especifican opciones, modifica la contrase~na del usuario indicado --------------------------------------------------------------------------chage chage [ -l ] [ -m min_days ] [ -M max_days ] [ -W warn ] [ -I inactive ] [ -E expire ] [ -d last_day ] user Modifica la informaci on de caducidad de la contrase~ na de un usuario. Opciones: -d -E -l -I Asigna la fecha del ultimo cambio de contrase~na Asigna la fecha en la cual la cuenta de usuario ser a desactivada Muestra la informacion de caducidad N umero de d as tras los cuales la cuenta sera desactivada si no se realiza el cambio de contrase~na exigido -m N umero de d as mnimo permitido entre cambios de contrase~na -M N umero de d as maximo permitido entre cambios de contrase~na -W N umero de d as previos al proximo cambio de contrase~ na exigido Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 24 Usuarios y Proteccion en Linux --------------------------------------------------------------------------chown chwon [ -R ] owner file Modifica el usuario propietario de un fichero o directorio. Opciones: -R Realiza la modificacion en todo el contenido del directorio --------------------------------------------------------------------------chgrp chgrp [ -R ] group file Modifica el grupo propietario de un fichero o directorio. Opciones: -R Realiza la modificacion en todo el contenido del directorio --------------------------------------------------------------------------chmod chmod -R MODE[,MODE]... FILE... chmod -R OCTAL_MODE FILE... Modifica los bits de permiso de un fichero o directorio. Opciones: -R Realiza la modificacion en todo el contenido del directorio MODE indica como deben modificarse los bits de permiso. Su sintaxis es: [ugoa][+-=][rwxXstugo] [ugoa] u propietario g grupo o otros [+-=] + a~nadir - eliminar = hacer igual a todos [rwxXstugo] r lectura w escritura x ejecucion X ejecucion si activo para el propietario s SETUID o SETGID t sticky u igual al propietario g igual al grupo o igual a otros --------------------------------------------------------------------------- c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Cap tulo 4 Usuarios y Proteccion en Windows NT Indice General 4.1 4.2 4.3 4.4 4.5 Conceptos de Usuario y de Cuenta de Usuario . . . . Grupos de Usuarios . . . . . . . . . . . . . . . . . . . . Permisos y Derechos (o Privilegios) . . . . . . . . . . Asignacion de Permisos a Archivos y Directorios . . Mandatos NT para la creacion de usuarios y grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 26 28 30 33 4.1 Conceptos de Usuario y de Cuenta de Usuario Como muchos otros sistemas operativos, Windows NT permite tener un riguroso control de que personas pueden entrar en el sistema para trabajar en el, y de que forma pueden llevar a cabo dicho trabajo. Windows NT denomina usuario a cada persona que puede entrar en el sistema, y para poder controlar su entrada y sus acciones, utiliza basicamente el concepto de cuenta de usuario (user account). Una cuenta de usuario almacena toda la informacion que el sistema guarda acerca de cada usuario, es decir, es la imagen que el sistema tiene de el. Cada usuario ha de tener necesariamente una cuenta, y as el sistema puede distinguir unvocamente a dicho usuario del resto. En Windows NT son numerosos los datos que el sistema almacena en cada cuenta de usuario, y entre ellos los mas importantes son los siguientes: 25 26 Usuarios y Proteccion en Windows NT a) Nombre de usuario. Es el nombre mediante el cual el usuario puede entrar en el sistema. Cada usuario ha de tener un nombre de usuario distinto. b) Nombre completo. Es el nombre completo del usuario. c) Contrase~na. Palabra cifrada que permite autenticar el nombre de usuario. En Windows NT la contrase~na distingue entre mayusculas y minusculas. d) Directorio de conexion. Es el lugar donde (en principio) residiran los archivos personales del usuario. El directorio de conexion de cada usuario es privado: ningun otro usuario puede entrar en el, a menos que su propietario conceda los permisos adecuados. e) Horas de conexion. Se puede controlar a que horas un usuario puede conectarse para trabajar en el sistema. Inclusive se puede especicar un horario distinto para cada da de la semana. f) Activada. Esta caracterstica permite inhabilitar temporalmente una cuenta. Una cuenta desactivada sigue existiendo, pero no puede ser utilizada para acceder al sistema, ni siquiera conociendo su contrase~na. Existe un dato especial que se asocia a cada cuenta, pero que a diferencia de todos los expuestos arriba, no puede ser especicado manualmente cuando se da de alta la cuenta. Se trata del identicador seguro (Secure Identier, o SID). Este identicador es interno y el sistema lo genera automaticamente cuando se crea una nueva cuenta. NT utiliza el SID (y no el nombre de usuario) en cada accion realizada por el usuario, para controlar si este tiene o no permisos sucientes para llevarla a cabo. Ningun usuario (ni siquiera el administrador) puede conocer el SID de ninguna cuenta, y precisamente en este hecho radica su utilidad: nadie puede obtener un mayor grado de privilegio intentando suplantar la identidad de otro usuario. Cuando en un equipo se instala Windows NT, existen de entrada las cuentas de dos usuarios preinstalados (built-in users): el Administrador y el Invitado. El primero es un usuario especial, el unico que en principio posee lo que se denominan derechos administrativos en el sistema. Es decir, tiene la potestad de administrar el sistema en todos aquellos aspectos en que este es congurable: usuarios, grupos de usuarios, contrase~nas, recursos, derechos, etc. La cuenta de Administrador no puede ser borrada ni desactivada. Por su parte, la cuenta de Invitado es la que utilizan normalmente aquellas personas que no tienen un usuario propio para acceder al sistema. Habitualmente esta cuenta no tiene contrase~na asignada, puesto que se supone que el nivel de privilegios asociado a ella es mnimo. En cualquier caso, el Administrador puede desactivarla si lo considera oportuno. 4.2 Grupos de Usuarios La informacion de seguridad almacenada en una cuenta de usuario es suciente para establecer el grado libertad (o de otro modo, las restricciones) que cada usuario debe c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 27 4.2 Grupos de Usuarios poseer en el sistema. Sin embargo, resultara muchas veces tedioso para el administrador determinar dichas restricciones usuario por usuario, especialmente en sistemas con un elevado numero de ellos. El concepto de grupo de usuarios permite agrupar de forma logica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. Un usuario puede pertenecer a tantos grupos como sea necesario, poseyendo implcitamente la suma de los permisos de todos ellos. Esta forma de administrar la seguridad, que se detallara en el apartado 4.4, es mucho mas exible y potente que el establecimiento de permisos en base a usuarios individuales. Considerese, por ejemplo, que en una empresa un sistema es utilizado por empleados de distinto rango, y que cada rango posee un distinto nivel de privilegios. Supongamos que se desea cambiar de rango a un empleado, debido a un ascenso, por ejemplo. Si la seguridad estuviera basada en usuarios individuales, cambiar los privilegios de este usuario adecuadamente supondra modicar sus privilegios en cada lugar del sistema en que estos debieran cambiar (con el consiguiente trabajo, y el riesgo de olvidar alguno). Por el contrario, con la administracion de seguridad basada en grupos, esta operacion sera tan sencilla como cambiar al usuario de un grupo a otro. Por ello: En Windows NT, se recomienda que los permisos se asignen en base a grupos locales, y no en base a usuarios individuales. Al igual que existen cuentas preinstaladas, en todo sistema NT existen una serie de grupos preinstalados (built-in groups): Administradores, Operadores de Copia, Usuarios Avanzados, Usuarios, e Invitados. El grupo Administradores recoge a todos aquellos usuarios que deban poseer derechos administrativos completos. Inicialmente posee un solo usuario, el Administrador. De igual forma, el grupo Invitados posee al Invitado como unico miembro. Los otros tres grupos estan vacos inicialmente. Su uso es el siguiente: a) Usuarios. Son los usuarios normales del sistema. Tienen permisos para conectarse al sistema interactivamente y a traves de la red. b) Operadores de copia. Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema. c) Usuarios avanzados. Son usuarios con una cierta capacidad administrativa. Se les permite cambiar la hora del sistema, crear cuentas de usuario y grupos, compartir cheros e impresoras, etc. El Administrador, al ir creando las cuentas de los usuarios, puede hacer que cada una pertenezca al grupo (o grupos) que estime conveniente. Asimismo, puede crear nuevos grupos que renen esta estructura inicial, conforme a las necesidades particulares de la organizacion donde se ubique el sistema. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 28 Usuarios y Proteccion en Windows NT 4.3 Permisos y Derechos (o Privilegios) La seguridad en NT se estructura a dos grandes niveles: por una parte, debe establecerse quien puede trabajar en el sistema, y para ello se utilizan los conceptos de cuenta de usuario y de grupo de usuarios. Por otra parte, debe establecerse que puede hacer cada usuario/grupo. Para esto ultimo existen, a su vez, dos conceptos complementarios: los permisos y los derechos. Un permiso (permission) es una caracterstica de cada objeto del sistema, que concede o deniega el acceso al mismo a un usuario/grupo concreto. En este contexto se puede asimilar el concepto de objeto al de recurso (normalmente, un archivo, directorio o impresora). Cada recurso del sistema posee una lista en la que se establece que usuarios/grupos pueden acceder a dicho recurso, y tambien que tipo de acceso puede hacer cada uno (lectura, modicacion, ejecucion, borrado, etc.). En el apartado 4.4 se profundiza mas acerca de los permisos que pueden asignarse a recursos en NT, concretamente a los archivos. Por su parte, un derecho o privilegio de usuario (user right) es una regla de proteccion establecida sobre una accion que afecta al sistema en su conjunto (y no a un objeto en concreto). Existe un conjunto jo y predenido de derechos, no pudiendose denir mas. Para determinar que usuarios poseen que derechos, cada derecho posee una lista donde se especican los grupos/usuarios que tienen concedido este derecho. Es preferible que, por los motivos que se exponen en el apartado anterior, los derechos sean concedidos a grupos en vez de a usuarios concretos (pero esto ultimo es tambien posible si resulta necesario). A continuacion se exponen algunos derechos existentes en NT que merecen una especial atencion: a) Inicio de sesion local. Permite a un usuario iniciar una sesion interactiva en el sistema. b) Acceder a este equipo desde la red. Un usuario con este derecho puede conec- tarse al equipo desde otro equipo en la red, y observar que recursos comparte. Este derecho no garantiza el poder utilizar dichos recursos, y debe complementarse con los permisos asociados a dichos recursos. c) Tomar posesion de cheros. Cuando un usuario posee este derecho, puede tomar posesion de cualquier archivo en el sistema. Tomar posesion implica pasar a ser el propietario, y por tanto, tener control total sobre el mismo. d) Apagar el sistema. Permite a un usuario apagar el equipo. La concesion de derechos a los grupos preinstalados, tal como existe al instalar NT, puede verse en la Tabla 4.1. Por otra parte, los distintos grupos poseen una serie de habilidades preinstaladas (built-in abilities), que junto con sus derechos constituyen su nivel de privilegios. La Tabla 4.1 muestra tambien las habilidades que posee cada grupo. Posteriormente, el administrador, a su criterio, puede conceder o denegar cada derecho a un grupo (o usuario) concreto, simplemente a~nadiendolo o eliminandolo de la lista asociada a ese derecho. Las habilidades asociadas a cada grupo no pueden modicarse. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 29 4.3 Permisos y Derechos (o Privilegios) Derecho Inicio de sesion local Acceder a este equipo desde la red Tomar posesion de cheros Cambiar el tiempo del sistema Apagar el sistema Apagar el sistema desde la red Hacer copias de seguridad Restaurar copias de seguridad Instalar manejadores de dispositivo Habilidad Preinstalada Crear y administrar cuentas de usuario Crear y administrar grupos locales Asignar derechos de usuario Bloquear la estacion Desbloquear la estacion Formatear el disco duro Compartir (y dejar de compartir) directorios Compartir (y dejar de compartir) impresoras Admin. Usu.Av. Usu. Inv. Op.Copia Todos p p p p p p p p p p p p p p p p p p p p p p p p Admin. Usu.Av. Usu. Inv. Op.Copia Todos p p p p p p p p p p p p p p p Tabla 4.1: Derechos iniciales y habilidades preinstaladas de los distintos grupos en Windows NT. Las abreviaturas corresponden a los siguientes grupos: Admin.=Administradores, Usu.Av.=Usuarios Avanzados, Usu.=Usuarios, Inv.=Invitados, y Op.Copia=Operadores de copia. Es importante hacer notar lo siguiente: cuando existe un conicto entre lo que concede un permiso y lo que concede un derecho, este ultimo tiene prioridad. Por ejemplo: los miembros del grupo Operadores de Copia poseen el derecho de realizar una copia de seguridad de todos los archivos del sistema. Es posible (y muy probable) que existan archivos sobre los que no tengan ningun tipo de permiso. Sin embargo, al ser el derecho mas prioritario, podran realizar la copia sin problemas. De igual forma, el administrador tiene el derecho de tomar posesion de cualquier archivo, inclusive de aquellos archivos sobre los que no tenga ningun permiso. Es decir: Los derechos o privilegios siempre prevalecen ante los permisos particulares de un objeto, en caso de conicto. Finalmente, existe en NT una serie de grupos especiales, cuyos (usuarios) miembros Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 30 Usuarios y Proteccion en Windows NT no se establecen de forma manual, sino que son determinados de forma automatica por el sistema. Estos grupos se utilizan normalmente para facilitar la labor de conceder permisos y derechos. De entre estos grupos, destacan: a) Usuarios Interactivos (Interactive). Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesion local en la maquina. b) Usuarios de Red (Network). Bajo este nombre se agrupa a todos aquellos usuarios que tienen el derecho de acceder al equipo desde la red. c) Todos (Everyone). Agrupa a todos los usuarios que el sistema conoce. Puede agrupar a usuarios existentes localmente y de otros sistemas (conectados a traves de la red). Esto se expondra de forma mas rigurosa cuando se vean los dominios de NT, en el Captulo 5. 4.4 Asignacion de Permisos a Archivos y Directorios En primer lugar, es importante resaltar que en un sistema NT solo es posible establecer permisos a archivos y directorios que residan en una particion de tipo NTFS (NT File System), y no en una particion de tipo FAT (File Allocation Table). Los permisos que se pueden asignar a un archivo o directorio en una particion NTFS son combinaciones sobre seis permisos individuales, que se presentan a continuacion: 1) Lectura (Read, R). Permite abrir un archivo o directorio para consultar su contenido. 2) Escritura (Write, W). En el caso de un archivo, permite modicar su contenido. En el caso de un directorio, permite crear nuevos archivos (o directorios) dentro del mismo. 3) Ejecucion (Execution, X). Permite la ejecucion de un archivo. 4) Borrado (Delete, D). Permite el borrado de un archivo o directorio. 5) Cambiar los permisos (Change Permissions, P). Permite la accion de cambiar los permisos que actualmente posee un archivo o directorio. 6) Tomar posesion (Take Ownership, O). En NTFS, todo archivo o directorio tiene un propietario. Si un usuario no es el propietario de un archivo o directorio, pero posee este permiso sobre el, podra realizar una accion especial, denominada tomar posesion, que lo convertira automaticamente en su (nuevo) propietario. Consecuentemente, podra hacer con dicho archivo lo que desee, puesto que el propietario de un archivo siempre puede cambiar sus permisos. Normalmente, los permisos que se asignan a los archivos o directorios no son estos permisos individuales. En vez de eso, existe tambien una serie de permisos estandar, c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 31 4.4 Asignacion de Permisos a Archivos y Directorios que son combinaciones predenidas de estos permisos individuales, con un signicado bien denido. A continuacion se muestran los permisos estandar para directorios y para archivos. Nombre Permisos Directorio Permisos Archivos Signicado Sin acceso (Ninguno) (Ninguno) Lectura (RX) (RX) A~nadir (WX) (Sin determinar) A~nadir y leer (RWX) (RX) Cambio (RWXD) (RWXD) Control total (Todos) (Todos) El usuario no puede acceder al directorio de ninguna manera, aunque sea miembro de un grupo que tenga algun tipo de acceso al mismo. El usuario puede leer el contenido de archivos y ejecutar archivos ejecutables que haya en el directorio. El usuario puede a~nadir archivos al directorio, pero no puede leer el contenido de ningun archivo, ni siquiera del propio directorio. El usuario puede a~nadir nuevos cheros y leer el contenido de cualquier chero, pero no puede modicarlos. El usuario puede crear archivos nuevos, y leer y modicar cualquier archivo del directorio. El usuario tiene control total sobre el directorio y sobre todos sus archivos, as como los que se creen en el futuro. Tabla 4.2: Permisos estandar sobre directorios en Windows NT En la Tabla 4.2 guran los permisos estandar que se pueden establecer en los directorios. Cada la describe un permiso estandar, indicando su nombre y las dos listas de permisos individuales que lo denen: la primera es la lista de los permisos del propio directorio y la segunda es la lista de permisos iniciales con la que se crearan los nuevos archivos en ese directorio. De esta forma, cuando en un directorio padre se crea un nuevo archivo/directorio hijo, se aplican las siguientes reglas: Si el hijo es un archivo regular (no directorio), este se crea con los permisos especi- cados la segunda lista de permisos individuales del directorio padre. El permiso sin determinar signica ausencia de permisos. Si el hijo es un directorio, este se crea con las dos listas de permisos individuales del padre. En ambos casos, esta especie de herencia s olo tiene lugar en el momento de la creacion del archivo/directorio hijo (es decir, es una copia instantanea de permisos). A partir Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 32 Usuarios y Proteccion en Windows NT de ese momento, los permisos de padre e hijo se gestionan de forma completamente independiente. Los permisos estandar que se pueden establecer sobre un archivo individual se muestran en la Tabla 4.3. Por otra parte, cuando se desea establecer los permisos de un directorio o archivo, NT muestra, ademas de las listas que guran en ambas tablas, una opcion denominada Acceso Especial. Esta opcion permite denir la lista de permisos individuales que se desea aplicar a un archivo, o las dos listas que se desea aplicar sobre un directorio. De esta forma, se puede llegar a una granularidad na en las ocasiones que sea necesario. Nombre Permisos Signicado Sin acceso (Ninguno) Lectura (RX) Cambio (RWXD) Control Total (Todos) El usuario no puede acceder chero de ninguna manera, aunque sea miembro de un grupo que tenga algun tipo de acceso al mismo. El usuario puede leer el contenido del chero, y ejecutarlo si es un archivo ejecutable. No puede modicarlo ni borrarlo. El usuario puede leer, ejecutar, modicar y borrar el archivo. El usuario tiene el control total sobre el archivo. Tabla 4.3: Permisos estandar sobre archivos en Windows NT Ademas de poder establecer los permisos citados sobre cualquier archivo o directorio (sobre el que podamos hacerlo, evidentemente), es importante tener en mente las siguientes reglas: Los usuarios pueden acceder de una determinada manera a un archivo o directorio solo si tienen concedido el permiso correspondiente, bien de forma individual, bien perteneciendo a un grupo que posea dicho permiso. Los permisos son acumulativos, es decir, si un usuario pertenece a varios grupos, que tienen distintos permisos sobre algun archivo o directorio, dicho usuario obtendra la suma de todos ellos. Sin embargo, si para algun grupo (o para el personalmente) se establece el permiso Sin Acceso, este ultimo tiene prioridad, y no podra acceder de ninguna manera al archivo. En otras palabras, el permiso Sin Acceso es un permiso negativo, que tiene prioridad sobre el resto. Todo nuevo archivo recibe como permisos iniciales los que en ese momento posea su directorio padre. El archivo recibira una o dos listas de permisos en funcion de si es un archivo regular o un directorio. A partir del momento de la creacion de un archivo, la gestion de permisos del nue- vo archivo y del directorio donde se ha creado se realiza de forma completamente independiente. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 33 4.5 Mandatos NT para la creacion de usuarios y grupos Cuando un usuario crea un archivo o directorio, se convierte en el propietario del mismo. El propietario de un archivo siempre puede cambiar los permisos del archivo. Un usuario puede tomar posesi on de un archivo o directorio (que no sea suyo ya) siempre que tenga Control Total sobre dicho archivo (o bien el permiso individual O). Los miembros del grupo de Administradores tienen el derecho de tomar posesion de cualquier archivo del sistema. En realidad el concepto de objeto como entidad que posee permisos es mas amplio (tambien son objetos los procesos, los semaforos, los hilos de ejecucion, etc.). 4.5 Mandatos NT para la creacion de usuarios y grupos La creacion de usuarios y grupos en Windows NT puede realizarse utilizando los mandatos net user y net group. La sintaxis de ambos mandatos es la siguiente: Mandato net user Agrega o modica cuentas de usuario o muestra informacion acerca de ellas. net user [nombre_usuario [contrase~na | *] [opciones]] [/domain] net user nombre_usuario {contrase~na | *} /add [opciones] [/domain] net user nombre_usuario [/delete] [/domain] opciones: /active:{no | yes} /comment:"texto" /countrycode:nnn /expires:{fecha | never} /fullname:"nombre" /homedir:ruta_acceso /homedirreq:{yes | no} /passwordchg:{yes | no} /passwordreq:{yes | no} /profilepath[:ruta_acceso] /scriptpath:ruta_acceso /times:{horas | all} /usercomment:"texto" /workstations:{nombre_equipo [,...] | *} Mandato net group Agrega, muestra o modica grupos. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 34 Usuarios y Proteccion en Windows NT net group [nombre_grupo [/comment:"texto"]] [/domain] net group nombre_grupo {/add [/comment:"texto"] | /delete} [/domain] net group nombre_grupo nombre_usuario[...] {/add | /delete} [/domain] c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Cap tulo 5 Dominios en Windows NT Indice General 5.1 5.2 5.3 5.4 5.5 5.6 Concepto de Dominio . . . . . . . . . . . . . . . Usuarios y Grupos en un Domino . . . . . . . Ordenadores Miembros de un Dominio . . . . Comparticion de Recursos entre Sistemas NT Conanzas entre Dominios NT . . . . . . . . . Mandatos NT para compartir recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 37 39 39 41 43 5.1 Concepto de Dominio Hoy en da, los ordenadores existentes en cualquier organizacion se encuentran muy frecuentemente formando parte de redes de ordenadores. En una red, los ordenadores se encuentran interconectados, de forma que pueden intercambiar informacion. No es necesario que un ordenador con Windows NT participe de una red. Sin embargo, si desea hacerlo, tiene que ser de alguna de las dos formas siguientes: a) En un grupo de trabajo (workgroup). Un grupo de trabajo es una agrupacion logica de maquinas, sin ningun otro n. Los ordenadores que forman parte del mismo grupo aparecen juntos cuando se explora el Entorno de Red. La administracion de cada ordenador es local e independiente del resto. Para poder acceder a los recursos que exporta un ordenador concreto, el usuario remoto tiene que disponer necesariamente de una cuenta en dicho ordenador, y permisos sucientes sobre el recurso que se comparte. 