ANTECEDENTES

SISTEMAS OPERATIVOS EN RED UNIX/L INUX UNIX/Linux es un sistema operativo de propsito general, multiusuario y multitarea. Las versiones ms conocidas de estos SO son Linux Debian y UNIX Solaris de Sun Microsystem. Normalmente, un sistema UNIX/Linux est constituido por un equipo central y mltiples terminales para los usuarios. Este sistema operativo incluye las prestaciones de red, diseado especficamente para grandes redes, pero tambin presenta algunas aplicaciones para equipos personales. UNIX/Linux trabaja bien sobre un equipo autnomo y, como consecuencia de sus posibilidades de multitarea, tambin lo hace perfectamente en un entorno de red.

A diferencia de los sistemas operativos Microsoft, UNIX/Linux en la mayoria de sus versiones puede funcionar como cliente o como servidor. Los clientes incorporan menos servicios que los servidores y el trabajo sobre los servidores normalmente no se desarrolla en entorno grfico.

INTEGRACIN DE SISTEMAS OPERATIVOS EN REDES MIXTAS Los clientes de una red pueden ser equipos con sistema operativo del tipo Windows XP, Windows Vista o UNIX/Linux. Por otro lado los servidores pueden ser Windows Server o UNIX/Linux. Cuando queremos montar una infraestructura de red siempre podremos mezclar equipos de uno y otro tipo sin ningn tipo de problema, sabiendo qu caractersticas nos ofrece cada uno de ellos y el diseo y necesidades que tengamos en nuestra red.

QUE ES SAMBA

Samba es una implementacin libre del protocolo de archivos compartidos de Microsoft Windows (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. Con Samba, es posible que ordenadores con GNU/Linux, Mac OS X o Unix en general se vean como servidores o acten como clientes en redes de Windows. Samba tambin permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; aparte de ser capaz de servir colas de impresin, directorios compartidos y autentificar con su propio archivo de usuarios. Entre los sistemas tipo Unix en los que se puede ejecutar Samba, estn las distribuciones GNU/Linux, Solaris y las diferentes variantes BSD entre las que podemos encontrar el Mac OS X Server de Apple.

CARACTERISTICAS DE SAMBA Samba implementa de una docena de servicios y una docena de protocolos, entre los que estn: NetBIOS sobre TCP/IP (NetBT), SMB (tambin conocido como CIFS), DCE/RPC o ms concretamente, MSRPC, el servidor WINS tambin conocido como el servidor de nombres NetBIOS (NBNS), la suite de protocolos del dominio NT, con su Logon de entrada a dominio, la base de datos del gestor de cuentas seguras (SAM), el servicio Local Security Authority (LSA) o autoridad de seguridad local, el servicio de impresoras de NT y recientemente el Logon de entrada de Active Directory, que incluye una versin modificada de Kerberos y una versin modificada de LDAP. Todos estos servicios y protocolos son frecuentemente referidos de un modo incorrecto como NetBIOS o SMB.

Samba configura directorios Unix y GNU/Linux (incluyendo sus subdirectorios) como recursos para compartir a travs de la red. Para los usuarios de Microsoft Windows, estos recursos aparecen como carpetas normales de red. Los usuarios de GNU/Linux pueden montar en sus sistemas de archivos estas unidades de red como si fueran dispositivos locales, o utilizar la orden smbclient para conectarse a ellas muy al estilo del cliente de la lnea de rdenes ftp. Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que se est usando en GNU/Linux. Por ejemplo, las carpetas home pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios archivos; sin embargo, deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no ser suficiente.

La configuracin de Samba se logra editando un solo archivo, ubicado en: /etc/smb.conf o en: /etc/samba/smb.conf.

EJEMPLO DE CONFIGURACION BSICA EN SAMBA

[global] workgroup = nombreGrupoTrabajo [compartido] comment = Archivos Compartidos path = /home/nombreUsuario/compartido browseable = yes read only = no guest ok = yes writable = yes valid users = nombreUsuario

COMPARTIR RECURSOS DESDE LINUX/UNIX Samba opera en forma de peticin-respuesta, donde los clientes envan peticiones, contenidas en bloques de mensajes de servidor (smb), al servidor. Este, recibe los smb, los interpreta y enva de regreso la respuesta al cliente. Cuando un ordenador comparte un recurso a travs de la red por medio de smb, se convierte en un servidor en este escenario. Cuando un ordenador accede a un recurso compartido, se convierte en un cliente.

