Professional Documents
Culture Documents
Generalitat de Catalunya
Departament d’Ensenyament
Aquesta col·lecció ha estat dissenyada i coordinada des de l’Institut Obert de Catalunya.
Coordinació de continguts
Anna Castelló Gistau
Redacció de continguts
Jordi Cárdenas Guia
Juan José López Zamorano
Agraïments
Hem d’agrair la col·laboració d’en Sergi Tur Badenas, per l’aportació de les seves publicacions web i idees
d’activitats.
Llicenciat Creative Commons BY-NC-SA. (Reconeixement-No comercial-Compartir amb la mateixa llicència 3.0 Espanya).
http://creativecommons.org/licenses/by-nc-sa/3.0/es/legalcode.ca
CFGM - Sistemes microinformàtics i xarxes 5 Sistemes operatius en xarxa
Introducció
En la societat del segle XXI no hi pot haver cap organització o empresa sense
un sistema informàtic. El fet que funcioni correctament proporciona un gran
valor estratègic a l’organització i implica una tria acurada de la figura del cap
d’informàtica i de la planificació del sistema informàtic, tant en maquinari com
en programari. Dins de l’àmbit nacional serveis com els bancaris, municipals,
hisenda, xarxes socials, etc. han incrementat l’ús de les xarxes i per tant cal
incrementar la seva seguretat.
Aquest mòdul vol proporcionar les bases teoricopràctiques sobre com dissenyar i
mantenir un sistema informàtic en xarxa.
En la unitat “Sistemes operatius de propietat en xarxa” instal·lareu i configurareu
sistemes operatius propietaris, configurant serveis de directori, i gestionant domi-
nis.
En la unitat “Sistemes operatius lliures en xarxa”, s’instal·larà i monitoritzarà
un sistema operatiu lliure, es configurarà gestionant dominis i emprant eines
d’administració de dominis.
En la unitat “Compartició de recursos en xarxa i seguretat” compartirem recursos
i configurarem la seguretat de la xarxa.
En la unitat “Integració de sistemes operatius”, veureu com integrar diversos
sistemes operatius en la mateixa xarxa, instal·lant i configurant el programari
especific necessari.
Per a treballar els continguts d’aquest mòdul, és convenient anar fent les activitats
i els exercicis d’autoavaluació, i llegir els annexos.
CFGM - Sistemes microinformàtics i xarxes 7 Sistemes operatius en xarxa
Resultats d’aprenentatge
Continguts
Unitat 1
Instal.lació i configuració de sistemes operatius propietaris
4. Active Directory
Unitat 2
Instal.lació i configuració de sistemes operatius lliures
3. Serveis de directori
Unitat 3
Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Unitat 4
Integració de sistemes operatius
Índex
Introducció 5
Resultats d’aprenentatge 7
4 Active Directory 55
4.1 Sistema de noms de domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Conceptes relacionats amb l’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3 Servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.4 Estructures lògiques i físiques de domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.5 Dominis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.6 Arbres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.7 Boscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.8 Relacions de confiança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.9 Llocs i subxarxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.10 Treballant amb l’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.10.1 Mode d’operacions amb el Microsoft Windows Server 2008 . . . . . . . . . . . . . . 60
4.10.2 Funcionalitat de dominis i boscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.11 Estructura de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.11.1 Magatzem de dades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.11.2 Catàlegs globals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.11.3 Cau d’informació universal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.11.4 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.11.5 Mestre d’operacions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.12 Comptes d’usuari i de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.12.1 Protocols d’autenticació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.12.2 Comptes d’usuari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.12.3 Comptes de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.12.4 Comptes predeterminats d’usuari i de grup . . . . . . . . . . . . . . . . . . . . . . . 71
4.12.5 Capacitats dels comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.12.6 Ús d’usuaris i grups locals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Sistemes operatius en xarxa 5 Instal·lació i configuració de sistemes operatius propietaris
Introducció
Els sistemes operatius en xarxa de propietat han aconseguit abastar una quantitat
molt significativa del mercat informàtic empresarial. És interessant observar que
servidors mitjans i petits estan gestionats per sistemes operatius en xarxa que, en
gran mesura, són de propietat.
