Cambiar la Subnet Mask en VMware

 Para Versiones de GNU-Linux

En VMware Workstation 9 y anteriores el menú de configuración del editor de redes virtuales no permite cambiar la máscara de la red. 

Para resolver este problema hacemos lo siguiente:
 
Paramos la tarjetas virtuales:

   /usr/bin/vmware-networks --stop -v

Creamos una copia de ellas, por si acaso: 

 

       cp -p /etc/vmware/networking /etc/vmware/networking.backup

   cp -p /etc/vmware/vmnet{x}/dhcpd/dhcpd.conf 
   /etc/vmware/vmnet{x}/dhcpd/dhcpd.conf.old


 Donde {x} es la vmnet que queremos modificar.


   vim /etc/vmware/networking


Si nuestra vmnet nos proporciona IP por dhcp:

   
   vim /etc/vmware/vmnet{x}/dhcpd/dhcpd.conf



Iniciamos de nuevo las vmnets:


   /usr/bin/vmware-networks --start -v 


Comprobamos los cambios:


   /usr/bin/vmware-netcfg

Montar un RAID 5 en Ubuntu 12.04

Montar un RAID 5 en Ubuntu 12.04

Montaje de un RAID 5 mediante (mdadm) por software.

Se realizará el proceso en una máquina Ubuntu 12.04 sobre una máquina virtual VMware workstation 9.

1.- Adición 4 discos virtuales de 1 GB cada uno.

2.- Creamos las particiones con fdisk:

fdisk /dev/sd(X)

Command (m for help): n
Partition type:
   p   primary (0 primary, 0 extended, 4 free)
   e   extended
Select (default p):
Using default response p
Partition number (1-4, default 1):
Using default value 1
First sector (2048-2097151, default 2048):
Using default value 2048
Last sector, +sectors or +size{K,M,G} (2048-2097151, default 2097151):
Using default value 2097151

------------------------------------------------------------------------------------------------------------------

Command (m for help): t
Selected partition 1
Hex code (type L to list codes): l

Nos interesa esta línea: fd  Linux raid auto

Hex code (type L to list codes): fd
Changed system type of partition 1 to fd (Linux raid autodetect)

-------------------------------------------------------------------------------------------------------------------

Realizamos esta operación con el resto de discos.

Para crear un RAID 5 con tres discos, hacemos lo siguiente:

#mdadm --create /dev/md127 --l 5 --raid-devices=3 /dev/sd[XYZ]1

Una vez creado podemos ver su estado con esto:

       #mdadm --detail /dev/md127

-------------------------------------------------------------------------------------------------------------------

root@ubuntu:/home/daniel# mdadm --detail /dev/md127
/dev/md127:
        Version : 1.2
  Creation Time : Wed Nov  7 11:33:13 2012
     Raid Level : raid5
     Array Size : 2093056 (2044.34 MiB 2143.29 MB)
  Used Dev Size : 1046528 (1022.17 MiB 1071.64 MB)
   Raid Devices : 3
  Total Devices : 4
    Persistence : Superblock is persistent

    Update Time : Thu Nov  8 01:13:40 2012
          State : clean
 Active Devices : 3
Working Devices : 4
 Failed Devices : 0
  Spare Devices : 1

         Layout : left-symmetric
     Chunk Size : 512K

           Name : ubuntu:0  (local to host ubuntu)
           UUID : 57a3f039:f2dad432:0ed3cdcf:f9b78cb6
         Events : 41

    Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       4       8       65        2      active sync   /dev/sde1

------------------------------------------------------------------------------------------------------------------

Con el parámetro "manage", podemos añadir o quitar discos al arreglo y dejarlo en espera de posibles fallos, pasando a estado activo cuando falle uno de ellos, o se haya eliminado del arreglo. Todo los procesos que se realizan con "manage" son en "caliente".

------------------------------------------------------------------------------------------------------------------

       mdadm --manage /dev/md127 --add /dev/sdd1

Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       4       8       65        2      active sync   /dev/sde1
       3       8       49        -      spare   /dev/sdd1
 

------------------------------------------------------------------------------------------------------------------

Supongamos que uno de los discos (sde) falla. De nuevo con el parámetro manage, lo marcamos como "fail":

       #mdadm --manage /dev/md127 --fail /dev/sde1

El fichero "mdstat" almacena el log de sucesos de los arreglos instalados en el sistema.

------------------------------------------------------------------------------------------------------------------

root@ubuntu:/home/daniel# cat /proc/mdstat
Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]
md127 : active raid5 sdd1[3] sdc1[1] sde1[4](F) sdb1[0]
      2093056 blocks super 1.2 level 5, 512k chunk, algorithm 2 [3/2] [UU_]
      [=============>.......]  recovery = 69.3% (726648/1046528) finish=0.2min speed=25056K/sec 

Al tener un disco en spare, de manera automática el sistema lo añade al arreglo y reconstruye el RAID.