35 36 Dominios en Windows NT b) Formando parte de un dominio (domain). Es la forma en que se recomienda que se dena una red de maquinas NT. En un dominio, la informacion administrativa se encuentra centralizada, y por ello resulta mas facil y segura de gestionar. Todo este tema se centrara en denir y exponer los conceptos relacionados con los dominios en NT. Mas formalmente: Se puede denir dominio como una agrupacion logica de servidores de red y otros ordenadores, que comparten informacion comun sobre cuentas (de usuarios, grupos, etc.) y seguridad. Es importante matizar que el termino dominio no incluye ninguna informacion acerca de la ubicacion de las maquinas. No es necesario que se encuentren fsicamente cercanas, ni que esten interconectadas mediante una red de algun tipo especco. De hecho, las maquinas que forman un dominio pueden estar conectadas a traves de una red de area amplia o WAN (Wide Area Network), aunque lo mas normal es que formen una red de area local o LAN (Local Area Network). Precisamente en el ambito de las redes de sistemas NT cobra sentido el hecho de que existan dos versiones de este sistema operativo: NT server y NT workstation. Habitualmente, un NT server (o servidor NT) tiene un papel especial en una red NT, y se utiliza para proporcionar servicios centralizados de red en un dominio NT. Por su parte, un NT workstation (o estacion NT) es una maquina que, aunque puede formar parte de un dominio, no proporciona ningun servicio al resto de maquinas, siendo una estacion de trabajo de proposito general. Concretamente, en un domino NT: Existe necesariamente un servidor NT con funciones de Controlador Principal de Dominio (Primary Domain Controller, o PDC). Este servidor posee toda la informacion centralizada sobre cuentas de usuarios y grupos del domino, as como la informacion acerca de que maquinas pertenecen al mismo. Pueden existir uno o varios servidores NT con funciones de Controladores de Copia de Dominio (Backup Domain Controller, o BDC). Si existen, conservan una copia de la informacion de cuentas y seguridad del PDC, y regularmente se reenvan copias actualizadas de las mismas. Cualquier peticion de informacion por parte de un ordenador (cliente) puede ser contestada por el PDC o por uno de los BDCs indistintamente. Por otra parte, si el PDC deja de estar disponible de forma permanente, cualquiera de los BCDs puede promocionarse a PDC mediante una sencilla accion por parte del administrador. Pueden existir uno o varios servidores NT sin funciones especiales de administraci on dentro del dominio. A estos ordenadores se les llama servidores miembro (Member Servers). Habitualmente estas maquinas s proporcionan algun servicio especco c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 37 5.2 Usuarios y Grupos en un Domino dentro del dominio (servicios de impresion, servicios de acceso a datos, etc.), pero no guardan ninguna informacion administrativa. Pueden existir una o varias estaciones NT, que se utilizar an para trabajo habitual. Tanto los servidores miembro como las estaciones NT son clientes del PDC (y BDCs) respecto a la informacion relativa a usuarios, grupos, contrase~nas y autenticacion, etc. 5.2 Usuarios y Grupos en un Domino En el Captulo 4 se ha visto como en NT pueden crearse cuentas de usuarios y grupos, y como se utilizan ambos para controlar el acceso de las personas a un sistema NT, y para administrar los derechos y permisos que estas poseen en dicho sistema. Por lo tanto, si una persona tiene que trabajar en varios sistemas, debe poseer una cuenta de usuario en cada uno. En un dominio, el servidor NT que actua de PDC puede crear usuarios y grupos especiales, denominados usuarios globales y grupos globales. En este caso, el termino global se interpreta como global al dominio. Esto quiere decir que un usuario global existe en todos los ordenadores pertenecientes al dominio, poseyendo no una cuenta en cada maquina, sino una cuenta unica para todas ellas, y por lo tanto un unico SID. Las cuentas de los usuarios globales residen solo en el PDC, habiendo copias en todos los BDCs. Por este motivo: Cuando una persona se conecta a cualquier ordenador miembro de un dominio utilizando para ello una cuenta de usuario global, dicho ordenador contacta con el PDC (o BDCs) del domino para que este ultimo valide la cuenta y la contrase~na. El resultado de esta validacion es enviado al ordenador miembro, y de este al usuario (concediendo o rechazando la conexion). Un ordenador miembro de un dominio (una estacion NT, por ejemplo), ademas de poder ver a los usuarios globales del dominio, puede crear tambien sus propios usuarios locales, que son unicamente visibles en dicho ordenador. Cuando una persona desea entrar en el sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. Ademas, es importante notar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema NT (puesto que all no existe). Por el contrario, a un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos. De forma analoga a los usuarios globales, los grupos globales existentes en un PDC son visibles en todos los miembros del dominio. Todo usuario global pertenece a (al menos) un grupo global. Los mas importantes grupos globales preinstalados en un PDC son los siguientes: Administradores, Operadores de Copia, Operadores de Cuentas, Operadores Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 38 Dominios en Windows NT de Impresion, Usuarios e Invitados. Inicialmente, el grupo de Administradores lo forma la cuenta global Administrador (del dominio), as como el grupo de Invitados lo forma la cuenta de Invitado. Los distintos grupos de Operadores pueden considerarse como administradores con funciones mas especcas (quedando otras fuera de su alcance). La cuenta de Usuarios (del dominio) es a la que pertenecen por defecto los nuevos usuarios globales que se crean en un PDC. En un ordenador miembro de un dominio tambien se pueden denir grupos locales. Existen importantes diferencias entre los grupos locales de un miembro y los grupos globales de un dominio. La Tabla 5.1 recoge las principales diferencias. Un grupo global. . . Un grupo local. . . Existe en todos los miembros de un dominio. Existe en el ordenador donde ha sido creado. Solo puede poseer usuarios globales. Puede poseer usuarios y grupos globales, y usuarios locales. No puede poseer otros grupos locales. Puede utilizase para concederle (o denegarle) permisos sobre recursos (archivos) en cualquier miembro del dominio Puede utilizase para concederle (o denegarle) permisos sobre recursos (archivos) solo en el ordenador donde esta denido. Se utiliza normalmente para a~nadir usuarios al dominio, agrupandolos en funcion del trabajo que realizan. Se utiliza normalmente para asignar a usuarios y grupos globales los derechos de cada ordenador miembro, as como los permisos sobre los recursos que residen en dicho ordenador. Tabla 5.1: Diferencias entre grupos globales y locales en Windows NT Tal como pone de maniesto la tabla anterior, en cada ordenador (miembro) se puede seguir estableciendo la seguridad como se expona en el Captulo 4, es decir, en base a grupos locales. De hecho, sigue siendo valida la recomendacion de que la concesion de derechos y la asignacion de permisos sobre los objetos/recursos del sistema se haga en base a grupos locales. La diferencia cuando existe un dominio es que en estos grupos locales, el administrador puede incluir tanto usuarios locales como grupos y usuarios globales del dominio. En relacion con esto, es importante saber que cuando un ordenador pasa a ser miembro de un dominio (existente), el grupo global Administradores se incluye automaticamente en el grupo local Administradores de dicho ordenador. De igual forma, el grupo global Usuarios se incluye dentro del grupo local Usuarios. De esta forma, los administradores y usuarios normales del dominio tienen en cada miembro los mismos derechos y permisos que los que tengan ya denidos los administradores y usuarios locales, respectivamente. El administrador local puede, si lo desea, invalidar esta accion automatica, extrayendo posteriormente los grupos globales de los locales. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 39 5.3 Ordenadores Miembros de un Dominio 5.3 Ordenadores Miembros de un Dominio Como hemos visto, en el PDC se conserva toda la informacion relativa a cuentas de usuarios y grupos globales. En concreto, esta informacion se guarda en la denominada Security Account Manager (SAM) database, o base de datos del Gestor de Cuentas de Seguridad. Esta misma base de datos recoge tambien una cuenta de ordenador por cada uno de los ordenadores miembro de un dominio. Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, as como un identicador unico y privado que lo identica unvocamente. Este identicador es analogo al SID de cada cuenta de usuario, y solo lo conocen el PDC y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede consultarlo. Mediante este identicador privado a ambos se establece lo que se conoce como un canal de comunicacion seguro (secure communication channel) cada vez que un ordenador miembro y el PDC necesitan comunicarse. Un ejemplo de dicha comunicacion sera la autenticacion de una cuenta de usuario global que desea conectarse a un ordenador miembro. Este canal se considera seguro puesto que se alcanza mediante una negociacion en la que el ordenador miembro utiliza su identicador privado, con lo que no puede ser suplantado por otra maquina. Los canales de comunicacion seguros se utilizan para: Administrar remotamente los recursos de un ordenador miembro desde cualquier otro (incluso del PDC desde una estacion NT). Para ello, el usuario debe tener los derechos y permisos sucientes en la maquina remota. Autenticar usuarios, como se expone arriba. Validar las relaciones de conanza entre dominios, que se explican mas adelante. Y, en general, siempre que informaci on relativa a aspectos de seguridad se intercam- bia entre maquinas NT pertenecientes a algun dominio. 5.4 Comparticion de Recursos entre Sistemas NT Cuando un sistema NT participa en una red de ordenadores (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. En este contexto, solo vamos a considerar como recurso a compartir los directorios que existen en un sistema NT1 . Cualquier sistema NT puede compartir directorios, tanto si es un servidor como si es una estacion de trabajo. Para poder compartir un directorio, basta con desplegar su menu contextual desde una ventana o desde el explorador de archivos, y seleccionar 1 La comparticion de otros recursos (tales como impresoras, por ejemplo) queda fuera del ambito del presente captulo. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 40 Dominios en Windows NT Compartir.... En la ventana asociada a esta opcion se determina el nombre que tendra el recurso (que no tiene por que coincidir con el nombre del directorio), as como que usuarios van a poder acceder al mismo. En relacion con esto, existe una gran diferencia entre que el directorio resida en una particion FAT y que resida en una NTFS. Si el directorio reside en una particion FAT, este ltro de acceso sera el unico que determine los usuarios que van a poder acceder al contenido del directorio, puesto que no es posible determinar permisos sobre el propio directorio o sus archivos. Es decir, el ltro solo se establece para poder acceder al recurso. Si un usuario tiene permisos sucientes para conectarse a un recurso, tendra acceso sobre todos los archivos y subdirectorios del recurso. El tipo de acceso sobre todos ellos sera el que le permita el permiso sobre el recurso (Lectura, Escritura, Control Total, etc.). Por el contrario, si el directorio se encuentra en una particion NTFS, este tendra unos permisos establecidos (as como sus subdirectorios y archivos), al margen de ser un directorio compartido. En este ultimo caso tambien es posible establecer un ltro desde la ventana de Compartir..., pero entonces solo los usuarios que puedan pasar ambos ltros podran acceder al directorio compartido. En este caso se recomienda lo siguiente: Cuando se comparte un directorio que reside en una particion NTFS, se recomienda dejar Control Total sobre Todos en los permisos asociados al recurso (opcion por defecto), y controlar quien (y como) puede acceder al recurso y a su contenido mediante los permisos asociados a dicho directorio y a sus archivos y subdirectorios. Esta recomendacion es muy util, si tenemos en cuenta que de esta forma para cada directorio (y archivo) del sistema no utilizamos dos grupos de permisos sino uno solo, independientemente de que el directorio sea o no compartido. Este forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema (aunque no este compartido), pero por otra parte se unica la vision de la seguridad de los archivos, con lo que a la larga resulta mas segura y mas sencilla. Ademas, hay que tener en cuenta lo siguiente: Si un usuario ha iniciado una sesion interactiva en un ordenador NT denominado A, y desea conectarse a un recurso de red que exporta otro ordenador NT denominado B, ademas de poseer los permisos sucientes sobre el recurso, sobre el propio directorio y sobre su contenido, tiene que tener concedido en B el derecho de acceder a este equipo desde la red. Por ultimo, cuando un sistema NT forma parte de un dominio, al margen de los recursos que el administrador desee compartir, se comparten por defecto otros recursos para usos del propio sistema y administrativos. Estos recursos no deben modicarse ni prohibirse: a) (letra de unidad)$. Por cada particion existente en un sistema NT (C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los administradores del c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 41 5.5 Conanzas entre Dominios NT dominio, as como los operadores de copia del domino, pueden conectarse por defecto a estas unidades. b) ADMIN$. Es un recurso utilizado por el propio sistema durante la administracion remota de un ordenador NT. c) IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por los programas para comunicarse entre ellos. Se utiliza durante la administracion remota de un ordenador NT, y cuando se observa los recursos que comparte. d) NETLOGON. Recurso que exporta un servidor NT (normalmente un PDC) para proporcionar a los ordenadores miembros del dominio el servicio de validacion de cuentas globales a traves de la red (Net Logon service). En relacion con los nombres de estos recursos, es interesante saber que a~nadir el caracter '$' al nal de cualquier nombre de recurso tiene un efecto especco: prohibe que dicho recurso se visualice dentro de la lista de recursos que una maquina exporta al resto. Es decir, convierte un recurso en \invisible" para al resto del mundo. En este caso, un usuario remoto solo podra conectarse al recurso si conoce su nombre de antemano (y tiene sucientes permisos, obviamente). 5.5 Conanzas entre Dominios NT Una relacion de conanza (trust relationship) es una relacion que une a dos dominios NT, mediante la cual los usuarios (y grupos) globales de uno de ellos pueden utilizar los recursos que exporta el segundo. Mas formalmente: Cuando se establece una relacion de conanza entre dos dominios NT, los usuarios y grupos globales del dominio de conanza (trusted domain) son visibles en los ordenadores miembro del dominio que confa (trusting domain), y por tanto se les puede conceder permisos sobre los recursos este ultimo. En realidad, las relaciones de conanza entre dominios se establecen entre los PDCs de ambos, de forma que el PDC del dominio que confa valida usuarios en el PDC del dominio de conanza. Cuando existe una relacion de conanza entre dos dominios, los usuarios del dominio de conanza aparecen en las listas de usuarios conocidos en los ordenadores del dominio que confa, y en particular cuando se trata de conceder algun derecho o algun permiso. De acuerdo con esta vision, resulta evidente que siempre existe una relacion de conanza implcita entre todo miembro de un domino NT y su PDC. Las relaciones de conanza entre dominios son estables, siendo necesario establecerlas manualmente (mediante una contrase~na pactada entre los administradores de ambos dominios) y siguen vigentes hasta que se rompen explcitamente (por un administrador). Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 42 Dominios en Windows NT Otro aspecto importante de las relaciones de conanza es que siempre se establecen entre dos dominios, y por tanto no son relaciones recprocas ni transitivas. Si se desea que el dominio A confe en el dominio B y que B confe en A, es necesario establecer dos relaciones de conanza (recprocas). Y por otra parte, si A confa en B, y B confa en C, entonces no es cierto que A confe en C. Se va a ilustrar el concepto de conanzas mediante el ejemplo de la Figura 5.1. En el se muestran dos dominios denominados DominioA y DominioB. Cada dominio tiene un PDC y tres estaciones NT, con nombres ilustrativos. La relacion de conanza establecida entre ambos se representa mediante una echa de color gris oscuro, indicando que DominioA confa en DominioB (esta es la forma habitual de representar gracamente una relacion de conanza). De forma analoga, se representan mediante echas de color gris claro las relaciones de conanza implcitas entre cada estacion y su PDC. PDC_B PDC_A DominioB WksB1 DominioA WksB2 WksB3 WksA1 WksA2 WksA3 Figura 5.1: Ejemplo de relacion de conanza entre dominios NT. Siguiendo con el ejemplo, supongamos que en DominioA existe un usuario global denominado UsuA, y que en DominioB existe el usuario UsuB. Para evitar ambiguedades, NT establece que cuando se nombra a un usuario global de otro dominio se antepone el nombre del dicho dominio al del usuario, con lo que el usuario se denomina de la siguiente forma: dominionusuario. Por tanto, supongamos que existen DominioAnUsuA y DominioBnUsuB. En estas circunstancias, se van a plantear varias situaciones, indicando para cada una si es posible o no, y en su caso, las circunstancias necesarias para que se produzca: Si el usuario UsuB desea iniciar una sesi on interactiva en WksA1, podra hacerlo siem- pre que en dicho ordenador se le haya concedido el derecho de Inicio de sesion local (a el o a algun grupo al que pertenezca). Para validar la cuenta y su contrase~na, WksA1 preguntara a PDC A, y este, viendo que el usuario pertenece a DominioB (en el cual se confa) preguntara a su vez a PDC B. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 43 5.6 Mandatos NT para compartir recursos Si el usuario UsuB est a trabajando en WksB1, e intenta conectarse al recurso de red nnWksA2nProyectos, podr a hacerlo siempre que tenga permisos sucientes sobre el recurso (y sobre el directorio) en WksA2, y siempre que en dicho ordenador se le haya concedido el derecho Acceder a este equipo desde la red. Si el usuario UsuA desea iniciar una sesion interactiva en WksB1, no podr a hacerlo, ya que en este equipo no aparece como usuario. De igual forma, si el usuario UsuA esta trabajando en WksA2, e intenta conectarse al recurso de red nnWksB1nProyectos, no podra hacerlo, ya que no aparece como usuario, y no se le pueden conceder derechos o permisos. 5.6 Mandatos NT para compartir recursos La comparticion de recursos en Windows NT puede realizarse utilizando los mandatos net share y net use. La sintaxis de ambos mandatos es la siguiente: Mandato net share Crea, elimina o muestra recursos compartidos. net share net share recurso_compartido net share recurso_compartido=unidad:ruta_de_acceso [/users:numero | /unlimited] [/remark:"texto"] net share recurso_compartido [/users:numero | unlimited] [/remark:"texto"] net share {recurso_compartido | unidad:ruta_de_acceso} /delete Mandato net use Conecta o desconecta un equipo de un recurso compartido o muestra informacion acerca de las conexiones del equipo. Tambien controla las conexiones de red persistentes. net use [nombre_dispositivo] [\\nombre_equipo\recurso_compartido[\volumen]] [contrase~ na | *]] [/user:[nombre_dominio\]nombre_usuario] [[/delete] | [/persistent:{yes | no}]] net use nombre_dispositivo [/home[contrase~ na | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}] Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Cap tulo 6 Niveles de ejecucion en Linux Indice General 6.1 Inicio y Detencion de un Sistema Linux . . . . . . . . . . . . . 6.2 El Concepto de Nivel de Ejecucion . . . . . . . . . . . . . . . . 6.3 Ficheros y Directorios de Conguracion de los Niveles de Ejecucion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 Secuencia de Arranque de un Sistema Linux . . . . . . . . . . 6.5 Secuencia de Entrada en un Nivel de Ejecucion . . . . . . . . 6.6 Conguracion de los Niveles de Ejecucion . . . . . . . . . . . . . 45 . 45 . . . . 47 47 48 49 6.1 Inicio y Detencion de un Sistema Linux Un sistema Linux se inicia desde el cargador del sistema (habitualmente LILO) tecleando una simple etiqueta. Un sistema Linux debe detenerse de forma correcta, nunca apagando directamente el ordenador. Para ello se utiliza el mandato shutdown. Este mandato se emplea habitualmente en dos situaciones: a) shutdown -h now: detiene el sistema ahora. b) shutdown -r now: reinicia el sistema ahora. 6.2 El Concepto de Nivel de Ejecucion Linux esta programado para ejecutarse en un determinado nivel de ejecucion. El numero de niveles y sus nombre estan predeterminados. En cambio, las acciones a realizar en 45 46 Niveles de ejecucion en Linux cada nivel son congurables por el superusuario tal como se explica mas tarde en este documento. La conguracion de niveles en Redhat Linux se presenta en la Tabla 6.1 a continuacion. Nivel Nombre Descripcion 0 halt Este nivel detiene el sistema. 1 single user mode Modo de administracion. El sistema crea un shell con los privilegios del superusuario sin solicitar nombre de usuario o contrase~na. 2 multiuser Modo de funcionamiento normal sin algunos servicios de red. 3 multiuser + network Como el modo 2 pero con todos los servicios de red activos, NFS por ejemplo. 4 No utilizado por Redhat. 5 X11 El servidor X se inicia desde el primer momento. 6 reboot Se reinicia el sistema. emergency single user Igual al nivel 1 pero sin acceder a los cheros de conguracion de inicio. s,S Tabla 6.1: Niveles de ejecucion en RedHat Linux. Bajo esta perspectiva, un sistema Linux no se arranca o detiene, simplemente se cambia su nivel de ejecucion. Algunas consideraciones importantes sobre los niveles son: Durante un arranque normal, el sistema se coloca en el nivel 3 (multiusuario con red) o en el nivel 5 (analogo al 3 pero con el sistema de ventanas activo desde el inicio). shutdown -h now cambia el nivel actual al nivel 0, halt. shutdown -r now cambia el nivel actual al nivel 6, reboot. /sbin/telinit cambia al nivel especicado. /sbin/runlevel indica el nivel de ejecuci on previo y el actual Desde LILO puede expresarse el nivel de ejecuci on deseado tras la etiqueta del sis- tema operativo (Linux) a cargar. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 6.3 Ficheros y Directorios de Conguracion de los Niveles de Ejecucion 47 6.3 Ficheros y Directorios de Conguracion de los Niveles de Ejecucion El administrador puede congurar las acciones que deben realizarse al entrar en un determinado nivel de ejecucion. Los directorios y cheros relevantes para esta conguracion son: Directorio /etc/rc.d. En el residen todos los scripts de inicializacion. Fichero /etc/inittab Fichero base de conguracion del arranque de la maquina. Fichero /etc/rc.d/rc.sysinit Script de inicializacion del ordenador, independiente del nivel . Directorios /etc/rc.d/rc?.d Un directorio por cada nivel de ejecucion. Contiene enlaces simbolicos a los scripts que conguran la entrada a este nivel. Directoiro /etc/rc.d/init.d Aqu residen los scripts que son ejecutados desde algun nivel de ejecucion. 6.4 Secuencia de Arranque de un Sistema Linux Cuando arranca un sistema Linux se producen las acciones siguientes: 1. Se carga e inicializa el nucleo del sistema. 2. El nucleo crea el primer proceso del sistema, denominado init. 3. Init realiza las acciones especicadas en el chero /etc/inittab. 4. Init ejecuta el script /etc/rc.d/rc.sysinit. 5. Init hace que el sistema entre en el nivel especicado en /etc/initab. No es normal tener que congurar esta secuencia de arranque, dictaminada por los cheros /etc/inittab y /etc/rc.d/rc.sysinit. Estos cheros son congurados en origen por quien distribuye el sistema operativo. No obstante, pueden ser necesarios para congurar sistemas Linux con requerimientos muy especcos. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 48 Niveles de ejecucion en Linux 6.5 Secuencia de Entrada en un Nivel de Ejecucion Cuando se entra en un determinado nivel de ejecucion, se realizan las siguientes acciones: 1. Se ejecutan, por orden de nombre, todos los scripts que comienzan por 'K' en el directorio correspondie nte al nivel, utilizando como argumento para dicho script stop. 2. Se ejecutan, por orden de nombre, todos los scripts que comienzan por 'S' en el directorio correspondiente al nivel, utilizando como argumento para dicho script start. A ttulo de ejemplo, a continuacion se muestra un listado del directorio /etc/rc.d/rc3.d, el cual corresponde al nivel multiusuario con red. ls -l rc3.d/ total 0 lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx lrwxrwxrwx 1 1 1 1 1 1 1 1 1 1 1 root root root root root root root root root root root root root root root root root root root root root root 13 13 15 17 17 16 16 13 15 18 11 Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr Apr 1 1 1 1 1 1 1 1 1 1 1 1998 1998 1998 1998 1998 1998 1998 1998 1998 1998 1998 K15gpm -> ../init.d/gpm K60lpd -> ../init.d/lpd K95nfsfs -> ../init.d/nfsfs S01kerneld -> ../init.d/kerneld S10network -> ../init.d/network S20random -> ../init.d/random S30syslog -> ../init.d/syslog S40atd -> ../init.d/atd S40crond -> ../init.d/crond S75keytable -> ../init.d/keytable S99local -> ../rc.local Puede observarse como en este directorio tan solo existen enlaces simbolicos a los verdaderos scripts que residen en el directorio /etc/rc.d/init.d. Cada uno de estos scripts aceptan dos parametros, start y stop, en funcion del cual inician o detienen el servicio. En este ejemplo, la secuencia de entrada al nivel 3 sera: gpm stop lpd stop nfsfs stop kerneld start network start random start syslog start atd start crond start keytable start rc.local start c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 49 6.6 Conguracion de los Niveles de Ejecucion 6.6 Conguracion de los Niveles de Ejecucion La conguracion mas usual de los niveles de ejecucion se limita a indicar que scripts deben ejecutarse al entrar en cada nivel, bien para detener o para activar un determinado servicio. Para ello, basta crear los enlaces simbolicos adecuados o, mejor todava, utilizar alguna herramienta graca que simplique esta labor, tal como el editor de niveles de ejecucion que se encuentra accesible en el panel de control de RedHat. La Figura 6.1 muestra el aspecto de dicha herramienta. Figura 6.1: Editor de niveles de ejecucion (panel de control) de RedHat linux. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Cap tulo 7 Montaje de Dispositivos en Linux Indice General 7.1 Introduccion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 7.2 Utilizacion Basica . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 7.3 La tabla de Montaje de Dispositivos . . . . . . . . . . . . . . . . 52 7.4 Montaje de directorios remotos va NFS . . . . . . . . . . . . . 54 7.5 Otros mandatos relacionados . . . . . . . . . . . . . . . . . . . . 54 7.1 Introduccion Unix ofrece al usuario una vision jerarquica del sistema de archivos, donde los directorios pueden ser creados en cualquier nivel para organizar as los cheros. A diferencia de otros sistemas, Unix ofrece una sola jerarqua, es decir, un solo directorio raz. En sistemas tipo MS-DOS o Windows, hay varias jerarquas, tantas como unidades de almacenamiento (particiones, disquetes, cd-roms, unidades de red) tenga el ordenador. Cada una de estas jerarquas es identicada por una letra de unidad seguida del caracter ':', por ejemplo, D:. Unix, en cambio, encadena todos los dispositivos que contienen sistemas de archivos en una unica jerarqua, siendo por tanto este acceso transparente al usuario. A esta tecnica se le denomina montaje de dispositivos. 51 52 Montaje de Dispositivos en Linux 7.2 Utilizacion Basica Para utilizar un dispositivo que contiene un sistema de archivos se utiliza el mandato mount, el cual utiliza dos argumentos, un nombre de dispositivo y un nombre de directorio. Por ejemplo: mount /dev/hdb6 /mnt En el ejemplo anterior, el directorio raz del sistema de archivos que reside en el dispositivo /dev/hdb6 (la segunda particion logica del disco duro primario esclavo) se monta en el directorio /mnt. De esta forma, cualquier acceso que indique /mnt hace que Unix acceda a la particion que ha sido montada. Linux reconoce muchos tipos de sistemas de archivos, algunos nativos del propio Linux y otros propios de otros sistemas operativos o estandares internacionales. Los mas relevantes son: Tipo Descripcion ext2 swap Sistema de archivos nativo Linux. Area de intercambio en disco de Linux. proc Jerarqua de informacion sobre el nucleo. msdos Sistema FAT 16 o FAT 31 con nombres cortos. vfat Sistema FAT 16 o FAT 32 con nombres largos. nfs Directorio remoto accesible va NFS. Tabla 7.1: Principales tipos de particiones utilizables desde Linux. Para indicar a mount el tipo del sistema de archivos, se utiliza la opcion -t . Adicionalmente puede utilizarse el tipo auto, el cual indica a mount que reconozca de forma automatica el tipo del sistema de archivos, opcion que resulta especialmente util en el chero /etc/fstab, el cual se describe a continuacion. Cuando se utiliza mount sin la opcion -t, se asume la opcion -t auto. Debe tenerse en cuenta que lo anteriormente expuesto incluye a todo tipo de dispositivos. Por tanto, el acceso a medios no jos como cd-rom o disquete se realiza igualmente utilizando mount. 7.3 La tabla de Montaje de Dispositivos Con el n de simplicar y unicar la gestion de los dispositivos montados, el administrador puede establecer en el chero /etc/fstab aquellos dispositivos que son conocidos por el c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 53 7.3 La tabla de Montaje de Dispositivos sistema, llegando incluso a indicar si algunos de ellos deben ser montados durante el momento del arranque del ordenador. Un ejemplo de este chero es el siguiente: /dev/hda3 /dev/hda2 none /dev/hdb1 /dev/hdb2 /dev/fd0 /dev/fd0 / swap /proc /e700l /e700 /A /B ext2 swap proc ext2 msdos msdos ext2 defaults defaults defaults noauto,user noauto,user noauto,user noauto,user 1 0 0 0 0 0 0 1 0 0 0 0 0 0 Cada lnea de dicho chero establece un dispositivo a montar junto con sus opciones. Por ejemplo, la Tabla 7.2 interpreta el signicado de los parametros de la primera lnea. Parametro Descripcion /dev/hda3 Dispositivo a montar. / Directorio donde montarlo. ext2 Tipo del sistema de archivos. defaults Opciones de montaje. 1 Volcado. 1 Orden de vericacion por fsck en el arranque del sistema. Solo debe aplicarse a los dispositivos locales que se montan durante el arranque. Tabla 7.2: Interpretacion del chero /etc/fstab. Existe una gran cantidad de opciones de montaje, algunas de las cuales son dependientes del tipo del sistema de archivos (consultese el mandato mount en el manual). Las opciones mas comunes y su signicado se presentan en la Tabla 7.3. Una de las ventajas de este chero es que simplica la utilizacion del mandato mount, el cual puede utilizar un solo argumento, bien sea el nombre del dispositivo o, mejor aun, el nombre del directorio. En estos casos, mount utiliza el tipo de sistema de archivos especicado en el chero. Por ejemplo: mount /A mount /e700 Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 54 Montaje de Dispositivos en Linux Opcion Descripcion defaults Opciones por defecto. Incluye montar el dispositivo durante el arranque del ordenador auto/noauto Si/No montar el dispositivo durante el arranque user/nouser Si/No permitir a un usuario convencional montar este dispositivo ro Montar el dispositivo en modo de solo-lectura rw Montar el dispositivo en modo de lectura-escritura dev/nodev Si/No interpretar cheros especiales de dispositivo suid/nosuid Si/No permitir la ejecucion de cheros con bits SETUID o SETGID activos Tabla 7.3: Opciones mas comunes en el montaje de dispositivos en Linux. 7.4 Montaje de directorios remotos va NFS El protocolo NFS permite utilizar un directorio de un ordenador remoto como si se tratase de un dispositivo, lo cual permite por tanto su montaje en el ordenador local. Puede utilizarse directamente el mandato mount o bien crear una entrada en el chero /etc/fstab. La forma de nombrar el dispositivo remoto es: nombre_de_ordenador:directorio_remoto A continuacion se muestra un ejemplo de mandato mount y la entrada correspondiente en /etc/fstab. mount 158.42.54.224:/diremoto /dirlocal 158.42.54.224:/diremoto /dirlocal nfs defaults 0 0 7.5 Otros mandatos relacionados mkfs Crea un sistema de archivos vaco en un dispositivo. fsck Verica la consistencia de un sistema de archivos. df Informa sobre el espacio libre y ocupado de un sistema de archivos c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Cap tulo 8 Dominios en Linux Indice General 8.1 Concepto de Dominio . . . . . . . . . . . . . . . . . . . . . . . . . 55 8.2 Network Information System (NIS) . . . . . . . . . . . . . . . . 55 8.2.1 8.2.2 8.2.3 Instalacion de los Componentes NIS Server . . . . . . . . . . . . Conguracion del Servidor de NIS . . . . . . . . . . . . . . . . . Conguracion del Cliente de NIS . . . . . . . . . . . . . . . . . . 56 56 57 8.3.1 8.3.2 8.3.3 Como Funciona NFS . . . . . . . . . . . . . . . . . . . . . . . . . Instalacion y Conguracion del Cliente NFS . . . . . . . . . . . . Instalacion y Conguracion del Servidor NFS . . . . . . . . . . . 59 59 60 8.3 Network File System (NFS) . . . . . . . . . . . . . . . . . . . . . 57 8.1 Concepto de Dominio En el mundo Linux no existe un concepto de dominio tan elaborado como en el mundo de Windows NT. Sin embargo, se consigue un efecto similar al activar un servicio en una maquina Linux (que actuara como \servidor" de cuentas y grupos) y otro servicio que permite la exportacion de directorios a maquinas remotas. En concreto, dichos servicios se denominan NIS y NFS, respectivamente. Ambos son explicados a continuacion. 8.2 Network Information System (NIS) NIS (desarrollado por SUN Microsystems) es un sistema de informacion basado en red que permite centralizar en un solo ordenador datos administrativos que son comunes a toda 55 56 Dominios en Linux una red de area local. Para que esto sea posible, debe denirse un nombre de dominio NIS (no confundir con el dominio DNS), instalar el servidor de NIS en un ordenador de la red, y congurar el resto de ordenadores como clientes NIS. De ser necesario, es posible instalar servidores NIS adicionales (a los cuales se les denomina esclavos), los cuales actuan como replicas del servidor principal (maestro). En principio, NIS puede ofrecer a la red cualquier tipo de tabla de informacion. No obstante, su funcionalidad principal es centralizar las tablas de usuarios y grupos en un solo ordenador, facilitando as las tareas del administrador, el cual, si no utilizase NIS, debera mantener sincronizados de forma manual estos cheros. Otra de las tablas importantes que NIS ofrece a la red es el chero /etc/hosts, tabla que asocia direcciones IP a nombres de ordenadores. Este es el metodo preferido para crear una base de datos comun de ordenadores cuando no se emplea el servicio DNS, el cual es mas comun aplicarlo cuando la red local que se esta administrando esta conectada a Internet. Los clientes NIS, por su parte, pueden congurarse para dar preferencia a sus tablas locales o a las que el servidor NIS ofrece. Estas preferencias se establecen en el chero /etc/nsswitch.conf. 8.2.1 Instalacion de los Componentes NIS Server Para instalar el servicio NIS Server, se han de realizar los siguientes pasos (exclusivamente en el servidor): 1. Iniciar el equipo que sera el servidor del dominio NIS. 2. Montar el directorio /home/ftp/pub de adserver en el directorio local /mnt. 3. Cambiar al directorio /mnt/Redhat62/RedHat/RPMS para iniciar la instalacion 4. Instalar los componentes que constituyen el NIS server: rpm -ih ypserv-1.3.9-3.i386.rpm 8.2.2 Conguracion del Servidor de NIS Una vez instalados los componentes, estos deben ser congurados. Esencialmente, esto consiste en dar de alta los servicios de NIS Server y servicios de los que depende en el arranque de la maquina, congurar el nombre del dominio NIS y construir las bases de datos que seran exportadas desde el servidor de NIS. 1. Instalar los servicios: (a) Iniciar el panel de control. (b) Iniciar, desde el panel de control, el editor de niveles de ejecucion. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 57 8.3 Network File System (NFS) (c) De ser necesario, incorporar los siguientes servicios para que se inicien en los niveles 3 y 5: portmap, ypserv y yppasswd 2. Nombre del dominio. Utilizando linuxconf, dar de alta el dominio NIS escogido y la direccion IP del propio servidor de NIS (un servidor NIS debe ser cliente de si mismo). 3. Reiniciar la maquina en este punto. 4. Construir la base de datos: /usr/lib/yp/ypinit -m Esta utilidad solicitara nombres de servidores secundarios. No hay ninguno disponible. 5. Reiniciar la maquina. A partir de este punto, siempre que se produzca algun cambio en los cheros que gestiona NIS, deben reconstruirse las bases de datos. Para ello, ejecutar: cd /var/yp make 8.2.3 Conguracion del Cliente de NIS La conguracion de cualquier maquina Linux que tenga que ser cliente del servidor que se ha congurado arriba se realiza de la siguiente forma: 1. Iniciar el panel de control. 2. Iniciar, desde el panel de control, el editor de niveles de ejecucion. 3. Incorporar, si es necesario, los siguientes servicios para que se inicien en los niveles 3 y 5: portmap, ypbind. 4. Utilice linuxconf para indicar al sistema el dominio NIS y el servidor asociado a dicho dominio. 5. Reiniciar el equipo. 8.3 Network File System (NFS) Tal como se explica en el documento \Montaje de dispositivos en Linux" (de esta misma editorial :) un sistema Linux puede trabajar unicamente con una jerarqua de directorios, de tal forma que si se desea acceder a distintos sistemas de archivos (particiones de discos, Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 58 Dominios en Linux cd-roms, disquetes, etc.), todos ellos deben montarse primero en algun punto de dicha jerarqua. Siguiendo la misma losofa, Network File System (NFS) es un servicio de red que permite a un ordenador cliente montar y acceder a un sistema de archivos (en concreto, un directorio) remoto, exportado por otro ordenador servidor. Por ejemplo, supongase que una maquina denominada faemino desea acceder al directorio /home/ftp/pub de la maquina cansado. Para ello, debera invocarse el siguiente mandato (en faemino): mount -t nfs cansado:/home/ftp/pub /mnt Este mandato indica que el directorio /home/ftp/pub que es exportado por el ordenador cansado debe ser montado en el directorio local /mnt de faemino. Este directorio local debe existir previamente. La opcion -t nfs indica a mount el tipo de sistema de archivos que va a montar, aunque en este caso podra omitirse, ya que mount detecta por el caracter `:' que se trata de un montaje remoto. Una vez el montaje se ha realizado, cualquier acceso a archivos o directorios dentro de /mnt (lectura, escritura, cambio de directorio, etc.) se traducen de forma transparente a peticiones al ordenador servidor (cansado), que las resolvera y devolvera su respuesta al cliente, todo a traves de la red. Es decir, el montaje de directorios mediante NFS permite trabajar con archivos remotos exactamente igual que si fueran locales, aunque logicamente con una menor velocidad de respuesta. En general, NFS es muy exible, y admite diversos escenarios: Un servidor NFS puede exportar m as de un directorio y atender simultaneamente a varios clientes. Un cliente NFS puede montar directorios remotos exportados por diferentes servi- dores. Cualquier ordenador puede ser a la vez cliente y servidor NFS. Teniendo esto en cuenta, existen dos usos tpicos de NFS donde este servicio muestra su utilidad: a) Directorios de conexion (home) centralizados. Cuando en una red local de maquinas Linux se desea que los usuarios puedan trabajar indistintamente en cualquiera de ellas, es apropiado ubicar los directorios de conexion de todos ellos en una misma maquina y hacer que las demas monten esos directorios mediante NFS. b) Comparticion de directorios de uso comun. Si varios usuarios (desde distintas maquinas) trabajan con los mismos archivos (de un proyecto comun, por ejemplo) tambien resulta util compartir (exportar+montar) el/los directorio/s donde se ubican dichos archivos. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 59 8.3 Network File System (NFS) 8.3.1 Como Funciona NFS El funcionamiento de NFS esta basado, por una parte, en dos servicios de red presentes en el ordenador servidor (mountd y nfsd) y por otra en la capacidad del cliente de traducir los accesos de las aplicaciones a un sistema de archivos en peticiones al servidor correspondiente a traves de la red. Esta funcionalidad del cliente se encuentra normalmente programada en el nucleo de Linux, por lo que no necesita ningun tipo de conguracion. Respecto al servidor, el servicio mountd se encarga de atender las peticiones remotas de montaje, realizadas por la orden mount del cliente (como la del ejemplo anterior). Entre otras cosas, este servicio se encarga de comprobar si la peticion de montaje es valida y de controlar bajo que condiciones se va a acceder al directorio exportado (solo lectura, lectura/escritura, etc.). Una peticion se considera valida cuando el directorio solicitado ha sido explcitamente exportado y el cliente tiene permisos sucientes para montar dicho directorio. Esto se detalla mas adelante en el documento. Una vez un directorio remoto ha sido montado con exito, el servicio nfsd se dedica a atender y resolver las peticiones de acceso del cliente a archivos situados en el directorio. 8.3.2 Instalacion y Conguracion del Cliente NFS Como se ha expresado anteriormente, el cliente NFS no requiere ni instalacion ni conguracion. Los directorios remotos pueden importarse utilizando el mandato mount y el chero asociado /etc/fstab, segun se muestra en el documento \Montaje de Dispositivos en Linux". Recuerdese que en cada invocacion al mandato mount (y/o en cada lnea de /etc/fstab) se pueden establecer opciones de montaje. En ellas se particulariza el comportamiento que tendra el sistema de archivos una vez se haya montado en el directorio correspondiente. En el caso de NFS, las opciones mas importantes son las que gobiernan el modo de fallo de las peticiones remotas, es decir, como se comporta el cliente cuando el servidor no responde: a) soft. Con esta opcion, cuando una peticion no tiene respuesta del servidor el cliente devuelve un codigo de error al proceso que realizo la peticion. El problema es que muy pocas aplicaciones esperan este comportamiento y ello puede provocar situaciones en las que se pierda informacion. Por tanto, no es aconsejable. b) hard. Mediante esta opcion, cuando el servidor no responde el proceso que realizo la peticion en el cliente se queda suspendido indenidamente. Esta es la opcion que se recomienda normalmente, por ser la que esperan las aplicaciones, y por tanto mas segura desde el punto de vista de los datos. Se puede combinar con la opcion intr, que permite matar el proceso mediante el envo de una se~nal (de la forma tradicional en Linux). Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 60 Dominios en Linux A continuacion se muestra un ejemplo, en el que se ve la lnea del archivo (/etc/fstab de la maquina faemino) relacionada con el ejemplo de la seccion 8.3: #device mountpoint fs-type options dump fsckorder ... cansado:/home/ftp/pub /mnt nfs hard,intr 0 0 8.3.3 Instalacion y Conguracion del Servidor NFS El servidor necesita, ademas de los dos servicios mountd y nfsd (ambos se aunan en el servicio comun demominado nfs, uno mas denominado portmap (del ingles portmapper), sobre el cual ambos basan su funcionamiento. Por tanto, la conguracion de un servidor NFS necesita unicamente tener disponibles dichos servicios e iniciarlos en el nivel de ejecucion 3 (o 5, o ambos) de la maquina (ver documento \Niveles de ejecucion en Linux"). Una vez activos los servicios NFS, el servidor tiene que indicar explcitamente que directorios desea que se exporten, a que maquinas y con que opciones. Para ello existe un chero de conguracion denominado /etc/exports. A continuacion se muestra uno de ejemplo, sobre el que se explican las caractersticas mas relevantes: # Directory ... /tmp /home/ftp/pub / /pub /pub/nopublic Clients and (options) pc02??.dsic.upv.es(rw) *.disca.upv.es() 158.42.54.1(rw,root_squash) mio.dsic.upv.es(rw,no_root_squash) (rw,all_squash,anonuid=501,anongid=601) (noaccess) Es importante destacar que cada vez que se modica este chero, para que se activen los cambios, el servidor NFS debe ser actualizado ejecutando el mandato exportfs -ra. Cada lnea especica un directorio que se a exportar, junto con una lista de autorizaciones, es decir, que ordenadores podran montar dichos directorios y con que opciones (desde el punto de vista del servidor). Cada elemento de la lista de ordenadores puede especicar un solo ordenador (mediante nombre simbolico o direccion IP) o un grupo de ordenadores (mediante el uso de caracteres comodn como `*' o `?'). Cuando el ordendor/rango no se especica (por ejemplo, en las ultimas dos lneas), esto signica que el directorio correspondiente se exporta a todos los ordenadores del mundo (conectados a Internet). Por su parte, de entre las posibles opciones de montaje que, entre parentesis, pueden especicarse para cada ordenador/grupo, las mas importantes se resumen en la tabla 8.1. Una lista completa de las opciones de montaje y su signicado pueden encontrarse en la pagina de manual exports (5) de Linux. La mayora de estas opciones establecen como quien se comporta el proceso cliente cuando su peticion de acceso llega al servidor. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 61 8.3 Network File System (NFS) Opcion Signicado () ro rw root squash Esta opcion establece las opciones que NFS asume por defecto. Solo lectura. Lectura/escritura. Los accesos desde el cliente con UID=0 (root) se convierten en el servidor en accesos con UID de un usuario anonimo (opcion por defecto). Se permite el acceso desde un UID = 0 sin conversion. Es decir, los accesos de root en el cliente se convierten en accesos de root en el servidor. Todos los accesos se transforman en accesos de usuario anonimo. Cuando se activa la opcion root squash o all squash, los accesos anonimos utilizan norlmalmente el usuario nobody, si existe en el servidor (defecto). Estos dos parametros establecen que uid y gid tendra la cuenta anonima que el servidor utilizara para acceder contenido del directorio. Impide el acceso al directorio especicado. Esta opcion es util para impedir que se acceda a un subdirectorio de un directorio exportado. no root squash all squash anonuid, anongid noaccess Tabla 8.1: Opciones mas usuales en la exportacion de directorios mediante NFS. En principio, cada peticion lleva asociada el UID y GID del proceso cliente, es decir, se comporta como s mismo. No obstante, si esta activa la opcion all squash (o bien el UID es cero y root squash esta activado), entonces el UID/GID se convierten en los del usuario anonimo. De todas formas, hay que tener en cuenta que los permisos sobre cada acceso del cliente se evaluan mediante los UID/GID que nalmente son validos en el servidor (es decir, los originales o los anonimos, segun el caso). Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Cap tulo 9 Conguracion de Samba Indice General 9.1 9.2 9.3 9.4 9.5 9.6 9.7 9.8 9.9 9.10 >Que es samba? . . . . . . . . . . . . . . . . . . . . . . . . . Instalacion de Samba . . . . . . . . . . . . . . . . . . . . . . Conguracion de Samba . . . . . . . . . . . . . . . . . . . . Instalacion y Conguracion de swat . . . . . . . . . . . . . Niveles de Seguridad . . . . . . . . . . . . . . . . . . . . . . Conguracion de Samba con el Nivel de Seguridad domain Tratamiento de los Accesos como Invitado . . . . . . . . . El Sistema de Ficheros SMB para Linux . . . . . . . . . . Opciones del Servidor Samba . . . . . . . . . . . . . . . . . Opciones del Recurso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 64 65 66 67 68 69 70 70 70 9.1 >Que es samba? Samba es un producto1 que se ejecuta en sistemas Unix, permitiendo al sistema Unix conversar con sistemas Windows a traves de la red de forma nativa. De esta forma, el sistema Unix aparece en el "Entorno de red", y clientes Windows pueden acceder a sus recursos de red e impresoras compartidas como si de otro sistema Windows se tratase. Para ello, Samba implementa los protocolos NetBIOS y SMB. NetBIOS es un protocolo de nivel de sesion que permite establecer sesiones entre dos ordenadores. SMB (Server Message Block), implementado sobre NetBIOS, es el protocolo que permite a los sistemas Windows compartir cheros e impresoras. 1 Samba se distribuye gratuitamente para varios versiones de Unix, de acuerdo con los terminos de la General Public License de GNU. 63 64 Conguracion de Samba Esencialmente, Samba consiste en dos programas, denominados smbd y nmbd. Ambos programas utilizan el protocolo NetBIOS para acceder a la red, con lo cual pueden conversar con ordenadores Windows. Haciendo uso de estos dos programas, Samba ofrece los siguientes servicios, todos ellos iguales a los ofrecidos por los sistemas Windows: Servicios de acceso remoto a cheros e impresoras. Autenticaci on y autorizacion. Resoluci on de nombres. Anuncio de servicios. El programa smbd se encarga de ofrecer los servicios de acceso remoto a cheros e impresoras (implementando para ello el protocolo SMB), as como de autenticar y autorizar usuarios. smbd ofrece los dos modos de comparticion de recursos existentes en Windows, basado en usuarios o basado en recursos. En el modo basado en usuarios (propio de los dominios NT) la autorizacion de acceso al recurso se realiza en funcion de nombres de usuarios registrados en un dominio, mientras que en el modo basado en recursos (propio de Windows 3.11/95) a cada recurso se le asigna una contrase~na, estando autorizado el acceso en funcion del conocimiento de dicha contrase~na. El programa nmbd permite que el sistema Unix participe en los mecanismos de resolucion de nombres propios de Windows, lo cual incluye el anuncio en el grupo de trabajo, la gestion de la lista de ordenadores del grupo de trabajo, la contestacion a peticiones de resolucion de nombres y el anuncio de los recursos compartidos. De esta forma, el sistema Unix aparece en el "Entorno de Red", como cualquier otro sistema Windows, publicando la lista de recursos que ofrece al resto de la red. Adicionalmente a los dos programas anteriores, Samba ofrece varias utilidades. Algunas de las mas relevantes son las siguientes: smbclient. Una interfaz similar a la utilidad ftp, que permite a un usuario de un sistema Unix conectarse a recursos SMB y listar, transferir y enviar cheros. swat (Samba Web Administration Tool). Esta utilidad permite congurar Samba de forma local o remota utilizando un navegador de web. Sistema de cheros SMB para Linux. Linux puede montar recursos SMB en su jerarqua, al igual que sucede con directorios compartidos va NFS. 9.2 Instalacion de Samba Los pasos que hay que seguir para instalar Samba en RedHat Linux son los siguientes: 1. Montar el directorio /home/ftp/pub de adserver en el directorio local /mnt. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 65 9.3 Conguracion de Samba 2. Cambiar al directorio /mnt/redhat62/RedHat/RPMS para iniciar la instalacion. 3. Instalar Samba: rpm -ih Samba-2.0.6-9.i386.rpm Una vez instalado Samba, hay que vericar que el servicio smb esta activo en el niveles de ejecucion 3 y/o 5, y despues reiniciar el sistema. 