A mesura que progresseu en l’estudi d’aquest mòdul anireu assolint més conei-
xements sobre els sistemes operatius de propietat i els lliures. En aquesta part
del mòdul estudiareu els sistemes operatius de propietat i en detectareu els punts
dèbils i els forts. Aconseguireu tenir una opinió robustament fomentada sobre
aquest tipus de sistemes operatius que us permetrà escollir correctament quan,
com a professionals, se us demani l’opinió.
La supervisió d’un sistema operatiu és molt important. Per això l’apartat “Super-
visió de sistemes operatius de propietat” se centra en la supervisió dels indicadors
principals del sistema. Coneixereu les eines que s’utilitzen durant la supervisió
del sistema i sabreu com interpretar les dades recollides.
Per treballar aquesta unitat és molt recomanable que practiqueu amb un equip
i seguiu les pautes, els consells i els comentaris que trobareu. Les activitats i
els exercicis d’autoavaluació us ajudaran a comprendre millor l’estructura i el
funcionament d’aquest sistema.
Sistemes operatius en xarxa 7 Instal·lació i configuració de sistemes operatius propietaris
Resultats d’aprenentatge
Cal tenir present que una màquina gestionada amb el Microsoft Windows Server
2008 no pot ni hivernar ni entrar en mode suspès. Tampoc no es pot restaurar. El
Microsoft Windows Server 2008 no utilitza informació de rendiment, té moltes
limitacions pel que fa a l’estalvi energètic i tampoc no es preocupa gaire per oferir
una interfície d’usuari meravellosa. Contràriament, aquest sistema operatiu està
dissenyat per fer tasques pròpies de servidor.
Sistemes operatius en xarxa 10 Instal·lació i configuració de sistemes operatius propietaris
Gestionar l’accés a un domini de xarxa és una tasca tan important que requereix
algun mecanisme que se n’ocupi de manera gairebé exclusiva.
Seguint els passos del Microsoft Windows Server 2008 i el Microsoft Windows
Server 2012, el sistema operatiu actual utilitza un model de replicació multimestre,
Sistemes operatius en xarxa 11 Instal·lació i configuració de sistemes operatius propietaris
l’Active Directory.
Els sistemes Microsoft dissenyen un gran nombre d’eines que faciliten l’adminis-
tració dels sistemes. En el sistema operatiu Microsoft Windows Server 2016 les
eines més utilitzades són les següents:
• Eines gràfiques d’administració: conté les eines més útils i efectives per
administrar els equips i els recursos de les xarxes. Per exemple, podreu
fer còpies de seguretat, treballar amb el programador de tasques, accedir al
visor d’esdeveniments o configurar el tallafocs del sistema operatiu.
Podeu veure els continguts del tauler de control en la figura 1.1. Disposeu d’una
sèrie d’eines molt útils, com la gestió dels comptes d’usuari. Sense cap mena de
dubte obrireu molt sovint aquest tauler per fer tasques administratives del sistema.
Les cmdlets són unes ordres que permeten fer una sèrie de tasques
directament relacionades amb l’administració del sistema.
Millores que ofereix el
PowerShell
Si voleu instal·lar la interfície PowerShell haureu de seguir els passos següents:
Aquesta interfície permet a
desenvolupadors de programari
independents crear cmdlets
1. Cliqueu a Inicio. personalitzades per millorar
aplicacions i administrar el
sistema.
2. Seleccioneu Herramientas administrativas.
A la pàgina web oficial de Microsoft trobareu els requisits del sistema. La taula
1.1 us pot servir de guia.
Sistemes operatius en xarxa 14 Instal·lació i configuració de sistemes operatius propietaris
Component Requisit
Aquests cinc elements, però, són mínims i no garanteixen una resposta àgil del
sistema. Es recomana que el vostre sistema tingui les característiques que es
mostren a la taula 1.2.
Taul a 1. 2. Requisits recomanables del sistema
Component Requisit
Afegir complements a la
MMC
Hi ha dependències entre les funcions del servidor, els serveis de funció i les ca- Dins el menú Archivo trobareu
Agregar o quitar complemento,
racterístiques. Durant el procés d’instal·lació del Microsoft Windows Server 2008, que us permetrà afegir més
components a la MMC. Si
i de manera automàtica, l’administrador les notifica. Durant la desinstal·lació de necessiteu ajudes especials
d’accessibilitat, heu de saber que
components passa el mateix. És a dir, l’administrador del servidor, en detectar-les, la MMC proporciona mètodes
abreujats de teclat per a
avisa de la desinstal·lació de tots els components relacionats. seleccions i navegació.