------------------------------------------------------------------------------------------------------------------

  Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       3       8       49        2      active sync   /dev/sdd1

       4       8       65        -      faulty spare   /dev/sde1

------------------------------------------------------------------------------------------------------------------

Eliminamos el disco marcado como faulty con:

        #mdadm --manage /dev/md127 --remove /dev/sde1

Esta es la ventaja de tener discos en "spare". En caso de no tener discos en espera, un RAID 5 de 3 discos, por su naturaleza, permite que en caso de avería o fallo de uno de ellos el RAID  siga en marcha. Por ejemplo:

------------------------------------------------------------------------------------------------------------------

        #mdadm --manage /dev/md127 --fail /dev/sdd1

Update Time : Thu Nov  8 23:55:25 2012
          State : clean, degraded
 Active Devices : 2
Working Devices : 2
 Failed Devices : 1
  Spare Devices : 0
 

 Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       2       0        0        2      removed

       3       8       49        -      faulty spare   /dev/sdd1

------------------------------------------------------------------------------------------------------------------

En este caso, vemos como "sde1" ha sido eliminado del arreglo y "sdd1" esta marcado como "fallo". Además, nos marcar el arreglo en estado "degradado".

Eliminamos pues el disco con fallo:

 
       #mdadm --manage /dev/md127 --remove /dev/sdd1

Cambiamos la unidad por una nueva y repetimos la operación de añadir partición y dar formato. Agregamos la nueva unidad:

       #mdadm --manage /dev/md127 --add /dev/sdd1 

------------------------------------------------------------------------------------------------------------------

Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       3       8       49        2      active sync   /dev/sdd1

------------------------------------------------------------------------------------------------------------------

Es importante almacenar la configuración, para ello utilizamos la siguiente expresión:

      

       #mdadm --detail --scan >> /etc/mdadm/mdadm.conf

Es posible detener un array, para ello solo debemos introducir el siguiente comando:

      #mdadm --stop /dev/md127

Esto no significa la pérdida del arreglo. Para volver a ensamblar las unidades al arreglo, utilizamos "--asemble".

      #mdadm --asemble /dev/md127 /dev/sd[bcd]1

Podemos añadir discos activos a nuestro arreglo de la siguiente manera:

           #mdadm --manage /dev/md127 --add /dev/sde1

Ahora podemos usar --grow para añadir un disco activo: 

      #mdadm --grow  --raid-devices=4 /dev/md127

 ------------------------------------------------------------------------------------------------------------------

 Update Time : Sun Nov 11 14:53:31 2012
          State : clean
 Active Devices : 4
Working Devices : 4
 Failed Devices : 0
  Spare Devices : 0

         Layout : left-symmetric
     Chunk Size : 512K

           Name : ubuntu:0  (local to host ubuntu)
           UUID : 57a3f039:f2dad432:0ed3cdcf:f9b78cb6
         Events : 103

    Number   Major   Minor   RaidDevice State
       0       8       17        0      active sync   /dev/sdb1
       1       8       33        1      active sync   /dev/sdc1
       3       8       49        2      active sync   /dev/sdd1
       4       8       65        3      active sync   /dev/sde1


------------------------------------------------------------------------------------------------------------------

* Es posible añadir o quitar unidades simplemente con:

mdadm --{add,remove} /dev/sd{x}y

 

Solo queda crear una partición con "fdisk".

       #fdisk /dev/md127

Y montar la partición o añadir una línea al fichero "fstab".

       #vim /etc/fstab 

Transferencias de zona seguras BIND9

Transferencias de zona seguras BIND9

TSIG - Transaction SIGnature.

BIND9 dispone de un mecanismo para asegurar las transmisiones de datos entre servidores. Este mecanismo firma la información enviada asegurando que el servidor maestro cifra la información mediante una clave compartida con el receptor, consiguiendo asegurar que la información no ha sido alterada por el camino.

Nos posicionamos en el servidor maestro.

Para ello generamos una clave con el comando dnnsec-keygen:

       dnssec-keygen -a HMAC-MD5 -b 256 -n HOST tsig.miempresa.com

Donde "-a" indica el algoritmo de encriptación y -b la "fortaleza" del mismo.

