跳到主要內容

Linux操作不求人 - 肆章之陸 - 伺服器架設(VI) - 網路資訊伺服器 - NIS與RADIUS

     若您有多台 Linux 電腦需管理,且每台電腦都共用一樣的帳號密碼,如 叢集式電腦(Cluster Computing),此時,若設定好母主機的 NIS Service,服務給同網域內的子主機,就無需逐台設定子主機的帳密資訊,在 Linux下則通常利用 Network Information System(以下簡稱 NIS) 伺服器軟體來解決。在CentOS6_x64下,要使用NIS伺服器軟體,則需先利用 yum  -y  install  ypserv  ( ypserv,Yellow Pages Server )下載,另一個必要軟體 rpcbind ,因在前篇的 NFS 安裝已經下載過 ,故可略過,如圖4-53































(圖4-54)

接著設定 domainname 如以下:
$   ypdomainname   mylinux.com
$   echo  'ypdomainname mylinux.com' >> /etc/rc.d/rc.sysinit
/*  將  ypdomainname  mylinux.com  加入開機執行   */

與修改 /etc/hosts ,加入以下
10.0.2.15    nis.mylinux.com   nis     # 圖4-55 之eth0所列之IP,為筆者在虛擬機器下的IP

修改  /etc/ypserv.conf
*                                   :*                        :*                      : none
/* 最下方去除符號 # */

接著用指令 vim /etc/sysconfig/network 編輯網路設定檔,如以下:
HOSTNAME=nis.mylinux.com 
/* 重啟動網路後後才會作用,可先在 Terminal 打上指令 hostname nis.mylinux.com  */

NISDOMAIN=mylinux.com        # 等號兩邊不能有空格
YPSERV_ARGS="-p  974"        
/*  固定 ypserv 之連線埠號為 974,因為 /etc/ypserv.conf 內的xfr_check 設定限制要 < 1024,沒有設定則浮動埠號 */

YPXFRD_ARGS = "-p  975"   # 沒有設定則浮動埠號

再編輯  /etc/sysconfig/yppasswdd,加入如以下:
YPPASSWDD_ARGS = "--port  976"    #  要用 --port 表示方式,要注意,沒有設定則浮動埠號

編輯 /var/yp/Makefile 檔,修改前,先仔細看檔案內之說明,此檔為 yp 初始化或更新帳戶資訊資料庫所需的參數設定,筆者僅列出需修改或加入之處,

MERGE_PASSWD = false  /*  不匯總清單,僅個別比對  */

MERGE_GROUP = false

all:  passwd   shadow  group   hosts    rpc   services   netid   protocols   mail

接著新增檔案 /var/yp/securenets 並加入可用 NIS 的網域或 IP
$  touch  /var/yp/securenets

/var/yp/securenets 之檔案內容為以下:
host   127.0.0.1                                #同 255.255.255.255  127.0.0.1,允許自己
255.255.255.0   192.168.100.0       #格式為  netmask    class
255.255.0.0       10.0.2.0

接著要啟動服務並加入開啟載入,如以下
$   service  rpcbind  start
$   service  ypserv   start
$   service  ypxfrd   start
$   service  yppasswdd  start
$   chkconfig   --level  235  rpcbind   on
$   chkconfig   --level  235  ypserv   on
$   chkconfig   --level  235  ypxfrd   on
$   chkconfig   --level  235  yppasswdd   on

再來要更新  NIS 的帳密資料庫,記得 NIS Server 在系統內每次新增使用者時,皆須做更新資料庫的動作,如以下:
$  /usr/lib64/yp/ypinit  -m    # 編譯成功更新資料庫後,可以看到如圖4-56


































(圖4-55)






































(圖4-56)

圖4-56啟動 ypserv 後,我們可用指令 rpcinfo -s  10.0.2.15  來檢查各項 yp 與 rpc 服務的 version,tcp/udp,還有owner,亦可使用指令 rpcinfo   -p  10.0.2.15 將 listen 的 port 列出來,如圖4-57

























(圖4-57)

開啟 IPTABLES 允許 TCP 與 UDP 的 111, 5974, 5975 埠號連線,來允許其他子機器連入
$  iptables  -A INPUT  -p  tcp  --dport 111  -j  ACCEPT
$  iptables  -A INPUT  -p  tcp  --dport 974  -j  ACCEPT
$  iptables  -A INPUT  -p  tcp  --dport 975  -j  ACCEPT
$  iptables  -A INPUT  -p  tcp  --dport 976  -j  ACCEPT
$  iptables  -A INPUT  -p  udp  --dport 111  -j  ACCEPT
$  iptables  -A INPUT  -p  udp  --dport 974  -j  ACCEPT
$  iptables  -A INPUT  -p  udp  --dport 975  -j  ACCEPT
$  iptables  -A INPUT  -p  udp  --dport 976  -j  ACCEPT
$  service  iptables  save

