Linux网络管理
实
验
指
导
实验一 TCP/IP网络接口配置
一、实验目的
● 掌握Linux下TCP/IP网络的设置方法。
● 学会使用命令检测网络配置。
● 学会启用和禁用系统服务。
二、项目背景
某企业新增了Linux服务器,在但还没有配置TCP/IP网络参数,请设置好各项TCP/IP参数,并连通网络。
三、实验内容
练习Linux系统下TCP/IP网络设置,网络检测方法。
四、实验步骤
子项目1. 设置IP地址及子网掩码
● 查看网络接口eth0的配置信息。
● 为此网络接口设置IP地址、广播地址、子网掩码、并启动此网络接口。利用ifconfig命令查看系统中已经启动的网络接口。仔细观察所看到的现象,记录启动的网络接口。
子项目2. 设置网关和主机名
● 显示系统的路由设置。
● 设置默认路由。并再次显示系统的路由设置,确认设置成功。
● 显示当前的主机名设置;并以自己姓名缩写重新设置主机名。再次显示当前的主机名设置,确认修改成功。
子项目3. 网络设置检测
● ping网关的IP地址,检测网络是否连通。
● 用netstat命令显示系统核心路由表。
● 用netstat命令查看系统开启的TCP端口。
子项目4. 设置域名解析
● 编辑/etc/hosts文件,加入要进行静态域名解析的主机的IP地址和域名。
● 用ping命令检测上面设置好的网关的域名,测试静态域名解析是否成功。
● 编辑/etc/resolv.conf文件,加入域名服务器的IP地址,设置动态域名解析。
● 编辑/etc/host.conf文件,设置域名解析顺序为:hosts,bind。
● 用nslookup命令查询一个网址对应的IP地址,测试域名解析的设置。
子项目5. 启动和停止守护进程
● 用service命令查看守护进程sshd的状态。
● 如果显示sshd处于停用状态,可以试着用ssh命令来连接本地系统,看看是否真的无法登录。
● 然后用service命令启动sshd,再用ssh命令连接本地系统,看看sshd服务是否真的已经启动。
● 用ntsysv命令设置sshd在系统启动时自动启动。
● 用service命令停止sshd守护进程。
五、实验思考题
1.当无法连接远程主机的时候,例如,用telnet命令无法连接到远程主机remost.net,此时应该按什么顺序,用什么方法,分别检测系统中的哪些设置?
2.静态域名解析和动态域名解析有什么区别?分别在哪些文件里进行设置?系统如何决定用哪种方式对一个域名进行解析?
3.利用ifconfig和route命令配置的IP地址、子网掩码和默认网关等信息和利用netcofig及编辑/etc/syscofig/network-scripts/if-eth0文件配置的IP地址、子网掩码和默认网关等信息有什么不同?
实验二 Samba服务器配置与管理
一、实验目的
● 掌握Linux与Windows的资源共享和互访方法。
● 掌握Samba服务器的安装和配置方法。
● 了解使用Samba共享用户认证和文件系统。
二、项目背景
某公司有system、develop、productdesign和test等4个小组,个人办公机操作系统为Windows2000/XP/2003,少数开发人员采用Linux操作系统,服务器操作系统为RHEL 4,需要设计一套建立再RHEL 4之上的安全文件共享方案。每个用户都有自己的网络磁盘,develop组到test组有共用的网络硬盘,所有用户(包括匿名用户)有一个只读共享资料库;所有用户(包括匿名用户)要有一个存放临时文件的文件夹。网络拓扑如下图所示。
项目目标:
● System组具有管理所有Samba空间的权限。
● 各部门的私有空间:各小组拥有自己的空间,除了小组成员及system组有权限以外,其他用户不可访问(包括列表、读和写)。