Nos genera los siguientes ficheros:

      Ktsig.miemrpesa.com.+157+42018.key

      Ktsig.miemrpesa.com.+157+42018.private

Editamos Ktsig.miemrpesa.com.+157+42018.private:

       cat Kclave-key.+157+21621.private 

        Private-key-format: v1.3
       Algorithm: 157 (HMAC_MD5)
       Key: qYqPgrdJoEiqrzangQDomQ3oW/VWYy/7mqbcCuTgJ3k=
       Bits: AAA=
       Created: 20121106210305
       Publish: 20121106210305
       Activate: 20121106210305

Editamos named.conf.options:

      vim named.conf.options

Fuera de "options" añadimos lo siguiente:

 key tsig.miempresa.com {

        algorithm hmac-md5;
        secret "Sp+HVFPou2ckGUlmJa4fuluEbrtI2TTEa7Ujet/PU30=";

};

server 192.168.1.5 {
        keys { tsig.miempresa.com };
};

Donde llamamos a la clave creada anteriormente y le indicamos que para el server esclavo (192.168.1.5) utilice la clave para hacer la transferencia.

Reiniciamos named:

        service bind9 restart

Hemos de editar el fichero named.conf.options en el servidor esclavo y añadir fuera de "options" lo siguiente:

key tsig.miempresa.com {

       algorithm hmac-md5;
       secret "Sp+HVFPou2ckGUlmJa4fuluEbrtI2TTEa7Ujet/PU30=";

};

 server 192.168.1.6 {
        keys { tsig.miempresa.com };
};

Indicando en este caso la IP del servidor maestro.

Reiniciamos el servidor maestro.

Posible error:

Este error se produce por no haber sincronización en las horas de los servidores. Si no tenemos el servicio NTP (Network Time Protocol) instalado, lo instalamos con:

       aptitude install ntp

Sincronizamos la hora con los servidores. (se pueden cambiar editando un fichero)

       ntpq -p  

Este paso lo repetimos en el server esclavo.

Comprobamos syslog en el servidor esclavo:

  Listo.

     

DNSSEC BIND9 2ª Parte

DNSSEC BIND9 2ª Parte

key-rolling.

Hasta ahora hemos creado las claves para "firmar"  nuestra zona directa, generando la "ksk", pudiéndose esta utilizar como una "true anchor" en servidores caché. El único inconveniente que podemos encontrar es el tiempo de vida que posee la clave, unos 30 días. Es posible a la hora de generar las claves con "zonesigner", utilizar el parámetro "-endtime", o si se deja por defecto, cambiar este valor inicial en el fichero "dnnsec-tools.conf.

Aquí se puede ver el tiempo de vida.

Para realizar el cambio de claves, o "key Rolling", utilizaremos el siguiente "daemon" que automatizará esto por nosotros: rollerd.

Primero nos dirigimos a  /etc/bind/

       cd  /etc/bind/

Como Super Usuario (sudo su, no nos sirve ejecutarlo como su)

      rollinit -zonefile db.miempresa.com.signed -keyrec miempresa.com.krf -admin           root@miempresa.com miempresa.com >> all.rollrec

rollinit nos guardará en "all.rollrec"  ( >> all.rollrec), los datos relativos a la zona (db.miempresa.com.signed), los datos del admin (miempresa.com.krf).

Con rollerd corremos el demonio en background.

       rollerd -rrfile all.rollrec -directory /etc/bind

Y listo.

DNSSEC en BIND9

DNSSEC en BIND9

Configurar DNSSEC (Domain Name System Security Extensions) en BIND9.

Esta suite contiene especificaciones para proveer a los DNS de seguridad a través de protocolo IP. Autentifica los datos de un DNS y garantiza la integridad de los mismos. Está pensado para proteger a los "resolvers" contra ataques de tipo "dns cache spoofing" 

Para ello, instalamos en el servidor maestro lo siguiente:

       aptitude  install dnssec-tools libnet-dns-sec-perl libmailtools-perl libcrypt-openssl-random-perl

Editamos named.conf.options

       vim /etc/bind/named.options

 

E insertamos "dnssec-enable yes;", "dnssec-validation auto;" y "dnssec-lookaside auto;" dentro de options.


dnssec-lookaside. No todos los TLD están firmados (por ejemplo .to), es por ello que syslog puede mostrar el error "chain broken". Con esta opción, si tenemos un TLD sin firmar, podremos agregar nuestras claves (DLV) en https://div.isc.org.

En este caso, ".com." está firmado y tiene un registro DS en root.

En versiones anteriores de BIND9 9.7 y otras anteriores, hay que agregar las claves de root incluidas en "bind.keys" a "named.conf.options" o bien añadir la línea "include "/etc/bind/bind.keys" FUERA DE options. En el caso de la versión 9.8 con "dnssec-validation auto;" se incluyen automáticamente.

