Меню Рубрики

Установка и настройка altlinux server

Установка Интернет-сервера на Alt Linux

Содержание

Общая информация

Эта пошаговая инструкция написана для установки Интернет-сервера на базе Alt Linux 4.0 Server (altlinux.ru). По ней можно также настраивать и Desktop версию, просто графический интерфейс не рассматривается.

  • сеть с тремя подсетями:10.0.0.0/24, 10.0.10.0/24, 10.0.20.0/24.
  • выход во внешний мир (есть спул адресов 192.168.100.16/28, т.е. у нас 14 внешних адресов).
  • компьютер с двумя сетевыми картами.

Хотим: получить полностью функциональный Интернет-сервер со следующими возможностями (см содержание):

Установка ОС, настройка маршрутов

— Загрузившись с CD/DVD выбираем язык меню — F2 и по желанию исследуем его пункты. Начав установку, иногда можно получить сообщение, что невозможно найти диск с дистрибутивом. Жмём Retry — находит.- Следуем шагам мастера установки:1) Выбираем язык установки и принимаем лицензионное соглашение.2) Указываем как будем менять раскладку клавиатуры.а3) Разбиение жесткого диска. На ваш выбор, в зависимости от планируемых задач. Мы сделаем простую разбивку. Для этого выберем профиль подготовки диска «вручную». Жёсткий диск у меня 75 Гб и RAM 1 Гб, под раздел подкачки принято выделять объём в полтора раза превышающий объём оперативной памяти, я сделал в 2 раза больше:

Раздел Объём
swap 2000 Mb
/ остаток

Последовательно выполняем шаги:

    Для каждого диска создаём одинаковое количество разделов, одинакового размера. В нашем случае sda1=sdb1=2Gb и sda2=sdb2=73Gb. Тип файловой системы для каждого раздела Linux RA >

4) Для дистрибутива Alt Linux 4.х Desktop выбираем тип установки: сервер.

5) Устанавливаем загрузик в md1.

6) Задаём пароль для Администратора системы (пользователь root).

7) Заводим системного пользователя, например, pavel.

8) Выбор групп пакетов: SMTP server, Proxy, NTP, POP3/IMAP, FTP.

9) Настраиваем сетевые карты. Интерфейс eth0 для локальной сети настроим позже, сейчас настраиваем доступ в Интернет через eth1 на закладке «IP интерфейсы»:

  • СтавиМ крестик на «Интерфейс включен»
  • IP-адрес 192.168.100.18
  • Маска сети 255.255.255.240
  • Шлюз: 192.168.100.17

На закладке «Общие сетевые настройки»:

  • Имя машины: teo.mynetwork.ru
  • Сервер DNS: 217.116.158.3

— После перезагрузки заходим пользователем root. Проверяем работоспособность сетевых настроек. Для этого пингуем адреса Интернета и проверяем внешний DNS сервер пингуя какой-нибудь узел по имени (само сабой мы должны быть 100% уверены, что все эти ресурсы сейчас доступны):

Если пинги не проходят, то, скорее всего, проблема с сетевой картой.

— Доустанавливаем столь необходимый Midnight Commander:

— Обновляем установленную ОС через Интернет (не обязательно, но желательно). Перед обновлением раскомментируем источники обновления на Master и Sisyphus (в последнем могут быть нестабильные пакеты, т.ч. сомневающиеся могут оставить этот источник закоментированным, но там находится более свежее ПО), перечисляемые в /etc/apt/sources.list.d/server.alt.list.

Если прокси требует пароля, то:

начинаем полное обновление системы:

— Добавляем маршруты между нашими подсетями, где 10.0.0.1 маршрутизатор между локальными подсетями:

Оба синтаксиса команд эквивалентны. Добавим эти строки в конец файла /etc/rc.d/rc, чтобы команды выполнялись при загрузке ОС.- Обновлять и доустанавливать пакеты можно и без доступа в интернет. Как это настроить можно узнать, прочитав Решение проблем в Linux

— Настраиваем eth0. В /etc/net/ifaces/eth0/options:

Применяем настройки и проверяем, пингуя локальную станцию:

— Теперь можно заходить на сервер с рабочего места администратора по протоколу ssh, если из Windows, то можно использовать PuTTY (см статью Терминальное подключение к серверу Linux с помощью ключей ssh без паролей). Подключаемся пользователем pavel и меняем пользователя на root:

В Alt Linux 4 настройка некоторых параметров системы и служб значительно упростилась благодаря использованию альтераторов (alterator), позволяющим делать это через web-интерфейс. Посмотрим, что уже установлено:

Посмотрим, что вообще есть:

Можно удалить некоторые ненужные альтераторы:

Теперь можно зайти на страницу администрирования по адресу https://10.0.0.2:8080, указав имя ползователя «root». На данном этапе посетим только следующие страницы:

  1. «Web-интерфейс — Сервер» редактируем параметры сертификата и пересоздаём его, нажав соответсвующую кнопку. Нажимаем кнопку «Перезапустить HTTP-сервер»
  2. «Статистика — Сетевой трафик» . Запускаем службу и включаем в автозапуск.
  3. «Дата и Время» — «Дата и Время». Проверем, что правильно установлены дата и время.

Firewall (брендмауэр). iptables

— Делаем из компьютера маршрутизатор. Раньше для этого нужно было изменить 0 на 1 в /proc/sys/net/ipv4/ip_forward. Теперь, когда для управления сетевыми настройками используется проект etcnet, нужно указать в /etc/net/sysctl.conf:

— На этом можно закончить шаг 2 и приступить к шагу 3, а можно дать доступ к Интернету для наших пользователей в локальной сети. Для этого добавим правило прямого доступа (без прокси сервера) к Интернет для адреса 10.0.0.244

Параметр MASQUERADE равен SNAT —to 192.168.100.18, но не привязывается к IP адресу, что удобней, однако у меня были случаи когда с ним правило не работало, а с IP адресом работало. В причинах я не разбирался, но имейте в виду при отладке.

— Проверяем добавленную запись

— Если ошиблись, то удаляем, изменяем и прописываем заново

где 1 это номер правила по порядку, или удаляем все правила из таблицы POSTROUTING

— В целях отладки можно добавить правило выпускающее команды ping и traceroute от клиентов во внешний мир

— Запомнить конфигурацию файрвола можно командой iptables-save, восстановить iptables-restore, хранится она в /etc/sysconfig/iptables.

— После установки прокси-сервера нужно не забыть добавленные правила убрать, иначе останется возможность попадать в Интернет в обход прокси.

DNS. Bind

На этом шаге мы будем поднимать свой DNS сервер, если этого не требуется и достаточно внешнего, то этот шаг можно пропустить. Однако, если у нас не будет своего DNS, то нужно будет просить кого-нибудь (напр. провайдера) разместить у себя нашу зону teo.mynetwork.ru и у провайдера ip адреса прописать обратную зону.

— Добавляем DNS серверы на административной странице (в веб интерфейсе) «Сеть» — «Общие настройки сети» или в файле /etc/resolv.conf:

FTP-сервер. vsftpd

  • В Alt Linux vsftpd можно настроить через альтератор в web-интерфейсе. Зайдя на страницу «Серверы — Сетевой суперсервер», убираем ограничение «только с адресов» (оставляем поле пустым). На странице «Серверы — FTP-серве» ставим нужные галочки в «Общих настройках» (у меня все кроме анонимного пользователя), нажимаем «Принять». Добавлем локального пользователя и даём ему право на запись.

Прокси. Squid

  • Автоматизировать загрузку squid при старте компьютера можно через альтератор в web-интерфейсе.
  • На административной веб-странице «Серверы — Прокси-сервер» добавляем squid в автозапуск.
  • Можно установить альтератор для lightsquid:

но там статистика будет не столь подробная, как если его устанавливать отдельно.

Web-сервера. Apache

— На ряду с административным защищённым веб-сервером у нас будет работать и обычный. Для этого на административной странице переходим: «Серверы — Web-сервер — запустить. службу». Не забудем поставить галочку на «Запуск при старте системы».

— Файл настройки находится в /etc/httpd2/conf/httpd.conf, но собственно ничего в нём редактировать не придётся.