● 资料库:所有用户(包括匿名用户)都具有读权限而不具有写入数据的权限。
● Develop组与test组的共享空间,develop组与test组之外的用户不能访问。
● 公共临时空间:让所有用户可以读取、写入、删除。
三、实验内容
练习Linux系统Samba服务器配置与访问方法。
四、实验步骤
子项目1. 创建共享资源目录
各目录说明如下:
/data/share:管理员目录,负责管理其下所有目录。
/data/share/develop:develop的主目录,除了用户本身和system之外,其他用户都是不可读不可写。
/data/share/productdesign:productdesign的主目录,除了用户本身和system组以外,其他用户都是不可读不可写。
/data/share/test:test的主目录,除了用户本身和system组以外,其他用户都是不可读不可写。
/data/share/library:资料库目录,所有用户(除了system组有权限写入外)只读目录。
/data/share/develop_testrw:develop组和test组的共享空间,develop组与test组之外的用户不能访问。
/data/share/temp:用于所有用户(包括匿名用户)的可读可写。
子项目2. 权限设置
● 添加用户组。
● 添加用户。
● 添加Samba用户。
● 配置相关目录的权限与归属。
子项目3. Samba服务器的配置(/etc/samba/smb.conf)
●全局环境配置。
● 资料库共享资源的配置。
● 公共临时共享空间的配置。
●develop组与test组的共享空间。
●各部门的私有空间。
子项目4. 客户端的访问效果
五、实验思考题
1.Samba服务的主要守护进程有哪些?Samba服务的功能是什么?
2.建立Samba服务器,并根据一下要求配置Samba服务器。
● 设置Samba服务器所述的群组名称为student。
● 设置可访问Samba服务器的子网为192.168.0.0/24。
● 设置Samba服务器监听的网卡为eth0。
实验三 NFS服务器配置与管理
一、实验目的
● 掌握Linux系统之间资源共享和互访方法。
● 掌握企业NFS服务器和客户端的安装与配置方法。
二、项目背景
某企业的销售部有一个局域网,域名为xs.mq.cn。网络拓扑图如下图所示。网内有一台Linux的共享资源服务器shareserver,域名为shareserver.xs.mq.cn。现要在shareserver上配置NFS服务器,使销售部内的所有主机都可以访问shareserver服务器中的/share共享目录中的内容,但不允许客户机更改共享资源的内容。同时,让主机china在每次系统启动时自动挂载shareserver的/share目录中的内容到china3的/share1目录下。
三、实验内容
练习Linux系统NFS服务器与NFS客户端的配置方法。
四、实验步骤
子项目1. NFS服务器的配置
● 检测系统是否安装了NFS服务器对应的软件包,如果没有安装的话,进行安装。
●按照项目背景的要求,配置NFS服务器。
●启动NFS服务。
子项目2. NFS客户端的配置
● 按照项目背景的要求,配置NFS的客户端。
●重新启动NFS客户端,将会自动加载到/share1目录下。
五、实验思考题
1.在利用chkconfig--list命令检测nfs服务器的自启动状态时,该服务在哪个运行级别下是开启的,哪个运行级别下是关闭的。试想除了利用chkconfig命令之外还有哪些命令可以设置nfs服务的自启动状态。
2.在nfs客户端利用命令mount和通过配置/etc/fstab文件挂载nfs服务器的共享目录的区别是什么?