9.3 Conguracion de Samba La conguracion de Samba se realiza en el chero /etc/smb.conf. En este chero se establecen las caractersticas del servidor Samba, as como los recursos que seran compartidos en la red. La utilizacion de este chero es bastante sencilla, ya que aunque existe un gran numero de opciones, muchas de ellas pueden obviarse dado que siempre existe una valor por defecto para cada opcion, que suele ser apropiado. A ttulo de ejemplo, en la Figura 9.1 se muestra un chero de conguracion simple, que exporta el directorio de conexion de cada usuario como un recurso de red distinto, y el directorio /espacio/pub como el recurso de red pub. [global] ... [homes] comment = Home Directories ... [pub] path = /espacio/pub Figura 9.1: Fichero /etc/smb.conf Como se ve en el ejemplo, el chero /etc/smb.conf se encuentra divido en secciones, encabezad s por una palabra entre corchetes. Dentro de cada seccion guran opciones de conguracion, de la forma etiqueta = valor, que determinan las caractersticas del recurso exportado por la seccion. En los apartados 9.9 y 9.10 del presente documento se citan las opciones mas importantes que se pueden establecer en cada seccion. Existen tres secciones predenidas, denominadas global, homes y printers, y tantas secciones adicionales como recursos extra se quieran compartir. El cometido de dichas secciones predenidas se describe en la Tabla 9.1, a continuacion. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 66 Conguracion de Samba Seccion Cometido [global] Dene los parametros de Samba a nivel global del servidor, as como los parametros que se estableceran por defecto en el resto de las secciones. Dene automaticamente un recurso de red por cada usuario conocido por Samba. Este recurso, por defecto, esta asociado al directorio de conexion de cada usuario en el ordenador en el que Samba esta instalado. Dene un recurso compartido por cada nombre de i mpresora conocida por Samba. [homes] [printers] Tabla 9.1: Secciones globales en el chero /etc/smb.conf. Para cualquier otro recurso (directorio o impresora) que se quiera compartir hay que denir una seccion adicional en el chero de conguracion. El encabezamiento de dicha seccion (pub en el ejemplo anterior) correspondera al nombre que el recurso tendra en la red. Por otra parte, Samba ofrece una interfaz de edicion de este chero basada en web denominada swat. Esta herramienta permite congurar Samba utilizando un navegador de red, tanto de forma local como remota. 9.4 Instalacion y Conguracion de swat swat es un programa que atiende peticiones http en el puerto tcp 901. Para activar swat es necesario seguir los pasos siguientes: 1. Instalar el servicio inetd. rpm -ih inetd-0.16-4.i386.rpm 2. Declarar el servicio swat. Incluir o vericar que ya existe la siguiente lnea en el chero /etc/services: swat 901/tcp 3. Asociar el programa swat al nuevo servicio. Descomentar la siguiente lnea en el chero /etc/inetd.conf: #swat stream nowait.400 root /usr/sbin/swat swat c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 67 9.5 Niveles de Seguridad 4. Activar el servicio swat: /etc/rc.d/init.d/inet start A partir de este momento, la conguracion de Samba puede realizarse va Web. Para ello, basta con acceder a la direcion http://nombre de ordenador:901/ mediante cualquier navegador. 9.5 Niveles de Seguridad Una de las consideraciones mas importantes a la hora de congurar Samba es la seleccion del nivel de seguridad. Desde la perspectiva de un cliente, Samba ofrece dos modos de seguridad, denominados share y user, al igual que sucede en los sistemas Windows: a) Modo Share. En el modo share, cada vez que un cliente quiere utilizar un recurso ofrecido por Samba, debe suministrar una contrase~na de acceso asociada a dicho recurso. b) Modo User. En el modo user, el cliente debe establecer en primer lugar una sesion con el servidor Samba, para lo cual le suministra un nombre de usuario y una contrase~na. Una vez Samba valida al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba. En cualquiera de ambos, Samba tiene que asociar un usuario del sistema Unix en el que se ejecuta Samba con la conexion realizada por el cliente. Este usuario es el utilizado a la hora de comprobar los permisos de acceso a los cheros y directorios que el sistema Unix/Samba comparte en la red. La seleccion del nivel de seguridad se realiza con la opcion security, la cual pertenece a la seccion [global]. Sus alternativas son las siguientes: security = share | user | server | domain Desde la perspectiva del cliente, el nivel share corresponde al modo de seguridad share y los niveles user, server y domain corresponden todos ellos al modo de seguridad user. A continuacion se describen someramente los cuatro niveles. El nivel share es utilizado normalmente en entornos en los cuales no existe un dominio NT, dado que es complejo y costoso el mantenimiento de una tabla de usuarios global para la red. En este caso, se asocia una contrase~na por cada recurso, que debe proporcionarse correctamente desde el cliente cuando se pide la conexion. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 68 Conguracion de Samba En el nivel user, el encargado de validar al usuario es el sistema Unix donde Samba se ejecuta. La validacion es identica a la que se realizara si el usuario iniciase una sesion local en el ordenador Unix. Para que este metodo sea aplicable, es necesario que existan los mismos usuarios y con identicas contrase~nas en los sistemas Windows y en el sistema Unix donde Samba se ejecuta. Recientemente, la utilizacion de este nivel se ha vuelto complicada, ya que en Windows 98 y en Windows NT (Service Pack 3 y posteriores), las contrase~nas de los usuarios se transmiten cifradas por la red. Puesto que el tipo de cifrado no es conocido por Samba, el sistema Unix ya no pue de realizar la validacion. Existen dos metodos para resolver este problema. El primero consiste en modicar el registro del sistema Windows para permitir la transferencia de contrase~nas sin cifrar por la red. El segundo metodo obliga a utilizar una tabla de contrase~nas adicional en el sistema Unix, en la cual se almacenan las contrase~nas cifradas de los usuarios Windows. En el nivel server, Samba delega la validacion del usuario en otro ordenador, normalmente un sistema Windows NT. Cuando un cliente intenta iniciar una sesion con Samba, este ultimo intenta iniciar una sesion en el ordenador en el cual ha delegado la validacion con la misma acreditacion (usuario+contrase~na) recibidos del cliente. Si la sesion realizada por Samba es satisfactoria, entonces la solicitud del cliente es aceptada. Este metodo aporta la ventaja de no necesitar que las contrase~nas se mantengan sincronizadas entre los sistemas Windows y Unix, ya que la contrase~na Unix no es utilizada en el proceso de validacion. Adicionalmente, no hay inconveniente en utilizar contrase~nas cifradas, ya que la validacion la realiza un sistema NT. Por ultimo, existe la posibilidad de utilizar el nivel domain. Este nivel es similar al nivel server, aunque en este caso el ordenador en el que se delega la validacion debe ser un PDC (o un a lista de ordenadores PDC y BDC). La ventaja de este metodo estriba en que el ordenador Samba pasa a ser un verdadero miembro del dominio NT, lo que implica, por ejemplo, que puedan utilizarse las relaciones de conanza establecidas por el dominio. Esto signica, en pocas palabras, que usuarios pertenecientes a otros dominios en los que el PDC confa son conocidos por Samba. Por otra parte, como comentan los creadores de Samba, este metodo permitira en un futuro cercano eliminar la necesidad de mantener una tabla de usuarios en el sistema Unix sincronizada con la tabla de usuarios del dominio NT. En n, tal como dicen ellos, watch for this code soon!. Dadas las ventajas de el nivel domain, este documento se centra fundamentalmente en este metodo. Para detalles especcos de los otros niveles, se recomienda la consulta de la documentacion original de Samba. 9.6 Conguracion de Samba con el Nivel de Seguridad domain Los pasos a seguir para congurar Samba con el nivel de seguridad domain son los siguientes: 1. Dar de alta en el PDC al sistema Unix donde se ejecuta Samba como miembro del c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 69 9.7 Tratamiento de los Accesos como Invitado dominio. Esta accion se realiza desde el "Administrador de Servidores". 2. Detener el servidor Samba: /etc/rc.d/init.d/smb stop 3. Agregar el sistema Unix al dominio. smbpasswd -j DOMINIO -r PDC_DEL_DOMINIO 4. Congurar el nivel en el chero /etc/smb.conf. En la seccion [global] incorporar: security = domain workgroup = DOMINIO encrypt passwords = yes password server = PDC_DEL_DOMINIO 5. Iniciar el servidor Samba: /etc/rc.d/init.d/smb start 9.7 Tratamiento de los Accesos como Invitado Cuando se utiliza el nivel de seguridad domain, el tratamiento de los accesos como usuario invitado requiere algunas consideraciones. En primer lugar, Samba considera a un usuario como invitado solo cuando este usuario esta dado de alta en el dominio NT al cual pertenece Samba pero no esta dado de alta en el sistema Unix donde Samba se ejecuta. De esta forma, usuarios de otros dominios (en los que no se confa) no pueden acceder a Samba, ni siquiera como invitados. Para conseguir que usuarios ajenos al dominio NT se consideren invitados, es necesario activar la siguiente opcion en la seccion [global]: map to guest = Bad User De esta forma, cualquier usuario no conocido sera tratado como invitado. Samba considerara que los accesos al sistema de cheros Unix los realizara el usuario especicado en la opcion global guest account. En cualquier caso, el acceso como invitado debe permitirse expresamente para cada recurso con la opcion guest ok. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 70 Conguracion de Samba 9.8 El Sistema de Ficheros SMB para Linux Linux dispone de soporte para el sistema de cheros SMB. De esta forma, Linux, al igual que puede montar un directorio exportado va NFS en un directorio local, puede montar un recurso SMB ofrecido por un servidor SMB (un sistema Windows o un servidor Samba, por ejemplo). No obstante, existe una diferencia signicativa entre NFS y SMB. En NFS no se requiere autenticar al usuario que realiza la conexion; el servidor NFS utiliza el UID del usuario del ordenador cliente para acceder a los cheros y directorios exportados. Un servidor SMB, por contra, requiere autenticar al usuario, para lo que necesita un nombre de usuario y una contrase~na. Por ello, para montar un recurso SMB se utiliza el mandato mount indicandole un tipo de sistema de archivos especco, denominado smbfs: mount -t smbfs -o username=NOMBRE_DE_USUARIO,passwd=CONTRASE~NA,workgroup= GRUPO o DOMINIO //ORDENADOR/RECURSO DIRECTORIO\_LOCAL Si se omite la opcion passwd, se solicita al usuario que introduzca una contrase~na. Si el servidor SMB valida al usuario, a partir del directorio directorio local se consigue el acceso al recurso //ordenador/recurso. El recurso puede desmontarse utilizando el mandato umount, cuya utilizacion es la siguiente: umount directorio_local 9.9 Opciones del Servidor Samba En la Tabla 9.2 a continuacion se describen algunas opciones del servidor Samba. Estas opciones tan solo son aplicables a la seccion [global]. 9.10 Opciones del Recurso En la Tabla 9.4 al nal del captulo se describen algunas opciones aplicables a cada recurso compartido. Pueden establecerse tambien en la seccion global, siendo en este caso utiliz das como valores por defecto para cada recurso compartido. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 71 9.10 Opciones del Recurso Opcion Signicado Valor por defecto netbios name Nombre NetBIOS del ordenador Primer componente de su nombre DNS log level Detalle en la auditora de Samba. Es un numero que indica la cantidad de informacion a auditar. A mayor valor, mas cantidad de informacion. Se establece en el script que inicia el servicio Samba. log file Nombre del chero donde se almacenan mensajes de auditora de Samba. Se establece en el script que inicia el servicio Samba. wins server Ordenador servidor de WINS. El sistema Samba se convierte en cliente WINS. nulo. wins support fyes/nog El ordenador Samba se convierte en servidor WINS (funcionalidad limitada). no. Tabla 9.2: Principales opciones de la seccion [global] de Samba. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 72 Conguracion de Samba Opcion Signicado Valor por defecto read only fyes/nog Recurso de solo lectura. yes browseable fyes/nog El servicio aparece en la lista de recursos compartidos. yes path Directorio asociado al servicio. | comment Descripcion del servicio. | guest ok fyes/nog Permitir los accesos en modo invitado. no guest account Si un acceso se realiza como invitado (usuario no conocido) se utiliza el usuario indicado para representar la conexion. nobody guest only Cualquier acceso se realiza en modo invitado. no copy Duplica un servicio ya declarado | force user Los accesos al recurso se realizan como si el usuario que accede es el usuario indicado. Se utiliza el mismo usuario que ha realizado la conexion. force group Los accesos al recurso se realizan como si el usuario que accede pertenece al grupo indicado. Se utiliza el grupo primario del usuario que ha realizado la conexion. hosts allow Lista ordenadores a los que se permite acceder. lista vaca (i.e., todos los ordenadores). hosts deny Lista ordenadores a los que no se les permite acceder. En caso de conicto, prevalece lo indicado en hosts allow. ningun ordenador. valid users Lista de usuarios que pueden acceder a este recurso. lista vaca (i.e., todos los usuarios). follow symlinks fyes/nog Permitir el seguimiento de los enlaces simbolicos. yes Tabla 9.4: Principales opciones de recurso de Samba. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Cap tulo 10 Servicio de Nombres de Internet de Windows Indice General 10.1 10.2 10.3 10.4 10.5 Descripcion Basica de WINS . . . . . . . . . . . . . Servidores de Duplicacion . . . . . . . . . . . . . . . El Proceso de Registro, Renovacion y Liberacion . El Proceso de Resolucion de Nombres . . . . . . . . Instalacion del Servidor y de los Clientes WINS en ... ... ... ... NT . . . . . . . . . . . . . . . . . . . . 73 75 76 77 77 10.1 Descripcion Basica de WINS El Servicio de Nombres de Internet de Windows o WINS (Windows Internet Naming Service) es un servicio de red, especco de Windows NT Server, que proporciona una traduccion de nombres (de equipo) NetBIOS a direcciones IP. NetBIOS es un protocolo de sesion que utilizan los programas basados en Windows1 cuando se comunican con otros equipos a traves de la red. Por debajo, este protocolo puede estar soportado por distintos protocolos de transporte, como por ejemplo NetBeui, IPX o TCP/IP. En este ultimo caso, cuando NetBIOS se implementa encima de TCP/IP, es necesario traducir de alguna manera los nombres simbolicos de maquinas en direcciones IP, para que los mensajes lleguen a su destino. Un equipo con Windows NT tiene cuatro alternativas para realizar esta traduccion: 1 Entiendase cualquier version de Windows (3.11, 95, 98, NT, etc.). 73 74 Servicio de Nombres de Internet de Windows 1) Difusion de direcciones IP (broadcast). Es decir, se emite un mensaje a toda la red local, y la maquina cuyo nombre simbolico coincide con el que gura en el mensaje, se comunica con el emisor, diciendole su IP. 2) Ficheros locales. Estos cheros cuentan con asociaciones estaticas del tipo nombre/direccion IP. En Windows NT, dichos cheros se denominan LMHOSTS y HOSTS. 3) Consultar a un servidor DNS (Domain Name Service). Estos servidores poseen cheros estaticos de asociacion de nombres/direcciones IP, y son capaces de resolver peticiones en este sentido. Estos cheros tienen que ser generados manualmente por el administrador del servidor. 4) Consultar a un servidor WINS, tambien denominado servidor de nombres NetBIOS. La alternativa de utilizar un servidor WINS para la resolucion de nombres tiene ventajas importantes respecto a las otras tres: Las difusiones provocan un gran traco en la red, que sera mayor cuantos mas equipos esten conectados a la misma. Este traco no lleva informacion de aplicacion, con lo que el rendimiento del acceso a la red se degrada. Los cheros est aticos LMHOSTS y HOSTS son difciles de mantener, puesto que han de ser editados manualmente, y ademas tienen que residir en cada equipo. Los servidores DNS son una soluci on aceptable cuando las asociaciones entre nombres de equipo y direcciones IP son jas. Sin embargo, si hay frecuentes cambios en dichas asociaciones es difcil mantener consistente la base de datos de asociaciones con la situacion real en cada momento. Esto ocurre, por ejemplo, cuando esta activo el servicio DHCP (ver captulo 11). Frente a la solucion aportada por DNS, WINS plantea una aproximacion diferente: Un servidor WINS posee una base de datos (de asociaciones) en donde se van registrando dinamicamente las maquinas Windows conforme van arrancando y conectandose a la red. Cuando una de estas maquinas (o clientes WINS ) va a apagarse, lo comunica a su servidor WINS, el cual lo elimina de la base de datos. De esta forma, la base de datos se encuentra siempre actualizada con los nombres de los equipos (y sus IPs) conectados en cada momento a la red. Cuando un cliente WINS desea averiguar la direccion IP de otro equipo, simplemente se lo pregunta a su servidor WINS. Esta forma de trabajar es la solucion mas natural en redes Windows, tanto si tenemos activo el servicio DHCP como si no. El motivo de ello es que para WINS es indiferente la forma en que un equipo haya recibido su direccion IP (manualmente o a traves de DHCP), as como si esta direccion es siempre la misma, o cambia cada vez que arranca el equipo. Ademas, este servicio resuelve otro grave problema de las redes NetBIOS: la duplicidad de nombres de equipo en la red. Cuando en una misma red local existen dos equipos con c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 75 10.2 Servidores de Duplicacion el mismo nombre, el conicto provoca habitualmente que las aplicaciones encuentren uno u otro aleatoriamente (o incluso que no se encuentre ninguno de ambos). Al estar activo WINS, cuando un equipo intenta registrarse con un nombre ya en uso, la operacion de registro es rechazada, y el equipo no puede conectarse a la red. 10.2 Servidores de Duplicacion Si se desea activar el servicio WINS en una red Windows, es necesario que al menos un NT Server conectado a la misma ofrezca el servicio WINS al resto de equipos (NT Workstation no puede ofrecer este servicio). Sin embargo, en redes con un numero de equipos medio o alto es deseable tener mas de un servidor WINS, puesto que de esta forma: Se reparte entre todos los servidores la carga provocada por el registro de equipos y la consulta de direcciones IP. Se replica la informaci on que cada servidor tiene, lo que produce una cierta tolerancia a fallos en la resolucion de nombres en la red. Adicionalmente los servidores WINS pueden utilizarse para la resolucion de nombres NetBIOS entre ordenadores que pertenecen a redes fsicas diferentes. En estos casos, en cada red se instala un servidor WINS, el cual registra los ordenadores de su red. A su vez, se conguran todos los servidores WINS para que repliquen su informacion, consiguiendo as que cada servidor WINS conozca tambien a los ordenadores que no forman parte de su red, suministrando esta informacion a sus clientes. Cuando en una red hay varios servidores WINS, todos ellos han de intercambiar la informacion que contienen sus bases de datos, para que la informacion acerca de los equipos conectados sea completa y consistente, y para que sea accesible a cualquier cliente. Para ello, cada servidor WINS tiene que congurarse como servidor de extraccion y como servidor de insercion de otro u otros servidores WINS. En concreto: a) Servidor de Extraccion (Pull Partner). Si un servidor WINS A se congura como servidor de extraccion de otro servidor B, entonces A le solicitara a B cada cierto tiempo que le enve su base de datos (o en cualquier momento, a peticion del administrador). La Figura 10.1 muestra el sentido en que uira la informacion en el caso de que el servidor WINS 2 actuara como servidor de extraccion del WINS 1. b) Servidor de Insercion (Push Partner). Si un servidor WINS A se congura como servidor de insercion de otro servidor B, entonces A le enviara a B su base de datos cuando se produzca en ella un numero determinado de cambios (o en cualquier momento, a peticion del administrador). La Figura 10.1 muestra el sentido en que uira la informacion en el caso de que el servidor WINS 1 actuara como servidor de insercion del WINS 2. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 76 Servicio de Nombres de Internet de Windows WINS_1 WINS_2 Servidor de Insercion Servidor de Extraccion (Push Partner) (Pull Partner) Figura 10.1: Servidores de Insercion y Extraccion en WINS. 10.3 El Proceso de Registro, Renovacion y Liberacion Cuando un cliente WINS se inicia, enva un mensaje directo a su servidor WINS principal, informandole de (entre otros) su direccion IP y su nombre NetBIOS. Cuando es recibido por el servidor, este busca en su base de datos y comprueba si dicho nombre de equipo ya ha sido registrado. Si no hay conicto, registra el nombre e informa positivamente al cliente, que puede entonces nalizar su arranque. Por el contrario, si ya existe otro equipo registrado con el mismo nombre, el servidor intenta contactar con el, para comprobar que se encuentra efectivamente conectado. Si recibe respuesta del propietario actual del nombre, entonces enva un mensaje negativo al aspirante, que no podra conectarse utilizando este nombre. De forma similar a lo que ocurre con DHCP, un registro positivo se considera como una concesion, teniendo un tiempo de validez denominado tiempo de vida o TTL (Time To Live). Cuando la mitad de dicho tiempo de vida ha transcurrido, el cliente empieza a enviar mensajes de renovacion del nombre al servidor WINS primario cada cierto tiempo, hasta que este le contesta positivamente. Por ultimo, cuando un cliente WINS es apagado correctamente, este enva un mensaje de liberacion al servidor WINS. El servidor WINS comprueba si dicho cliente era el propietario del nombre, y en ese caso le devuelve un mensaje positivo. Si ocurre algun error, el mensaje del servidor al cliente sera negativo. Sin embargo, el cliente no comprueba el contenido del mensaje, y en cualquier caso continua con el proceso de detencion del equipo. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 77 10.4 El Proceso de Resolucion de Nombres 10.4 El Proceso de Resolucion de Nombres En el contexto de las redes TCP/IP, se denomina resolucion de nombres al proceso de averiguar la direccion IP de un equipo, dado su nombre simbolico. Los equipos Windows (en general) pueden caracterizarse en cuatro clases, en funcion de como realizan la resolucion de nombres: a) Clase b-node (broadcast node). Utiliza unicamente difusiones IP para averiguar la direccion IP de un equipo. b) Clase p-node (point-to-point node). Utiliza comunicacion directa (punto a punto) con un servidor de nombres NetBIOS, es decir, un servidor WINS en redes NT. c) Clase m-node (mix node). Utiliza una mezcla de las dos primeras, pero primero intenta resolver el nombre mediante una difusion, y si no lo consigue, trata de contactar con un servidor WINS. d) Clase h-node (hybrid node). Utiliza una combinacion hbrida de las dos primeras para la resolucion de nombres, pero solo realiza una difusion cuando falla la solicitud al servidor WINS (por ejemplo, si no esta disponible en ese momento). En concreto, el orden que sigue un nodo hbrido para resolver un nombre es: contactar con servidor(es) WINS, difusion IP, chero LMHOSTS, chero HOSTS, y por ultimo, contactar con servidor(es) DNS. Cuando un sistema NT es congurado como cliente WINS, por defecto se establece como nodo hbrido. Por otra parte, el tipo de nodo es uno de los parametros de conguracion que un servidor DHCP puede asociar a un cliente. Un equipo cualquiera puede saber de que tipo es mediante el mandato ipconfig /all. 10.5 Instalacion del Servidor y de los Clientes WINS en NT Para instalar este servicio, se debe ir al Panel de Control de Windows NT Server, y dentro del mismo, abrir la conguracion de red. Entonces se nos presenta en pantalla un cuadro con diversas pesta~nas (Identificacion, Servicios, Protocolos, etc.). En la pesta~na Servicios se puede observar que servicios de red proporciona el sistema actualmente. Entonces se debe pinchar en el boton Agregar..., y buscar en la lista el Servicio de Nombres de Internet de Windows. Una vez hecho esto, se nos pedira (como no) que reiniciemos el equipo. A partir de ese momento se a~nade al menu Herramientas Administrativas (comun) la aplicacion Adminstrador WINS, con la que podremos empezar a congurar el servicio. Respecto a los clientes, lo unico que se debe hacer es ir a Panel de control/ Red/ Protocolos, seleccionar el protocolo TCP/IP, y pinchar en el boton Propiedades. En Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 78 Servicio de Nombres de Internet de Windows el cuadro de dialogo que se muestra entonces hay que pinchar en la pesta~na Direccion WINS, y all especicar la direccion IP del servidor WINS principal (y del secundario, si existe). c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Cap tulo 11 Servicio DHCP en Windows NT Indice General 11.1 11.2 11.3 11.4 11.5 Descripcion Basica de DHCP . . . . . . . . . . . . . . . . Concepto de Ambito . . . . . . . . . . . . . . . . . . . . . Instalacion del Servidor y de los Clientes DHCP en NT El Administrador DHCP de NT . . . . . . . . . . . . . . La Utilidad ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 81 81 82 83 11.1 Descripcion Basica de DHCP DHCP (Dynamic Host Conguration Protocol) o Protocolo Dinamico de Conguracion de Equipos no es un protocolo especco de Windows NT, sino que se trata de un estandar para cualquier tipo de sistema conectado a una red TCP/IP. La funcion basica de este protocolo es evitar que el administrador tenga que congurar manualmente las caractersticas propias del protocolo TCP/IP en cada equipo. Para ello, existe en la red un sistema especial, denominado servidor DHCP, que es capaz de asignar la conguracion TCP/IP al resto de maquinas presentes en la red, o clientes DHCP, cuando estos arrancan. Entre los datos que mas habitualmente proporciona el servidor a los clientes se incluyen: Una direcci on IP por cada tarjeta de red o NIC (Network Interface Card) que posea el cliente. La m ascara de subred. La puerta de enlace o gateway. 