СУБД. MySQL

— Можно посмотреть как он запустился в /var/log/mysql/info:

— Подсоединяемся к служебной базе MySQL c одноимённым названием:

Читайте также:  Установка пожарного крана во встраиваемом шкафу

— Меняем пароль рута на new_pass (или другой) и выходим. Служебная команда PASSWORD зашифровывает пароль.

— Подсоединяемся к серверу ещё раз, только теперь с паролем

— Из таблицы user удаляем запись пользователя ‘%’ и (какая есть), т.к. эта запись предоставляет доступ любому пользователю.

— Т.к. мы изменили пароль пользователя root, то теперь не сможет работать logrotate. Для исправления добавляем в конец файла /var/lib/mysql/my.cnf соответсвующие параметры. Здесь же закоментируем строку skip-networking :

— Проверим, осуществляется ли автоматический запуск mysqld:

видим, что нет. Добавляем и проверяем:

ещё раз добавляем и проверяем:

mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off

— Смотрим журнал /var/log/mysql/info. Заметим, что теперь прослушивается порт 3306:

— Если работу с MySQL планируется вести постоянно, то полезно будет установить phpMyAdmin (http://php-myadmin.ru)

Несколько полезных команд

SHOW TABLES; показать таблицы в БД
SHOW COLUMNS FROM db; показать поля таблицы db
USE mysql; перейти в БД mysql
SELECT host,user FROM user; показать поля host, user таблицы user
DROP TABLE transport; удалить таблицу transport
DELETE FROM user WHERE user=’acct’ AND host=’%’; удалить конкретную запись
UPDATE db SET Delete_priv=’Y’ WHERE user=’acct’; изменить значение поля в записи
FLUSH PRIVILEGES; применить внесённые изменения
mysql -u root -p12345 postfix
ALTER TABLE mailbox DROP uid; удаляем поле uid из таблицы mailbox

Больше информации в спец статье по MySQL.

Почтовый сервер. Postfix

См. также как Postfix устанавливается под Debian. Большинство настроек схожи

Postfix отвечает за приём почтовых сообщений и раскладки их по каталогам на сервере. Отдавать письма будет Courier.

Установка Postfix c поддержкой TLS и MySQL

— Начиная с версии 2.2 поддержка TLS встроена в Postfix. Список поддерживаемых баз данных можно узнать выполнив:

— Доустанавливаем поддержку MySQL:

К сожалению, в Alt Linux даже после установки этого пакета, информация, выдаваемая postconf не обновилась (в отличае от Debian).

— Заводим пользователя vmail:

— Проверяем какой номер пользователя (uid) и группы (gid)в ситсеме:

— Вносим изменения в /etc/postfix/main.cf. Обратите внимание, что перед названием параметра не должно быть пробела или табуляции, иначе (как я выяснил на собственном опыте) параметр игнорируется:

— По умолчанию Postfix ограничивает размер почтового ящика 50 Мб и максимальный размер письма 10 Мб. Если нужно изменить эти параметры, то добавляем (исправляем если есть) строки:

— Создаём виртуальный домен. Для этого добавляем следующие строки, учитывая что у нас пользователь vmail имеет u >

— Создадим указанный каталог для спула:

— Создадим файлы доступа к MySQL. Пользователь postfixadmin будет создан позже, при установке Postfix Admin. Создаём файл /etc/postfix/virt_alias.cf:

— Создаём файл /etc/postfix/virt_domain.cf:

— Создаём файл /etc/postfix/virt_mailbox.cf:

— Создаём файл /etc/postfix/transport.cf:

указывая в hosts IP адрес, мы принуждаем Postfix соединяться с MySQL через порт, если же указать localhost, то он будет стараться соединиться через сокет, а так как оба чрутятся в разные каталоги, то найти сокет он не сможет и выдаст в /var/log/maillog ошибку:

— Чтобы проверить, что мы задали верные параметры соединения с базой, выполним:

— В /etc/postfix/master.cf убираем комментарии со строк (второй строки может не быть):

— Посмотреть настройки Posfix, отличающиеся от настроек по умолчанию, можно командой:

Так мы можем убедиться, что все заданные параметры вступили в силу, если нет, то скорее всего при его определении мы не убрали перед ними пробелы.- Перезапускаем Postfix:

Postfix Admin

Устанавливаем Postfix Admin для управления почтовыми ящиками через веб-интерфейс

Берём последнюю версию пакета с http://sourceforge.net/projects/postfixadmin (на данный момент это 2.2.0).