3.简述exportfs命令的格式及功能。
实验四 DHCP服务器配置与管理
一、实验目的
● 掌握Linux下DHCP服务器的安装和配置方法。
● 掌握Linux下DHCP客户端的配置。
二、项目背景
某企业计划构建一台 DHCP服务器来解决IP地址动态分配的问题,要求能够分配 IP地址以及网关、DNS等其它网络属性信息。同时要求DHCP服务器为DNS、WEB、Samba服务器分配固定IP 地址。该公司网络拓扑图如下图所示。
假设企业DHCP服务器IP地址为192.168.1.2。DNS服务器的域名为dns.jnrp.cn,IP地址为192.168.1.3;WEB服务器IP地址为192.168.1.10;Samba服务器IP地址为192.168.1.5;网关地址为192.168.1.254;地址范围为192.168.1.3到192.168.1.150,掩码为255.255.255.0。
三、实验内容
练习Linux系统DHCP服务器与DHCP客户端的配置方法。
四、实验步骤
子项目1. DHCP服务器的配置
● 检测系统是否安装了dhcp服务器对应的软件包,如果没有安装的话,进行安装。
● 按照项目背景的要求,配置DHCP服务器。
● 利用“servicedhcpd start”命令,启动dhcpd服务。
子项目2. Linux下DHCP客户端的配置
● 以root账号登录系统。
● 使用命令“vi /etc/sysconfig/network-scripts/ifcfg-eth0”打开网卡配置文件,找到语句“BOOTPROTO=none”,将其改为“BOOTPROTO=dhcp”。
● 使用命令“ifdown eth0; ifup eth0”重新启动网卡。
● 使用命令“ifconfig eth0”测试DHCP客户端是否已配置好。
五、实验思考题
1.Windows操作系统下通过什么命令可以知道本地主机当前获得的IP地址。
2.描述DHCP服务的地址分配过程。
实验五、 DNS服务器配置与管理
一、实验目的
● 掌握Linux系统中主DNS服务器的配置。
● 掌握Linux下辅助DNS服务器的配置。
二、项目背景
某企业有一个局域网(192.168.1.0/24),网络拓扑如下图所示。该企业中已经有自己的网页,员工希望通过域名来进行访问,同时员工也需要访问Internet 上的网站。该企业已经申请了域名 jnrplinux.com,公司需要Internet 上的用户通过域名访问公司的网页。为了保证可靠,不能因为DNS的故障,导致网页不能访问。
现要求在企业内部构建一台 DNS服务器,为局域网中的计算机提供域名解析服务。DNS服务器管理 jnrplinux.com 域的域名解析,DNS服务器的域名为dns.jnrplinux.com,IP地址为192.168.1.2。辅助DNS服务器的IP地址为192.168.1.3。同时还必须为客户提供Internet上的主机的域名解析。要求分别能解析以下域名:财务部(cw.jnrplinux.com:192.168.1.11),销售部(xs.jnrplinux.com:192.168.1.12),经理部(jl.jnrplinux.com:192.168.1.13),OA系统(oa.jnrplinux.com:192.168.1.13)。
三、实验内容
练习Linux系统下主及辅助DNS服务器的配置方法。
四、实验步骤
子项目1. 主DNS服务器的配置
● 检查DNS服务对应的软件包是否安装,如果没有安装的话,安装相应的软件包。
● 编辑/etc/named.conf文件,添加“jnrplinux.com”正向区域及“1.168.192.in-addr.arpa”反向区域。
● 创建/var/named/chroot/var/named/jnrplinux.com.zone正向数据库文件。
● 创建/var/named/chroot/var/named/1.zone反向数据库文件。
● 启动服务。
子项目2. 辅助DNS服务器的配置
●在192.168.1.3辅助DNS服务器上,编辑/etc/named.conf文件,添加jnrplinux.com区域。
●在192.168.1.2主DNS服务器上,编辑/etc/named.conf文件的options选项,设置允许进行区域传输。
五、实验思考题
1.简单叙述域名解析的工作过程。
2.简单叙述主DNS、辅助DNS和转发器DNS服务器的配置过程。
实验七、 Web服务器配置与管理
一、实验目的
● 掌握Linux系统中Apache服务器的安装与配置。
● 掌握个人主页、虚拟目录、基于用户和主机的访问控制及虚拟主机的实现方法。
二、项目背景
假如你是某学校的网络管理员,学校的域名为www.king.com,学校计划为每位教师开通个人主页服务,为教师与学生之间建立沟通的平台。该学校网络拓扑图如下图所示。
学校计划为每位教师开通个人主页服务,要求实现如下功能:
(1)网页文件上传完成后,立即自动发布,URL为http://www.king.com/~用户名。
(2)在Web服务器中建立一个名为private的虚拟目录,其对应的物理路径是/data/private。并配置Web服务器对该虚拟目录启用用户认证,只允许kingma用户访问。
(3)在Web服务器中建立一个名为的虚拟目录,其对应的物理路径是/dir1 /test,并配置Web服务器仅允许来自网络jnrp.net域和192.168.1.0/24网段的客户机访问该虚拟目录。
(4)使用192.168.1.2和192.168.1.3两个IP地址,创建基于IP地址的虚拟主机。其中IP地址为192.168.1.2的虚拟主机对应的主目录为/var/www/ip2,IP地址为192.168.1.3的虚拟主机对应的主目录为/var/www/ip3。