亦要記得開啟 SELinux 的允許,如下
$  setsebool   -P  allow_ypbind  1

新增帳號後,需要去/var/yp/資料夾內,進行make指令,新帳號才會於NIS生效

至於子機器(Client)端的設定,首先安裝ypbind

$yum install ypbind -y

 



 

 

 

 

修改 /etc/sysconfig/network
HOSTNAME=nodeone.mylinux.com
NISDOMAIN=mylinux.com

接著在  /etc/yp.conf  檔內加入以下
domain   mylinux.com   server   10.0.2.15

最後在 /etc/nsswitch.conf  檔內加入可使用 nis 驗證,如圖4-58






































(圖4-58)

圖4-58儲存離開後,利用指令  yptest ,就可以測試是否有成功連入 ypserv 的 NIS server 了。若想偷懶一點的讀者,已可以利用指令 setup 開啟設定畫面(圖4-59-1至圖4-59-3),最後按下圖4-59-3的 OK 後,便會自行重啟 NIS 並 binding。
































(圖4-59-1)
































(圖4-59-2)

































(圖4-59-3)

@RAIDUS
RADIUS(https://en.wikipedia.org/wiki/RADIUS)的伺服器軟體,通常用於架設無線網路存取點(AP, Access Point)或路由器時,除了設定上下傳輸的加密金鑰,如 WPA-PSK 或 WPA2-PSK (personal),加上 AES (TKIP 加密技術會讓連線速度降低較多) 加密技術(https://en.wikipedia.org/wiki/Advanced_Encryption_Standard)來做資料加密外(https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access),我們還可以利用 RADIUS 的網路認證,來記錄何時段由何帳號,來存取那些網站,而成為 WPA 或 WPA2 的Enterprise 版本(802.1X),對 IEEE 802 網路標準規範有興趣讀者,可自行參閱IEEE網站(http://standards.ieee.org/about/get/),筆者不再此贅述。在 CentOS6_x64下,為利用指令如下安裝(圖4-60):
$ yum install -y  freeradius  freeradius-utils


























(圖4-60)

接著利用指令 vim /etc/raddb/radiusd.conf ,編輯設定檔  /etc/raddb/radiusd.conf,筆者同樣的要提醒讀者需先仔細閱讀說明,並僅列出需修改之參數值,其實使用軟體預設值即可,如下:
user = root

listen {                       # 第一個 listen 區塊
ipaddr = 10.0.2.15     #  使用預設 * 為在電腦主機的所有 IP 開啟服務 
port = 0                      # 0為使用 /etc/services 的預設埠號,值為1812
}

log{
   auth = yes                      # 登入行為需被記錄
   auth_badpass = yes     #  登入錯誤也要記錄下來

}

接著利用指令 vim /etc/raddb/client.conf 編輯那些AP主機可以連入驗證,如下
client 10.0.2.0/24 {
   secret = testing123                    
   /* 拿來加密用的字串,愈長愈好,可以自己轉換成亂碼   */                 
   shortname = "my AP domain1"
   /* client domain 說明  */
}

client  192.168.100.0/24{
   secret = testing123
/* 拿來加密用的字串,愈長愈好,可以自己轉換成亂碼   */  
   shorname = "my AP domain2"
/* client domain 說明  */ 

}

修改預設驗證方式 vim /etc/raddb/sites-enabled/default
authorize {
   suffix
   eap {
      ok = return
   }
   expiration
   logintime
}

authenticate {
  eap
}

編輯  /etc/raddb/sites-enabled/inner-tunnel

authenticate {
   Auth-Type  MS-CHAP  {
         mschap
  }
  eap   

}

編輯 /etc/raddb/users ,來指定結合使用何帳密資料庫,或自己手動設定
Default Auth-Type  :=  System
/*   我們指令使用系統的 /etc/passwd,故上方 radius 的 user 改為 root  */

tester   Cleartext-Password  :=  "tester@pwd123"
/* 自行產生一 tester 帳號,密碼為 tester@pwd123 */