-Доустанавливаем пакет работы со строками для PHP и telnet для проверки:

— Распаковываем и копируем всё содержимое каталога postfixadmin-2.2.0 в /var/www/apache2/html/postfixadmin:

— Заходим на настроичную страничку: http://10.0.0.2/postfixadmin/setup.php и, если ошибок в настройках нет (иначе подскажет где они), создаём администраторский почтовый ящик, скажем postadmin@teo.mynetwork.ru

— Переименовываем настроичный скрипт setup.php в setup.php.disabled и заходим на http://10.0.0.2/postfixadmin/login.php. Регистрируемся, указывая в «Имя (название ящика)» только что созданный postadmin@teo.mynetwork.ru и получаем доступ к административной странице.

— Добавляем домен teo.mynetwork.ru и почтовые ящики test и test2.

— Можно сделать резервную копию всех таблиц в виде SQL выражений. Для этого на странице администратора нажать кнопку Backup.

— Теперь в консоли проверяем как работает доставка почты, т.е. smtp:

— Идём в наш почтовый каталог /var/spool/vmail/ там, если не был, появился каталог test2@teo.mynetwork.ru, а в нём (в каталоге new) сообщение.

Шифрование соединения и принимаемой почты.

— Для шифрования параметров аутонтификации (по умолчанию имя пользователя и пароль передаются открытым текстом) доустанавливаем поддержку TLS:

То, согласно подсказкам, выполняем:

— Конфигурируем Postfix. Добавляем настройки tls в /etc/postfix/main.cf:

Какими ключами будем подписывать сервер пока не важно. Их можно будет создать отдельно для Postfix, или взять от Courier, когда их там создадим, или оставить от Apache, как мы сейчас сделаем. Копируем /etc/httpd2/conf/ssl.crt/server.crt в /etc/httpd2/conf/ssl.ca/ca.crt (создав этот каталог), таким образом создав фиктивный главный (подписывающий) ключ.Проверяем:

— В случае сбоев смотреть лог-файл:

— Для выхода из less нажмите q.

ClamAV (проверка почты на вирусы)

Мы установим из пакета, но можно скачать исходники с http://www.clamav.net

— Устанавливаем антивирус ClamAV:

— Смотрим в файле /etc/clamsmtpd.conf какой порт clamsmtpd прослушивает (Listen) и на какой отдаёт обратотанную почту (OutAddress)

— Добавляем в /etc/postfix/main.cf:

— Добавляем в /etc/postfix/master.cf:

На этом с Postfix всё. Можно ещё раз проверить с помощью telnet, что почта, проходя через антивирусную защиту, доходит в ящик пользователя.Дополнительную информаци по настройке postfix, защите от спама и полезные ссылки смотрите в дополнительной статье по Postfix.

Courier-IMAP с поддержкой MySQL.

Сourier-IMAP отвечает за отдачу почты пользователю. Исходники можно взять с ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/

Устанавливаем Courier.

После установки дополнительно требуемого пакета tcl видим сообщение:

Выполняем предложенные команды:

— Смотрим куда установилась поддержка MySQL (зависит от версии пакета) :

— Настраиваем доступ к БД MySQL. Для этого добавляем поддержку установленного модуля в /etc/courier-authlib/authdaemon.conf:

— Редактируем файл /etc/courier-imap/imapd:

— Редактируем файл /etc/courier-imap/pop3d:

— Проверяем можем ли забрать почту, т.е. работоспособность pop3:

Как видим, одно письмо на 470 байт лежит. Можно его просмотреть командой retr 1 (конечно перед quit)

Устанавливаем Cyrus-SASL2 для шифрования отдаваемой почты.

— Расскажем SASL, где и как искать пароли, когда к нему обратится postfix. Аутонтификацию будем проводит методом saslauthd. Для этого создадим файл /usr/lib/sasl2/smtpd.conf следующиго содержания:

— Альтернативный метод — auxprop. Чтобы использовать его, нужно в /usr/lib/sasl2/smtpd.conf прописать:

Создаём сертификат

— Если в /var/lib/ssl/certs/ лежат файлы pop3d.pem и imapd.pem, то это и есть сертификаты и они уже созданы, чтобы пересоздать их со своими данными удалим эти файлы и отредактируем /etc/courier-imap/pop3d.cnf, где ST короткое (2-3 буквы) название города:

— На этом настройка почтового сервиса закончена.