(5)创建基于www.mlx.com和www.king.com两个域名的虚拟主机,域名为www.mlx.com虚拟主机对应的主目录为/var/www/mlx,域名为www.king.com虚拟主机对应的主目录为/var/www/king。
三、实验内容
练习Linux系统下WEB服务器的配置方法。
四、实验步骤
子项目1.Apache服务的安装、启动与停止
●安装Apache服务。
●Apache服务的启动与停止。
●启动Apache服务之后,从客户端看到的测试效果。
子项目2.配置用户个人主页
●编辑httpd.conf文件,设置用户个人主页。
●设置用户个人主页所在目录的访问权限。
●创建存放用户个人主页空间的目录。
●创建个人主页空间的默认首页文件。
●编辑httpd.conf文件,将UserDir的值设置为public_html。
●重新启动httpd服务。
子项目3. 设置基于用户认证的虚拟目录/private
●编辑httpd.conf文件,添加/private虚拟目录并设置用户访问控制。
●利用htpasswd命令生成用户密码文件,并为kingma用户设置登录密码。
子项目4. 设置基于主机访问控制的虚拟目录/test
●编辑httpd.conf文件,添加/test虚拟目录并设置基于主机的访问控制。
●重新启动httpd服务,即可。
子项目5. 创建基于IP地址的虚拟主机
●分别创建“/var/www/ip2”和“/var/www/ip3”两个主目录和默认首页文件。
●在httpd.conf文件中,设置基于IP地址的虚拟主机,配置内容如下。
●重新启动httpd服务,即可。
子项目6. 创建基于域名的虚拟主机
●分别创建“/var/www/mlx”和“/var/www/king”两个主目录和默认文件。
●在httpd.conf文件中,设置基于域名的虚拟主机,配置内容如下。
●重新启动httpd服务,即可。
五、实验思考题
1.怎样改变Apache服务器的监听端口?如何在Apache服务器中使用SSL功能?
2.在配置用户认证的时候,如果密码文件中包含多个用户,如何设置只允许其中的某几个用户访问一个认证区域?
3.请将本实验的子项目4使用.htaccess文件重新进行配置。
实验九 FTP服务器配置与管理
一、实验目的
● 掌握Vsftpd服务器的配置方法。
● 熟悉FTP客户端工具的使用。
● 掌握常见的FTP服务器的故障排除。
二、项目背景
某企业网络拓扑图如下图所示,该企业想构建一台FTP服务器,为企业局域网中的计算机提供文件传送任务,为财务部门、销售部门和OA系统提供异地数据备份。要求能够对 FTP 服务器设置连接限制、日志记录、消息、验证客户端身份等属性,并能创建用户隔离的FTP站点。
三、实验内容
练习Linux系统下Vsftpd服务器的配置方法及FTP客户端工具的使用。
四、实验步骤
子项目1. 设置匿名帐号具有上传、创建目录权限
//修改本地权限,使匿名用户对/var/ftp目录具有写入权限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面两行: anon_upload_enable=YES anon_mkdir_write_enable=YES |
子项目2. 设置禁止本地user1用户登录ftp服务器
[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行: user1 //重新启动vsftpd服务,即可。 |
子项目3. 设置本地用户登录FTP服务器之后,在进入dir目录时显示提示信息“welcome”
//以user2用户登录系统,并进入user2用户家目录/home/user2目录下的dir1目录 [user2@RHEL4 dir]$cd ~/dir //新建.message文件并输入”welcome” [user2@RHEL4 dir]$ echo "welcome">.message //以下为测试结果 [user2@RHEL4 dir]$ ftp 192.168.1.2 Name (192.168.1.2:user2): user2 Password: ftp> cd dir //切换到dir目录 250-welcome //显示.message文件的内容 250 Directory successfully changed. |
子项目4.设置将所有本地用户都锁定在家目录中
//修改vsftpd.conf文件,做如下设置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO //修改该参数的取值为NO chroot_local_user=YES //修改该参数的取值为YES //重新启动vsftpd服务即可 //测试部分略 |
子项目5. 设置只有指定本地用户user1和user2可以访问FTP服务器
//将例14-1中/etc/vsftpd.ftpusers文件中的user1删除 //修改vsftpd.conf文件,做如下设置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES //修改该参数的取值为YES usrelist_deny=NO //添加此行 userlist_file=/etc/vsftpd.user_list //添加此行 //利用vi编辑器打开/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下两行并保存退出: user1 user2 //重新启动vsftpd服务即可 //测试部分略 |
子项目6. 配置基于主机的访问控制