La comunicacin ms habitual en entornos mixtos Linux/Unix y NT/2000/Xp se realiza a travs de NetBIOS a Travs de TCP/IP. Una vez que el cliente se conecta al servidor y se autentica, el cliente puede proceder a enviar ordenes al servidor para abrir , leer o escribir, cerrar, eliminar archivos, y ejecutar otras rdenes de directorio.

El protocolo SMB proporciona dos niveles de seguridad en sus modelos de seguridad. El primer modelo es nivel de Seguridad del recurso compartido, bajo el cual, a los recursos compartidos se les asigna una contrasea, la cual garantiza el acceso a ellos. Con el nivel de seguridad de usuario las protecciones de los accesos se aplican a archivos Individuales y los derechos de acceso se determinan en base al usuario. Al usuario le tiene que autenticar el servidor Del recurso compartido y asignarle un ID numrico de usuario. Este ID se compara despus con las protecciones de Acceso asignadas a cada archivo.

CONFIGURACION

Los pasos para la configuracin del servidor que aqu se describen son basados en la distribucin Debian para configuracin de un servidor Samba, debido al carcter ms abierto de dicha distribucin y a su ajustada poltica GNU.

Primero debemos instalar los paquetes Samba y Samba-common. En caso de tener conexin a Internet y tener bien configurado nuestro fichero sources.list, el comando a utilizar seria:

apt-get install Samba Samba-common

Tras instalarlo, podemos pasar a editar el fichero de configuracin, que dependiendo del sistema en el que nos encontremos, podremos localizar en distintos directorios. En este caso lo haremos mediante el editor vim (vi mejorado) en la ruta:

vim /etc/Samba/smb.conf

El fichero es grande, pero se encuentra dividido en secciones, lo que facilita mucho su edicin. En el caso que nos ocupa, las secciones ms importantes sern [global], que establece las variables de configuracin de todos los recursos, [homes], que permite acceder a un usuario de Linux a su directorio $HOME desde una maquina Windows, [printers], que especifica la configuracin de las impresoras compartidas. Tambin podremos crear nosotros una seccin nueva, indicando el recurso que queramos compartir, y los parmetros que la definan.

SECCIN [GLOBAL] Aqu especificaremos los valores generales, tales como el nombre del servidor, el nombre del grupo de trabajo (en el ejemplo, mired), el nivel de seguridad (habitualmente user), o la encriptacin de las contraseas. Podemos observar como , en la linea guest account se deniega el acceso a invitados en el sistema al indicar nobody (habitualmente un usuario valido sin privilegios que no puede iniciar sesin). Tambin se desactiva el acceso al root por cuestiones de seguridad.

SECCIN [HOMES] En ella encontramos los parmetros de acceso a los directorios personales de los usuario remotos de la maquina Linux. Especificamos desde el acceso o no a los citados recursos, como los permisos por defecto que se establecern. El campo browseable indicara si se enseara los directorios raz en la lista del explorador de red. Tanto create mask como directory mask especifican los permisos por defecto que se aplicaran a ficheros y directorios.

SECCIN [PRINTERS] Especificaremos los parmetros necesarios de configuracin necesarios. Printable le indica al sistema que es un recurso de impresin, y public activa o desactiva la cuenta de invitado. Writable indica un valor no, ya que es un recurso de impresin, no uno de sistemas de ficheros.

Podremos crear, asimismo una seccin personalizada, con los parmetros del recurso que queramos compartir (ruta del recurso, permisos a establecer, etc...).En ella podremos definir mltiples parmetros. La linea path indica el directorio a compartir, y public indica la desactivacin del acceso a invitados.

SEGURIDAD EN SAMBA Existen tres tipos de seguridad en Samba en la actualidad bajo sistemas Unix/Linux, definindose en el fichero smb.conf:

Seguridad del recurso compartido: Mediante la opcin share, se restringe el acceso basndose en los permisos del recurso compartido. El nivel ms bajo de seguridad.