En caso de cambiar la ubicación de este fichero será necesaria la inclusión de esta línea.

Firmamos la zona con "zonesigner". El man de este comando contiene la información necesaria para firmar una zona. 

Una forma aceptada de firmar las zonas es:

       zonesigner -genkeys -usensec3 -zone miempresa.com db.miempresa.com

donde:

genkeys genera las claves "zsk" (zone signing key) y ksk (key signing key). zsk es usada para firmar la zona y ksk para conectar con el exterior.

nsec3 es, básicamente un método que controla que entre dos servicios dns no se encuentra otro servicio. Controlando la clave RRSIG se puede comprobar si entre dos servicios se ha "colado" algún registro falso.

Esto nos genera 3 pares de claves (pública/privada), 1 par ksk, y dos pares zsk , dos activas y dos pasivas.

También el fichero miepresa.com.krf que contiene los detalles para la administración de las claves generadas y el fichero dsset.miempresa.com que contiene los registros DS para la zona.

Podemos comprobar el estado de la zona firmada con el comando "donuts"

      donuts  --level 8 -v db.miempresa.com.signed miempresa.com


Este comando en su nivel 8 de registro de errores, nos mostrará 2: uno por solo tener una entrada NS en la zona y otro por no encontrar un registro de correo MX. Si ejecutamos donuts sin "--level" toma su valor por defecto 5 y no muestra errores.

Modificamos "named.conf.local" cambiamos el contenido de file para la zona "miempresa.com" con el fichero generado al firmar la zona:

      file "/etc/bind/db.miempresa.com.signed

reiniciamos BIND9


Modificamos el servidor secundario. Editamos named.conf.options y agregamos las mismas líneas como en el caso del servidor primario.

Editamos named.conf.local y como en el primario, agregamos a file el fichero "signed".

Eliminamos los ficheros generados en /var/cache/bind/

      rm -f /var/cache/bind/db.miempresa.com

Reiniciamos BIND9

Comprobamos que DNSSEC está operando bien.



root@server1:/etc/bind# dig +dnssec miempresa.com

; <<>> DiG 9.8.1-P1 <<>> +dnssec miempresa.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64141
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;miempresa.com.            IN    A

;; ANSWER SECTION:
miempresa.com.        604800    IN    A    192.168.1.6
miempresa.com.        604800    IN    RRSIG    A 8 2 604800 20121127065338 20121028065338 41670 miempresa.com. KmqkzrVT8lBJlvspF89FaID6f4hB9pMeOSHAo4nIg/mg8639PULdS1rW ss2oUHA4WZLr80yHIdcFX9GrK9j2SUDiQfF1UTOU2RnuWmVfvda/SdhO E36litQHVkODB4ggYkSrL9hSOzCYcgeEDKZj4uNcnfiB7C4aNQa74PlZ Neo=

;; AUTHORITY SECTION:
miempresa.com.        604800    IN    NS    server.miempresa.com.
miempresa.com.        604800    IN    RRSIG    NS 8 2 604800 20121127065338 20121028065338 41670 miempresa.com. ROgI4RDvyvOyVZqsUsAlUsWXMD2Bes4yrqt/5BGZz/BD/7BH6mkk/kg5 sWiHIWP45VoeK8sdLjjyBQhz52ZSWg5nHcmAc352oBcaS9UjqSafiu/d c3cif5xUpjGUul2ZmohIz8Eql0T7cVYoQcZRRtLdvSaE9l6w4UE9Cz0W jcM=

;; ADDITIONAL SECTION:
server.miempresa.com.    604800    IN    A    192.168.1.6
server.miempresa.com.    604800    IN    RRSIG    A 8 3 604800 20121127065338 20121028065338 41670 miempresa.com. vK6Exqikh5A2d6s/0Z/5zJY/P3GRCgQagoMLSJ2A83ztEk6blPPdktkc EtNmPxuGs7s9vJZJg4gHpa4AtlEh6RpyABVDWAECVLMLx+H2KThz2CsF hDhJeTCL2nCnbtUdOBp7VN8uSOw1+tJEbhMPsGLm+nAEPrfTgM9zhTlm mFA=

;; Query time: 5 msec
;; SERVER: 192.168.1.5#53(192.168.1.5)
;; WHEN: Fri Nov  2 18:54:36 2012
;; MSG SIZE  rcvd: 614

root@server1:/etc/bind#


 Ahora podemos subir las claves al repositorio DLV de isc.org y añadir los registros DS (dsset.miempresa.com) a la zona.
 



   

Instalación de servidor esclavo BIND9

Instalación de servidores dns BIND9 (2ª Parte)

Instalación de un servidor esclavo no autoritativo.