实现如下功能:
● 拒绝192.168.6.0/24访问。
● 对域jnrp.net和192.168.2.0/24内的主机不做连接数和最大传输速率限制。
● 对其他主机的访问限制每IP的连接数为1,最大传输速率为20KB/S
//修改vsftpd.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf tcp_wrappers=YES //确保支持tcp_wrappers //添加如下两行并保存退出: local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //编辑/etc/host.allow文件 [root@RHEL4 ~]# vi /etc/hosts.allow //添加下面两行: vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //编辑/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行: local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新启动vsftpd服务即可 //测试部分略 |
子项目7. 使用PAM实现基于虚拟用户的FTP服务器的配置。
● 创建虚拟用户口令库文件。
//生成建立口令库文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt peter //此行指定虚拟用户peter 123456 //此行设置peter用户的FTP密码 tom //此行指定虚拟用户tom 213456 //此行设置tom用户的FTP密码
//使用db_load命令生成口令库文件 [root@RHEL4 /]# db_load -T -t hash -f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改数据库文件的本地权限 [root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db |
● 生成虚拟用户所需的PAM配置文件/etc/pam.d/vsftpd。
[root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下两行 auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login |
● 修改vsftpd.conf文件。
[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保证具有下面三行 guest_enable=YES //启用虚拟用户功能 guest_username=ftp //将虚拟用户映射成ftp帐号,利用虚拟用户登录后,会在ftp用户所在目录下。 pam_service_name=vsftpd //指定PAM配置文件是vsftpd |
● 利用下面的命令重新启动vsftpd服务即可。
[root@RHEL4 ~]# service vsftpd restart |
● 测试。
五、实验思考题
1.简单叙述FTP服务器的配置过程。
2.简单说一下FTP服务器中的文件在Linux系统本身的权限和通过FTP访问时的权限之间的关系。
实验十 邮件服务器配置与管理
一、实验目的
● 能熟练完成企业POP3邮件服务器的安装与配置。
● 能熟练完成企业Sendmail邮件服务器的安装与配置。
二、项目背景
企业需求:企业需要构建自己的邮件服务器供员工使用;本企业已经申请了域名jyg.com,要求企业内部员工的邮件地址为 username@jyg.com 格式。员工可以通过浏览器或者专门的客户端软件收发邮件。除此之外,最好可以提供网络硬盘、反垃圾邮件,自动回复等功能。
任务:假设邮件服务器的IP地址为192.168.1.2,域名为mail.jyg.com。请构建POP3 和SMTP 服务器,为局域网中的用户提供电子邮件;邮件要能发送到 Internet 上,同时 Internet 上的用户也能把邮件发到企业内部用户的邮箱。要设置邮箱的最大容量为20M,邮箱内邮件数不得超过500封,单个邮件不得超过4M。之外希望能提供邮件自动回复功能,提供反垃圾邮件功能。
三、实验内容
练习Linux系统下邮件服务器的配置方法。
四、实验步骤
子项目1.sendmail服务的安装、启动与停止
●安装sendmail服务。
●启动与停止sendmail服务。
子项目2. sendmail邮件服务器的配置
●编辑/etc/mail/sendmail.mc文件,修改邮件服务器的监听IP。
将:
修改为:
●利用m4宏编译工具将sendmail.mc文件编译生成新的sendmail.cf文件。
●修改/etc/mail/local-host-names文件,设置本地邮件服务器所投递的域。
●向系统中添加测试帐号yuangong1和yuangong2,并分别设置密码。
●修改DNS服务器的MX资源记录,将MX资源记录修改为mail.jyg.com。
●修改好之后,重新启动sendmail服务即可。
子项目3.POP3邮件服务器的配置
●插入RHEL4的第四张安装,安装dovecot软件。
●修改/etc/dovecot.conf配置文件,使其支持POP3服务。
●启动dovecot服务,使其支持POP3服务。
五、实验思考题
1.如果在sendmail中,开放了对远程服务器的中继权限,同时又设置了SMTP认证,则在远程服务器通过本地Mail服务器发送邮件时,本地服务器将首先应用哪一种控制策略?如何检验?