Seguridad de usuario: La opcin user indica al servidor Samba que debe utilizar el nombre de usuario como validacin de acceso al recurso compartido. La validacin se realiza en el archivo local de contraseas. Este sistema obliga a mantener un amplio archivo local de contraseas, por lo que algunos administradores de sistemas no estn muy a favor de usarlo.

Seguridad de servidor: Samba permite redireccionar todas las autenticaciones a un servidor SMB distinto (incluso un windows NT).La opcin a usar seria: security=server password server=NTSRV (nombre del servidor de autenticacin)

Para la creacin de un usuario Samba podemos utilizar el comando smbpasswd . Mediante la utilizacin del parmetro a , podemos incluir a un usuario en la lista de usuarios de Samba, as como asignarle una contrasea: smbpasswd -a usuario1

Hasta aqu hemos abordado la configuracin del servidor Samba desde una consola. Existe un modo grfico de configuracin adicional: la aplicacin SWAT. Mediante una interfaz web es posible realizar toda la configuracin del servidor. Para activar swat nicamente hay que aadir (o descomentar) esta linea en el fichero: /etc/inetd.conf swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/sbin/swat

Posteriormente hemos de incluir en /etc/services la siguiente linea: swat 901/tcp

A continuacin, y reiniciando el servicio inetd (/etc/init.d/inetd restart) tendremos swat listo para ser accedido a travs de interfaz web, mediante http://direccin_ip:901.

Tras la instalacin y configuracin, podremos lanzar manualmente los daemon necesarios (mediante el comando /etc/init.d/Samba start), o bien reiniciar la mquina para que se inicien con el sistema.

En cualquier caso, los dos daemon necesarios sern smbd (encargado de proporcionar los servicios Samba) y nmbd (proporciona soporte para NetBIOS). Mediante el comando ps -e podremos verificar que se encuentren ejecutndose en memoria.

SISTEMA DE ARCHIVOS NFS (NETWORK FILE SYSTEM) Nfs utiliza principalmente dos protocolos : XDR (representacin externa de datos)y RPC (llamadas a procedimientos remotos. RPC proporciona las bases para el intercambio de mensajes entre clientes y servidores, y XDR la traduccin de datos entre distintos tipos de ordenadores y sistemas operativos.

Para su funcionamiento es necesario configurar el kernel del servidor (habitualmente implementada por defecto en todas las distribuciones modernas), y la instalacin de los daemons necesarios (en este caso sern necesarios nfsd y rpc.mountd)

La instalacin , siempre basndonos en Debian, seria : apt-get install nfs-common nfs-kernel-server

Una vez instalado, podremos acudir al fichero encargado de definir los recursos a compartir, y los permisos de acceso. Este fichero es: /etc/exports.

El primer valor a indicar ser el directorio que queramos que sea accesible desde la red, seguido por las mquinas que tendrn acceso a el, y los permisos asociados a ellas. /home /mis_ficheros maquina1(rw) maquina2(rw) maquina3(ro) 172.26.0.101(rw)

Es posible el uso de comodines, as como valores que autoricen a una red completa /mis_ficheros 172.26.0.255/255.255.255.0(rw)

Las opciones indicadas entre parntesis ms habituales pueden ser : insecure kerberos root_squash ro rw permite acceso no autentificado. requiere autenticacin Kerberos. deniega el acceso a superusuario por seguridad. monta el sistema de ficheros en solo lectura (por defecto). monta el sistema de ficheros en modo lectura/escritura.

Existen otras opciones menos utilizadas, tales como :unix-rpc, secure-rpc, link_relative, link_absolute, ..... Una vez modificado el fichero /etc/exports se pueden reiniciar los daemon encargados, o bien mediante el comando exportfs, actualizar la tabla de exportaciones para incluir las modificaciones realizadas.

Es importante indicar el bajo nivel de seguridad del sistema de ficheros NFS, debido en parte a su creacin en los primeros tiempos de las redes UNIX, as como los problemas de permisos que se crean , ya que se asignan permisos en funcin del UID del usuario en la maquina servidor.

Actualmente se est trabajando en una implementacin NFS mas adaptada a las nuevas condiciones de las redes modernas.