再來產生利用 tls 加密所需要的金鑰與憑證,如前幾篇文章,一樣自行產生十年的憑證
$  cd  /etc/raddb/ 
$  openssl  req  -x509  -nodes  -days 3650  -newkey  rsa:2048  -keyout  myradius.key -out \ 
myradius.pem


接著利用指令 vim /etc/raddb/eap.conf 編輯加入憑證
eap {
     default_eap_type = peap
}

eap-tls{
     private_key_file = /etc/raddb/myradius.key
     certificate_file  = /etc/raddb/myradius.pem
     CA_file = /etc/raddb/myradius.pem

}

編輯  /etc/raddb/modules/mschap
use_mppe = yes
require_encryption = yes
require_strong = yes
with_ntdomain_hack = yes

以上編輯完後,因使用系統使用者帳密,不能用於 RADIUS 的 PEAP驗證,只能用 PAP的驗證。要用 PEAP 的認證,需自行產生的帳號,或是引入其他 LDAP (http://wiki.freeradius.org/modules/rlm_ldap) 或 MySQL(http://wiki.freeradius.org/guide/SQL-HOWTO) 等讓 Radius 認證的方式。有興趣的讀者,可以自行參閱 freeradius guide。

先啟動於除錯模式並詳細呈現互動記錄,執行下列指令後,會出現如圖4-61
$  radiusd -Xx

我們接著開啟另一個terminal 視窗,並使用測試令 radtest 測試帳號密碼
$  radtest   testing  pwd123  10.0.2.15  0  testing123
/*  或將 testing 與 pwd123 用系統內的使用者 帳密取代來測試,成功後會出現如圖4-62   */






































(圖4-61)


































(圖4-62)

其他 FreeRDIUS 的詳細說明,請參閱 http://freeradius.org/doc/。利用鍵盤 Ctrl+c 中斷 radiusd 的除錯(debug)模式後記得。重新啟動並加入開機執行
$  service   radiusd   restart
$  chkconfig  --level  235  radiusd  on

並要開啟 IPTABLES允許 radiusd 的 tcp 與 udp 的服務埠號
$  iptables  -A INPUT  -p  udp  --dport 1812  -j  ACCEPT
$  iptables  -A INPUT  -p  udp  --dport 1813  -j  ACCEPT
$  service  iptables  save

開啟 SELinux 允許
setsebool -P authlogin_radius 1


接著 WIFI 無線網路 AP的設定 802.1X 驗證的部分,若假設為 D-Link的機器,可參考http://www.dlink.cc/tag/radius-server,其他廠牌亦可參考其原廠網站或商品手冊之說明。下一節,筆者將介紹利用快取代理伺服器PROXY與動態IP分配伺服器來佈署有限的真實I,P與網路頻寬有限的工作環境。




If you have any feedback or question, please go to my forum to discuss.

這個網誌中的熱門文章

Linux 操作不求人系列 - 貳章之貳 - Shell Script 程式設計(II) - BASH 與 TCSH / CSH

     在上章,我們介紹很多bash shell指令的應用方式,並讓它們變成 script,在這章此節,我們要承襲上節,繼續討論 bash shell script 的其它程式設計概念,與讓程式可重複使用的方法,就是利用函式(function)。      首先,我們來創作一個判斷是否為閏年的函數,script的名稱就取為 check_year.sh ,請自行將其設為可執行。程式碼如圖2-6,為了解說方便,筆者利用指令 nl check_year.sh 將程式碼包含行數印出(圖2-7),其他除顏色外,都與圖2-6同。以下 export 宣告環境變數,自訂變數無需加宣告保留字。(2021.10.07更正export說明,以下自訂變數宣告請直接去除export開頭) (圖2-6) (圖2-7)        圖2-7第2-6行,與之前的範例相似,皆有防堵參數個數輸入錯誤的判斷。第7-11行為接著判斷輸入的年分,是否為真的正整數,也就是大於零的數字。其中第7行可解釋為,利用正規表示式搜尋 $2 字串值得頭至尾部的字元,皆由 0-9 組成,若有,則為真(True)會進入 if 內的陳述執行, 但我們想要的,應該是僅要字串其中一字元為非正整數,便進入if 內的警告並跳出 。故,筆者在判斷式前多加一個 ! ,代表著當字元完全是正整數時,就不要執行  if  內陳述,而直接往第12行執行,但若其中有一個字元為非正整數,則會進入 if 內印出錯誤訊息並跳出 Script 。在此例使用者輸入非正整數等字串(如:12ab、cde、1a1b),便會出現錯誤訊息"Error Value",並跳出 Script 。而第8行的判斷式,效果跟第7行相同,但只能在BASH 3.0才能支援,故筆者故意保留,讓讀者可以學到另一種表示方式。         第12-28行,為宣告一個函式 leapyr () ,在 BASH Script內若要使用含式,必須在使用之前先建立函式的功能,如函式建立在第12-28行,則若要呼叫使用(Call)函式,則必須在第29行之後才能呼叫,並且可重複呼叫。第13行為定義函式呼叫時,一定會有一個外部參數, 此外部參數非該 Script 的外部參數 ,而是由程式撰寫者給入,故在此無設定防呆判斷。第14-