2.停止了Sendmail服务后,能否继续通过本地服务器向外发送邮件?
实验十一 Iptables防火墙配置与管理
一、实验目的
● 能熟练完成利用Iptables架设企业NAT服务器。
● 能熟练完成企业Squid代理服务器的架设与维护。
二、项目背景
项目1:假如某公司需要Internet接入,由ISP分配IP地址202.112.113.112。采用iptables作为NAT服务器接入网络,内部采用192.168.1.0/24地址,外部采用202.112.113.112地址。为确保安全需要配置防火墙功能,要求内部仅能够访问Web、DNS及Mail三台服务器;内部Web服务器192.168.1.100通过端口映象方式对外提供服务。网络拓扑结构如下图所示。
项目2:某公司用Squid作代理服务器(内网IP地址为192.168.1.2),该代理服务器配置为奔腾1.6G/512M/80G,公司所用IP地址段为192.168.1.0/24,并且想用8080作为代理端口。
三、实验内容
练习Linux系统下NAT及Iptables防火墙的配置。
四、实验步骤
子项目1.NAT服务器的架设与维护
●载入相关模块。
●设置WEB服务器。
●设置DNS服务器。
●设置邮件服务器。
●设置不回应ICMP封包。
●防止网络扫描。
●允许管理员以SSH方式连接到防火墙修改设定。
子项目2.Squid代理服务器的架设与维护
●编辑/etc/squid/squid.conf文件,内容如下。
●启动Squid代理服务。
●配置代理服务器的客户端。
五、实验思考题
1.如果设置Iptables防火墙进行记录?
2.如何使Iptables将日志传递到系统日志文件,而不是控制终端?
实验十二 Squid代理服务器配置与管理
一、实验目的
● 能熟练完成企业Squid代理服务器的架设与维护。
二、项目背景
某公司用Squid作代理服务器(内网IP地址为192.168.1.2),该代理服务器配置为奔腾1.6G/512M/80G,公司所用IP地址段为192.168.1.0/24,并且想用8080作为代理端口。
三、实验内容
练习Linux系统下Squid代理服务器的配置。
四、实验步骤
●编辑/etc/squid/squid.conf文件,内容如下。
●启动Squid代理服务。
●配置代理服务器的客户端。
五、实验思考题
1.如果设置Iptables防火墙进行记录?
2.如何使Iptables将日志传递到系统日志文件,而不是控制终端?