Para realizar esto solo debemos de situarnos en otra distro ubuntu 12.04 server que hayamos instalado para ello. Una vez actualizado el sistema e instalado BIND9, modificamos "dnssec-validation" a no de momento.

       cd /etc/bind/

       vim named.conf.options

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      0.0.0.0;
        // };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        auth-nxdomain no;    # conform to RFC1035
        //listen-on-v6 { any; };
        dnssec-validation no;
        

};

Creamos las zonas, en este caso las dos  que creamos con anterioridad en el master de la siguiente manera:

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "miempresa.com" {

        type slave;                                -> Debe ser de tipo slave

        file "db.miempresa.com";   -> Por defecto se guarda en /var/cache/bind

        masters { 192.168.1.6; };      -> Indica cuál o cuáles son los masters
};

zone "1.168.192.in-addr.arpa" {
        type slave;
        file "db.192";
        masters { 192.168.1.6; };
};

Reiniciamos BIND9 y listo.

Syslog debe devolver datos relativos a la primera transferencia de zonas. Si realizamos dig a nuestro dominio hemos de recibir lo siguiente:

root@server1:/etc/bind# dig miempresa.com

; <<>> DiG 9.8.1-P1 <<>> miempresa.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29364
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;miempresa.com.            IN    A

;; ANSWER SECTION:
miempresa.com.        604800    IN    A    192.168.1.6

;; AUTHORITY SECTION:
miempresa.com.        604800    IN    NS    server.miempresa.com.

;; ADDITIONAL SECTION:
server.miempresa.com.    604800    IN    A    192.168.1.6

;; Query time: 4 msec
;; SERVER: 192.168.1.5#53(192.168.1.5)
;; WHEN: Fri Nov  2 16:50:02 2012
;; MSG SIZE  rcvd: 84

root@server1:/etc/bind#

Donde el texto resaltado en naranja indica que la respuesta es AUTORIZADA por nuestro server master (192.168.1.6) y el texto resaltado en rojo muestra desde que servidor se ha realizado la petición dns; el servidor esclavo.

root@server1:/etc/bind# dig -x 192.168.1.6

; <<>> DiG 9.8.1-P1 <<>> -x 192.168.1.6
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38540
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;6.1.168.192.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
6.1.168.192.in-addr.arpa. 604800 IN    PTR    server.miempresa.com.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa.    604800    IN    NS    server.

;; Query time: 4 msec
;; SERVER: 192.168.1.5#53(192.168.1.5)
;; WHEN: Fri Nov  2 16:57:44 2012
;; MSG SIZE  rcvd: 96

root@server1:/etc/bind# 

Lo mismo para la zona inversa.

Instalación de servidor primario BIND9 en una distribución Ubuntu server 12.04

Servidores DNS Ubuntu Server 12.04

Instalación y configuración de servidores DNS.

• Server Primario o master. - Autorizado para la zona
• Server secundario o slave. - No autorizado.
• Servidor Caché.

A tener en cuenta:

hostname debe contener el nombre de la máquina: en este caso "server".

hosts debe contener ip_de_la_máquina  nombre_máquina.dominio   alias:


      192.168.1.6 (o 127.0.1.1)   server.miempresa.com         server

Instalación de servidor primario BIND9 en una distribución Ubuntu server 12.04

       ~$sudo aptitude install bind9 bind9utils

       ~$cd /etc/bind

Editamos named.conf.options. Cambiamos "dnssec-validation" a "no" de momento, para que syslog no nos dé la "lata".

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        // forwarders {
        //      8.8.8.8;
        //      8.8.4.4;
        // };

        //======================================================================$
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //======================================================================$
        auth-nxdomain no;    # conform to RFC1035
        //listen-on-v6 { any; };
        dnssec-validation no;
        
};

Editamos "named.conf.local:

 //
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "miempresa.com" {    -> El nombre de la zona directa.
        type master;
        file "/etc/bind/db.miempresa.com"; -> Zona directa.
        allow-transfer { 192.168.1.5; };   -> Esclavo permitido.
        also-notify { 192.168.1.5; };      -> Notificaciones.
};

zone "1.168.192.in-addr.arpa" {  -> El nombre de la zona inversa.
        type master;
        file "/etc/bind/db.192"; -> Zona inversa.
        allow-transfer { 192.168.1.5; };
        also-notify { 192.168.1.5; };
};

Creamos las zonas en el directorio:

        ~$cp db.local db.miempresa.com

       ~$cp db.127 db.192

Editamos db.miempresa.com

Ejemplo de zona directa:

;
; BIND data file for local miempresa.com interface
;
$TTL    604800
@       IN      SOA     miepresa.com. root.miempresa.com. (
                        2012102602      ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

        IN      NS      server.miempresa.com.
;       IN      NS      server1.miempresa.com.