La taula 1.3 descriu les funcions principals del servidor, els serveis de funció i les
característiques.
Sistemes operatius en xarxa 16 Instal·lació i configuració de sistemes operatius propietaris
Component Descripció
Clúster de commutació per error Permet treballar conjuntament, a més d’un servidor
per tal de proporcionar una millor disponibilitat de
serveis i aplicacions.
Component Descripció
Windows Internal Database Base de dades sobre l’SQL Server 2014 Embedded
Edition.
Administrador de recursos de sistema Els diversos processadors que la màquina pugui tenir
gestionen la utilització de recursos.
Xarxes sense fil Facilita l’ús de connexions i perfils en xarxes sense fil.
Per instal·lar el Microsoft Windows Server des de zero heu de seguir els passos
següents:
10. A partir d’aquí, s’inicia la còpia de fitxers des de la imatge del disc.
Ordre Descripció
Tau la 1 . 4 (continuació)
Ordre Descripció
Ordre Descripció
Tau la 1 . 4 (continuació)
Ordre Descripció
4. Escriviu letec disc seguit del número del disc amb el qual necessiteu
treballar.
• Administrar serveis.
• Etc.
Una vegada s’ha instal·lat el sistema operatiu Microsoft Windows Server 2008 ... que cada vegada que inicieu el
sistema aparegui la finestra que
correctament, apareix en pantalla una finestra emergent. Aquesta finestra mostra mostra les tasques de
configuració inicial, marqueu
les tasques de configuració inicial. l’opció No mostrar esta ventana
al iniciar la sesión, que apareix
en el marge inferior esquerre.
En primer lloc caldrà proporcionar la informació següent a l’equip:
• Establir zona horària. Tots els servidors estan configurats per sincronitzar
l’hora de manera automàtica amb un servidor d’hora d’Internet, però des
d’aquest menú podreu establir la zona horària. Per fer aquesta acció, també
podeu clicar amb el botó dret del ratolí al damunt del rellotge que teniu a
la barra d’eines. A continuació, heu de seleccionar l’opció Ajustar fecha y
hora.
anteriors, està acivada, i serà l’administrador que escollirà quan vol realitzar
les actualitzacions.
Per accedir a la consola d’administració de servidors caldrà que seguiu els passos
següents:
1. Cliqueu a Inicio.
Sistemes operatius en xarxa 25 Instal·lació i configuració de sistemes operatius propietaris
El primer nivell de l’arbre de categories que teniu en el plafó esquerre conté les
opcions següents:
• Edició del Windows. Aquest apartat mostra l’edició del Microsoft Win-
dows Server 2008 instal·lada i la versió del sistema operatiu i el Service
Pack instal·lats.
El quadre de diàleg Propiedades del sistema conté quatre fitxes que us poden donar
DEP
informació molt útil del sistema:
La tecnologia DEP (data
execution prevention) és una
tecnologia de protecció de la • Fitxa Nombre del equipo: examina i modifica els valors que identifiquen
memòria. Bàsicament
s’encarrega d’impedir la inserció l’equip a la xarxa. Hi apareix el nom complet de l’equip i el domini al qual
de codi nociu per al sistema. Cal
destacar que les versions de 32 pertany.
bits del Windows permeten la
versió DEP d’AMD.
• Fitxa Hardware: permet accedir a l’administrador de dispositius i a la
configuració de controladors del Microsoft Windows Update.
La supervisió del sistema operatiu esdevé una de les tasques més importants i
difícils que han de fer els tècnics. El sistema operatiu Microsoft Windows Server
2016 us proporciona una sèrie d’eines i facilitats perquè pugueu fer la tasca
d’administrar el sistema de manera efectiva i ràpida.
Seria ideal poder controlar des d’una única finestra l’estat de les aplicacions que
s’estan executant en el sistema o saber quins processos estan actius, quina memòria
estan utilitzant o quin és el rendiment de l’equip. L’administrador de tasques
permet fer totes aquestes operacions.
4. Clicar amb el botó dret del ratolí a la barra d’eines i seleccionar l’opció
Administrador de tareas.