实验十三 LDAP服务器的配置
一、实验目的
能熟练完成企业LDAP服务器的安装、配置、管理与维护。
二、实验内容
练习Linux系统下LDAP服务器的配置方法。
三 实验步骤:
工作目录在/usr/share/openldap/migration
配置/etc/openldap/slapd.conf
[root@RHCE5 migration]# slappasswd -s 1234567 --- ldap server 密码加密
{SSHA}D+Pgu8OZ+0rhLhbjSXtYwSbMAn6oGABC
[root@RHCE5 migration]# vi /etc/openldap/slapd.conf
# added by wyong 2008.5.27
database bdb
suffix "dc=wyong,dc=net" ---注意这里要不能用dc=ns,dc=wyong,dc=net
rootdn"cn=Manager,dc=ns,dc=wyong,dc=net"
rootpw secret
rootpw {SSHA}iAloxgWwl+ImMHdfNaJhN2xOdaE8jslY
2.开启服务
[root@RHCE5 migration]# /etc/init.d/ldap start
[root@RHCE5 migration]# ldapsearch -x -b '' -sbase '(objectclass=*)' namingContexts
3.帐号迁移
Red Hat 所提供的openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我们将使用这些工具将数据从 Linux 系统文件(例如 /etc/group 和 /etc/password)转换成 LDAP LDIF 格式,这是数据库信息的一种文本格式的表示。这种格式是行界定、冒号分隔的属性-值对。
有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们的目的来说,只需要修改命名前缀的变量来使用条目的识别名就足够了,如下所示:
$DEFAULT_BASE = "dc=wyong,dc=net"
在进行这些修改之后,请运行脚本 migrate_base.pl,它会创建根项,并为 Hosts、Networks、Group 和People 等创建低一级的组织单元
[root@RHCE5 migration]# vi migrate_common.ph
# modified by wyong 2008.5.27
# Default DNS domain
#$DEFAULT_MAIL_DOMAIN = "padl.com";
$DEFAULT_MAIL_DOMAIN ="ns.wyong.net";
# Default base
#$DEFAULT_BASE = "dc=padl,dc=com";
$DEFAULT_BASE ="dc=ns,dc=wyong,dc=net";
添加数据库“树干“
[root@RHCE5 migration]# ./migrate_base.pl >base.ldif
[root@RHCE5 migration]# vi base.ldif
[编辑 base.ldif,删除除wyong,people,group之外的所有条目:]在 LDAP 服务器上,使用 OpenLDAP 客户机工具 ldapadd 将以下条目插入到数据库中。简单身份验证必须要使用 -x 选项指定。在 slapd.conf 中定义的 rootdn 身份验证识别名是“cn=Manager,dc=ns,dc=wyong,dc=net”。对于简单身份验证来说,必须使用密码。选项 -W 强制提示输入密码。这个密码就是在 slapd.conf 文件中指定的 rootpw 参数的值。包含这些条目的 LDIF 文件是使用 -f 选项指定的:
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f base.ldif --- -v选项将输出更详细的内容
Enter LDAP Password:
adding new entry "dc=wyong,dc=net"
adding new entry"dc=ns,dc=wyong,dc=net"
adding new entry"ou=People,dc=ns,dc=wyong,dc=net"
adding new entry"ou=Group,dc=ns,dc=wyong,dc=net"
[root@RHCE5 migration]# passwd ldap --- 激活ldap用户
Changing password for user ldap.
New UNIX password:
BAD PASSWORD: it is too short
Retype new UNIX password:
passwd: all authentication tokens updatedsuccessfully修改ldap目录权限,否则可能会引起某些问题
[root@RHCE5 migration]# chown -R ldap.ldap /var/lib/ldap添加group和user数据库
方法一:单独添加,例如添加ldap
[root@RHCE5 migration]# grep ldap /etc/group> ldapuser.group
[root@RHCE5 migration]# ./migrate_group.plldapuser.group > ldapgroup.ldif