;hosts

@               IN      A       192.168.1.6
server          IN      A       192.168.1.6
server1         IN      A       192.168.1.5


Editamos db.192

Ejemplo de zona inversa:
;
; BIND reverse data file for local 192.168.1.xxx interface
;
$TTL    604800
@       IN      SOA     server.miempresa.com. root.miempresa.com. (
                        2012102607      ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL

;
        IN      NS      server.
;

6       IN      PTR     server.miempresa.com.
5       IN      PTR     server1.miempresa.com.



       ~$sudo service bind9 restart

Listo el servidor primario.

Software RAID

Proceso de montaje de discos en RAID mediante Software "mdadm".

Montaje de RAID sobre dos discos. Lo primero que se debe hacer es el particionado de los discos. En este ejemplo, se van a crear 3 particiones por disco, 1 de 100 mb primaria BOOTABLE, 1 de 2 GB lógica y con el resto otra lógica. Esto se debe hacer igual en cada disco, siendo fundamental que una de ellas, la misma, sea BOOTABLE.
Primera partición de 100 MB para /boot. Esta es obligatoriamente primaria dado que será la que contendrá el sector de arranque. Se posiciona en el inicio del disco.
Seleccionamos el sistema de ficheros. Para montar un RAID aquí debemos seleccionar Volumen físico para RAID.
IMPORTANTE activar la Marca de Arranque en esta partición. Realizamos el resto de particiones siguiendo el mismo proceso. En este caso se crean dos lógicas, una para SWAP y la otra para la raíz /, aunque podrían ser todas primarias. Repetimos el mismo proceso en el segundo disco, respetando los mismos tamaños, tipos y que /boot sea BOOTEABLE. Debe quedar como en la imagen.
Seleccionamos la opción Configurar RAID por software y seguimos los pasos.
Seleccionamos Crear nuevo dispositivo MD y el tipo de RAID que se quiere montar. Con dos discos, seleccionamos RAID 1, pero es posible seleccionar RAID 0.
Aquí seleccionamos el número de dispositivos activos por el array, como tenemos dos discos y hemos creado dos particiones para cada array se selecciona 2. En Dispositivos libres se deja como está.
Tiene que quedar como en la imagen superior. Una vez los array están creados, hay que seleccionar el para cada uno el sistema de ficheros - swap, ext4, ext3... y el punto de montaje, que serán en este caso /boot para la primaria y / para la que contendrá el SO + SWAP.
Y ya está el sistema preparado para la instalación del sistema sobre las particiones

Administración de LDAP

LDAP

Servidor LDAP

LDAP - Lightweight Directory Access Protocol - o protocolo ligero de acceso a directorios, es un protocolo de aplicación utilizado para el acceso y mantenimiento de servicios de directorios distribuidos en entornos de red. este tipo de servicio, también es considerado como base de datos ya que se pueden realizar consultas sobre la información contenida en él. Está organizado de manera jerárquica, siendo el directorio un conjunto de objetos con atributos. Estos objetos, pasan por ser desde nombres de dominio en sus niveles más altos hasta usuarios, máquinas, cuentas de correo, unidades organizativas o cualquier objeto representado en el árbol. Debido a que almacena datos de usuarios y contraseñas, entre otras cosas, es un medio utilizado para realizar autenticaciones a servicios.

Instalación

Para realizar la instalación sobre nuestro servidor Ubuntu Server, hemos de instalar los siguientes paquetes:

      sudo aptitude install slapd ldap-utils

slapd es el demonio usado por LDAP. Es autónomo, no necesita de otros programas ni librerías para su ejecución y es iniciado en el arranque del sistema operativo.


En el transcurso de la instalación únicamente nos pide una contraseña. Para esta práctica, usaremos ldapadmin.

Después de realizar la instalación configuramos el servicio con la mínima configuración necesaria para que el servidor LDAP, opere adecuadamente:

      sudo dpkg-reconfigure slapd

Seleccionamos NO en la opción de omitir una nueva configuración.
Introducimos el nombre de dominio DNS que agregamos anteriormente al fichero hosts. Introducimos el nombre de nuestra organización. En este caso se opta por el mismo DNS, pero puede ser cualquier otro, como por ejemplo el nombre de una empresa; miempresa S.A. o cualquier información que describa a la organización.
Introducimos la contraseña - 2 veces por seguridad - y seleccionamos el tipo de BD a utilizar con LDAP. HDB y BDB, no difieren mucho respecto a su configuración, pero la BD recomendada por la propia configuración del paquete, permite la modificación de los nombres de los sub-árboles, además de aconsejar la lectura del fichero de configuración de la BD. Para esta práctica se selecciona la opción predeterminada HDB.
EL siguiente paso pregunta por el borrado de la base de datos toda vez que se purgue el paquete slapd. Si no se desea eliminar la base de datos anterior, se ha de seleccionar la opción - por defecto - NO. Si se desea iniciar slapd con una nueva base de datos, en el siguiente paso se ha de seleccionar mover la base de datos antigua, de este modo habremos guardado una copia de la base de datos anterior y comenzado una nueva sesión de LDAP limpia.
Por último, solo en el caso de necesitar soporte para la versión de ldap v2, debido al uso de aplicaciones anteriores, se seleccionará el soporte para esta versión. Por defecto la opción remarcada es NO. Si todo se realiza de manera correcta, el demonio slapd será inicializado de nuevo.

Para comprobar que el estado de configuración de slapd es correcto, podemos usar el siguiente comando:

      sudo slaptest

 

  Administración de LDAP

Versiones de LDAP

Es importante remarcar que, dependiendo de la versión de LDAP, la manera de administrar el servidor varía. En versiones anteriores, la realización de cambios en el servidor es realizada modificando el fichero de configuración sladp.conf ubicado en /etc/ldap/slapd.conf. LA modificacicón de este fichero implica la parada del servidor y posterior reinicio del mismo. Esto, en sistemas de producción supone un agravio. Por ello, este método ha sido modificado para que la administración se pueda realizar en caliente. Para ello se ha dividido la configuración en dos partes; Una para la parte de administración y otra para los datos de la BD.

Administrar LDAP

Existen diversas maneras de administrar el servidor y la base de datos LDAP, tanto a nivel de terminal como gráfica, mediante el uso de aplicaciones web/gráficas.

Modo terminal

Breve introducción de los comandos necesarios para la visualización del contenido de la base de datos y de la configuración del servidor, adición de información, esquemas, etcétera


Para realizar una búsqueda de la información relativa a la configuración:

     sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

El comando ldapsearch muestra la información contenido en la base de datos, tanto para la configuración "cn=config", como de los datos contenidos en la BD. Para poder visualizar el contenido del DIT (Directory information tree) de configuración "cn=config" es necesario el uso del parámetro -Y ya que es necesaria la autenticación con SASL, e indicarle EXTERNAL para usar el método de autenticación propio del protocolo LDAP. -H indica la URI que en este caso es la raíz "///" y ldapi indica el "camino", ldap + IPC

     dn: cn=config                                 -> Configuración global
     dn: cn=module{0},cn=config                    -> Modulos dinámicos cargados.
     dn: cn=schema,cn=config                       -> Configuración del squema a nivel de sistema. 
     dn: cn={0}core,cn=schema,cn=config            -> Esquema del núcleo.
     dn: cn={1}cosine,cn=schema,cn=config          -> Esquemas de LDAP.
     dn: cn={2}nis,cn=schema,cn=config             -> Esquema.
     dn: cn={3}inetorgperson,cn=schema,cn=config   -> Esquema.
     dn: olcBackend={0}hdb,cn=config               -> Configuración del "backend" de la base de datos.
     dn: olcDatabase={-1}frontend,cn=config        -> Configuración del frontend de la base de datos.

     dn: olcDatabase={0}config,cn=config           -> Configuración de la base de datos del demonio slapd. 
     dn: olcDatabase={1}hdb,cn=config              -> Configuración de la instancia de la base de datos.

Donde olc significa online configuration y {x} es la forma de ordenar las entradas


Para realizar una búsqueda dentro de una instancia creada por el usuario (2º DIT):

     ldapsearch -x -LLL -H ldap:/// -b dc=miempresa,dc=com dn

Donde -x indica que no se realizará autenticación SASL, -LLL muestra la información más compactada, -H la URI sin seguridad "ldap" y -b indica el punto de partida para realizar la búsqueda por el directorio. Veamos el resultado para una BD creada cuya entrada de más alto nivel es el nombre de dominio miempresa.com:

Para añadir objetos al árbol LDAP por línea de comandos, ha de crearse un tipo de fichero ldif. Para ello, hacemos lo siguiente:

     sudo nano /var/tmp/newuser.ldif

Para evitar conflictos entre los usuarios unix locales y los creados en LDAP se sugiere asignar en el campo uidNumber un número por encima de 10000