Quan executeu l’administrador de tasques apareixerà una finestra amb sis pes-
tanyes en pantalla. Cadascuna d’aquestes pestanyes us ajudarà a administrar
aplicacions, processos, serveis, rendiment, funcions de xarxa i usuaris. A
continuació es descriuen amb més detall aquestes pestanyes:
Sistemes operatius en xarxa 28 Instal·lació i configuració de sistemes operatius propietaris
La memòria del kernel • Rendiment. De manera gràfica podreu veure l’ús de la CPU i de la memòria
El kernel o nucli del sistema té actuals (també de la memòria cau) i un historial de l’estat de la CPU i de la
accés al maquinari i als recursos
del sistema, i necessita executar memòria física. També obtindreu informació addicional del sistema i de la
codi en una part restringida de
memòria. És important controlar memòria del nucli (kernel).
aquest espai de memòria, ja que
es poden donar situacions que
provoquin l’esgotament
d’aquesta memòria.
• Funcions de xarxa. Des d’aquesta pestanya podreu fer una ullada a tots
els adaptadors de xarxa que el servidor estigui utilitzant. Identificareu cada
connexió de xarxa amb el nom de l’adaptador, comprovareu la càrrega de
la xarxa, la velocitat de la connexió i l’estat en què es troba.
Per poder administrar els serveis del sistema del Microsoft Windows Server
2016 podeu utilitzar l’administrador del servidor. Una vegada obriu la consola
Administrador del servidor, cliqueu a Servicios, que trobareu dins la categoria
Configuración, situada al plafó de l’esquerra.
Els serveis proporcionen les funcions fonamentals als equips de treball i als
servidors.
• Estat. Mostra l’estat actual del servei. Els serveis poden estar funcionant,
aturats o en pausa.
És important que feu la configuració d’inici dels serveis més escaient. Tot seguit
es descriuen les quatre opcions de què disposeu per iniciar un servei:
Per iniciar, aturar i posar en pausa serveis, només cal seleccionar el servei que es
vulgui en el Panel de servicios i clicar-hi al damunt amb el botó dret del ratolí.
Apareixeran les opcions Iniciar, Detener, Pausa, Reiniciar i Reanudar.
Els serveis poden arrencar de manera manual o automàtica. Per configurar el tipus
d’arrencada d’un servei podeu seguir els passos següents:
1. Cliqueu al damunt del servei que voleu configurar amb el botó dret del ratolí.
2. Premeu Propiedades.
El sistema ofereix la possibilitat que els serveis utilitzin un compte d’usuari del
sistema local o bé un compte d’usuari en concret. Per configurar-lo, cal que feu el
següent:
1. Cliqueu amb el botó dret al damunt del registre que voleu configurar i
premeu Propiedades.
Sistemes operatius en xarxa 31 Instal·lació i configuració de sistemes operatius propietaris
El sistema Microsoft Windows Server 2016 permet fer accions si detecta que un
servei específic falla. Per configurar les opcions de recuperació d’un servei, caldrà
que feu el següent:
1. Cliqueu amb el botó dret al damunt del registre que voleu configurar i
premeu Propiedades.
El sistema operatiu Microsoft Windows Server 2016 utilitza dos tipus de registres:
1. Expandiu Diagnóstico.
1. Expandiu Diagnóstico.
3. Expandiu qualsevol dels dos registres que apareixen (del Windows o d’apli-
cacions i serveis).
4. Cliqueu amb el botó dret al damunt del registre que necessiteu buidar i
premeu Vaciar registro.
El tècnic responsable del servidor ha d’utilitzar les eines més efectives que
tingui a l’abast per tal d’aconseguir que el rendiment del servidor sigui
màxim.
Sistemes operatius en xarxa 35 Instal·lació i configuració de sistemes operatius propietaris
Per supervisar correctament el rendiment del servidor, heu d’establir les línies
inicials de l’estudi. Cal que mesureu el rendiment de l’equip en diferents moments
i sota diferents càrregues de treball. Mitjançant comparacions entre les dades
recollides en diferents moments podreu determinar com es comporta el vostre
servidor.
Quan tingueu clara l’estratègia que seguireu, haureu d’establir un pla de supervisió
que pugueu aplicar en el vostre servidor. Heu de tenir en compte els punts
següents:
4. Emmagatzemeu les dades importants. Més endavant les fareu servir per fer
comparacions.
L’eina que ofereix el Microsoft Windows Server 2008 per comprovar el temps real
del rendiment i la fiabilitat del sistema és el monitor de fiabilitat i rendiment.
