CẤU HÌNH MẠNG TRONG FEDORA CORE

MỤC LỤC:
I. Cấu hình DNS: .................................................................................................. 2
II. Web server:........................................................................................................ 3
III. Webalizer:.......................................................................................................... 4
IV. Mail server:........................................................................................................ 4
V. Cấu hình VPN Lan – to - Lan.......................................................................... 6
VI. Cấu hình NIS (Network Information Service):.............................................. 7
1) Cấu hình Nis Server: .................................................................................................................... 7
2) Cấu hình Nis Client...................................................................................................................... 7
VII. Cấu hình NTP (Network Time Protocol):................................................ 9
1) Cấu hình ntp client ....................................................................................................................... 9
2) Cấu hình ntp server .................................................................................................................... 10
VIII. Squid: ......................................................................................................... 10
1) Thư mục mặc định: .................................................................................................................... 10
2) Tập tin cấu hình.......................................................................................................................... 10
3) Những option cơ bản.................................................................................................................. 11
4) Định nghĩa Access List dùng tag acl .......................................................................................... 11
5) Tag điều khiển truy xuất HTTP.................................................................................................. 12
6) Tag điều khiển truy xuất cache_peer.......................................................................................... 12
7) Khởi động squid ......................................................................................................................... 14
IX. Kiểm chứng Sudo:........................................................................................... 14
X. Cấu hình LDAP: ............................................................................................. 15
1) Cấu hình trên Server:.................................................................................................................. 15
2) Cấu hình trên Client: .................................................................................................................. 15
3) Cấu hình trên server: .................................................................................................................. 15
4) Cấu hình trên LDAP Client:....................................................................................................... 16

BNTK
1
CẤU HÌNH MẠNG TRONG FEDORA CORE

I. Cấu hình DNS:

Cấu hình IP cho Server: Cấu hình IP cho Client:

IP: 10.0.0.123 IP: 10.0.0.122
SM: 255.0.0.0 SM: 255.0.0.0
GW: 10.0.0.123 GW: 10.0.0.123
DNS: 10.0.0.123 DNS: 10.0.0.123
Kiểm tra các gói cài đặt:bind, bind-chroot, caching-nameserver, system-config-bind.
# rpm –qa | grep blind.
# rpm –qa | grep caching.
Thêm vào cuối file /var/named/chroot/etc/named.rfc1912.zones
zone "bntk.com" IN {
type master;
file "xuoi.zone";
allow-update { none; };
};
zone "0.0.10.in-addr.arpa" IN {
type master;
file "nguoc.zone";
allow-update { none; };
};
Sửa lại file /var/named/chroot/etc/named.caching-nameserver
options {
listen-on port 53 { 10.0.0.123; }; //sửa dòng
này theo ip của server.
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file
"/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file
"/var/named/data/named_mem_stats.txt";
query-source port 53;
query-source-v6 port 53;
allow-query { 0.0.0.0/0; };
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

BNTK
2
CẤU HÌNH MẠNG TRONG FEDORA CORE

view localhost_resolver {
match-clients { 0.0.0.0/0; };
match-destinations { 0.0.0.0/0; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
Vào đường dẫn /var/named/chroot/var/named tạo thêm 2 file xuoi.zone, nguoc.zone:
Tạo file xuoi.zone như sau:
$TTL 100
bntk.com. IN SOA www.bntk.com. dnsmaster.bntk.com. (
2007071200
600
600
600
100 )
bntk.com. IN A 10.0.0.123
bntk.com. IN NS www.bntk.com.
www.bntk.com. IN A 10.0.0.123
Tạo file nguoc.zone như sau:
$TTL 86400
@ IN SOA www.bntk.com. root.localhost. (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS www.bntk.com.
123 IN PTR 10.0.0.123

II. Web server:

Cấu hình DNS như trên
Tạo thư mục chứa trang Web:
# mkdir /myweb
#cd /mywweb
#vi index.html
Mở file /etc/httpd/conf/httpd.conf và sửa lại:

Tại dòng 280: DocumentRoot “/myweb”

<VirtualHost www.bntk.com>
DocumentRoot /myweb
ServerName www.bntk.com
</VirtualHost>
# service httpd restart

BNTK
3
CẤU HÌNH MẠNG TRONG FEDORA CORE

Mở trình duyệt web để kiểm tra, trên thanh địa chỉ nhập vào www.bntk.com . Nếu hiện lên nội dung
trang web index.html thì đã cấu hình đúng.