Полезные ссылки

Введение сервера в «боевой» режим

Если мы устанавливали и отлаживали свой сервер, как часто бывает, в тестовом режиме, паралельно с работающим старым сервером, то перед установкой сервера в «боевой» режим нужно внести следующие изменения:

— Изменить настройки сетевых интерфейсов на боевые (ip адрес, маска, шлюз, DNS).

— Прописать реальные имена в /etc/hosts.

— Squid. Внести изменения в конфигурационный файл /etc/squid/squid.conf, чтобы прокси сервер принимал запросы только из локальной сети и компьютера, где установлен:

— SAMS. Исправить IP адрес на административной странице «SAMS»: «Администрирование SAMS»- Postfix. Исправить IP адреса в параметре mynetworks в файле /etc/postfix/main.cf

— Courier. Если менялось имя почтового домена, то исправить в /etc/courier-authlib/authdaemon-mysql.conf и пересоздать сертификаты.

— Apache. Исправить директивы NameVirtualHost и VirtualHost в конфигурациях виртуальных хостов (если создавались).

источник

Настройка школьного сервера на базе AltLinux

Описание разработки

Задача: настроить сервер для школьной локальной сети для организации

контролируемого доступа в Интернет и предоставления общего дискового пространства для пользователей.

Школьная сеть включает компьютеры под управлением WindowsXP, Windows 7, AltLinux. Пользователи разделены на три группы: администрация, педагоги и обучающиеся.

Этим группам пользователей необходимо предоставить различный уровень доступа в Интернет, и различное общее дисковое пространство.

Для администрации и педагогов – полный доступ в Интернет, для обучающихся — фильтрованный доступ по правилу: «Все сайты блокированы, кроме сайтов из списка. Также запрещен выход на сайты по ихIP».

Общее дисковое пространство должно быть предоставлено в трех папках: для администрации, для учителей, общая папка для всех.

Доступ к папкам должен быть организован по правилу: для администрации – полный доступ ко всем трем папкам, для педагогов – только к папке учителей и общей папке, для обучающихся – только к общей папке для всех.

Для решения задачи подготовлен компьютер: процессор AMDAtlon 2,6ГГц, 2ГБ ОЗУ, 2 жестких диска по 500 ГБ (включены в программный raid), 2 сетевых карты (интегрированная и дополнительная PCI карта D-LinkDFE-530).

В качестве серверной операционной системы – AltLinux 7.0.4 сервер школьный. Компьютеры пользователей включены в домен.

Доступ в Интернет выполняется через модем, который «поднимает» соединение с провайдером.

Установка и настройка сервера.

1. В биос компьютера включить загрузку с CD.

2. Установить диск с ОС AltLinux7.0.4 сервер школьныйи начать установку системы.

На этапе настройки дисков:

1. Удалил все файловые системы.

2. Создал одинаковые разделы типаraid на обоих дисках (первый размером 2048 МБ, а второй — остальное дисковое пространство).

3. В дереве выбрать RAID/создать raid (устройство уровня raid 1).

4. Установить галочки на Sda1 и Sdb1/ создать raid.

5. Установить галочки на Sda2 и Sdb2/ создать raid.

6. В меню выбрать Создать том: из раздела меньшего размера создать файл подкачки, а из большего размера – файловую систему Ext2/3/4 (создать точку монтирования)->ОК.

7. Произвести запрошенные изменения и продолжить установку системы.

3. Сетевые интерфейсы настроить: для локальной сети (интегрированная карта (enp0s7)) указать IPадрес 10.64.1.1/24 ->Добавить; для интернета (дополнительная карта DLink (enp0s6)).

5. Установить имя системного пользователя (например: srv-adm)и пароль, пароль пользователя root.

Начало настройки на сервере.

6. В строке приглашения системы (login:) ввести srv-adm. Нажать enter. Далее сервер запросит пароль, ввести пароль и нажать enter (пароль на экране не отображается).