1. Cliqueu a Inicio.
CPU
• Utilització de la CPU. Veureu l’ús actual i el màxim assolit de la CPU.
CPU són les sigles d’unitat
central de processament (central Podeu estudiar el gràfic més detalladament si expandiu la part inferior de la
processing unit en anglès) i es
considera el cervell de finestra. D’aquesta manera, podreu veure l’identificador del procés, el PID
l’ordinador.
del procés, una petita descripció del procés, el número de processos que en
depenen, l’ús actual de la CPU que representa i la mitjana de les aplicacions
que s’estan executant.
El monitor de fiabilitat i rendiment conté dues eines que utilitzareu molt sovint.
En la carpeta d’eines de supervisió, que trobareu a la part esquerra de la finestra,
podeu seleccionar el monitor de rendiment i el monitor de fiabilitat.
És molt important que seleccioneu els paràmetres que voleu estudiar. Aquests
paràmetres s’anomenen comptadors. Els comptadors estan directament relaci-
onats amb els components instal·lats en el sistema. Cada vegada que instal·leu
una característica o un component nou s’actualitza un conjunt de comptadors. Si
aquest fet no es produís, el procés de monitorització i l’acció de millora que se’n
deriva no es podrien efectuar.
Sistemes operatius en xarxa 37 Instal·lació i configuració de sistemes operatius propietaris
El monitor de rendiment mostra uns comptadors predefinits que resulten molt útils
en la majoria dels casos. A vegades, però, són insuficients. El sistema ofereix una
quantitat enorme de comptadors i els posa a disposició de l’usuari perquè pugui
escollir quins són més adients per al seu sistema. Per afegir comptadors al monitor,
només caldrà que feu el següent:
3. Cliqueu a Agregar.
6. Cliqueu a Agregar.
7. Cliqueu a Aceptar.
7. Cliqueu a Siguiente.
9. Cliqueu a Siguiente.
Amb les dades que s’obtenen a partir de l’observació d’un sistema es poden
prendre decisions per tal d’aconseguir millorar-ne el rendiment.
La figura 2.4 mostra una finestra bàsica que s’ha de consultar regularment, ja que
mostra l’estat dels discos de la màquina.
Tot i que el rendiment del processador sigui òptim, pot ser la causa d’un coll
d’ampolla en el sistema. El processador és el responsable de processar tota la
informació del sistema i, per tant, necessita que li dediquem recursos i comprovem
que funciona adequadament.
Hi ha dos comptadors que donen informació molt important sobre l’ús del
microprocessador:
És molt important que l’entrada i la sortida de dades dels discos físics del servidor
es faci de la manera més ràpida i eficient possible. Actualment, és molt habitual
que les màquines que desenvolupen tasques de servidor utilitzin interfícies de
transmissió de dades internes molt ràpides i discos físics amb temps d’accés molt
baix. Els comptadors que es descriuen breument tot seguit us ajudaran a detectar
problemes de velocitat originats en l’entrada i la sortida de dades:
• Disc físic\Lectures de disc. Aquest monitor indica les lectures que es fan
en el disc físic. Recull una mostra per minut.
interacció entre la xarxa i el servidor, per tant, és completa i també pot constituir
una possible font de problemes o d’ajuda per resoldre’ls.
El sistema operatiu Microsoft Windows Server 2008 fa possible que hi hagi moltes
directrius de grup actives alhora. En el cas que es produeixi aquesta situació,
l’ordre d’aplicació és la següent:
En funció d’on s’apliquin les directrius de grup, es poden crear dos grans conjunts
de directrius:
Sistemes operatius en xarxa 44 Instal·lació i configuració de sistemes operatius propietaris
Quan s’estudia el comportament del sistema s’ha de tenir molt clar el moment en
què es produeix cada acció. La seqüència d’arrencada del sistema és la següent:
Tot i que entre les directrius de grup de les diverses versions de sistema operatiu hi
ha diferències, mantenen una compatibilitat àmplia. El sistema operatiu Microsoft
Windows 2000 va ser el primer a incloure directrius de grup.
• Directiva de grup local: es tracta d’un únic objecte que permet aplicar
a tots els usuaris del sistema les mateixes opcions de configuració tant de
l’equip com de l’usuari.