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldapgroup.ldif
Enter LDAP Password:
adding new entry"cn=ldap,ou=Group,dc=ns,dc=wyong,dc=net"
[root@RHCE5 migration]# grep ldap /etc/passwd>ldapuser.passwd
[root@RHCE5 migration]# ./migrate_passwd.plldapuser.passwd >ldappasswd.ldif
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldappasswd.ldif
Enter LDAP Password:
adding new entry"uid=ldap,ou=People,dc=ns,dc=wyong,dc=net"
配置 LDAP 客户机
一种快速而简单的方法是运行 /usr/sbin/authconfig,并在两个屏幕中输入信息。(authconfig-gtk图形化配置很简单就不说了)
另外一种方法是通过编辑客户机 LDAP 配置文件 /etc/ldap.conf,然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和/etc/pam.d/system-auth。
PAM 和 NSS 模块使用的基本配置文件是 /etc/ldap.conf。host 选项指定 LDAP 服务器,base选项指定这个目录使用的 DN,最初我们希望关闭加密功能:
host ns.wyong.net
base dc=wyong,dc=net
ssl off
要让 NSS 服务使用OpenLDAP 服务器,需要将 “ldap” 添加到/etc/nsswitch.conf 文件的 passwd、shadow和 group 行中,如下所示:
passwd: files ldap
shadow: files ldap
group: files ldap
要让 PAM 身份验证服务使用OpenLDAP 服务器,请将 pam_ldap 行加入到/etc/pam.d/system-auth 中,位置在对应的标准 pam_unix.so 条目之后。
实验十四 VPN服务器配置与管理
一、实验目的
● 能熟练完成企业VPN服务器的安装、配置、管理与维护。
二、项目背景
某企业需要搭建一台VPN服务器。使公司的分支机构以及SOHO员工可以从Internet访问内部网络资源(访问时间:09:00-17:00)。
三、实验内容
练习Linux系统下VPN服务器的配置方法。
四、实验步骤
步骤1:编辑/etc/pptpd.conf文件,设置虚拟专用连接的地址池。
步骤2:编辑/etc/pptpd/chap-secrets文件,设置远程登陆VPN客户端拨入时所使用的用户名、密码和分配给该用户的IP地址。
步骤3:设置/etc/ppp/options-pptpd文件。
[root@RHEL4 ~]# grep -v "#" /etc/ppp/options.pptpd name pptpd //相当于身份验证时的域,一定要和/etc/ppp/chap-secrets中的内容对应 refuse-pap //拒绝pap身份验证 refuse-chap //拒绝chap身份验证 refuse-mschap //拒绝mschap身份验证 require-mschap-v2 //采用mschap-v2身份验证方式 require-mppe-128 //在采用mschap-v2身份验证方式时要使用MPPE进行加密 ms-dns 192.168.0.9 //给客户端分配DNS服务器地址 ms-wins 192.168.1.1 //给客户端分配WINS服务器地址 proxyarp //启动ARP代理 |
步骤4:启动Linux的路由转发功能。
步骤5:启动VPN服务器。
步骤6:设置VPN服务器穿透防火墙。
步骤7:VPN客户端的设置。
(1)在桌面上右击【网上邻居】并从弹出的快捷菜单中点击【属性】,接着在弹出的窗口中点击【新建连接】,打开【网络连接向导】对话框,如图所示。
(2)单击“下一步”,在该对话框中选择网络的连接类型为“通过Internet连接到专用网络”,如图所示。
(3)单击“下一步”,选择VPN客户端接入Internet网络的连接方式。在此选择“不拨初始连接”,如图所示。
(4)单击“下一步”,设置VPN服务器的地址,在此输入VPN服务器的IP地址或主机名,然后单击“下一步”,如图所示。
(5)单击“下一步”,设置是否允许所有用户使用此连接,在此我们选择“所有用户使用此连接”,如图所示。
(6)单击“下一步”,打开“完成网络连接向导”在此设置此虚拟连接的名称,在此输入“jnrp-vpn”,如图所示。单击完成按钮,即可完成该向导。
(7)在下图所示的对话框中输入登录VPN服务器的用户名和密码,单击“连接按钮”,这时客户端就开始与VPN服务器建立连接,完成用户名和密码的核对,网络注册等工作。分别如图16-9和16-10所示。
(8)在连接成功之后在VPN客户端利用ipconfig命令可以看到多了一个ppp连接,如图所示。
(9)在VPN服务器端利用ifconfig命令可以看到多了一个ppp0连接,如图所示。
五、实验思考题
1.如果在sendmail中,开放了对远程服务器的中继权限,同时又设置了SMTP认证,则在远程服务器通过本地Mail服务器发送邮件时,本地服务器将首先应用哪一种控制策略?如何检验?
2.停止了Sendmail服务后,能否继续通过本地服务器向外发送邮件?