7. Открыть графическую оболочку (в командной строке набрать startx).

8. Меню пуск (Start) -> … -> Mozilla.

9. Войти в Web интерфейс настройки сервера (в адресной строке браузера: 10.64.1.1:8080), затем в окне приветствия ввести пароль пользователя root.

Через Web Интерфейс сделать настройки:

10. В Брандмауэре: внешние сети/ выбрать enp0s6, установить режим роутер ->применить.

11. В DHCP: установить галочку включить службу. Начальный адрес: 10.64.1.2; Конечный адрес: 10.64.1.200 ->применить.

12. Домен: srv.school.net. Поставить галочку обслуживать домен Kerberos ->применить. Перегрузить сервер (через Web интерфейс).

13. В прокси-сервер: поставить галочку напротив включить сервис. Установить режим проксирования – обычный. Способ аутентификации – PAM. -> применить. Здесь же перейти «разрешенные сети».

Создать сеть: IP 10.64.1.0/24 ->применить.

14. Группы. Создать 2 группы для организации контроля выхода в Интернет: новая группа: Inet_full->применить;новая группа: Inet_limit-> применить.

15. Пользователи. Создать пользователей:

Обучающиеся: _1, _2 и т.д. (при необходимости указать фамилию, имя, отчество и др.). Этих пользователей добавить в группу _ (можно в этом разделе, а можно в разделе Группы).

Педагоги: _1, _2 ит.д. Этих пользователей добавить в группы _ и стандартную группу .

Весь материал — в документе.

Содержимое разработки

Задача: настроить сервер для школьной локальной сети для организации

контролируемого доступа в Интернет и предоставления общего дискового пространства для пользователей. Школьная сеть включает компьютеры под управлением Windows XP, Windows 7, Alt Linux. Пользователи разделены на три группы: администрация, педагоги и обучающиеся. Этим группам пользователей необходимо предоставить различный уровень доступа в Интернет, и различное общее дисковое пространство. Для администрации и педагогов – полный доступ в Интернет, для обучающихся — фильтрованный доступ по правилу: «Все сайты блокированы, кроме сайтов из списка. Также запрещен выход на сайты по их IP». Общее дисковое пространство должно быть предоставлено в трех папках: для администрации, для учителей, общая папка для всех. Доступ к папкам должен быть организован по правилу: для администрации – полный доступ ко всем трем папкам, для педагогов – только к папке учителей и общей папке, для обучающихся – только к общей папке для всех.

Для решения задачи подготовлен компьютер: процессор AMD Atlon 2,6ГГц, 2ГБ ОЗУ, 2 жестких диска по 500 ГБ (включены в программный raid), 2 сетевых карты (интегрированная и дополнительная PCI карта D-Link DFE-530). В качестве серверной операционной системы – Alt Linux 7.0.4 сервер школьный. Компьютеры пользователей включены в домен.

Доступ в Интернет выполняется через модем, который «поднимает» соединение с провайдером.

Установка и настройка сервера.

В биос компьютера включить загрузку с CD.

Установить диск с ОС Alt Linux 7.0.4 сервер школьный и начать установку системы.

На этапе настройки дисков:

Удалил все файловые системы.

Создал одинаковые разделы типа raid на обоих дисках (первый размером 2048 МБ, а второй — остальное дисковое пространство).

В дереве выбрать RAID/создать raid (устройство уровня raid 1).

Установить галочки на Sda1 и Sdb1/ создать raid.

Установить галочки на Sda2 и Sdb2/ создать raid.

В меню выбрать Создать том: из раздела меньшего размера создать файл подкачки, а из большего размера – файловую систему Ext2/3/4 (создать точку монтирования)- ОК.

Произвести запрошенные изменения и продолжить установку системы.

Сетевые интерфейсы настроить: для локальной сети (интегрированная карта (enp0s7)) указать IP адрес 10.64.1.1/24 — Добавить; для интернета (дополнительная карта DLink (enp0s6)).

Установить имя системного пользователя (например: srv-adm) и пароль, пароль пользователя root.

Начало настройки на сервере.

В строке приглашения системы (login:) ввести srv-adm. Нажать enter. Далее сервер запросит пароль, ввести пароль и нажать enter (пароль на экране не отображается).