L’ordre d’aplicació dels tres nivells d’objectes de directriu de grup local s’inicia
amb les directrius de grup local, se segueix amb la directriu de grup local per a
administradors i no administradors i es finalitza amb la directriu de grup local per
a usuaris.
1. Cliqueu a Inicio.
5. Polseu Agregar.
En la figura 3.1 podeu veure els vint-i-dos grups creats. Podeu observar que
per arribar a aquesta dada cal executar l’administrador del servidor i, dins de la
configuració, seleccionar la carpeta grups que trobeu a Usuaris i grups locals.
En la llista de directrius de grup, les directrius de grup que estiguin situades més
amunt tindran més prioritat. Aplicar una jerarquia garanteix que les directrius
s’apliquin correctament als llocs, als dominis i a les unitats organitzatives corres-
ponents.
1. Polseu Inicio.
Els objectes de directrius es poden editar. Per aconseguir-ho, només caldrà que
cliqueu al damunt de l’objecte amb el botó dret del ratolí i seleccioneu l’opció
Editar.
Fitxers ADMX
1. Creeu una carpeta a %SystemRoot\Domain\Policies mitjançant l’explo- Són uns arxius basats en XML
que permeten a l’administrador
rador del Windows. generar una interfície d’usuari en
la consola d’administració de
directrius de grup.
2. Creeu ara la carpeta %SystemRoot\Domain\Policies\PolicyDefinitions.
Per a cada idioma que utilitzin els administradors, s’haurà de crear una subcarpeta
que en contindrà les dades adients.
Sistemes operatius en xarxa 50 Instal·lació i configuració de sistemes operatius propietaris
WSH
Mitjançant les directrius de grup es poden administrar els elements següents:
El Windows Script Host fa
possible executar seqüències
d’ordres fent doble clic sobre un • El reencaminament de carpetes: permet centralitzar l’administració de
fitxer que contingui aquesta
seqüència. Per executar carpetes especials. Les carpetes s’encaminen a una ubicació de xarxa en
seqüències d’ordres amb WSH
executeu wscript.exe en la comptes d’utilitzar diferents ubicacions en cadascun dels equips.
interfície d’ordres.
• Els scripts d’equip i usuari: els scripts poden ser arxius d’execució per
lots o programes escrits mitjançant WSH. Els quatre scripts que es poden
executar són inici, apagada, inici de sessió i tancament de sessió.
El sistema operatiu Microsoft Windows Server 2008 conté una sèrie d’eines molt
útils per millorar la seguretat dels equips. Les eines principals que s’utilitzen
generalment per administrar les directrius de seguretat en les màquines servidor
són quatre:
3. Creeu una directriu sempre que aparegui una aplicació o una funció de
servidor nova que no estigués inclosa en l’administrador del servidor.
Resulta molt útil disposar d’algun tipus d’ajuda per crear directrius de seguretat
a mida de les funcions que es desenvolupin. La interfície SCW (security
configuration wizard) és una guia que ajuda a crear directrius de seguretat. L’eina
Scwcmd està inclosa en el paquet d’SCW.
Sistemes operatius en xarxa 52 Instal·lació i configuració de sistemes operatius propietaris
1. Cliqueu a Inicio.
5. Cliqueu a Siguiente.
6. Seleccioneu un Servidor.
9. Premeu Siguiente.
Sistemes operatius en xarxa 54 Instal·lació i configuració de sistemes operatius propietaris
11. Quan arribeu a Seleccionar funciones de servidor veureu les funcions que
ja estan instal·lades.
13. Marqueu les caselles de verificació de les opcions que vulgueu activar a
Seleccionar opciones de administración y otras.
14. Marqueu les caselles dels serveis que vulgueu activar a Seleccionar sevicios
adicionales.
15. indiqueu com voleu gestionar la resta de serveis que no han estat llistats a
Tratamiento de servicios sin especificar.
17. A Seguridad del registro veureu les opcions de seguretat de signatures SMB.
18. Seleccioneu els mètodes emprats pels servidors seleccionats per autenticar
equips remots a Métodos de autenticación de salida.
4. Active Directory
L’Active Directory proporciona els mitjans per gestionar les identitats i les relaci-
ons que componen una xarxa. Us ofereix la possibilitat de configurar i administrar
de manera centralitzada el sistema, els usuaris i la configuració d’aplicacions.