Linux操作不求人 - 伍章之陸 - Intel PXE 與利用 tftp + anaconda kickstart來自動部署系統

     現代的個人電腦與筆電爲了節能省碳,往往皆省略了光碟機的設置。雖然說 USB隨身碟亦可應用於安裝作業系統,但若遇到機房的大量機器需安裝之問題,亦不適合此種用光碟片或隨身碟逐臺安裝的方式,或是需準備多片光碟或隨身碟。故爲了大量安裝與部屬 Linux作業系統的機器,我們便可透過具有PXE功能之網路卡(https://en.wikipedia.org/wiki/Preboot_Execution_Environment),其所具備的網路開機的能力,來作透過網路方式來安裝與大量部署 CentOS Linux作業系統。其原理 wikipedia  的PXE說明,都解釋得很清楚,筆者不需要再 " 掉書包 ",在開發者大神面前班門弄斧,我們就直接來做做看。      首先,我們一樣透過 yum來安裝所需的 tftp伺服器軟體(http://www.jounin.net/tftpd32.html),利用PXE支援 tftp 透過 udp 埠號 69連線,來提供檔案的能力,給利用 PXE開機後安裝作業系統的機器,圖5-60   (圖5-60) 接著修改 tftp 設定檔 /etc/xinetd.d/tftp,如圖5-61,請記得 disable  要改為 no (圖5-61)      若要修改 server_args 參數為自訂的 tftp root 路徑,記得要變更 SELinux 的權限設定,如要改為/tftpboot,則使用指令 chcon  來調整,如以下: $ mkdir /tftpboot $ chcon  --reference /var/lib/tftpboot  /tftpboot 接著將 xinetd 與 tftp 加入開機啟動,並重啟動 xinetd,如下: $ chkconfig  --level  235  xinetd on $ chkconfig  --level  235  tftp  on $ service xinetd restart 開放防火牆通行 $ iptables -A INPUT -p udp --dport 69 -j ACCEPT $ service iptables re

Linux操作不求人- 肆章之壹 - 伺服器架設(I) - SSH(SFTP、SCP)、FTP伺服器與遠端連線

@ ssh, sftp      通常安裝好 CentOS6_x64 作業系統後,sshd, ssh daemon 的服務功能是預設開啟的,如筆者的前面篇章所述,預設的 iptables 防火牆設定,亦是開啟讓 ssh 的連線是可通過的,不僅可以連出,也可以被連入。若要確認是否有安裝 sshd 套件以及在啟動時的 runlevel 2 3 5 是否有被載入,可以使用以下指令搜尋: $   rpm  -qa  |   grep  openssh     #  ssh 與 sshd 連線服務皆由 openssh 應用軟體提供。 或使用以下 $   rpm  -qa  |   grep  ssh         #  比用關鍵字 openssh 搜尋更模糊,故符合的條件更多。      如圖4-1可以查詢到有關於 openssh-client 與 openssh-server 的套件, openssh-server 便是提供連入服務的軟體,openssh-client 為提供可以連出的工具。若無以上套件,則使用 yum install openssh ,則可下載安裝。 (圖4-1) 再接著輸入以下指令查詢到 sshd 這個服務,是否有再開機程序內載入,如圖4-2 $ chkconfig | grep ssh   # 查詢 sshd 是否有於 開機 runlevel 啟動 再利用以下指令,來查詢是否防火牆有允許連線 $ iptables  -L  |  grep ssh   # 出現如圖4-2 允許通過之條件 (圖4-2)      接下來,我們要先來調整 sshd 的設定檔,利用 vim  /etc/sshd/sshd_conf ,如圖4-3-1與4-3-2。因為設定檔參數很多,筆者為方便說明,將 /etc/sshd/sshd_conf 檔案內容分成兩張圖。 (圖4-3-1)