Открыть графическую оболочку (в командной строке набрать startx).

Меню пуск (Start) — … -Mozilla.

Войти в Web интерфейс настройки сервера (в адресной строке браузера: 10.64.1.1:8080), затем в окне приветствия ввести пароль пользователя root.

Через Web Интерфейс сделать настройки:

В Брандмауэре: внешние сети/ выбрать enp0s6, установить режим роутер — применить.

В DHCP: установить галочку включить службу. Начальный адрес: 10.64.1.2; Конечный адрес: 10.64.1.200 — применить.

Домен: srv.school.net. Поставить галочку обслуживать домен Kerberos — применить. Перегрузить сервер (через Web интерфейс).

В прокси-сервер: поставить галочку напротив включить сервис. Установить режим проксирования – обычный. Способ аутентификации – PAM. — применить. Здесь же перейти «разрешенные сети». Создать сеть: IP 10.64.1.0/24 — применить.

Группы. Создать 2 группы для организации контроля выхода в Интернет: новая группа: Inet_full — применить; новая группа: Inet_limit — применить.

Пользователи. Создать пользователей:

Обучающиеся: klass_1, klass_2 и т.д. (при необходимости указать фамилию, имя, отчество и др.). Этих пользователей добавить в группу Inet_limit (можно в этом разделе, а можно в разделе Группы).

Педагоги: teacher_1, teacher_2 и т.д. Этих пользователей добавить в группы Inet_full и стандартную группу teacher.

Администрация: zam_1, zam_2 и т.д. Этих пользователей добавить в группы Inet_full и стандартную группу zavuch.

Создать пользователя с административными правами и правом включения компьютеров в домен или назначить дополнительные права уже созданному пользователю, например teacher_1. Для этого пользователя (teacher_1) добавить в стандартные группы wheel, admins.

При желании, в Удостоверяющем центре: установить страна RU, организация school.

Сервер сетевых установок: можно загрузить образы нужных систем (Alt Linux) и выбрать систему для установки по сети.

На этом настройка через web интерфейс завершена. Дальнейшую настройку необходимо продолжить через командную строку (или midnight commander).

Выходим из графической оболочки (или перегружаем сервер).

Входим на сервер пользователем с администраторскими правами: login: srv_adm, пароль:*****. Далее в командной строке su- и вводим пароль root. Далее переходим в midnight commander (для этого в командной строке набираем mc и нажимаем enter).

Переходим в каталог etc. Создаем в нем каталог squid3. В нем создаем текстовый файл whitelist_sites.txt следующего содержания:

Этот файл – список разрешенных сайтов (для учеников) (Список сайтов строится с использованием синтаксиса регулярных выражений).

Переходим в каталог etc/squid и редактируем файл squid.conf. Текст файла:

http_access deny ip_access

auth_param basic program /usr/lib/squid/basic_pam_auth

acl AUTHENTICATED proxy_auth REQUIRED

#аутентификация пользователей и ограничение доступа в интернет

auth_param basic program /usr/lib/squ

external_acl_type ldap_group_Inet ttl=10 children=10 %LOGIN \

acl acl_ldap_group_full_access external ldap_group_Inet Inet_full

acl acl_ldap_group_limit_access external ldap_group_Inet Inet_limit

acl acl_whitelist url_regex -i «/etc/squid3/whitelist_sites.txt»

http_access allow acl_ldap_group_full_access

http_access allow acl_ldap_group_limit_access acl_whitelist

#другие разрешения и запреты

acl localnet src 10.0.0.0/8 # RFC1918 possible internal network

acl localnet src 172.16.0.0/12 # RFC1918 possible internal network

acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl localnet src fc00::/7 # RFC 4193 local private network range

acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl Safe_ports port 70 # GOPHER

acl Safe_ports port 901 # SWAT

acl Safe_ports port 280 # HTTP-MGMT

acl Safe_ports port 488 # GSS-HTTP

acl Safe_ports port 210 # WAIS

acl Safe_ports port 873 # RSYNC

acl Safe_ports port 1025-65535 # Other ports

acl Safe_ports port 777 # Mulilingual HTTP

acl Safe_ports port 631 # CUPS

acl Safe_ports port 21 # FTP

acl Safe_ports port 563 # SNEWS (C)