III. Webalizer:
Mở file /etc/webalizer.conf và sửa lại thông số sau:
OutPutDir /myweb
Các thông số còn lại ko đổi.

Mở file /etc/httpd/conf/httpd.conf và sửa lại:

DocumentRoot “ /myweb”

Khởi tạo lại các dịch vụ:

# service named restart
# service httpd restart
# /usr/bin/webalizer //phải thực hiện trên thư mục gốc nên phải “cd /”
Mở trình duyệt web lên kiểm tra.

IV. Mail server:

Vẫn cấu hình DNS tương tự như trên nhưng có một vài thay đổi.
Nội dung file xuoi.zone lúc này sẽ là:
$TTL 86400
bntk.com. IN SOA mail.bntk.com. mail.bntk.com. (
2007071200
600
600
600
100 )
bntk.com. IN A 10.0.0.123
bntk.com. IN NS mail.bntk.com.
mail.bntk.com. IN MX 10 mail.bntk.com.
mail.bntk.com. IN A 10.0.0.123

Và nội dung file nguoc.zone lúc này sẽ là:

$TTL 86400
@ IN SOA mail.bntk.com. mail.bntk.com. (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS mail.bntk.com.
123 IN PTR mail.bntk.com.
123 IN MX 10 mail.bntk.com
Cấu hình mail postfix:

BNTK
4
CẤU HÌNH MẠNG TRONG FEDORA CORE

Vì senmail cùng được cài mặc định trên Linux và được ràng buộc iptables, do đó trước khi cài
đặt và cấu hình mail postfix nên phải stop 2 dịch vụ này.

# service sendmail stop

# service iptables stop
Thêm một vài thông số sau vào file /etc/postfix/main.cf
Dòng 70: myhostname = mail.bntk.com
Dòng 77: mydomain =bntk.com
Dòng 93: myorigin = $mydomain
Dòng 107: inet_interfaces = all
Dòng 110: thêm vào dấu #
Dòng 157: xóa dấu #
Dòng 199: xóa dấu #
# service postfix restart
Tạo ra các username, group và password để gửi và nhận mail:
# useradd bntk
# passwd bntk
# groupadd admin
Chuyển nhóm cho user
# usermod –g admin bntk
Sửa lại thông tin trong tập tin /etc/httpd/conf/httpd.conf
<VirtualHost mail.bntk.com>
DocumentRoot /myweb
ServerName mail.bntk.com
</VirtualHost>

Cấu hình Squirrelmail:

# chown -R bntk webmail
# cd webmail
# chgrp -R admin config data
File cấu hình chình là /etc/squirrelmail.config.php

$org_name = 'mail.bntk.com';
$org_title = 'mail.bntk.com $version';
$domain = 'bntk.com';
$smtpServerAddress = 10.0.0.123;
$imapServerAddress = 10.0.0.123;

Vào file /etc/dovecot.conf tại dòng 16: xóa dấu #

# service dovecot start
# service dovecot restart

Cách lấy mail từ Webmail:

Mở trình duyệt web lên nhập vào địa chỉ: http://mail.bntk.com/webmail.

BNTK
5
CẤU HÌNH MẠNG TRONG FEDORA CORE

V. Cấu hình VPN Lan – to - Lan

172.16.1.1 192.168.1.1

Server Server
PC 1 2 PC

172.16.1.2 10.0.0.1 10.0.0.2 192.168.1.2

Cài đặt gói phần mềm Openswan và tiến hành cấu hình:
Trên cả 2 server cùng bật “net.ipv4.ip_forward=1” trong file “/etc/sysctl.conf”
Khởi tạo lại dịch vụ:
# service network restart
Hay: # sysctl –p
Cấu hình VPN (dùng RSA keys) /etc/ipsec.conf
Tạo ra private key bằng lệnh :
# ipsec rsasigkey --verbose 2048 > /tmp/privatekey.tmp
Copy nội dung trong /tmp/privatekey.tmp vừa tạo vào file /etc/ipsec.secrets (thay thế ở phần
RSA)
* Tạo publickey trên hai máy server.
vào máy Server 1 gõ lệnh :
#ipsec showhostkey --left > /tmp/publicleft.pub
vào máy Server 2 gõ lệnh :
#ipsec showhostkey --right > /tmp/publicright.pub