79 80 Servicio DHCP en Windows NT Otros parametros adicionales, como el sujo del dominio DNS (Domain Name Sys- tem), o el propio servidor DNS. En una red pueden convivir equipos que sean clientes DHCP con otros cuya conguracion se haya establecido manualmente1 . Aquellos que esten congurados como clientes DHCP necesitaran encontrar en la red local un servidor DHCP para que les proporcione sus parametros TCP/IP. Cuando un cliente DHCP arranca por primera vez, lanza por la red un mensaje de difusion2, solicitando una direccion IP. Si en la red existe un solo servidor DHCP, cuando este reciba el mensaje contestara al cliente asociandole una direccion IP (junto con el resto de parametros). En concreto, el servidor DHCP puede estar congurado para asignar al cliente una direccion IP cualquiera de las que tenga disponibles, o bien para asignarle una direccion en concreto (o direccion reservada), en funcion de la direccion fsica ethernet del cliente. En cualquiera de ambos casos, una vez el cliente recibe el mensaje del servidor, ya tiene una conguracion IP con la que poder acceder a la red de forma normal. Si en la red hay mas de un servidor DHCP, es posible que dos o mas servidores escuchen la peticion, y le contesten. Entonces, el primer mensaje que recibe el cliente es aceptado, y el resto son rechazados. Es muy importante resaltar que cuando hay varios servidores DHCP en una misma red local, estos no se comunican entre ellos para saber que direcciones IP debe asignar cada uno. Es responsabilidad de los administradores que sus conguraciones sean independientes y consistentes. Es decir: Cuando en una misma red TCP/IP existe mas de un servidor DHCP, es imprescindible que esten congurados de manera que no puedan asignar la misma direccion IP a dos ordenadores distintos. Para ello basta que los rangos de direcciones IP que puedan proporcionar no tengan direcciones comunes, o, si las tienen, que estas sean direcciones reservadas. En cualquiera de los casos anteriores, desde el punto de vista del cliente los parametros que ha recibido se consideran una concesion, es decir, son validos durante un cierto tiempo. Cada vez que el cliente arranca, o bien cuando se alcanza el lmite de la concesion (lease time) el cliente tiene que solicitar su renovacion. Cuando el servidor recibe este mensaje de renovacion puede hacer dos cosas: a) Renovar la concesion al cliente durante otro intervalo de tiempo, o bien b) Denegar la concesion, con lo que la direccion IP del cliente pasa al conjunto de direcciones disponibles del servidor, y el cliente es forzado a solicitar otra direccion, de nuevo mediante una difusion. 1 Siempre que no haya repeticiones entre las IPs que reciben los clientes DHCP y las que poseen los equipos congurados manualmente. 2 Una difusion (o broadcast) es un mensaje que se enva de una sola vez a todas las maquinas presentes en la red local. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 81 11.2 Concepto de Ambito A criterio del administrador, existe la posibilidad de que la concesion de ciertos equipos (o de todos) se especique como \sin lmite", con lo que la direccion pasa a estar asociada a la maquina (que la adquiera) para siempre. El protocolo DHCP es especialmente util cuando el parque de equipos de una organizacion se distribuye en varias subredes fsicas, y ademas los equipos cambian de ubicacion (de subred) con cierta frecuencia. En este caso, cambiar el equipo de sitio no supone nunca recongurar manualmente sus parametros de red, sino simplemente conectarlo a la nueva red y arrancarlo. 11.2 Concepto de Ambito En el contexto de DHCP, un ambito (scope) se dene como una agrupacion administrativa de direcciones IP que posee una serie de parametros de conguracion comunes y que se utiliza para asignar direcciones IP a clientes DHCP situados en una misma red fsica. Es decir, para que un servidor DHCP pueda asignar direcciones IP a sus potenciales clientes, es necesario que dena al menos un ambito en cada red fsica en la que haya clientes que atender. El administrador debe establecer para dicho ambito sus parametros de conguracion, tales como el rango de direcciones IP que puede asignar, las direcciones excluidas, la mascara de red3 , el lmite de tiempo que los equipos pueden disfrutar de la concesion, etc. En cualquier caso, para que un servidor DHCP pueda atender varias redes fsicas distintas interconectadas, es necesario que este conectado a dichas redes, o bien que los encaminadores utilizados tengan la capacidad de encaminar los mensajes del protocolo DHCP entre dichas redes. De no ser as, es necesario utilizar un servidor DHCP distinto en cada red. En cada ambito solo se admite un rango consecutivo de direcciones IP. Si todas las direcciones de dicho rango no deben ser asignadas, es posible tambien denir subrangos (o direcciones individuales) que deban ser excluidos del rango. 11.3 Instalacion del Servidor y de los Clientes DHCP en NT Para instalar este servicio, se debe ir al Panel de Control de Windows NT Server, y dentro del mismo, abrir la conguracion de red. Entonces se nos presenta en pantalla un cuadro con diversas pesta~nas (Identificacion, Servicios, Protocolos, etc.). En la pesta~na Servicios se puede observar que servicios de red proporciona el sistema actualmente. Entonces se debe pinchar en el boton Agregar..., y buscar en la lista el servicio DHCP. 3 Puesto que cada ambito solo puede servir para congurar clientes situados en una misma red fsica, la mascara de subred de cada ambito es unica. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 82 Servicio DHCP en Windows NT Una vez hecho esto, se nos pedira que reiniciemos el equipo. A partir de ese momento se a~nade al menu Herramientas Administrativas (comun) la aplicacion Adminstrador DHCP, con la que podremos empezar a congurar el servicio. Respecto a los clientes, lo unico que se debe hacer es ir a Panel de control/ Red/ Protocolos, seleccionar el protocolo TCP/IP, y pinchar en el boton Propiedades. En el cuadro de dialogo que se muestra entonces hay que especicar \obtener una direccion IP de un servidor DHCP". Habra que eliminar entonces el resto de parametros de la conguracion del protocolo, puesto que el cliente los adquirira del servidor. 11.4 El Administrador DHCP de NT El administrador DHCP es la herramienta administrativa que permite congurar el servicio DHCP en NT. Este servicio solo puede ser instalado en Windows NT Server. El servicio DHCP en Windows NT permite examinar cada uno de los casi 70 parametros relacionados con TCP/IP denidos en el protocolo, pero en realidad solo se pueden especicar (y proporcionar a los clientes) los siguientes ocho parametros: 1) Direccion IP. 2) Mascara de subred. 3) Puerta de enlace. 4) Servidor(es) DNS. 5) Nombre (sujo) del dominio DNS. 6) Tipo de nodo WINS/NBT (ver Captulo 10). 7) Servidor WINS (ver Captulo 10). 8) Tiempo de concesion (lease time), tiempo de renovacion (renewal time), y tiempo de reconexion (rebinding time). Estos tiempos especican cuando un cliente debe solicitar la renovacion de su concesion al servidor DHCP. Los dos ultimos tiempos se calculan en funcion del primero. La mayora de las opciones de DHCP anteriores pueden establecerse a nivel global, o bien para un ambito en particular, o incluso para un equipo concreto. Es posible tambien asignar una direccion IP ja a cada equipo, asociando dicha direccion a una direccion fsica ethernet (asignada por el fabricante de la tarjeta, y que es por denicion distinta para cada una). c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 83 11.5 La Utilidad ipconfig 11.5 La Utilidad ipconfig Existe un mandato en Windows NT que permite observar la conguracion IP de un equipo: ipconfig. Esta orden se ejecuta normalmente con la opcion /all, que permite ver todas las caractersticas de la conguracion. La Figura 11.1 muestra un ejemplo de la ejecucion de esta utilidad. Figura 11.1: Ejemplo de la utilidad ipconfig. En el caso de un cliente DHCP, mediante ipconfig tambien se puede solicitar manualmente la renovacion de la concesion, y la liberacion de la direccion actual (lo que provoca una difusion para solicitar una nueva direccion IP). Para ello se utilizan las opciones /renew y /release, respectivamente. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 Anexo I: Documentacion de DNS Captulo 2 Cuestiones sobre redes TCP/IP Vamos a entrar en los detalles que deben tenerse en cuenta cuando se conecta una maquina Linux a una red TCP/IP. De este modo, hablaremos de direcciones IP, nombres y cuestiones sobre el encaminamiento. Este captulo le ense~nara la base con la que podra entender los pasos para su conguracion particular, pasos que son cubiertos exhaustivamente en otros captulos. 2.1 Interfaces de Red Para ocultar la diversidad de hardware que puede usarse en una red, TCP/IP dene una interfaz a traves de la que accedemos al hardware. Esta interfaz ofrece un conjunto de operaciones identicas en cualquier tipo de hardware y que basicamente consisten en operaciones para enviar y recibir paquetes. Para cada dispositivo que quiera utilizarse para conectarse a la red, se mantendra en el nucleo del sistema la correspondiente interfaz. Por ejemplo, las interfaces con Ethernet en Linux son eth0 y eth1, mientras que las interfaces SLIP se llaman sl0, sl1, etcetera. Estos nombres de interfaz se deben conocer durante la conguracion de la red, cuando queramos referirnos a un dispositivo hardware concreto. Para que podamos usarlo en una red TCP/IP, la interfaz debera tener asignada una direccion IP que sirva como identicacion de esta ante los demas ordenadores de la red. Esta direccion es diferente del nombre de interfaz considerado anteriormente; puede realizarse la siguiente analoga: la interfaz sera la \puerta" de su sistema, mientras que la direccion vendra a ser un numero enmarcado y colgado de la \puerta". Por supuesto, hay otros parametros congurables para cada dispositivo, como el numero maximo de datagramas que pueden ser procesados por el dispositivo, conocido como Unidad 19 2.2. Direcciones IP 20 de Transferencia Maxima o MTU1 . Otros parametros seran introducidos mas tarde. 2.2 Direcciones IP Como se dijo en el captulo anterior, las direcciones utilizadas en el protocolo de red IP la forman numeros de 32 bits, cada maquina debe tener una direccion propia. Si las maquinas se encuentran en una red TCP/IP que no se conecta a otras redes, dichas direcciones podran asignarse a las maquinas librememente. Sin embargo, si las maquinas se conectan a Internet, las direcciones de los ordenadores seran asignadas por una autoridad principal, el NIC o Centro de Informacion de la Red2 . Para facilitar la lectura, las direcciones IP se dividen en cuatro numeros de 8 bits llamados octetos. Por ejemplo, si la maquina quark.physics.groucho.edu tiene una direccion IP 0x954C0C04, normalmente la escribiremos con la notacion de puntos divisorios, que separa cada octeto, de esta forma: 149.76.12.4. Otra razon para usar esta notacion es que las direcciones IP se pueden dividir en el numero de red y el numero de nodo. Cuando pedimos al NIC un conjunto de direcciones, este organismo nos concedera, no una direccion para nuestra maquina, sino un rango de direcciones validas, que en realidad es un numero de red concreto (el numero de nodo lo pondremos nosotros, contando con todos esos nodos disponibles). Dependiendo del tama~no de la red, la parte de la direccion correspondiente al nodo puede ser mas o menos grande. Para adaptarse a diferentes necesidades, se conceden diferentes clases de redes, que denen diferentes maneras de dividir la direccion IP en parte de red y parte del nodo. Clase A La clase A comprende redes desde 1.0.0.0 hasta 127.0.0.0. El numero de red esta en el primer octeto, con lo que solo hay 127 redes de este tipo, pero cada una tiene 24 bits disponibles para identicar a los nodos, lo que se corresponde con poder distinguir en la red unos 1.6 millones de nodos distintos. Clase B La clase B comprende redes desde 128.0.0.0 hasta 191.255.0.0; siendo el numero de red de 16 bits (los dos primeros octetos. Esto permite 16320 redes de 65024 nodos cada una. Clase C Las redes de clase C tienen el rango de direcciones desde 192.0.0.0 hasta MTU son las siglas de \Maximum Transfer Unix" Frecuentemente, las direcciones IP le seran asignadas directamente por el proveedor que le conecte a la red. No obstante, se puede contactar directamente con el NIC para obtener direcciones, escribiendo a [email protected]. 1 2 2.3. Resolucion de direcciones 21 223.255.255.0, contando con tres octetos para identicar la red. Por lo tanto, hay cerca de 2 millones de redes de este tipo con un maximo de 254 nodos cada una. Clases D, E, y F Comprenden las direcciones entre 224.0.0.0 y 254.0.0.0, y estan reservadas para uso futuro, o con nes experimentales. No especican, pues, ninguna red de Internet. Volviendo al ejemplo del captulo anterior, veremos que en la direccion 149.76.12.4 de la maquina quark, 12.4 es el identicativo del nodo dentro de la red de clase B 149.76.0.0. Se puede observar que en la lista anterior no se consideraban todas las posibilidades en la parte que identica al nodo, concretamente, se excluan siempre el identicador 0 y el 255. Estos dos identicadores se reservan con proposito especial. Una direccion con los bits del nodo a cero identica a la red, mientras que si tiene todos los bits a uno, identica a todos los nodos de la red (lo que se conoce como direccion de broadcast, lo que indica que un mensaje enviado a esa direccion sera interpretado por todos los nodos de la red). As pues, en nuestro ejemplo la direccion de la red sera 149.76.0.0 y la de broadcast, la 149.76.255.255. Ademas, otras dos direcciones de red estan reservadas: la 0.0.0.0 y la 127.0.0.0. La primera se conoce como direccion de encaminamiento por defecto, y la segunda, como direccion de loopback. El encaminamiento por defecto se utiliza para saber a donde enviar los datagramas por defecto, tema que abordaremos despues. La red 127.0.0.0 se reserva para el traco local, dirigido al propio nodo. Normalmente, se asigna la direccion 127.0.0.1 a un dispositivo de la maquina llamado interfaz de loopback o de circuito cerrado. Cualquier paquete enviado a esa direccion sera recibido por el propio nodo, esto permite probar aplicaciones de red con uno mismo, sin estar conectado a una red \real". Otra aplicacion util es la de ejecutar aplicaciones de red que afectan solo al nodo local, por ejemplo, muchos sistemas UUCP no tienen conexion IP pero ejecutan un sistema de noticias INN. Para que esto funcione, INN utiliza la interfaz de loopback. 2.3 Resolucion de direcciones Ahora que conocemos que son las direcciones IP, nos preguntamos como se utilizan en una red Ethernet. Despues de todo, en una red de este tipo, el protocolo Ethernet usa direcciones identicativas de seis octetos que no tienen que ver con los numeros IP. En efecto, se necesita un mecanismo de traduccion de direcciones IP a direcciones Et- 2.4. Encaminamiento IP 22 hernet o fsicas. Esto se hace con el Protocolo de Resolucion de Direcciones o ARP3 . De hecho, ARP no se limita a las redes Ethernet, sino que se extiende a otros tipos de redes como las de radio paquetes. La idea es la misma que tendramos para localizar al se~nor X entre 150 personas: preguntar por su nombre a todo el mundo; y el se~nor X nos respondera. Cuando queremos localizar la direccion fsica correspondiente a una direccion IP, haremos uso de una caracterstica de la red Ethernet que es la posibilidad de enviar mensajes a escuchar por todos los nodos, o mensajes broadcast. En el mensaje ARP, que es de este tipo, se incluye la direccion IP cuyo propietario estamos buscando. El nodo que posea esa direccion enviara una respuesta ARP al nodo llamante, con la direccion fsica suya. Por supuesto, le preocupara saber como puede funcionar esto para localizar un nodo entre millones de Ethernets conectadas en el mundo. Esto se trata en la proxima seccion: se trata del encaminamiento. Sigamos hablando, de momento, sobre ARP. Una vez que se conoce la direccion fsica del nodo, el que hizo la peticion guardara la informacion obtenida en una cache ARP, para as no preguntar por lo mismo cada vez que enve un paquete a ese nodo. Sin embargo, no podemos guardar esa direccion para siempre ya que puede perder su validez (por ejemplo, si cambiamos la tarjeta de red a los nodos por avera, sus nuevas direcciones fsicas seran distintas). Por ello, cada cierto tiempo, lo que hay en la cache ARP pierde su validez, obligando a realizar de nuevo la pregunta ARP. A veces, un nodo necesita tambien conocer su direccion IP a partir de su direccion fsica. Por ejemplo, en terminales X o PCs sin disco, que cuando arrancan solo saben la direccion de su tarjeta pues esta grabada en memoria no volatil. Para ello, se usa el protocolo de Resolucion Inversa de Direcciones o RARP4 : la peticion RARP la hace el nodo cuando arranca, mediante mensaje broadcast, y es contestado por un servidor de direcciones que, a partir de la direccion fsica, consulta su base de datos y conoce la direccion IP correspondiente. Existe ademas otro protocolo, el BOOTP o protocolo de arranque, que permite a las maquinas sin disco conocer como ponerse en marcha en la red. 2.4 Encaminamiento IP 2.4.1 Redes IP 3 Cuando escribimos una carta a alguien, normalmente incluimos la direccion completa en el sobre: pas, provincia, codigo postal, etc. De este modo el servicio de correos podra llevar la carta a su destino: un servicio la enviara al del pas que corresponda, y este ultimo la 3 4 Address Resolution Protocol Reverse Address Resolution Protocol 2.4. Encaminamiento IP 23 entregara al de la provincia o ciudad de destino. La ventaja de este esquema jerarquico es que el servicio postal del remitente apenas tiene que saber acerca del destino nal, sino solo a que pas entregarla. Las redes IP se organizan de manera similar. Internet consta de varias redes, conocidas como sistemas autonomos y cada una realiza por su cuenta el encaminamiento interno entre sus nodos miembro. Cuando un paquete tiene como destino un nodo de otra red, se entregara al encaminador correspondiente, sin preocuparse del destino nal del paquete. 2.4.2 Subredes La estructura de subredes se obtiene al dividir las direcciones IP en parte del nodo y parte de la red, como ya hemos explicado. Por defecto, la red de destino se deriva de la parte de red de la direccion IP. Es decir, los nodos con la misma direccion de red se encontraran en la misma red TCP/IP5 . Pero en una red puede interesar hacer una division en cientos de peque~nas redes, por ejemplo segmentos de Ethernet. Para ello se subdivide la red en subredes. Una subred tiene la responsabilidad de la entrega de los datagramas a un determinado rango de direcciones IP de la red en la que se encuentra. Como sucede con las clases A, B o C, se identica en la parte del numero IP correspondiente a la red. Sin embargo, esa parte incluira ahora algunos bits de la parte del nodo. Los bits que se interpretan como direccion de subred se obtienen con la llamada mascara de red. Es un numero de 32 bits que especica una mascara para identicar los bits de la subred. Parte de la Red Parte del Nodo 149 76 12 4 149 76 12 4 Parte de la Red Parte del Nodo Figura 2.1: Division de una red clase B en subredes La red del campus de la Universidad de Groucho Marx es un ejemplo de red de clase B, poseedora de la red 149.76.0.0, con mascara 255.255.0.0. Internamente, la red de la UGM se divide en peque~nas subredes, como las LAN de cada 5 Los sistemas autonomos son algo mas generales. Pueden tener mas de una red IP. 2.4. Encaminamiento IP 24 departamento. Concretamente se divide en 254 subredes, desde la 149.76.1.0 hasta la 149.76.254.0. Por ejemplo, el Departamento de Fsica Teorica tendra asignada la subred 149.76.12.0. La dorsal del campus es en s mismo una subred, la 149.76.1.0. Las subredes comparten el msmo numero de red, pero se usa el tercer octeto de esta para distinguir las distintas subredes. Por lo tanto, tendran una mascara de subred igual a 255.255.255.0. En la gura 2.1 se muestra como el nodo quark (149.76.12.4) se ve de distinta forma segun se vea desde el punto de vista de la red de clase B, o desde el punto de vista de las subredes. Debe notarse que la division en subredes es visible solo internamente a la red. Normalmente, las organiza el administrador de red para reejar diferentes ubicaciones geogracas, distinguir segmentos de red, o bien por motivos administrativos (departamentos, redes de alumnos, etc). Pero esta division es totalmente invisible desde fuera de la organizacion. 2.4.3 Pasarelas La organizcion en subredes no solo se hace por motivos administrativos, tambien es consecuencia de cuestiones del hardware. Lo que ve un nodo en una red es limitado: solo ve los nodos con los que directamente este conectado (por ejemplo, en la Ethernet), mientras que a los demas los accede a traves de lo que se conoce como pasarela o gateway. Una pasarela es un nodo conectado a dos o mas redes fsicas, congurado para pasar paquetes de una red a otra. Para reconocer si una direccion IP se encuentra en la red local fsica, cada LAN debe tener una direccion de red IP diferente. Por ejemplo, las maquinas de la (sub)red 149.76.4.0 seran las que estan en la LAN del Departamento de Matematicas. Cuando se enva un datagrama a la maquina quark, el software de red de erdos ve que su direccion de red es otra (149.76.12.4) con lo que sabe que tiene que enviar los datagramas a traves de la pasarela (sophus por defecto). sophus se encuentra conectado a dos subredes: la del Departamento de Matematicas y la de la dorsal del campus, accediendo a cada una a traves de una interfaz diferente, respectivamente eth0 y fddi0. Nos preguntaremos entonces, que direccion IP debe tener la pasarela, una de la subred de Matematicas o bien una de la dorsal. Pues bien, la respuesta es ambas. Cuando la pasarela comunique con un nodo de la LAN de Matematicas, usara la direccion 149.76.4.1, mientras que si lo hace con un nodo de la dorsal, usara 149.76.1.4. Es decir, la pasarela tiene tantas direcciones IP como conexiones a redes fsicas tenga. En denitiva, este sera el esquema de interfaces, direcciones y mascara de sophus, nuestra pasarela: 2.4. Encaminamiento IP 25 interfaz direccion mascara eth0 149.76.4.1 255.255.255.0 fddi0 149.76.1.4 255.255.255.0 lo 127.0.0.1 255.0.0.0 La ultima entrada describe el dispositivo loopback, que se comento anteriormente. En la gura 2.2 se muestra una parte de la topologa de la red de la Universidad de Groucho Marx (UGM). Los nodos que estan en dos subredes tendran dos direcciones IP. Departamento de Matematicas 4.23 gauss Departamento de Fsica Teorica 4.17 4.0 12.4 12.0 erdos 4.1 sophus 1.4 Dorsal del Campus quark 12.1 1.12 1.1 niels gcc1 2.1 1.0 Centro de Calculo de la UGM Figura 2.2: Vista parcial de la topologa de la red de la UGM. 2.4.4 Tablas de Encaminamiento Vamos ahora a centrarnos en como se selecciona una pasarela para entregar un datagrama a una red remota. Hemos visto que erdos, cuando enva un datagrama para quark, comprueba que la direccion destino no se encuentra en la red local, por lo que lo enva a la pasarela, sophus, 2.4. Encaminamiento IP 26 quien basicamente hace lo mismo: ve que quark no esta en una de las redes a las que se conecta directamente y busca otra pasarela a quien entregarle el paquete. La eleccion correcta es niels, la pasarela del Departamento de Fsicas. sophus necesita informacion para poder tomar estas decisiones. La informacion de encaminamiento que se usa en IP es basicamente una tabla donde se relacionan (sub)redes y pasarelas. Ademas, debe incluirse una entrada de encaminamiento por defecto, que se asocia en la tabla a la red 0.0.0.0. Todos los paquetes que van a una red desconocida, se enviaran a la pasarela del encaminamiento por defecto. As pues, esta sera la tabla para sophus: Red Pasarela 149.76.1.0 - Interfaz ... ... fddi0 149.76.2.0 149.76.1.2 fddi0 149.76.3.0 149.76.1.3 fddi0 149.76.4.0 eth0 149.76.5.0 149.76.1.5 fddi0 0.0.0.0 ... 