Para crear un usuario debemos de tener ya creado con anterioridad un grupo posixGroup, para poder introducir el número posixNumber a nuestro usuario. En este caso ya existen varios grupos. Aquí se utiliza el grupo Domain Users, para ver que número tiene asignado este grupo:

     ldapsearch -x -LLL -H ldap:/// -b dc=miempresa,dc=com 'cn=Domain Users'

Una vez creado el fichero ldif, introducimos el usuario al directorio con ldapadd:

     ldapadd -x -D cn=admin,dc=miempresa,dc=com -W -f /var/tmp/newuser.ldif

Donde -D binddn indica el usuario con permisos administrativos - admin es creado por defecto en la instalación - -W para el password (ldapadmin) y -f para indicar el fichero que contiene los datos a introducir

     ldapsearch -x -LLL -H ldap:/// -b dc=miempresa,dc=com 'uid=daniel'

Esto es lo más básico para hacer búsquedas, añadir y actualizar datos (ldapmodify). Si se pretende administrar LDAP mediante consola es necesario aprender a manejar estos comandos y otros muchos correctamente. Para más información, consultar openldap.org y los man de los comandos, ldapadduser, ldapaddgroup, ldapmodify, ldapadd y otros.

Modo gráfico

Creando Objetos

El hecho de administrar la base de datos por consola de comandos, puede parecer una ardua tarea. Para ello hay disponibles diversas utilidades gráficas que simplifican este proceso. En esta práctica vamos a utilizar una de ellas: PHPLdapAdmin. Para realizar la instalación, introducimos esto en una terminal:

     sudo aptitude install phpldapadmin

Una vez instalada la aplicación es necesario la modificación de su fichero de configuración:

     sudo nano /etc/phpldapadmin/config.php 

En la línea 300 y 326 (Si no se ha modificado config.php) debemos modificar el DN de primer nivel que por defecto es dc=example,dc=com y dn=admin,dc=example,dc=com por los valores que correspondan a nuestra configuración. En este caso es dc=miempresa,dc=com.

Como el servidor no dispone de entorno gráfico y PHPLdapAdmin es un cliente web, accederemos a él desde otro sistema cliente. Para conectar al servidor podemos usar OpenSSH. Si no lo tenemos instalado, ejecutamos el siguiente comando:

     sudo aptitude install openssh-server

De este modo podemos acceder vía web a PHPLdapAdmin y abrir una terminal remota en el servidor para realizar las operaciones necesarias desde el sistema ciente. Para conectar a la base de datos desde el navegador web, introducimos en la barra de dirección la ip - nombre del servidor (si tenemos un servidor DNS activo)/phpldapadmin:

Nos conectamos con el usuario admin y la contraseña ldapadmin.

Aquí podemos ver el árbol del directorio LDAP. Hay varios grupos que han sido creados con el comando smbldap-populate que no es más que poblar el directorio con los grupos predefinidos del controlador de dominio SAMBA. Si el directorio está vacio, lo normal cuando solo se instala ldap, se debe de crear, al menos un grupo posix ya que necesitamos al menos un gidNumber. Esto es, es necesario añadir el nuevo usuario a un grupo. En este caso se añade al grupo Domain Users. Los sub-árboles ou son unidades organizativas que como su nombre indica, ayudan a organizar el directorio. Por ejemplo, Users, Computers, groups, son unidades organizativas. Dando por hecho que hemos creado un grupo posix y tenemos una OU, por ejemplo Users, seleccionamos la OU y añadimos nuevos objetos en ella. En el menú contextual seleccionamos crear objeto hijo y genérico: cuenta de usuario.

Ahora tenemos que rellenar los campos - al menos los obligatorios - y clicar en crear cuenta.

Es necesario modificar al menos el uidNumber para que comience de un número superior a 10000. Pulsamos en actualizar objeto

Autenticación LDAP

Hemos creado usuarios en LDAP. Esto nos posibilita poder hacer login con ellos desde distintos clientes. Para que un cliente Ubuntu pueda logearse es necesaria la instalación de varios paquetes:

     sudo apt-get install ldap-auth-client nscd

Debemos modificar el fichero nsswitch.conf para añadir la base de datos de LDAP.

     sudo auth-client-config -t nss -p lac_ldap

También es interesante la creación de los directorios personales de forma automática. Para ello, editamos el fichero /etc/pam.d/common-session:

     sudo nano /etc/pam.d/common-session

Agregamos la siguiente línea comprobando que figure antes de cualquier entrada pam_ldap y pam_krb5.

     session required        pam_mkhomedir.so umask=0022 skel=/etc/skel

Solo queda ejecutar el siguiente comando para aplicar las modificaciones:

    sudo pam-auth-update

Reiniciamos el proceso nscd para poder autenticarnos con los usuarios de LDAP.

     /etc/init.d/nscd restart