Trên server máy Server 1 :

#vi /etc/ipsec.conf
Sửa lại như sau:
Conn net-to-net
Left=10.0.0.1
Leftsubnet=172.16.1.0/16
Leftnexthop=10.0.0.2
Leftrsasigkey=nội dung publicleft.pub
Right=10.0.0.2
Rightsubnet=192.168.1.0/24
Rightnexthop=10.0.0.1
Rightrsasigkey=publicright.pub
Lưu lại

 Trên server máy Server 2 : Làm lại tương tự như trên

Thiết lập kết nối VPN:

BNTK
6
CẤU HÌNH MẠNG TRONG FEDORA CORE

Trên cả 2 server gõ lệnh sau :

#service ipsec restart
#ipsec auto --add net-to-net
#ipsec auto --up net-to-net

Kiểm tra kết nối VPN

Trên 2 PC ở mỗi nhánh thử ping nhau, nếu 2 máy này thấy nhau thì đã cấu hình đúng.

VI. Cấu hình NIS (Network Information Service):

IP của Nis Server: 10.0.0.123
IP của Nis Client: 10.0.0.122

1) Cấu hình Nis Server:

# domainname bntk.com
# vi /etc/hosts
10.0.0.123 nis.bntk.com nis //tạo host Nis Server
10.0.0.122 client.bntk.com client //tạo host Nis Client
# vi /etc/yp.conf //thêm vào
Domain bntk.com server nis.bntk.com
# vi /etc/ypserv.conf //thêm vào
10.0.0.0/8 :bntk.com :*:none //*=share tất cả
# vi /var/yp/Makefile
tại dòng 
all: passwd group host \
 server muốn share gì thì ghi vào dòng trên nhưng kết thúc phải bằng dấu \
# service network restart // để cập nhập những dữ liệu mới
# /usr/lib/yp/ypinit -m // xây dựng cơ sở dữ liệu cho nis
# service ypserv start
# service ypserv restart

2) Cấu hình Nis Client

# domainname clientk.com
# vi /etc/hosts
Bỏ đi dòng 127.0.0.1
# vi /etc/host.conf //Tại dòng order thêm nis vào:
Order nis, …,…
# vi /etc/yp.conf //thêm vào
Domain bntk.com server nis.bntk.com
# vi /etc/nsswitch.conf
Tại dòng passwd, group, hos t muốn share file nào thì ta thêm nis vào phía trước để share
Passwd nis file
Group nis file
Host nis file
# service network restart

BNTK
7
CẤU HÌNH MẠNG TRONG FEDORA CORE

# service ypbind start

# service ypbind restart
Kiểm tra sự share host, passwd:
Nếu dòng lệnh bắt đầu trên Server và Client lần lượt như sau thì đã cấu hình đúng:
[root@nis root]#
[root@client root]#
Trên Nis Server :
[root@nis root]# useradd user1
[root@nis root]# passwd user1
Nhập vào: 123456
Trên Nis Client:
[root@client root]# ypcat paswd
Lúc này sẽ xuất hiện Username và Password của user1 mà Nis Server chia sẻ, mặc định thì
user và pass tạo ra sẽ nằm trong file /etc/passwd nhưng user1 ko có trong file /etc/passwd chứng tỏ
username và password này là đc Nis Server chia sẻ cho Client.
Kiểm chứng:
[root@client root]# su user1
 Báo lỗi
 khi tạo useradd thì mặc định nó sẽ nằm trong thư mục /home/useradd, nó báo lỗi là ko tìm
được thư mục home của user1 vì nis chỉ chia sẻ host, passwd không chia sẻ thư mục
/home nên khi tạo user1 nó nó sẽ nằm trong thư mục /home/user1 của nis server mà
không nằm trong thư mục /home/user1 của nis client để có thể su – user1 ta làm như sau:
o Trên Nis Server :
[root@nis root]# vi /etc/exports //thêm vào
/home bntk.com (rw) //share /home của ní server cho tất cả các host
trên domain bntk.com có quyền đọc và viết.
[root@nis root]# useradd user2
[root@nis root]# passwd user2
Pass nhập vào: 123465
o Trên Nis Client
[root@client root]# mount –t nfs 10.0.0.123:/home /home
[root@client root]# su –user1
[user1@client user1]#su –user2
Ko báo lỗi vì Nis Server đã tạo nfs để chia sẻ thư mục /home cho Nis Client.
Dòng lệnh lúc này sẽ là:
[user2@client user2]#
Để mỗi lần khởi động lại Nis Client mặc định nó sẽ mount thư mục chia sẻ của Nis
Server ta sẽ làm như sau:
[root@client root]# vi /etc/rc.local //thêm vào các thông tin sau:
Domain bntk.com
service network restart
service ypbind start
service ypbind restart
mount -t 10.0.0.25:/home /home