149.76.1.2 fddi0 Las rutas a una red a la que sophus este directamente conectado no necesitan pasarela, sino que los datagramas se entregan directamente. Esto se indica en la tabla anterior cuando en lugar de la pasarela aparece un \-". Las tablas de encaminamiento pueden construirse de varias formas. Para redes peque~nas, sera mas eciente construirlas a mano usando el comando route del Linux (vease el captulo 5). Para redes mas grandes, las tablas se mantienen y modican automaticamente mediante los demonios de encaminamiento. E stos corren en nodos centrales e intercambian informacion de encaminamiento entre ellos para tener en todo momento las rutas \optimas" entre subredes. Dependiendo del tama~no de la red, se utilizan distintos protocolos de encaminamiento. Dentro de los sistemas autonomos (como la Universidad Groucho Marx) se utilizan los protocolos internos o IGP6 . El mas utilizado es RIP7 o protocolo de informacion de encaminamiento, que implementa el demonio routed de BSD. Para encaminamiento entre redes se usan protocolos EGP8 , como BGP. Se implementan en programas como gated de la Universidad de Cornell.9. Internal Gateway Protocol Routing Information Protocol 8 External Gateway Protocol 9 gated tambien implementa RIP y en general se recomienda usarlo en lugar de routed 6 7 2.5. Protocolo de Mensajes de Control de Internet (ICMP) 27 2.4.5 Metricas de Encaminamiento El encaminamiento dinamico basado en RIP elige la mejor ruta a un determinado nodo o red a partir del numero de \saltos", es decir, las pasarelas que tiene que atravesar el datagrama hasta llegar a su destino. La ruta mas corta sera la elegida, y si hay 16 o mas saltos se descartara por exceso de distancia. Para usar RIP tiene que ejecutar gated en todas las maquinas. Al arrancar, gated comprueba cuantas interfaces estan activas. Si hay mas de una (sin contar la de loopback) asumira que el nodo es una pasarela. Si no, entrara en modo pasivo, dedicandose a recibir cualquier actualizacion RIP y cambiando sus tablas en consecuencia. Para enviar a las demas pasarelas la informacion de su tabla local de rutas, gated cuenta la longitud de cada una a partir de una metrica especca (que es decidida por el administrador del sistema y debe reejar el coste de esa ruta). As, la metrica de una ruta a una subred con conexion directa sera siempre cero, mientras que una ruta que atraviese dos pasarelas debera tener un coste de dos. 2.5 Protocolo de Mensajes de Control de Internet (ICMP) IP tiene otro protocolo aun no mencionado. Es el protocolo de mensajes de control de Internet o ICMP10 , y lo usa el software de gestion de red para comunicar mensajes de error entre nodos. Por ejemplo, si estamos en la maquina erdos y hacemos un telnet al puerto 12345 del nodo quark y no hay procesos escuchando en ese puerto, recibira un mensaje ICMP de \puerto inalcanzable". Hay mas mensajes ICMP, muchos de ellos referidos a condiciones de error. Sin embargo, hay uno interesante que es el de redireccion. Lo genera el modulo de encaminamiento al detectar que otro nodo esta usandolo como pasarela, a pesar de existir una ruta mucho mas corta. Por ejemplo, tras congurarse la tabla de encaminamiento de sophus, esta puede estar incompleta, conteniendo rutas a traves del encaminador por defecto gcc1. Por lo tanto, los paquetes enviados inicialmente a quark iran por gcc1 en lugar de niels. En este caso gcc1 noticara a sophus que esta usando una ruta costosa y reenviara el datagrama a niels, al mismo tiempo que devolvera un mensaje ICMP de redireccion a sophus informandole de la nueva ruta. Con lo visto, queda claro que se puede evitar tener que establecer las rutas a mano. Sin embargo, usar solo esquemas de encaminamiento dinamico no es siempre una buena idea. La redireccion de ICMP y el protocolo RIP no incluyen mecanismos de vericacion de la autenticidad de los mensajes. Esto permite a los piratas corromper el traco de la 10 Internet Control Message Protocol 2.6. El sistema de nombres DNS 28 red mediante mensajes ICMP. Por ello, algunas versiones del codigo de Linux tratan los mensajes de redireccion que afectan a rutas de red como si fueran redirecciones de rutas a nodos. 2.6 El sistema de nombres DNS 2.6.1 Resolucion de nombres 3 Como se comento antes, el direccionamiento en TCP/IP se basa en numeros de 32 bits. Evidentemente, esos numeros no son faciles de recordar, mientras que s lo es el nombre que se le asigna a cada maquina, como gauss o strange. Existe una aplicacion que es capaz de traducir nombres a direcciones IP, es conocida como sistema de resolucion de nombres o DNS11 . Una aplicacion que desee encontrar la direccion IP correspondiente a una maquina de la que conoce su nombre, no tiene que incluir rutinas para ello, ya que en las libreras estandares (libc ) existen ya rutinas preparadas, como gethostbyname(3) o gethostbyaddr(3). En otros sistemas se encuentran en otras libreras distintas de la libc pero esto no sucede en Linux. Al conjunto de rutinas que hacen estas tareas se les conoce como \sistema de resolucion". En una red peque~na no es difcil mantener una tabla /etc/hosts en cada maquina, y modicarla al agregar, eliminar o modicar nodos. Aunque resulta complicado cuando hay muchas maquinas ya que, en principio, cada una necesita una copia de /etc/hosts. Una solucion a esto es compartir esta y otras bases de datos con el NIS, o sistema de informacion de red 12 , desarrollado por Sun Microsystems y conocido tambien como paginas amarillas. En este caso, las bases de datos como la de /etc/hosts se mantienen en un servidor NIS central y los clientes accederan a ellas de forma transparente al usuario. En todo caso, esta solucion solo es aconsejable para redes peque~nas o medianas, ya que implican mantener un chero central /etc/hosts que puede crecer mucho, y luego distribuirlo entre los servidores NIS. En Internet, se comenzo almacenando la informacion en un chero similar al hosts, mantenido por el NIC, y obtenido regularmente por los demas servidores. Cuando la red crecio comenzaron los problemas de sobrecarga de servidores, ademas de que el NIC tena que ocuparse de todos los nombres de los nodos de internet, y evitar la duplicidad de los mismos. 11 12 Domain Name System Network Information System 2.6. El sistema de nombres DNS 29 Por esto, en 1984 se dise~no y adopto ocialmente un nuevo sistema, el DNS o sistema de nombres por dominios, dise~nado por Paul Mockapetris. 2.6.2 Introduccion al DNS DNS organiza los nombres de los nodos en una jerarqua de dominios. Un dominio es una coleccion de nodos relacionados de alguna manera, como estar en la misma red o pertenecer a una misma organizacion o pas. Por ejemplo, las universidades norteamericanas se agrupan en el dominio edu, y cada universidad mantiene un subdominio dentro de edu. Nuestro ejemplo, la Universidad de Groucho Marx, mantendra el dominio gmu.edu y las maquinas del departamento de Matematicas se encontraran dentro del dominio maths.gmu.edu. De modo que el nombre completo de la maquina erdos sera erdos.maths.gmu.edu. El nombre completo se conoce como nombre totalmente cualicado o FQDN13 , e identica a ese nodo en todo el mundo. . com edu net groucho maths gauss erdos physics sophus quark theory otto collider niels up down strange Figura 2.3: Parte del espacio de dominios En la gura 2.3 se muestra una seccion del espacio de dominios. La entrada de la raz del arbol, que se indica con un punto, se puede denominar dominio raz, y agrupa al resto de los dominios. Para indicar que un nodo se expresa en notacion FQDN, se puede terminar el nombre en un punto, indicando as que el nombre incluye al del dominio raz. Dependiendo de su localizacion en la jerarqua, un dominio puede ser de primer, segundo o tercer nivel. Pueden existir otros niveles pero no son frecuentes. Por ejemplo, algunos dominios de primer nivel muy usuales son los siguientes: 13 Fully Qualied Domain Name 2.6. El sistema de nombres DNS 30 edu Aqu se incluyen casi todas las universidades o centros de investigacion norteamericanos. com org Compa~nas u organizaciones con nes comerciales. net mil gov uucp Pasarelas y otros nodos administrativos de la red. Organizaciones no comerciales. Las redes UUCP privadas se encuentran aqu. Nodos militares norteamericanos. Nodos del gobierno norteamericano. Ocialmente, todos los nombres de nodos UUCP sin dominio han sido movidos a este nuevo dominio .uucp. En general, los dominios anteriores pertenecen a redes norteamericanas. Algo especialmente cierto con los dominios mil o gov. Fuera de los Estados Unidos, existe un dominio de primer nivel para cada pas, de dos letras segun se dene en la norma ISO-3166. Finlandia, por ejemplo, usa el dominio ; el dominio de corresponde a Alemania y el dominio es corresponde a Espa~na. Cada pas organiza por debajo del primer nivel, los dominios de segundo nivel, de manera parecida a los americanos en algunos casos (por ejemplo, con dominios com.au o edu.au) o directamente por organizaciones, como sucede en Espa~na (con dominios como upm.es para la Universidad de Politecnica de Madrid). Por supuesto, un nodo dentro del dominio de un pas puede no estar fsicamente en el. El dominio unicamente identica al nodo como registrado en el NIC de ese pas. As, un comerciante sueco puede tener una delegacion en Australia, y tener sus nodos australianos registrados dentro del dominio de primer nivel sueco, se. Esta organizacion por dominios soluciona el problema de la unicidad de nombres. Ademas, los nombres totalmente cualicados no son difciles de recordar. Pero DNS tiene otras ventajas: permite delegar la autoridad sobre un determinado subdominio a sus administradores. Por ejemplo, los subdominios maths y physics de la UGM son creados y mantenidos por el Centro de Calculo de dicha universidad. Y si el mantenimiento del subdominio maths.gmu.edu fuese complicado (por numero elevado de nodos, existencia de subdominios internos, etc), el Centro de Calculo de la UGM puede delegar la autoridad sobre ese subdominio al departamento de Matematicas. La delegacion de un subdominio implica el control total del mismo por parte de la organizacion en la que se delego, con total libertad para crear nuevos subdominios internos, asociar nombres 2.6. El sistema de nombres DNS 31 a nodos, etc. Para este n, el espacio de nombres se divide en zonas, cada una asociada a un dominio. Notese que existe una diferencia entre zona y dominio: el dominio groucho.edu incluye todos los nodos de la UGM, mientras que la zona groucho.edu incluye solo los nodos que mantiene directamente el Centro de Calculo, ya que los nodos del subdominio physics.groucho.edu pertenecen a la zona controlada por el Departamento de Fsicas. En la gura 2.3 se marca el inicio de una zona con un peque~no crculo a la derecha del nombre del dominio. 2.6.3 Busquedas de nombres con DNS Trataremos aqu el problema de como resolver el nombre de un determinado nodo. DNS es una gigantesca base de datos distribuda. Se implementa a traves de los llamados servidores de nombres. Cada uno de estos mantiene la informacion de uno o varios dominios. Para cada zona hay al menos dos (o mas) servidores de nombres que mantienen informacion autorizada sobre los nodos de esa zona. Para obtener la direccion IP del nodo erdos, lo que hay que hacer es contactar con el servidor de nombres de la zona para groucho.edu y este nos devolvera los datos pedidos. Esto parece facil de decir pero difcil de implementar pues nos preguntaremos como localizar al servidor de nombres de la UGM. Si su ordenador no implementa un adivino, le ayudara el DNS. Cuando su aplicacion desea encontrar informacion acerca de erdos, contactara en primer lugar con un servidor de nombres local, quien realizara una busqueda por otros servidores. Empieza por preguntar a un servidor de nombres raz por erdos.maths.groucho.edu. Al comprobar este ultimo que el no mantiene ese dominio, contactara con los servidores del dominio edu y les preguntara las direcciones de los servidores de nombres, que retornara al servidor local. Ahora nuestro servidor preguntara a estos ultimos y estos a su vez iran haciendo llegar a nuestro servidor hasta los que mantienen la zona groucho.edu. Finalmente, se preguntara a uno de estos ultimos por el nodo erdos y se enviara la respuesta al usuario. Aparentemente esto provoca mucho traco, aunque en todo caso siempre sera menor que preguntar siempre a los mismos servidores que mantenan el chero HOSTS.TXT antes de que se dise~nara el DNS. Sin embargo, aun se puede mejorar algo mas. La informacion obtenida en una busqueda puede que se necesite despues. Por ello, el servidor de nombres local la guardara en una cache local. As, cuando volvamos a preguntar por un nodo de groucho.edu, el servidor local ya podra dirigirse directamente el servidor de nombres de esa zona sin pasar por los servidores raz. 2.6. El sistema de nombres DNS 32 Por supuesto, el servidor de nombres no puede mantener la cache eternamente, sino descartarla cada cierto tiempo. Este tiempo de expiracion se conoce como TTL14 o tiempo de vida. En la base de datos del DNS queda especicado este parametro. 2.6.4 Servidores de Nombres Cuando un servidor de nombres mantiene toda la informacion acerca de una zona se le llama autorizado para esa zona. Cualquier peticion para esa zona sera enviada a uno de esos servidores maestros. Para tener una representacion coherente de la zona, sus servidores maestros deben estar sincronizados. Para ello, a uno de ellos se le nombra servidor primario, que obtiene la informacion de zona a partir de unos cheros locales, y a los demas se les nombra servidores secundarios. Estos ultimos cargan la informacion de la zona pidiendosela al primario cada cierto tiempo. Las razones para que existan varios servidores autorizados por cada zona son dos: repartir la carga de trabajo y lograr tolerancia a fallos. As, si un servidor cae, todas las peticiones se repartiran entre los demas servidores autorizados que haya. Por supuesto, esto no protege contra fallos internos o bugs del propio software DNS. Por supuesto, tambien es posible tener servidores de nombres que no mantengan informacion autorizada de ningun dominio15. Este tipo de servidores es util pues, al mantener una cache con los nombres que resuelven disminuye la carga de la red y de otros servidores. 2.6.5 La Base de Datos DNS En las bases de datos del DNS se mantiene mas informacion que la necesaria para traducir nombres a direcciones IP. Dicho de otra forma, en DNS se mantienen distintos tipos de registros. Un elemento simple de informacion en el DNS se conoce como registro de recurso o RR. Cada registro tiene un tipo asociado a el, describiendo que clase de datos contiene, y una clase indicando el tipo de red al que se aplica. Se trata de acomodarse a diferentes esquemas de red, aunque para direcciones IP se usa siempre la clase IN (INternet), pero hay otras como las redes Hesiod (que se usan en el MIT16 ). El registro mas habitual es el de tipo A, que relaciona un nombre totalmente cualicado con una direccion IP. 15 Time To Live Aunque al menos debera tener informacion autorizada para el localhost y la resolucion inversa de 16 Instituto Tecnologico de Massachusets 14 127.0.0.1 2.6. El sistema de nombres DNS 33 Un nodo puede admitir mas de un nombre. Pero solo uno de ellos sera \ocial" o canonico, mientras que los demas son alias del primero. La diferencia es que el canonico se dene en un registro de tipo A, mientras que los alias se denen en registros CNAME que apuntan al nombre canonico. En un captulo posterior se trata todo esto en profundidad. Aqu nos vamos a limitar a ver algunos ejemplos. En la gura 2.4 se muestra una parte de la base de datos para la zona physics.groucho.edu. ; ; Informacion Autorizada de physics.groucho.edu @ IN SOA ( niels.physics.groucho.edu. hostmaster.niels.physics.groucho.edu. 1034 ; serial no 360000 ; refresh 3600 ; retry 3600000 ; expire 3600 ; default ttl ) ; ; Servidores de nombres autorizados IN NS niels IN NS gauss.maths.groucho.edu. gauss.maths.groucho.edu. IN A 149.76.4.23 ; ; Fisica Teorica (subred 12) niels IN IN A A 149.76.12.1 149.76.1.12 nameserver IN CNAME niels otto IN A 149.76.12.2 quark IN A 149.76.12.4 down IN A 149.76.12.5 strange IN A 149.76.12.6 ... ; Laboratorio Collider (subred 14) boson IN A 149.76.14.1 muon IN A 149.76.14.7 bogon IN A 149.76.14.12 ... Figura 2.4: Extracto del chero named.hosts del departamento de Fsicas. Ademas de los registros A y CNAME, se puede ver que hay un registro especial al principio del chero, con varias lneas. Se trata del registro SOA o de inicio de autoridad, que mantiene informacion general sobre el servidor de nombres. Por ejemplo, el tiempo de 2.6. El sistema de nombres DNS 34 vida por defecto de todos los registros que mantiene. Notese que aquellos nombres que no nalicen en un punto seran interpretados como relativos al dominio en cuestion. El nombre especial \@" usado en el registro SOA representa al dominio completo. Hemos visto que los servidores para el dominio groucho.edu deben tener conocimiento sobre los servidores de la zona physics para poder reenviarles las peticiones para esta. Esto se suele incluir en los registros NS que incluyen el nombre de los servidores en notacion FQDN, y un registro A que da la direccion IP para ese servidor. Vease, por ejemplo, la gura 2.5. ; ; Datos de zona para groucho.edu. @ IN SOA ( vax12.gcc.groucho.edu. hostmaster.vax12.gcc.groucho.edu. 233 ; serial no 360000 ; refresh 3600 ; retry 3600000 ; expire 3600 ; default ttl ) .... ; ; Registros de la zona. physics IN IN NS NS niels.physics.groucho.edu. gauss.maths.groucho.edu. niels.physics IN A 149.76.12.1 gauss.maths IN A 149.76.4.23 ... Figura 2.5: Extracto del chero named.hosts de la UGM. 2.6.6 Resolucion inversa Ademas de la obtencion de una direccion IP a partir del nombre, a veces interesa lo contrario: conocida la direccion, obtener el nombre canonico. Esto se conoce como traduccion inversa y la utilizan algunas aplicaciones de red para vericar la identidad del llamante. Cuando se usa un chero hosts, la resolucion inversa supone una simple busqueda en el mismo. En cambio, para el DNS se ha creado un dominio especial, el in-addr.arpa, que contiene direcciones de los nodos en notacion de puntos divisorios invertida. Por ejemplo, a la direccion IP 149.76.12.4 le corresponde el nombre 4.12.76.149.in-addr.arpa. El tipo de 2.6. El sistema de nombres DNS 35 registro para estos datos se llama PTR. Cuando se crea una zona de autoridad suele signicar que sus administradores tienen control total sobre como asignan sus nombres. Pero a una subred se le puede delegar un subdominio. Esto sucede con la UGM, donde se delega la zona de Fsicas (subdominio physics) al correspondiente Departamento. Las direcciones de resolucion inversa tambien se delegan. En la gura 2.6 se muestra el contenido del chero de zona para el servidor de la subred 12. Los registros \importantes" de delegacion se muestran en la gura 2.7. ; ; Dominio 12.76.149.in-addr.arpa @ IN SOA ( niels.physics.groucho.edu. hostmaster.niels.physics.groucho.edu. 233 360000 3600 3600000 3600 ) 2 IN PTR otto.physics.groucho.edu. 4 IN PTR quark.physics.groucho.edu. 5 IN PTR down.physics.groucho.edu. 6 IN PTR strange.physics.groucho.edu. Figura 2.6: Extracto del chero named.rev de la subred 12. Una importante consecuencia de esto es que las zonas solo pueden crearse como superconjuntos de redes IP, y ademas, las mascaras de red deberan redondearse a nivel de octeto. Es decir, las subredes de la UGM tendran una mascara 255.255.255.0, y para cada subred debera existir una zona in-addr.arpa. Sin embargo, si la mascara fuese 255.255.255.128, la creacion de zonas para la subred 149.76.12.128 sera imposible ya que no hay forma de decir en DNS que el dominio 12.76.149.in-addr.arpa ha sido dividido en dos zonas de autoridad, con nombres de nodos desde el 1 al 127, y desde el 128 al 255, respectivamente. 2.6. El sistema de nombres DNS 36 ; ; Dominio 76.149.in-addr.arpa domain @ IN SOA ( vax12.gcc.groucho.edu. hostmaster.vax12.gcc.groucho.edu. 233 360000 3600 3600000 3600 ) ... ; subred 4: Departamento de Matematicas 1.4 IN PTR sophus.maths.groucho.edu. 17.4 IN PTR erdos.maths.groucho.edu. 23.4 IN PTR gauss.maths.groucho.edu. ... ; subred 12: Departamento de fisicas, zona separada 12 IN IN NS NS niels.physics.groucho.edu. gauss.maths.groucho.edu. niels.physics.groucho.edu. IN gauss.maths.groucho.edu. IN A 149.76.12.1 A 149.76.4.23 ... Figura 2.7: Extracto del chero named.rev de la red 149.76. Legal Notice UNIX is a trademark of Univel. Linux is not a trademark, and has no connection to UNIXTM or Univel. c 1994 Olaf Kirch Copyright Kattreinstr. 38, 64295 Darmstadt, Germany [email protected] \The Linux Network Administrators' Guide" may be reproduced and distributed in whole or in part, subject to the following conditions: 0. The copyright notice above and this permission notice must be preserved complete on all complete or partial copies. 1. Any translation or derivative work of \The Linux Network Administrators' Guide" must be approved by the author in writing before distribution. 2. If you distribute \The Linux Network Administrators' Guide" in part, instructions for obtaining the complete version of \The Linux Network Administrators' Guide" must be included, and a means for obtaining a complete version provided. 3. Small portions may be reproduced as illustrations for reviews or quotes in other works without this permission notice if proper citation is given. 4. If you print and distribute \The Linux Network Administrators' Guide", you may not refer to it as the \Ocial Printed Version". 5. The GNU General Public License referenced below may be reproduced under the conditions given within it. 6. Several sections of this document are held under separate copyright. When these sections are covered by a dierent copyright, the seperate copyright is noted. If you distribute \The Linux Network Administrators' Guide" in part, and that part is, in whole, covered under a seperate, noted copyright, the conditions of that copyright apply. Exceptions to these rules may be granted for academic purposes: Write to Olaf Kirch at the above address, or email [email protected], and ask. These restrictions are here to protect us as authors, not to restrict you as educators and learners. All source code in \The Linux Network Administrators' Guide" is placed under the GNU General Public License. See appendix C for a copy of the GNU \GPL." The author is not liable for any damages, direct or indirect, resulting from the use of information provided in this document. Anexo II: Actividades de Laboratorio DE SISTEMAS ADMINISTRACION ACTIVIDAD Instalaci on De Red Hat Linux Requerimientos iniciales Necesitamos inicialmente: Servidor Unix, con sistema de cheros en red (NFS). Im agenes de la instalacion de Red Hat Linux y parches disponibles. Disco de instalacion de Red Hat Linux. Alumnos: dos disquetes en blanco formateados para MS-DOS por ordenador para crear dos discos de arranque. Activaci on del disco extra ble 1. Apague el ordenador. 2. Inserte el disco extrable y fjelo con la llave. 3. Inicie el ordenador con el sistema Linux del disco interno. 4. Acredtese con su usuario y contrase~na. 5. Ejecute el mandato activa-hdc turno, siendo turno el correspondiente a su sesion. NO SE EQUIVOQUE. Ejecute este mandato sin argumentos para que muestre los turnos disponibles. 6. Recuerde que debe realizar esta activacion al principio de cada sesion de practicas. Instalaci on de RedHat Linux 1. Reiniciar el ordenador con el disco BOOTNET de RedHat. 2. El tipo de inicio (boot:) es text. 3. Seleccionar el idioma de la instalacion (al gusto). 4. Seleccionar el teclado es. 5. El metodo de instalacion es va NFS. 6. Congurar TCP/IP. (a) (b) (c) (d) (e) Direccion IP estatica. Asignar la direccion IP correspondiente al ordenador (158.42.54.[60+no ordenador]). Mascara: 255.255.128.0 Gateway: 158.42.1.10 Servidor de nombres (DNS): 158.42.49.82 1 2 Actividad: Instalacion De Red Hat Linux 7. Seleccion del servidor donde reside redhat. (a) Nombre o Direccion IP: adserver.dsic.upv.es (b) Directorio: /home/ftp/pub/redhat62 8. Tipo de instalacion: "Sistema personalizado". 9. Particiones y Sistema de Archivos. (a) Utilizar DiskDruid. (b) Editar la parcicion /dev/hdc1 indicando que su punto de montaje es '/boot'. (c) Editar la parcicion /dev/hdc3 indicando que su punto de montaje es '/'. 10. Formatear particiones. (a) Seleccionar hdc1 y hdc3. (b) Vericar bloques (SI). 11. LILO. (a) No necesita parametros adicionales. Activar la opcion lineal. (b) Instalacion en el primer sector de la particion de arranque (/dev/hdc1). (c) Asignar etiqueta solo a la particion hdc3(linux). 12. Nombre del ordenador: pc04XX.dsic.upv.es. 13. Conguracion del raton. Generic mouse PS/2 de dos botones y seleccionar simular tres botones. 14. Zona horaria. (a) Reloj no asignado a GMT. (b) Europa / Madrid. 15. Contrase~na. Seleccionar como contrase~na el nombre del ordenador: ejemplo pc0411. 16. A~nadir nuevos usuarios: ninguno. 17. Autenticacion. Las opciones por defecto son correctas. 18. Seleccion de componentes. Solo: X Window System, GNOME, KDE, Mail/WWW/News Tools, DOS/Windows Connectivity, Networked Workstation, Emacs. 19. Tarjeta de vdeo. Deteccion correcta de la tarjeta de vdeo (OK) 20. Esperar a que nalice la instalacion de paquetes. 21. Crear el disco de arranque. Etiquete el disco con "Arranque RedHat 'kernel' Ordenador XX ". 22. Conguracion de X. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: Instalaci on De Red Hat Linux (a) (b) (c) (d) (e) (f) (g) (h) (i) Monitor CTX CPS-1760. No probar la tarjeta de vdeo. Memoria de vdeo, 8Mb. No "clockchip setting". Omitir la prueba de relojes. Modo sugerido: 1024 x 768 con 24 bits. Probar la conguracion iniciando el servidor X. Aceptar la prueba (antes de 10 segundos). Activar las X desde el inicio del sistema. 