acl Safe_ports port 443 # HTTPS (C)

acl Safe_ports port 80 # HTTP

acl Safe_ports port 591 # Filemaker

acl CONNECT method CONNECT

http_access allow localhost manager

# Deny requests to unknown ports

http_access deny !Safe_ports

# We strongly recommend the following be uncommented to protect innocent

# web applications running on the proxy server who think the only

# one who can access services on «localhost» is a local user

#http_access deny to_localhost

acl our_networks src 10.64.1.0/24 # localnet

acl our_networks src 127.0.0.0/8 # LOCALHOST

# Deny access not form one of «our» IP networks

http_access deny !our_networks

# Deny requests to unknown ports

http_access deny !Safe_ports

acl our_networks src 10.64.1.0/24 # localnet

acl our_networks src 127.0.0.0/8 # LOCALHOST

# Deny access not form one of «our» IP networks

http_access deny !our_networks

# Allowing policy for all users

# All other ACL rules are useless

# Finally deny all other access to this proxy

В каталоге srv создаем два каталога teachers и admins. Назначаем права на каталоги (в midnight commander выбираем каталог teachers нажимаем клавишу F9. В меню Файл выбираем Права доступа и в столбце Права доступа, открывшегося окна выставляем все галочки, кроме первых двух пунктов: “Присв. UID при выполнении” и “Присв. GID при выполнении”. Выполняем то же с каталогом admins).

Переходим в каталог etc/samba и правим файл smb.conf. Текст должен получиться таким:

server string = Samba server on %h (v. %v)

dedicated keytab file = /etc/krb5.keytab

kerberos method = dedicated keytab

log file = /var/log/samba/log.%m

passdb backend = ldapsam:ldap://127.0.0.1/

ldap admin dn = cn=ldaproot,dc=srv,dc=school,dc=net

ldap suffix = dc=srv,dc=school,dc=net

ldap group suffix = ou=Group

ldap user suffix = ou=People

add user script = /usr/sbin/ldap-useradd «%u»

delete user script = /usr/sbin/ldap-userdel «%u»

add group script = /usr/sbin/ldap-groupadd «%g»

delete group script = /usr/sbin/ldap-groupdel «%g»

add user to group script = /usr/sbin/ldap-groupmod -m «%u» «%g»

delete user from group script = /usr/sbin/ldap-groupmod -x «%u» «%g»

set primary group script = /usr/sbin/ldap-usermod -g «%g» «%u»

add machine script = /usr/sbin/ldap-useradd -w -i «%u»

ldap machine suffix = ou=Computers

logon script = netlogon.bat

comment = Общая папка для всех

comment = Общая папка для сотрудников

write list = @teacher @zavuch

comment = Общая папка для администрации

comment = Home Directory for ‘%u’

comment = Network Logon Service

Var/www/webapps/moodle config.php строка $CFG-wwwroot = ‘tttps://srv.server.school.net/moodle’

Настройки на рабочих станциях.

Ввод в домен компьютеров работающих под управлением windows не вызвал сложностей и выполнялся по рекомендациям на сайте:

Для компьютеров, работающих под управлением AltLinux может понадобиться прописать адрес и порт прокси и выбрать домен. Это делается в alternator (Центр управления системой): В разделе Пользователи выбрать Аутентификация, затем выбрать домен и нажать Применить. Далее в разделе Сеть выбрать Настройки proxy и в поле Прокси сервер указать IP сервера (10.64.1.1), в поле Порт указать порт прокси (3128) и нажать Применить.

Чтобы выходить в Интернет необходимо выполнить настройку браузера, указав адрес прокси сервера. В Mozilla Firefox это делается так: Меню Правка- Настройки- Дополнительные- Вкладка Сеть- Настроить выбрать пункт Ручная настройка сервиса прокси и в строке HTTP прокси прописать адрес сервера (10.64.1.1) в строке Порт прописать 3128, поставить галочку напротив Использовать этот прокси для всех протоколов. В поле «Не использовать прокси для прописать: localhost, 127.0.0.1, 10.64.1.0/24. Нажать ОК.

источник

Добавить комментарий