BNTK
8
 CẤU HÌNH MẠNG TRONG FEDORA CORE

VII. Cấu hình NTP (Network Time Protocol):

1) Cấu hình ntp client

Cài đặt (install) ntp theo các cách như : cài từ gói rpm, hay từ những file source nén. File cấu
hình sẽ là /etc/ntp.conf.

Chọn một ntp server nào đó gần máy bạn nhất (gần được hiểu là theo topology mạng, nếu
không biết topology thì hiểu là vị trí địa lý).

Xem tham khảo "danh sách những public ntp server". Nếu bạn chỉ làm cho 1 vài máy, hoặc
không cần độ chính xác cao, thì chỉ nên chọn những NTP server ở stratum 2.

Giả sử chọn được hai ntp server là ntp.nasa.gov (của NASA) và tick.mit.com (của MIT). Soạn
file /etc/ntp.conf có nội dung như sau
###------------------------------------------------------
###
restrict default ignore
restrict 127.0.0.1

### ghi 1 hay vài ntp server ở đây

# dng chính hardware clock của máy bạn làm server
server 127.127.1.0 # local clock
restrict 127.0.0.0 mask 255.0.0.0
fudge 127.127.1.0 stratum 10

# chú ý: đây chỉ là ví dụ, bạn không nên chọn

# những ntp server ở stratum 1 như sau đây!
# của cơ quan Hàng không Vũ trụ Mỹ NASA (stratum 1)
server 198.123.30.132 # ntp.nasa.gov
restrict 198.123.30.132 noquery

# của viện MIT (stratum 1)

server 18.145.0.30 # tick.mit.com
restrict 18.145.0.30 noquery

### những dòng sau không cần để ý

driftfile /etc/ntp/drift
broadcastdelay 0.008
#authenticate yes
#keys /etc/ntp/keys
###------------------------------------------------------------

Khởi động ntp

BNTK
9
 CẤU HÌNH MẠNG TRONG FEDORA CORE

# ntpdate –u ntp.nasa.gov
# /etc/init.d/ntpd start

Cho ntp khởi động mỗi lúc bật máy:

# /sbin/chkconfig --level 3 ntpd on

Kiểm tra: với cấu hình như trên, khi gõ lệnh "ntpq -p" sẽ thấy

## output của "ntpq -p"

remote refid st t when poll reach delay offset jitter
=========================================================================
LOCAL(0) LOCAL(0) 10 l 38 64 377 0.000 0.000 0.001
*ntp-nasa.arc.na .GPS. 1 u 108 512 37 144.438 556.028 3.925
+NAVOBS1.MIT.COM .PSC. 1 u 97 512 37 193.320 558.237 4.106

2) Cấu hình ntp server

Nếu bạn có quản lý một mạng máy tính (2, 3 máy hay nhiều hơn, 100, 1000, 10000 máy), hãy
dựng riêng cho mình một NTP server.
Cách làm ntp server đơn giản và rẻ tiền nhất: cấu hình một ntp server stratum 2 bằng cách
tham khảo đồng hồ của một public ntp server stratum 1.

Cấu hình ntp server stratum 2 rất đơn giản. Giả sử muốn máy 10.0.0.123 làm ntp server phục
vụ mạng 10.0.0.0/8, Chỉ cần thêm vào file ntp.conf của my 10.0.0.123 (xem ví dụ ntp.conf
của client ở phía trên) vài dòng như sau:

### ntp server cho 10.0.0.0/12

### update for ntp-4.2.0+: delete notrust
restrict 10.0.0.0 mask 255.240.0.0 nomodify notrap
Ở những máy client khác, chọn ntp server là 10.0.0.123 thay cho ntp.nasa.gov trong ví dụ trên.
Chú ý: có thể chỉ định ntp server cho DHCP client

VIII. Squid:

1) Thư mục mặc định:

/usr/local/squid: thư mục cài đặt Squid
/usr/local/squid/bin: thư mục lưu trữ binary squid và những tool đc hỗ trợ
/usr/local/squid/cache: thư mục lưu những dữ liệu được cache. Đây là thư mục mặc định, bạn
có thể thay đổi vị trí thư mục này.
/usr/local/squid/etc: những file cấu hình squid nằm trong thư mục này.
/usr/local/squid/src: thư mục lưu source code squid được download từ net

2) Tập tin cấu hình

Tất cả những file cấu hình được lưu trong thư mục /usr/local/squid/etc (Linux: /etc/squid ).
Một file cấu hình quan trọng nhất mà người quản trị cần nắm bắt là squid.conf.Trong file cấu

BNTK
10
CẤU HÌNH MẠNG TRONG FEDORA CORE

hình này có 125 tag option, nhưng chỉ có một số option được cấu hình, và những dòng chú
thích bắt đầu bằng dấu “ # ”. Bạn chỉ cần thay đổi 8 option cơ bản để cấu hình squid và khởi
động nó. Những option còn lại bạn có thể tìm hiểu thêm để hiểu rõ những tính năng mà squid
hỗ trợ.

3) Những option cơ bản

Bạn cần phải thay đổi một số option cơ bản để squid hoạt động. Mặc định squid cấm tất cả
browser truy cập.
 http_port: cấu hình HTTP port mà squid sẽ lắng nghe những yêu cầu được gửi đến.
o Cú pháp:
o http_port <port>
o Mặc định : http_port 3128
o Ta thường thay đổi port này là 8080.
o http_port 8080
 cache_dir: cấu hình thư mục lưu trữ dữ liệu được cache.
Mặc định: cache_dir /usr/local/squid/cache 100 16 256
Thư mục cache có kích thước mặc định là 100Mbps, bạn có thể thay đổi kích thước này.
 Cache_effective_user, cache_effective_group: user và group có thể thay đổi squid.
Ví dụ :
cache_effective_user squid
cache_effective_group squid
 Access Control List và Access Control Operators:
Ta có thể dùng Access Control List và Access Control Operators để ngăn chặn,
giới hạn việc truy xuất dựa vào destination domain, IP address của máy hoặc mạng. Mặc
định squid sẽ từ chối phục vụ tất cả vì vậy ta phải cấu hình lại tham số này.

4) Định nghĩa Access List dùng tag acl

Cú pháp:
acl aclname acltype string1 ..
acl aclname acltype "file" ...

acl aclname src ip-address/netmask ... (clients IP address)

addr1-addr2/netmask ... (range of addresses)
acl aclname dstdomain .foo.com ... # reverse lookup, client IP
acl aclname dst ip-address/netmask ... (URL host's IP address)

BNTK
11
CẤU HÌNH MẠNG TRONG FEDORA CORE

acl aclname dstdomain .foo.com ... # Destination server from URL

acl aclname time [day-abbrevs] [h1:m1-h2:m2]

# day-abbrevs:
# S - Sunday
# M - Monday
# T - Tuesday
# W - Wednesday
# H - Thursday
# F - Friday
# A - Saturday
# h1:m1 must be less than h2:m2
acl aclname url_regex [-i] ^http:// ... # regex matching on whole URL
acl aclname port 80 70 21 ...
0-1024 ... # ranges allowed
acl aclname proto HTTP FTP ...
acl aclname method GET POST ...
acl cam src 192.168.1.1
http_access deny cam
Sử dụng access list vào các tag điều khiển truy cập.

5) Tag điều khiển truy xuất HTTP

http_access allow|deny [!]aclname ...

6) Tag điều khiển truy xuất cache_peer

cache_peer_access cache-host allow|deny [!]aclname ...

Ví Dụ: Ta chỉ cho phép mạng 172.16.1.0/24 được dùng proxy server bằng từ khóa src
trong acl
acl MyNetwork src 172.16.1.0/255.255.255.0
http_access allow MyNetwork.
http_access deny all

Ta cũng có thể cấm các máy truy xuất đến những site không được phép (những site có nội

BNTK
12
CẤU HÌNH MẠNG TRONG FEDORA CORE

dung phù hợp) bằng từ khóa dstdomain trong acl, ví dụ:

Cấm clients truy cập trang yahoo.com

acl BadDomain dstdomain yahoo.com
http_access deny BadDomain

Nếu danh sách cấm truy xuất đến các site dài quá ta có thể lưu vào 1 file text, trong file đó là
danh sách các địa chỉ. Như sau:
acl BadDomain dstdomain “/etc/squid/danhsachcam”
http_access deny BadDomain
Theo cấu hình trên thì file /etc/squid/danhsachcam là file văn bản lưu các địa chỉ không được
phép truy xuất được ghi lần lược theo từng dòng.
Ta có thể có nhiều acl, ứng với mỗi acl phải có một http_access, như sau:
acl MyNetwork src 172.16.1.0/255.255.255.0
acl BadDomain dstdomain www.yahoo.com
http_access deny BadDomain
http_access allow MyNetwork.
http_access deny all
Như vậy cấu hình trên cho ta thấy proxy cấm các máy truy xuất đến site www.yahoo.com và
chỉ có mạng 172.16.1.0/32 là được phép dùng proxy. “http_access deny all” : cấm tất cả
ngoài những acl đã được khai báo.
 Cache_peer:
Nếu proxy không thể kết nối trực tiếp với internet vì không có real IP address hoặc proxy
nằm sau 1 firewall thì ta phải cho proxy query đến proxy khác có thể dùng internet bằng
tham số: cache_peer.
Cú pháp của tag cache_peer
cache_peer hostname type http_port icp_port
type = 'parent','sibling' hoặc multicast
Ví dụ các trường thành viên trong ĐHQG khai báo như sau:
cache_peer vnuserv.vnuhcm.com.vn parent 8080 8082
Cấu hình trên cho thấy proxy sẽ query lên proxy “cha” vnuserv.vnuhcm.com.vn với tham số
parent thông qua http_port là 8080 và icp_port là 8082.
Ngoài ra trong cùng một mạng nếu có nhiều proxy thì ta có thể cho các proxy này query lẫn

BNTK
13
CẤU HÌNH MẠNG TRONG FEDORA CORE

nhau như sau:

cache_peer proxy2.vnuhcm.com.vn sibling 8080 8082
cache_peer proxy3.vnuhcm.com.vn sibling 8080 8082
sibling: dùng cho các proxy ngang hàng với nhau.

7) Khởi động squid

Sau khi đã cài đặt và cấu hình lại squid ta phải tạo cache trước khi chạy squid bằng lệnh:
squid -z
Nếu trong quá trình tạo cache bị lỗi ta chú ý đến các quyền trong thư mục cache được khai báo
trong tham số cache_dir. Có thể thư mục đó không được phép ghi. nếu có ta phải thay đổi
bằng:
chown squid:squid /var/spool/squid
chmod 770 /var/spool/squid
Sau khi tạo xong thư mục cache ta khởi động squid bằng lệnh :
/usr/local/squid/squid –D&
Trong môi trường Linux bạn không cần phải tạo cache. Khi khởi động bằng script sau nó sẽ tự
động tạo cache:
/etc/init.d/squid start

Để ngưng squid ta cũng có thể dùng script như sau:

/etc/init.d/squid stop

IX. Kiểm chứng Sudo:

Đăng nhập vào hệ thống với user root. Tạo ra 2 user mới làn User1 và User2
Thêm vào file /etc/sudoers bằng lệnh: # visudo hay # visudo –f /etc/sudoers
Tại vùng User Alias:
User_Alias ADMIN=USER1
Cmnd_Alias PW=/usr/bin/passwd [A-z]* !/usr/bin/passwd root
Dòng này định nghĩa 1 User Alias có tên là ADMIN, dùng để đại diện cho User1. Nếu muốn
thêm 1 user vào danh sách này thì : User_Alias ADMIN=USER1,USER2,…,USERn
Tại vùng User Specification: ADMINS ALL=PW (phía trên dòng root ALL=(ALL) ALL)
Lưu và kết thúc visudo
Đăng nhập vào bằng User1, sau đó thử đổi mật khẩu cho User2
# sudo passwd user2

BNTK
14
CẤU HÌNH MẠNG TRONG FEDORA CORE

X. Cấu hình LDAP:

Mục đích là để chia sẻ thư mục /home cho user LDAP, khi user LDAP đăng nhập vào hệ thốn
thì nó sẽ sd thư mục này làm thư mục /home của chính user đó.