23. Cuando aparezca la ventana de nalizacion, OK. 24. Esperar a que el sistema se reinicie. 25. Entrar como root, vericar funcionamiento. Creaci on del disquete de arranque basado en LILO. 1. Introducir un disquete formateado (puede utilizar el disquete de arranque creado durante la instalacion u otro disquete para mayor seguridad). 2. Editar el chero /etc/lilo.conf. 3. Modicar en la primera lnea hdc1 por fd0. 4. Ejecutar lilo 5. Etiquete el disco con "Arranque RedHat 'Lilo' Ordenador XX ". 6. Rearrancar la ordenador con el nuevo disco y probar que funciona. Desactivaci on del disco extra ble . 1. Inicie el ordenador con el sistema Linux del disco interno. 2. Acredtese con su usuario y contrase~na. 3. Ejecute el mandato desactiva-hdc. 4. Recuerde que debe realizar esta desactivacion al nal de cada sesion de practicas. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 DE SISTEMAS ADMINISTRACION ACTIVIDAD Instalaci on De Windows NT Workstation 4.0 ADVERTENCIA: La instalacion de NT Workstation se realiza en los ordenadores 2,4,6,8,10,13,15,17,19. Requerimientos iniciales Necesitamos inicialmente: Servidor NT. Imagenes de la instalaci on de NT Wks y Server. En cada ordenador hace falta una partici on disponible con tipo Old Minix de al menos 500Mb en el disco primario. 1 disquete por ordenador a instalar, de arranque MS-DOS con soporte de red (+drivers). Ademas debe tener: format, fdisk y xcopy. 1 disquete con formato MS-DOS para la generacion del disco de arranque. Activaci on del disco extra ble 1. Apague el ordenador. 2. Inserte el disco extrable y fjelo con la llave. 3. Inicie el ordenador con el sistema Linux del disco interno. 4. Acredtese con su usuario y contrase~na. 5. Ejecute el mandato activa-hdc turno, siendo turno el correspondiente a su sesion. NO SE EQUIVOQUE. Ejecute este mandato sin argumentos para que muestre los turnos disponibles. 6. Recuerde que debe realizar esta activacion al principio de cada sesion de practicas. Antes de instalar 1. Arrancar con el sistema Linux del disco extrable. 2. Salvar el MBR: dd if=/dev/hda of=/tmp/mbr bs=512 count=1 3. Cambiar los tipos de las particiones del DISCO FIJO (/dev/hda) (a) (b) (c) (d) Iniciar fdisk: fdisk Visualizar el estado actual de las particiones: p Cambiar el tipo de la particion hda1 a "Old Minix": t 1 80 Cambiar el tipo de la particion hda2 a "FAT16": t 2 6 1 2 Actividad: Instalacion De Windows NT Workstation 4.0 (e) Activar la particion hda2: a 2 (f) Si es necesario, desactivar la particion hda1: a 1 (g) Visualizar el estado actual de las particiones y vericar que todo es correcto. La particion hda2 debe ser ahora la activa y del tipo "FAT16". La particion had1 debe ser ahora del tipo "Old Minix"y no tener la etiqueta de activa: p (h) Guardar los cambios: w Instalaci on de MS-DOS 1. Reiniciar el ordenador y arrancar con el disco de instalacion de MS-DOS seleccionando la opcion "SIN soporte para red" 2. Ejecutar FDISK para vericar el estado de las particiones de ambos discos. Deben haber dos particiones, C: en el disco interno y D: en el extrable. 3. Formatear la particion C: FORMAT C: /U /S 4. Eliminar LILO del MBR. FDISK /MBR 5. Copiar el contenido del disquete en C: XCOPY A:\*.* C:\ /S ** no sobreescribir COMMAND.COM Instalaci on de Windows NT 1. Rearrancar el ordenador desde el disco duro. En este caso debe elegirse la opcion "CON soporte para red". 2. Usuario de red NT, contrase~na nt. 3. Conexion con el servidor donde residen los cheros necesarios para la instalacion. NET USE Z: \\ADSERVER\SOFT 4. Con el n de acelerar el proceso de copia de archivos, debe activarse el subsistema MS-DOS de cache de disco, el cual, por razones de espacio, no ha podido ser incluido en el disquete de arranque. C: CD \ COPY z:\SMARTDRV.EXE C:\ SMARTDRV c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: Instalaci on De Windows NT Workstation 4.0 5. Los manejadores de la tarjeta de red en la version original de NT no son adecuados. Por tanto, es necesario disponer de los manejadores de dispositivo correctos durante el proceso de instalacion. XCOPY Z:\3COM C:\3COM /s ** destino directorio 6. Iniciar la instalacion (Recuerda, est as instalando NT Workstation) Z: CD NTWKS WINNT /B 7. Descarga de archivos (a) El directorio donde reside la distribucion de NT es el indicado (b) Comienza la transferencia de cheros. Este proceso dura varios minutos. (c) Terminada la descarga, el ordenador solicita reiniciar. Enter. 8. En la deteccion de adaptadores SCSI no hay ninguno. 9. Los componentes hardware detectados son correctos. 10. Seleccion de la particion donde se instalara NT: D: 11. La particion debe tener formato NTFS. 12. El directorio sugerido para NT es correcto. 13. Realice el reconocimiento exhaustivo del disco. 14. El ordenador rearrancara un par de veces. 15. Se inicia la parte de la instalacion basada en NT (modo graco). (a) (b) (c) (d) (e) (f) Instalacion tpica. Identicar nombre y organizacion (al gusto). Identicar ordenador (pc04XX XX es el no del ordenador). Contrase~na del administrador. El nombre del ordenador (Ej. pc0411). NO crear disco de emergencia. Componentes de Windows recomendados. 16. Instalacion de Red. (a) (b) (c) (d) (e) (f) (g) Seleccionar conectado a la red mediante adaptador de red de area local. NO buscar adaptador. Seleccionar de la lista, utilizar disco, indicar la ruta C:n3COM. Solo protocolo TCP/IP Resto de opciones por defecto. No se utilizara DHCP. En la cha de Direccion IP indicar la direccion IP del (158.42.54.[60+no ordenador] ), la mascara de red (255.255.128.0) y el gateway 158.42.1.10 Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 4 Actividad: Instalacion De Windows NT Workstation 4.0 (h) En la cha DNS, indicar: dominio dsic.upv.es, servidor de nombres 158.42.48.150 (i) En la cha Direccion Wins, indicar: Servidor principal de WINS: nada, servidor secundario de WINS: nada 17. El ordenador formara parte de un WORKGROUP. Debe elegir un nombre de grupo de trabajo igual al nombre de dominio elegido en el NT Server. Denomine este grupo de trabajo como ADMON (el nombre de grupo elegido). 18. Para nalizar la instalacion. (a) Zona horaria. (b) Adaptador de vdeo. NT no detecta el tipo de adaptador, por lo que asume compatible VGA. 19. El ordenador debe reiniciarse de nuevo. Creaci on del disquete de arranque 1. Formatear un disquete con Windows NT. 2. Copiar en dicho disquete los siguientes cheros, que se encuentran en el directorio C: (pueden estar ocultos). NTDETECT.COM NTLDR BOOT.INI 3. Etiquete el disco con "Arranque NT Workstation. Ordenador XX ". 4. Reinice el ordenador con este disquete y compruebe que se arranca el sistema Windows NT instalado. Recuperaci on del MBR 1. Arrancar con el sistema Linux del disco extrable. 2. Ejecutar dd if=/tmp/mbr of=/dev/hda bs=512 count=1 Actividades adicionales 1. Instalar Service Pack 6. (disponible en nnadservernsoft) 2. Instalar el adaptador de video correcto. (disponible en el directorio nvidia de nnadservernsoft). El modelo del adaptador es Nvidia Riva 128. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 5 Actividad: Instalaci on De Windows NT Workstation 4.0 Desactivaci on del disco extra ble 1. Inicie el ordenador con el sistema Linux del disco interno. 2. Acredtese con su usuario y contrase~na. 3. Ejecute el mandato desactiva-hdc. 4. Recuerde que debe realizar esta desactivacion al nal de cada sesion de practicas. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 DE SISTEMAS ADMINISTRACION ACTIVIDAD Instalaci on De Windows NT Server 4.0 ADVERTENCIA: La instalacion de NT Server se realiza en los ordenadores 1,3,5,7,9,14,16,18,20. Requerimientos iniciales Necesitamos inicialmente: Servidor NT. Imagenes de la instalaci on de NT Wks y Server. En cada ordenador hace falta una partici on disponible con tipo Old Minix de al menos 500Mb en el disco primario. 1 disquete por ordenador a instalar, de arranque MS-DOS con soporte de red (+drivers). Ademas debe tener: format, fdisk y xcopy. 1 disquete con formato MS-DOS para la generacion del disco de arranque. Activaci on del disco extra ble 1. Apague el ordenador. 2. Inserte el disco extrable y fjelo con la llave. 3. Inicie el ordenador con el sistema Linux del disco interno. 4. Acredtese con su usuario y contrase~na. 5. Ejecute el mandato activa-hdc turno, siendo turno el correspondiente a su sesion. NO SE EQUIVOQUE. Ejecute este mandato sin argumentos para que muestre los turnos disponibles. 6. Recuerde que debe realizar esta activacion al principio de cada sesion de practicas. Antes de instalar 1. Arrancar con el sistema Linux del disco extrable. 2. Salvar el MBR: dd if=/dev/hda of=/tmp/mbr bs=512 count=1 3. Cambiar los tipos de las particiones del DISCO FIJO (/dev/hda) (a) (b) (c) (d) Iniciar fdisk: fdisk /dev/hda Visualizar el estado actual de las particiones: p Cambiar el tipo de la particion hda1 a "Old Minix": t 1 80 Cambiar el tipo de la particion hda2 a "FAT16": t 2 6 1 2 Actividad: Instalaci on De Windows NT Server 4.0 (e) Activar la particion hda2: a 2 (f) Si es necesario, desactivar la particion hda1: a 1 (g) Visualizar el estado actual de las particiones y vericar que todo es correcto. La particion hda2 debe ser ahora la activa y del tipo "FAT16". La particion had1 debe ser ahora del tipo "Old Minix"y no tener la etiqueta de activa: p (h) Guardar los cambios: w Instalaci on de MS-DOS 1. Reiniciar el ordenador y arrancar con el disco de instalacion de MS-DOS seleccionando la opcion "SIN soporte para red" 2. Ejecutar FDISK para vericar el estado de las particiones de ambos discos. Deben haber dos particiones, C: en el disco interno y D: en el extrable. 3. Formatear la particion C: FORMAT C: /U /S 4. Eliminar LILO del MBR. FDISK /MBR 5. Copiar el contenido del disquete en C: XCOPY A:\*.* C:\ /S ** no sobreescribir COMMAND.COM Instalaci on de Windows NT 1. Rearrancar el ordenador desde el disco duro. En este caso debe elegirse la opcion "CON soporte para red". 2. Usuario de red NT, contrase~na nt. 3. Conexion con el servidor donde residen los cheros necesarios para la instalacion. NET USE Z: \\ADSERVER\SOFT 4. Con el n de acelerar el proceso de copia de archivos, debe activarse el subsistema MS-DOS de cache de disco, el cual, por razones de espacio, no ha podido ser incluido en el disquete de arranque. C: CD \ COPY z:\SMARTDRV.EXE C:\ SMARTDRV c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: Instalaci on De Windows NT Server 4.0 5. Los manejadores de la tarjeta de red en la version original de NT no son adecuados. Por tanto, es necesario disponer de los manejadores de dispositivo correctos durante el proceso de instalacion. XCOPY Z:\3COM C:\3COM /s ** destino directorio 6. Iniciar la instalacion (Recuerda, est as instalando NT Server) Z: CD NTSERVER WINNT /B 7. Descarga de archivos (a) El directorio donde reside la distribucion de NT es el indicado (b) Comienza la transferencia de cheros. Este proceso dura varios minutos. (c) Terminada la descarga, el ordenador solicita reiniciar. Enter. 8. En la deteccion de adaptadores SCSI no hay ninguno. 9. Los componentes hardware detectados son correctos. 10. Seleccion de la particion donde se instalara NT: D: 11. La particion debe tener formato NTFS. 12. El directorio sugerido para NT es correcto. 13. Realice el reconocimiento exhaustivo del disco. 14. El ordenador rearrancara un par de veces. 15. Se inicia la parte de la instalacion basada en NT (modo graco). (a) (b) (c) (d) (e) (f) (g) Identicar nombre y organizacion (al gusto). Licencias por puesto. Identicar ordenador (pc04XX XX es el no del ordenador). El ordenador sera un controlador principal de dominio. Contrase~na del administrador. El nombre del ordenador (Ej. pc0411). NO crear disco de emergencia. Componentes de Windows recomendados. 16. Instalacion de Red. (a) (b) (c) (d) (e) (f) (g) Seleccionar conectado a la red mediante adaptador de red de area local. No instale Internet Infomation System. NO buscar adaptador. Seleccionar de la lista, utilizar disco, indicar la ruta C:n3COM. Solo protocolo TCP/IP Resto de opciones por defecto. No se utilizara DHCP. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 4 Actividad: Instalaci on De Windows NT Server 4.0 (h) En la cha de Direccion IP indicar la direccion IP del (158.42.54.[60+no ordenador] ), la mascara de red (255.255.128.0) y el gateway 158.42.1.10 (i) En la cha DNS, indicar: dominio dsic.upv.es, servidor de nombres 158.42.48.150 (j) En la cha Direccion Wins, indicar: Servidor principal de WINS: nada, servidor secundario de WINS: nada 17. Cuando se solicite el nombre del dominio, escoja el nombre del grupo de trabajo elegido para la instalacion del sistema NT Workstation del otro ordenador. Denomine este dominio como ADMON (el nombre de grupo elegido). 18. Para nalizar la instalacion. (a) Zona horaria. (b) Adaptador de vdeo. NT no detecta el tipo de adaptador, por lo que asume compatible VGA. 19. El ordenador debe reiniciarse de nuevo. Creaci on del disquete de arranque 1. Formatear un disquete con Windows NT. 2. Copiar en dicho disquete los siguientes cheros, que se encuentran en el directorio C: (pueden estar ocultos). NTDETECT.COM NTLDR BOOT.INI 3. Etiquete el disco con "Arranque NT Server. Ordenador XX ". 4. Reinice el ordenador con este disquete y compruebe que se arranca el sistema Windows NT instalado. Recuperaci on del MBR 1. Arrancar con el sistema Linux del disco extrable. 2. Ejecutar dd if=/tmp/mbr of=/dev/hda bs=512 count=1 Actividades adicionales 1. Instalar Service Pack 6. (disponible en nnadservernsoft) 2. Instalar el adaptador de video correcto. (disponible en el directorio nvidia de nnadservernsoft). El modelo del adaptador es Nvidia Riva 128. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 5 Actividad: Instalaci on De Windows NT Server 4.0 Desactivaci on del disco extra ble 1. Inicie el ordenador con el sistema Linux del disco interno. 2. Acredtese con su usuario y contrase~na. 3. Ejecute el mandato desactiva-hdc. 4. Recuerde que debe realizar esta desactivacion al nal de cada sesion de practicas. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 DE SISTEMAS ADMINISTRACION ACTIVIDAD Usuarios y Proteccion en RedHat Linux Introducci on El objeto de la practica consiste en adquirir habilidades relacionadas con la gestion de usuarios, con la gestion de proteccion y con la gestion de sistemas de archivos en el sistema operativo RedHat Linux. En particular, se abordaran los siguientes conceptos: Usuarios y grupos primarios Grupos suplementarios Reglas de proteccion Utilizacion de los bits SETUID y SETGID en ejecutables Utilizacion del bit SETGID en directorios Utilizacion de grupos privados Reglas de Seguridad de la Organizaci on Una organizacion esta utilizando un sistema Linux como soporte informatico. Esta organizacion ha dise~nado un plan de seguridad que cubre los siguientes aspectos: a) Sobre las contrase~ nas. A n de facilitar las pruebas sobre las actividades de laboratorio, asgnese a cada cuenta la contrase~na hardy. b) Sobre el directorio de cada usuario. Se tiene que cumplir lo siguiente: Todo usuario del sistema debe poseer un subdirectorio del directorio /lacasa cuyo nombre debe coincidir con el de la cuenta del usuario. En este directorio, el usuario debe poder crear y borrar cheros y directorios, pero no debe poder modicar los permisos de su directorio de conexion. Ning un otro usuario del sistema debe poder acceder a dicho directorio y a su contenido. c) Sobre los proyectos. La organizacion tiene varios proyectos en curso de realizacion. Sobre dichos proyectos, se tiene que cumplir lo siguiente: Cada proyecto debe tener un directorio bajo el directorio /proyectos donde almacenar su documentacion asociada. Todos los usuarios que participan en un proyecto deben tener la posibilidad de leer, modicar, crear y borrar los archivos que forman parte del proyecto. Cuando un usuario cree un archivo en el directorio del proyecto, por defecto, este debe poder ser ledo, modicado o borrado por cualquier otro usuario del mismo proyecto. Ning un otro usuario debe poder acceder a estos directorios. 1 Actividad: Usuarios y Protecci on en RedHat Linux 2 d) Sobre los ejecutivos. En la empresa existen varios ejecutivos que tienen asignada la evaluacion de algunos de los proyectos existentes. Sobre ellos, se tienen que cumplir: Los ejecutivos no deben poder acceder directamente a los directorios de los proyectos. Para que los ejecutivos puedan controlar el estado de cada proyecto, deben existir en el directorio /usr/local/bin tantos programas como proyectos existan. Una copia de dichos programas puede obtenerse en el directorio remoto /home/ftp/pub/varios del ordenador adserver. Internamente, estos programas ejecutan el mandato ls -lR sobre el directorio del proyecto correspondiente. El programa que permite evaluar cada proyecto debera cumplir los siguientes dos requisitos: Debe poder ser ejecutado unicamente por los ejecutivos asociados a dicho proyecto. { Para que pueda ser ejecutado satisfactoriamente, este programa debe tener los permisos sucientes para poder ejecutar el mandato ls -lR sobre su directorio. { e) Sobre el resto de usuarios. En la organizacion pueden existir otros usuarios no vinculados a ningun proyecto, los cuales no deben tener ningun derecho de acceso a los directorios de los proyectos. Situaci on Actual de la Organizaci on Actualmente, en la organizacion se tiene la siguiente situacion de usuarios y proyectos: Existen tres proyectos, denominados proy1, proy2 y proy3. Hay dos ejecutivos, cuyas cuentas se denominan ejec1 y ejec2. Adicionalmente, existen dos usuarios, ajeno1 y ajeno2, que no est an vinculados a ningun proyec- to. Los usuarios que participan en proyectos estan organizados seg un se muestra en la tabla siguiente: Usuario usu1 usu2 usu3 usu4 usu5 Proyecto proy1 proy2 p p p p p p p p proy3 usu6 p p La asociaci on de ejecutivos a proyectos es la siguiente: Ejecutivo Proyecto proy1 ejec1 ejec2 c Agust n Espinosa, Andr es Terrasa, 2001 p p proy2 p proy3 p Administraci on de Sistemas, DSIC, UPV DE SISTEMAS ADMINISTRACION ACTIVIDAD Usuarios y Protecci on en Windows NT Introducci on El objeto de la practica consiste en adquirir habilidades relacionadas con la gestion de usuarios y con la gestion de proteccion en el sistema operativo Windows NT. En particular, se abordaran los siguientes conceptos: Usuarios y grupos locales Grupos predenidos Derechos de usuario Plan de cuentas Control de acceso a archivos y directorios Reglas de proteccion Reglas de Seguridad de la Organizaci on Una organizacion esta utilizando un sistema Windows NT como soporte informatico. Esta organizacion ha dise~nado un plan de seguridad que cubre los siguientes aspectos: a) Sobre el sistema. Cualquier usuario debe poder apagar el sistema. b) Sobre las contrase~ nas. siguientes normas: Las contrase~nas de los usuarios del sistema tienen que cumplir las Los usuarios deben cambiar su contrase~ na cada dos meses. Los usuarios pueden cambiar su contrase~ na tras dos semanas del cambio anterior. No se permiten contrase~ nas en blanco. Una nueva contrase~ na debe ser siempre distinta de la anterior. Si se detectan tres acreditaciones fallidas en un intervalo de cinco minutos a una cuenta de usuario, esta debe quedar permanentemente bloqueada. Estos intentos fallidos deben quedar registrados en la auditora del sistema. A n de facilitar las pruebas sobre las actividades de laboratorio, asgnese a cada cuenta la contrase~na master. c) Sobre el directorio de cada usuario. conexion, que debe cumplir lo siguiente: Cada usuario debe poseer un directorio propio de Todo usuario del sistema debe poseer un subdirectorio del directorio \lacasa cuyo nombre debe coincidir con el de la cuenta del usuario. En este directorio, el usuario debe tener control total sobre el mismo. 1 Actividad: Usuarios y Protecci on en Windows NT 2 Ning un otro usuario del sistema debe poder acceder a dicho directorio y a su contenido. d) Sobre los proyectos. ellos, se tiene que: La organizacion tiene varios proyectos en curso de realizacion. Sobre Cada proyecto debe tener un directorio bajo el directorio \proyectos donde almacenar su documentacion asociada. Todos los usuarios que participan en un proyecto deben tener la posibilidad de leer y modicar los archivos que forman parte del proyecto. En cambio, no podr an crear ni borrar archivos del proyecto. Esta funcion debera realizarla el director del proyecto. e) Sobre los directores de proyecto. Cada proyecto posee uno o varios directores responsables del mismo. Dichos directores tendran control total sobre los archivos del proyecto que dirigen. Esto incluye poder modicar permisos y tomar posesion de cualquier archivo del proyecto. f ) Sobre los ejecutivos. En la organizacion existen una serie de ejecutivos, los cuales deben poder acceder a cualquiera de los directorios donde se guarda informacion sobre los proyectos en curso y poder leer dicha informacion. No obstante, no podran alterarla de ninguna forma. g) Sobre el resto de usuarios. En la organizacion pueden existir otros usuarios no vinculados a ningun proyecto, los cuales no deben tener ningun derecho de acceso a los directorios de los proyectos. h) Sobre el administrador. El administrador del sistema debe congurar los permisos iniciales de cada proyecto de forma que: Las restricciones anteriores se establezcan de forma automatica cada vez que se cree nueva informacion asociada a un proyecto. Las reglas de proteccion sean las mnimas necesarias para que se cumpla con todo lo ex- puesto. Situaci on Actual de la Organizaci on Actualmente, en la organizacion se tiene la siguiente situacion de usuarios y proyectos: Existen tres proyectos, denominados proy1, proy2 y proy3. Existen diez usuarios trabajando en los distintos proyectos. Dichos usuarios se denominan usu1, usu2, . . . , usu10. Hay tres ejecutivos en la organizacion, cuyas cuentas se denominan ejec1, ejec2 y ejec3. Los usuarios ajeno1 y ajeno2 no estan vinculados a ning un proyecto. La siguiente tabla muestra la asignaci on de usuarios a proyectos: c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV Actividad: Usuarios y Protecci on en Windows NT Usuario usu1 proy1 Director Participante p usu2 usu3 usu4 usu5 usu6 p usu7 usu8 usu9 usu10 Administraci on de Sistemas, DSIC, UPV p p p p 3 proy2 Director Participante p p p proy3 Director Participante p p p p p p p p p p p p p c Agust n Espinosa, Andr es Terrasa, 2001 DE SISTEMAS ADMINISTRACION ACTIVIDAD Dominios en Windows NT Introducci on El objeto de la practica consiste en adquirir habilidades relacionadas con la gestion de usuarios y con la gestion de proteccion en los dominios Windows NT. En particular, se abordaran los siguientes conceptos: Controladores principales de dominios Incorporaci on de estaciones a dominios Usuarios y grupos globales Relaciones de conanza Comparticion de recursos Reglas de Seguridad de la Organizaci on Una organizacion esta utilizando sistemas Windows NT como soporte informatico. Esta organizacion esta formada por varios departamentos, cada uno de los cuales esta organizado como un dominio NT. Para ello, cada departamento dispone de un servidor NT que actua como controlador principal del dominio y de una estacion NT que actua como miembro de dicho dominio. Esta organizacion ha dise~nado un plan de seguridad que cubre los siguientes aspectos. Sobre los Sistemas En cada departamento, los sistemas deben cumplir lo siguiente: a) Estacion. Cualquier usuario local o del dominio al que pertenece la estacion debe poder: Apagar el equipo. Iniciar una sesi on local. Iniciar una sesi on remota. b) Servidor. Cualquier administrador del dominio debe poder: Apagar el equipo. Iniciar una sesi on local. Por otra parte, cualquier usuario global del dominio y usuarios globales de otros dominios (cuando esto sea necesario) deben poder iniciar una sesi on remota. Sobre las Contrase~nas A n de facilitar las pruebas sobre las actividades de laboratorio, las cuentas no deben tener contrase~nas, a excepcion de la del administrador. 1 2 Actividad: Dominios en Windows NT Sobre el Directorio de Cada Usuario Todo usuario del dominio debe poseer un recurso de red en el controlador principal del dominio cuyo nombre debe coincidir con el de su cuenta del usuario. Dicho recurso de red/directorio debe cumplir las siguientes reglas: El recurso de red debe ser asignado de forma autom atica a la unidad logica Z: cuando el usuario se conecta al servidor o a la estacion. En dicho directorio, el usuario debe tener control total sobre el mismo. Ning un otro usuario del sistema debe poder acceder a dicho directorio ni a su contenido. Sobre los Proyectos Cada departamento tiene tres proyectos en curso de realizacion denominados proy1, proy2 y proy3. Sobre los mismos, se tienen que cumplir las siguientes reglas: Los proyectos proy1 y proy3 residen en subdirectorios del recurso de red denominado proyectos que exporta el servidor del departamento. En estos subdirectorios se almacena la documentacion asociada a cada proyecto. Los participantes de dichos proyectos pueden ser usuarios globales del dominio del departamento o de otros dominios. El proyecto proy2 reside en un subdirectorio del directorio nproyectos de la estaci on del departamento. Sus participantes pueden ser usuarios globales del dominio del departamento y usuarios locales de la estacion. Todos los usuarios que participan en un proyecto deben tener la posibilidad de leer y modicar los archivos que forman parte del proyecto. En cambio, no podr an crear ni borrar archivos del proyecto. Esta funcion debera realizarla el director del proyecto. NOTA: La asignacion de permisos a proyectos se realizara exclusivamente en base a grupos locales. Sobre los Directores de Proyecto Cada proyecto posee uno o varios directores que son los responsables del mismo. La organizacion establece que: Los directores de un proyecto tendran control total sobre los archivos del proyecto que dirigen. Esto incluye poder modicar permisos y tomar posesion de cualquier archivo del proyecto. Uno de los directores del proyecto deber a ser el propietario del directorio de cada proyecto. Dicho director esta etiquetado con el smbolo \*" en la tabla de asignacion de usuarios a proyectos, al nal del documento. Sobre los Ejecutivos Los ejecutivos del departamento deben poder acceder y leer el contenido de cualquiera de los directorios donde se guarda informacion sobre los proyectos en curso, bien sean proyectos que residen en el servidor o en la estacion. No obstante, no podran alterar el contenido de los proyectos. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: Dominios en Windows NT Sobre los Administradores La organizacion establece que los administradores de cada departamento deben poder administrar el PDC de otro departamento. En concreto, el servidor de cada departamento debe poder ser administrado por los administradores del departamento/dominio \D" (vease la Figura 1 al nal de este documento). Sin embargo, dichos administradores no podran administrar la estaci on del departamento. Sobre el Resto de Usuarios En el departamento pueden existir otros usuarios no vinculados a ningun proyecto, los cuales no deben tener ningun derecho de acceso a los directorios de los proyectos. Situacion Actual de la Organizacion Actualmente, en la organizacion se tiene la siguiente situacion de usuarios y proyectos: Hay tres ejecutivos en el departamento. Sus cuentas son globales y se denominan ejec1, ejec2 y ejec3. Los usuarios ajeno1 y ajeno2 son usuarios globales del dominio y no estan vinculados a ning un proyecto. Los usuarios local1 y local2 solo existen en la estaci on del departamento. A continuacion se muestra una tabla que recoge la distribucion de usuarios a proyectos. Usuario usu1 proy1 Director Participante p p usu2 usu3 usu4 p p * local1 p proy2 Director Participante p proy3 Director Participante p p * p p p p p p p p p p p local2 Dnusu1 Dnusu2 * En la tabla anterior, los usuarios usu1 a usu4 son usuarios globales del dominio del departamento. Los usuarios Dnusu1 y Dnusu2 son usuarios globales del departamento/dominio \D". La Figura 1 al nal del documento muestra, para cada dominio, cual es su dominio \D" segun la distribucion del laboratorio. NOTA IMPORTANTE: Se recomienda organizar en primer lugar el proyecto proy1, luego el proy2 y por u ltimo el proy3. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 4 Actividad: Dominios en Windows NT la puerta Figura 1: Las echas se~nalan cual es el dominio \D" para cada dominio en el laboratorio. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV DE SISTEMAS ADMINISTRACION ACTIVIDAD Dominios en RedHat Linux Reglas de Seguridad de la Organizaci on Una organizacion esta utilizando un sistema Linux como soporte informatico. Esta organizacion ha dise~nado un plan de seguridad que cubre los siguientes aspectos: a) Sobre los sistemas. ** Uno de los ordenadores de la organizaci on debe actuar como servidor NIS y servidor NFS (En nuestro laboratorio, los ordenadores 2, 4, 6, 8, 10, 13, 15, 17 y 19) ** Todas las cuentas de usuarios y grupos deben ser gestionadas desde este servidor. b) Sobre las contrase~ nas. A n de facilitar las pruebas sobre las actividades de laboratorio, asgnese a cada cuenta la contrase~na hardy. c) Sobre el directorio de cada usuario. Se tiene que cumplir lo siguiente: Todo usuario del sistema debe poseer un subdirectorio del directorio /lacasa cuyo nombre debe coincidir con el de la cuenta del usuario. ** Este directorio debe residir fsicamente en el ordenador que actue como servidor NFS. ** Este directorio debe ser accesible desde cualquier ordenador de la organizacion utilizando el mismo nombre de ruta ( /lacasa/usu1, por ejemplo). ** Solo los dos ordenadores de la organizacion podran acceder a este directorio. En este directorio, el usuario debe poder crear y borrar cheros y directorios, pero no debe poder modicar los permisos de su directorio de conexion. Ningun otro usuario del sistema debe poder acceder a dicho directorio y a su contenido. d) Sobre los proyectos. La organizacion tiene varios proyectos en curso de realizacion. Sobre dichos proyectos, se tiene que cumplir lo siguiente: Cada proyecto debe tener un directorio bajo el directorio /proyectos donde almacenar su documentacion asociada. ** Este directorio debe residir fsicamente en el ordenador que actue como servidor NFS. ** Este directorio debe ser accesible desde cualquier ordenador de la organizacion utilizando el mismo nombre de ruta ( /proyectos). ** Solo los dos ordenadores de la organizacion podran acceder a este directorio. Todos los usuarios que participan en un proyecto deben tener la posibilidad de leer, modicar, crear y borrar los archivos que forman parte del proyecto. Cuando un usuario cree un archivo en el directorio del proyecto, por defecto, este debe poder ser ledo, modicado o borrado por cualquier otro usuario del mismo proyecto. Ningun otro usuario debe poder acceder a estos directorios. e) Sobre los ejecutivos. En la empresa existen varios ejecutivos que tienen asignada la evaluacion de algunos de los proyectos existentes. Sobre ellos, se tienen que cumplir: 1 2 Actividad: Dominios en RedHat Linux Los ejecutivos no deben poder acceder directamente a los directorios de los proyectos. Para que los ejecutivos puedan controlar el estado de cada proyecto, deben existir en el directorio /usr/local/bin tantos programas como proyectos existan. Una copia de dichos programas puede obtenerse en el directorio remoto /home/ftp/pub/varios del ordenador adserver. Internamente, estos programas ejecutan el mandato ls -lR sobre el directorio del proyecto correspondiente. ** Deben existir copias de estos programas en los dos ordenadores de la organizaci on. El programa que permite evaluar cada proyecto debera cumplir los siguientes dos requisitos: { Debe poder ser ejecutado unicamente por los ejecutivos asociados a dicho proyecto. { Para que pueda ser ejecutado satisfactoriamente, este programa debe tener los permisos sucientes para poder ejecutar el mandato ls -lR sobre su directorio. { ** Debe funcionar satisfactoriamente en cualquiera de los dos ordenadores de la organizacion. f) Sobre el resto de usuarios. En la organizacion pueden existir otros usuarios no vinculados a ningun proyecto, los cuales no deben tener ningun derecho de acceso a los directorios de los proyectos. g) Directorio p ublico. ** El servidor NFS de la organizacion debe ofrecer un directorio denominado /pub a cualquier ordenador o usuario que desee utilizarlo. Este directorio sera de solo lectura y todos los accesos deberan ser considerados como anonimos. Situaci on Actual de la Organizaci on Actualmente, en la organizacion se tiene la siguiente situacion de usuarios y proyectos: Existen tres proyectos, denominados proy1, proy2 y proy3. Hay dos ejecutivos, cuyas cuentas se denominan ejec1 y ejec2. Adicionalmente, existen dos usuarios, ajeno1 y ajeno2, que no est an vinculados a ningun proyec- to. Los usuarios que participan en proyectos estan organizados seg un se muestra en la tabla siguiente: Usuario usu1 usu2 usu3 usu4 usu5 Proyecto proy1 proy2 p p p p p p p p proy3 usu6 p p La asociaci on de ejecutivos a proyectos es la siguiente: Ejecutivo Proyecto proy1 ejec1 ejec2 c Agust n Espinosa, Andr es Terrasa, 2001 p p proy2 p proy3 p Administraci on de Sistemas, DSIC, UPV DE SISTEMAS ADMINISTRACION ACTIVIDAD Samba Introducci on El objeto de esta practica consiste en adquirir habilidades relacionadas con la gestion del producto denominado Samba, el cual permite que una maquina Unix implemente el protocolo SMB, haciendo as posible que maquinas basadas en sistemas operativos de Microsoft utilicen a traves de la red directorios de la maquina Unix. Supuesto practico Una organizacion esta utilizando sistemas Windows NT 4.0 y sistemas Unix (RedHat Linux) como soporte informatico. En este momento, las maquinas Windows NT forman un dominio, as como tambien las maquinas Linux. No obstante, no existe ningun tipo de interoperatividad entre ambos tipos de sistemas, por lo que deciden utilizar Samba para conseguir una mayor integracion entre sus sistemas. Los objetivos que persiguen son los siguientes: a) Unicacion de usuarios. b) En ambos tipos de sistemas, deben existir los mismos usuarios. c) No es necesario que las contrase~nas coincidan en ambos sistemas. d) Cuando un usuario se conecte en un sistema NT, debe recibir de forma automatica las siguientes conexiones de red predeterminadas: Z: L: P: Q: H: e) directorio del usuario en el sistema NT. directorio del usuario en el servidor Linux. directorio donde residen los subdirectorios de los proyectos en el servidor Linux. directorio donde residen los subdirectorios de los proyectos en el sistema NT Server. recurso soft de adserver. Las siguientes conexiones deben poder realizarse de forma manual sobre el servidor Linux desde los sistemas NT: Recurso pub, accesible por cualquier usuario, aunque no se encuentre registrado, de solo lectura. Recurso almacen, accesible por cualquier usuario, aunque no se encuentre registrado, de lectura-escritura. Todos los archivos y directorios que se creen dentro de este recurso deberan pertenecer al mismo usuario y al mismo grupo, con independencia del usuario que los creo. f) Sobre las restricciones de acceso El acceso a los recursos de red con conexi on automatica debe estar restringido a los orde- nadores del grupo. El acceso a los recursos de red adicionales debe estar permitido para cualquier ordenador. 1 DE SISTEMAS ADMINISTRACION ACTIVIDAD Encaminamiento y DNS Introduccion Una organizacion desea disponer de varias redes de area local, una por cada departamento. Para conseguir la interconexion de dichas redes, se dispone de otra red de area local, denominada troncal. La red propia de cada departamento dispondra de un ordenador que realizara las funciones de encaminador, estando conectado cada encaminador conectado tanto a su red propia como a la red troncal. En lo referente a la resolucion de nombres, se ha optado por utilizar el servicio DNS. Conguracion de las Redes Uno de los ordenadores de la red troncal (adserver) actuara como el servidor maestro del dominio admon, y cada departamento utilizara y administrara un subdominio del dominio admon. La tabla siguiente detalla las caractersticas de todos los ordenadores de la organizacion: Grupo No IP en Red IP en Red Servidor DNS Encaminador PC Troncal Local p p p p p p p p p p p p p p p p p p p 1 01 158.42.54.61 158.1.1.1 pc0201.grupo1.admon 158.1.1.2 pc0202.grupo1.admon 158.2.1.1 pc0203.grupo2.admon 158.2.1.2 pc0204.grupo2.admon 158.3.1.1 pc0205.grupo3.admon 158.3.1.2 pc0206.grupo3.admon 158.4.1.1 pc0207.grupo4.admon 158.4.1.2 pc0208.grupo4.admon 158.5.1.1 pc0209.grupo5.admon 10 158.5.1.2 pc0210.grupo5.admon 13 158.6.1.2 pc0213.grupo6.admon 158.6.1.1 pc0214.grupo6.admon 158.7.1.2 pc0215.grupo7.admon 158.6.1.1 pc0216.grupo7.admon 158.8.1.2 pc0217.grupo8.admon 158.8.1.1 pc0218.grupo8.admon 158.9.1.2 pc0219.grupo9.admon 158.9.1.1 pc0220.grupo9.admon 02 2 03 158.42.54.63 04 3 05 158.42.54.65 06 4 07 158.42.54.67 08 5 6 09 14 7 158.42.54.76 158.42.54.78 19 20 adserver 158.42.54.74 17 18 9 158.42.54.69 15 16 8 Nombre DNS 158.42.54.80 158.42.49.82 1 adserver.admon 2 Actividad: Encaminamiento y DNS Primera Parte: Establecimiento de las Redes Esta parte consiste en el establecimiento de las distintas redes fsicas de la organizacion. Para ello, el servidor Linux de cada departamento va a ser desconectado de la red troncal, pasando ahora a formar parte de la red propia. Este cambio va a provocar que algunos servicios, NIS, NFS y DNS en particular, deban ser recongurados. A continuacion haremos referencia a los dos equipos de cada grupo como \el encaminador" y \el servidor" (este ultimo, que ya es servidor de NIS y NFS, sera tambien el servidor DNS). Los pasos a seguir son los siguientes: 1. En ambos sistemas, lo primero que hay que hacer es copiar todo el software necesario para la practica. Dicho software puede recuperarase mediante el ftp de adserver, en el directorio pub/dns. Copiar todo ese directorio a /tmp/dns (cuidado con los subdirectorios!). 2. Arrancar ambos ordenadores en el nivel de ejecuci on 2. Al utilizar este nivel los servicios NFS y NIS no se activan, lo cual es necesario porque ambos servicios van a dejar de funcionar debido a los cambios realizados en la red. 3. Ahora hay que conseguir que DNS no interera con los cambios en la red que vamos a efectuar. Para ello hay que hacer lo siguiente en ambos sistemas: Desactivar la utilizacion de la resoluci on de nombres DNS (mediante linuxconf). Especicar de forma estatica las nuevas direcciones de los dos ordenadores del grupo. La forma mas facil es incluir en el chero /etc/hosts las nuevas dos direcciones IP (de la red local), cada una junto con el nombre de su ordenador. En el chero /etc/nsswitch.conf, editar la lnea que empieza por hosts: de manera que la primera opcion de la lista sea files y la segunda dns. 4. Conectamos el servidor a la nueva red. Para ello: Desenchufar el cable de red de la roseta y conectar dicho cable y el cable amarillo entre s con el conector. Mediante linuxconf, cambiar la direccion IP de la tarjeta de red, seg un la nueva conguracion de la tabla. Reiniciar el servidor en el nivel 2. 5. En el encaminador debe darse de alta la segunda tarjeta de red (correspondiente a la red local). Sus parametros son: Enabled: S Config mode: Manual Primary name+domain: (ver tabla) Aliases: ninguno IP Address: (ver tabla) Netmask: 255.255.0.0 Net device: eth1 Kernel module: rtl8139 Una vez hecho esto, reiniciar el encaminador en el nivel 2. 6. En ambos ordenadores, cambiar la direccion IP del servidor NIS (mediante linuxconf). 7. En el servidor NFS, reejar los cambios realizados en las direcciones IP y/o nombres de ordenadores en la tabla de exportacion de directorios va NFS. 8. En el cliente NFS, reejar los cambios realizados en las direcciones IP y/o nombres de ordenadores en la tabla de montaje de dispositivos. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: Encaminamiento y DNS 9. Reiniciar ambos ordenadores, en este caso en el nivel de arranque por defecto. Una vez concluidos estos pasos, es conveniente comprobar mediante el mandato ping -n, utilizando exclusivamente direcciones IP, la conectividad que ambos ordenadores tienen a la red, es decir, qu e ordenadores son alcanzables mediante el ping. Segunda Parte: Interconexion de las Redes El objetivo de esta segunda parte consiste en interconectar las distintas redes entre si, de tal forma que todos los ordenadores puedan comunicarse entre ellos. Un metodo para conseguir esta conectividad consiste en instalar el servicio de encaminamiento dinamico (gated) en cada uno de los ordenadores que forman parte de la red troncal. Los pasos a seguir son los siguientes: En el encaminador: 1. 2. 3. 4. Instalar el paquete gated, disponible en /tmp/dns. Congurar gated. Para ello basta copiar el gated.conf del directorio /tmp/dns al /etc. Congurar el inicio de gated en los niveles de ejecucion 2, 3 y 5. En el apartado de Gateways de linuxconf, eliminar la direccion IP del gateway y habilitar el encaminamiento. 5. Debido a un error en RedHat 6.2, hay que incluir a mano la siguiente lnea en el chero /etc/rc.d/init.d/gated (en la seccion start), antes de la lnea daemon gated): echo ``1'' > /proc/sys/net/ipv4/ip_forward 6. Reiniciar. En el servidor: 1. Indicar que su gateway por defecto es el encaminador de la red propia. 2. Reiniciar. Volver a comprobar la conectividad de ambos ordenadores, de nuevo mediante ping -n y direc- ciones IP, viendo qu e ordenadores son ahora alcanzables. Tercera Parte: Asignacion de Nombres Para concluir la conguracion de la red es necesario establecer un mecanismo que permita que los ordenadores puedan comunicarse entre si utilizando nombres (por ahora, tan solo pueden utilizarse direcciones IP). El mecanismo escogido en este caso es el servicio DNS. El ordenador adserver actuara como el servidor principal de la organizacion, para lo cual administrara el dominio admon. No obstante, cada departamento dispondra de un dominio propio, y sera cada departamento el encargado de administrarlo. Para ello, adserver delegara la autoridad de cada subdominio de admon en el servidor DNS del departamento correspondiente. Los pasos a seguir son los siguientes: En el servidor (DNS): 1. 2. 3. 4. Instalar el paquete bind-8.2, disponible en /tmp/dns. Congurar el inicio de named en los niveles de ejecucion 3 y 5. Copiar el chero /tmp/dns/named.conf en /etc. Copiar el directorio /tmp/dns/named en /var. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 4 Actividad: Encaminamiento y DNS 5. Renombrar los cheros /var/named/Z.158.zona y /var/named/grupoZ.admon.zona, cambiando Z por el numero del grupo. 6. Editar los cheros /var/named/grupoZ.admon.zona, /var/named/Z.158.zona y /etc/named.conf para adecuar sus contenidos. Las modicaciones a realizar consisten en realizar las siguientes sustituciones: Z: numero del grupo XX: servidor DNS (n umero de PC) YY: encaminador (numero de PC) 7. Reiniciar el ordenador. En ambos sistemas, especicar los par ametros del servicio DNS: { Servidor: 158.Z.1.2 { Orden de busqueda 1: grupoZ.admon. (Nota: Es posible que, debido a un error de linuxconf, el servicio DNS no pueda congurarse. Para solucionarlo, debe borrarse el contenido del chero /etc/resolv.conf antes de utilizar linuxconf.) Una vez concluidos estos pasos, debe observarse que todos los ordenadores de la organizaci on son accesibles por nombre, as como que los servicios NFS y NIS funcionan correctamente. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV DE SISTEMAS ADMINISTRACION ACTIVIDAD WINS y DHCP en Windows NT Introducci on El objeto de la practica consiste en adquirir habilidades relacionadas con la instalacion y conguracion del protocolo DHCP y del servicio de nombres NetBIOS sobre TCP/IP (WINS) en un entorno NT. En particular, se abordaran los siguientes conceptos: Instalacion y conguracion de servidores DHCP. Conguracion de Windows NT como cliente DHCP. Instalacion y conguracion de varios servidores WINS. Conguracion de Windows NT como cliente WINS La practica se realizara en el contexto de varias redes locales interconectadas por otra red de area troncal, por lo que sera necesaria la conguracion del encaminamiento entre redes. Nota: Esta practica debe realizarse con la red local del laboratorio aislada. (adviertalo a su profesor, ya que suele ser muy despistado :-) Supuesto Practico Una organizacion posee sistemas Windows NT distribuidos en varios departamentos. Dicha organizacion desea que cada departamento posea su propia red fsica (interconectada con el resto de la organizacion) y que ademas resulte facil cambiar un ordenador de departamento sin tener que recongurar manualmente sus parametros de red. En concreto, se pretende conseguir una situacion descrita por los siguientes puntos: Cada departamento posee una red fsica propia, denominada red local. Para conseguir la interconexion de las redes de los departamentos, se dispone de otra red de area local (denominada troncal ). La red local de cada departamento dispondra de un ordenador que realizara las funciones de encaminador, estando conectado tanto a su red propia como a la red troncal. La organizacion ha decidido utilizar el servicio WINS para la resolucion de nombres NetBIOS. En concreto, se pretende que cada departamento disponga de un servidor WINS propio, y que todos los servidores WINS de la organizacion cooperaren entre s para permitir que la resolucion de nombres NetBIOS funcione correctamente a nivel de toda la organizacion. La organizaci on no utiliza en absoluto el sistema de resolucion de nombres DNS. Para facilitar la movilidad de los ordenadores, cada departamento asignara direcciones y propiedades TCP/IP a sus ordenadores de forma dinamica, utilizando para ello un servidor DHCP (privado en cada red local). 1 2 Actividad: WINS y DHCP en Windows NT La tabla siguiente detalla las caractersticas de todos los ordenadores de la organizacion: Grupo 1 No IP en Red PC Troncal IP en Red Local 01 158.1.1.1 158.42.54.61 02 2 03 05 158.42.54.63 07 158.42.54.65 09 158.42.54.69 7 16 18 158.42.54.76 adserver p pc0204 p p pc0206 p p pc0208 158.3.1.1 158.4.1.1 158.5.1.1 158.6.1.1 158.7.1.1 158.8.1.2 158.42.54.78 19 20 p 158.2.1.1 158.7.1.2 17 9 pc0202 158.6.1.2 158.42.54.74 15 8 p 158.5.1.2 13 14 p 158.4.1.2 10 6 p 158.3.1.2 158.42.54.67 08 5 p 158.2.1.2 06 4 Encaminador 158.1.1.2 04 3 Serv. WINS-DHCP 158.8.1.1 158.9.1.2 158.42.54.80 158.9.1.1 158.42.49.82 Nombre NetBIOS pc0201 pc0203 pc0205 pc0207 pc0209 pc0210 p p pc0213 p p pc0215 p p pc0217 p p p pc0219 pc0214 pc0216 pc0218 pc0220 adserver Primera Parte: Encaminamiento En cada grupo, la activacion del encaminamiento debe realizarse siguiendo los pasos expresados a continuacion: En el enrutador: 1. Dar de alta la segunda tarjeta de red. Esta tarjeta de red se utilizara para conectar con el otro ordenador del grupo, formando as la red propia. El manejador para el modelo de tarjeta utilizada esta disponible en el recurso de red nnadservern3com. 2. Reiniciar el ordenador en este punto. 3. Instalar el enrutamiento. Para ello, se debe agregar el servicio denominado Enrutador RIP para el protocolo Internet (IP) en la pesta~na de Servicios, en la conguracion de Red del Panel de Control. 4. Comprobar, en las propiedades del protocolo TCP/IP, que el \reenvo IP" este activo. En el otro equipo: se debe modicar las propiedades TCP/IP de su u nica tarjeta de red para que reeje la nueva conguracion de la red (ahora forma parte de la red local). Ambos sistemas deben conectarse entre s. Para ello, debe enchufarse el cable que conecta la segunda tarjeta de red del enrutador con el cable de red del otro equipo. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV 3 Actividad: WINS y DHCP en Windows NT Segunda Parte: Instalacion de WINS En cada grupo, la instalacion del servicio WINS debe hacerse en el ordenador que ademas es el enrutador, y que denominaremos genericamente \servidor". La instalacion/conguracion de dicho servicio debe realizarse mediante los siguientes pasos: 1. Instalar el servicio WINS en el servidor. Para ello, agregar el servicio Servidor de nombres de Internet para Windows en la pesta~na de Servicios en la conguracion de Red del Panel de Control. 2. Tanto el servidor WINS como su cliente de cada grupo deben indicar en las propiedades del protocolo TCP/IP la direccion IP del propio servidor WINS del grupo. Puesto que solo hay un servidor WINS por grupo, debe indicarse el servidor WINS primario, no el secundario. En este punto, comprobar que ordenadores de la organizacion se pueden encontrar (mediante Inicio/Buscar Equipo) desde ambos ordenadores del grupo. 3. Establecer las relaciones entre los servidores WINS, tal como muestra la Figura 1. En una primera fase, no establecer la duplicacion entre los servidores denominados A y B en la gura. Comprobar que equipos se pueden encontrar ahora desde cada ordenador. 4. Finalmente, establecer las relaciones de duplicacion entre los servidores denominados A y B en la gura. Comprobar si nalmente todos los ordendores de la organizacion se pueden encontrar desde cada ordenador. Tercera Parte: Instalacion de DHCP En cada grupo, la instalacion del servicio DHCP debe hacerse en el servidor (servidor DHCP+servidor WINS+enrutador). Para ello deben seguirse los siguientes pasos: 1. Instalar el servicio DHCP. Para ello se agrega el servicio denominado Servidor DHCP de Microsoft en la pesta~na de Servicios en la conguracion de Red del Panel de Control. 2. Una vez instalado el servidor, se deben seguir los siguiente aspectos de conguracion: Agregar un nuevo ambito: { Rango de direcciones IP a asignar: 158.Z.1.2 a 158.Z.1.20, donde Z representa el numero del grupo. { Mascara de subred: 255.255.0.0 { El ambito debe ser activado. Opciones de conguraci on del ambito: { Enrutador: 158.Z.1.1 { WINS: Congurar el servidor WINS como el 158.Z.1.1 y el tipo de nodo a p-type. 3. Una vez instalado y congurado el servidor, se debe congurar tambien el cliente. Para ello, en las opciones de conguracion del protocolo TCP/IP hay que seleccionar Obtener direccion IP de un servidor DHCP. Aseg urese de que el resto de opciones locales sean borradas: servidor y domino DNS, puerta de enlace, y servidor(es) WINS. Una vez reinicie el cliente, este debera obtener su direccion IP y el resto de opciones de un servidor DHCP. Administraci on de Sistemas, DSIC, UPV c Agust n Espinosa, Andr es Terrasa, 2001 4 Actividad: WINS y DHCP en Windows NT WINS WINS WINS WINS WINS WINS WINS B WINS WINS A adserver la puerta Servidor de Duplicacion Figura 1: Cliente WINS de ... Relaciones de duplicaci on entre servidores WINS. Nota 1: Utilice el mandato ipconfig /all en el cliente para vericar las propiedades TPC/IP asignadas al cliente. Nota 2: Utilice los mandatos ipconfig /release e ipconfig /renew para cancelar y renovar, respectivamente, la concesi on DHCP en el cliente, si lo considera necesario. c Agust n Espinosa, Andr es Terrasa, 2001 Administraci on de Sistemas, DSIC, UPV