1) Cấu hình trên Server:

# vi /etc/exports
/home 10.0.0.0/8(rw,sync,no_root_squash)
 Chia sẻ thư mục /home cho các user trong mạng 10.0.0.0/8 kể cả user root
# service portmap restart
# service nfs restart
# exportfs –va
# exportfs –r
Sau đó ta dùng lệnh showmount để xem thư mục đó đã đc export chưa
# showmount –e localhost
# service iptables stop
 Nếu ko tắt đi thì client sẽ ko mount vào thư mục chia sẻ trên server đc.

2) Cấu hình trên Client:

#showmount –e 10.0.0.123 // xem server export ~ thư mục nào
#mkdir /mnt/pub
# vi /etc/rc.local //thêm thông tin sau
Mount –t nfs 10.0.0.123:/home /mnt/pub
Thử xem có mount đc ko:
# mount –t nfs 10.0.0.123:/home /mnt/pub

3) Cấu hình trên server:

# vi /etc/openldap/slapd.conf //thêm vào
by dn="cn=Admin,dc=bntk,dc=com" write
by read
database ldbm
suffix "dc=bntk,dc=com"
rootdn "cn=Admin,dc=bntk,dc=com"
# service ldap restart
#vi /etc/hosts
10.0.0.123 bntk.com localdomain
# vi /tmp/test.ldif
dn: dc=bntk,dc=com
objectclass: dcObject
objectclass: organization
dc: bntk
o: bntk

dn: ou=people,dc=bntk,dc=com
objectclass: organizationalUnit

BNTK
15
CẤU HÌNH MẠNG TRONG FEDORA CORE

ou: people

dn: ou=group,dc=bntk,dc=com
objectclass: organizationalUnit
ou: group

dn: cn=kien,ou=people,dc=bntk,dc=com
objectclass: organizationalPerson
sn: bntrung
cn: kien
Dùng lệnh ldapadd để add vào CSDL của LDAP:
# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/test.ldif –W
389: port hoạt động của LDAP
# vi /usr/share/openldap/migration/migrate_common.php
$DEFAUL_MAIL_DOMAIN = “bntk.com”;
$DEFAUL_BASE = “dc=bntk,dc=com”;
$EXTENDED_SCHEMA = 1;
Dùng công cụ Migration tools để migrate file /etc/passwd và /etc/group thành file có đuôi .ldif
#cd /usr/share/openldap/migration/
# ./migrate_passwd.pl /etc/passwd > /tmp/passwdldap.ldif
# ./migrate_group.pl /etc/group > /tmp/groupldap.ldif
# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/passwdldap.ldif -W
# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/groupldap.ldif -W
# useradd user1
# useradd user2
# tail -2 /etc/passwd > /tmp/user
# tail -2 /etc/group > /tmp/group
Trong đó 2 là số user vừa mới đc tạo ra, nếu chỉ tạo 1 user thì sửa lại là “tail -1…”
Tiếp tục migrate 2 file /tmp/user và /tmp/group thành file có đuôi là .ldif và add vào CSDL
#cd /usr/share/openldap/migration
# ./migrate_passwd.pl /tmp/user > /tmp/userldap.ldif
# ./migrate_group.pl /tmp/group > /tmp/group2ldap.ldif
# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f /tmp/userldap.ldif
-W
# ldapadd –x –h 10.0.0.123 –p 389 –D “cn=Admin,dc=bntk,dc=com” –f
/tmp/group2ldap.ldif -W
Khởi động lại dịch vụ: #service ldap restart

4) Cấu hình trên LDAP Client:

# vi /etc/hosts
10.0.0.123 bntk.com localhost
# authconfig //cấu hình bằng giao diện đồ họa

BNTK
16
CẤU HÌNH MẠNG TRONG FEDORA CORE

Chọn LDAP
Chọn Use Shadow Passwd
Chọn Use MD5 Password
Chon LDAP Authentication
OK
 Ta có thể truy vấn từ client bằng lệnh ldapsearch, nếu truy vấn đc thì hệ thống LDAP giữa
server và client đã hoạt động đc.
 LDAP server: phải khởi động trước tiên, phải đảm bảo nfs service hoạt động tốt, tắt
iptables và khởi động các dịch vụ:portmap, nfs, ldap.
 LDAP client: cấu hình nfs và LDAP chính xác, đảm bảo mount vào đc thư mục export trên
LDAP server. Đăng nhập vào bằng user LDAP, nếu đc thì chứng tỏ hệ thống LDAP hoạt
động tốt.

BNTK
17