Els dominis DNS es jerarquitzen per nivells que identifiquen equips, dominis
d’organització i dominis de nivell superior. També es pot utilitzar el sistema
de noms de domini per assignar noms de servidor a direccions TCP/IP. Podeu
fer servir el DNS perquè una estructura jerarquitzada de l’Active Directory es
defineixi a Internet.
Hi ha una sèrie de conceptes que resulta imprescindible tenir clars per treballar
amb el servei de l’Active Directory. Cal familiaritzar-se amb aquests termes i
entendre la funció que fan dins el sistema. A continuació es descriuen breument
els més importants:
Mentre que una estructura lògica conté objectes, dominis, arbres i boscos, una
estructura física està formada per controladors de domini i espais.
Sistemes operatius en xarxa 57 Instal·lació i configuració de sistemes operatius propietaris
4.5 Dominis
La jerarquia de dominis DNS està formada per diferents nivells que identifiquen
equips, dominis organitzatius i dominis de nivell superior. A Internet també
s’utilitza el protocol DNS per assignar noms de servidor a direccions IP. Per
exemple, la IP 85.192.111.244 correspon al servidor ioc.cat. A Internet amb el
protocol DNS es pot definir una jerarquia de domini Active Directory.
Aquest sistema també es fa servir per referir-se a recursos del sistema. Per fer-
ho, cal utilitzar l’FQDN (nom de domini complet). Per exemple, proxy.ioc.cat
indica que el nom de l’equip és proxy, ioc és el domini i cat és el domini de nivell
superior.
El primer domini que es crea rep el nom de domini arrel. Aquest domini és
l’arrel de la resta de dominis que es creen en l’arbre de domini. Un domini
arrel pot ser ioc.cat. Els dominis creats posteriorment en una jerarquia de
dominis són dominis secundaris del domini arrel. Per exemple, si hi hagués un
domini secundari anomenat informatica del domini arrel ioc.cat, el resultat final
seria informatica.ioc.cat. El nom de domini complet d’una màquina anomenada
documents del Departament d’Informàtica seria documents.informatica.ioc.cat.
4.6 Arbres
A mesura que una organització creix, els seus recursos de xarxa també creixen.
Per tant, es fa necessari idear un sistema per agrupar i organitzar la informació de
manera ordenada.
Sistemes operatius en xarxa 58 Instal·lació i configuració de sistemes operatius propietaris
La creació i la utilització d’un arbre de dominis permet crear una estructura lògica
de dominis i reflectir un espai de noms DNS.
4.7 Boscos
Algunes xarxes, tot i que es tracta d’una mateixa xarxa, tenen diversos dominis
arrel. En aquests casos trobeu múltiples arbres de domini.
La creació d’un bosc permet a tots els dominis que el formen compartir informa-
ció.
Cal un mecanisme que permeti la comunicació entre els diferents dominis d’arbre,
ja que contràriament no es podrien crear xarxes extenses de compartició de
recursos.
Una gestió correcta dels llocs i de les subxarxes permet millorar l’estat de la xarxa
informàtica, ja que redueix el trànsit de xarxa i permet augmentar la velocitat de
processament d’algunes tasques, com ara la d’autenticació.
Tots els equips que passin a formar part d’un domini obtindran un compte
d’equip, sempre que el sistema operatiu sigui el Windows 2000, el Windows XP
Professional, el Windows Vista, el Windows Server 2003 o el Windows Server
2008. Els comptes d’equip s’emmagatzemen com a objectes de l’Active Directory.
Els comptes d’equip tenen un pes específic molt important dins l’administració
del sistema, ja que es fan servir per controlar l’accés a la xarxa i als recursos de la
xarxa.
És interessant treballar com a mínim amb el nivell funcional del Windows Server
2003, ja que d’aquesta manera s’utilitzen les millores que s’inclouen en l’Active
Directory. Les capacitats extres que té un administrador que treballa amb el nivell
funcional del Windows Server 2003 o superior es poden resumir en cinc punts:
Sistemes operatius en xarxa 61 Instal·lació i configuració de sistemes operatius propietaris
2. Canviar els noms dels dominis que funcionin amb controladors de domini
Windows Server 2008.
4. Reestructurar dominis dins d’una jerarquia canviant els noms i els nivells.
2. Seleccioneu amb el botó dret el domini que voleu canviar i cliqueu a Elevar
el nivel funcional del dominio.
4. Cliqueu a Aceptar.
Per poder accedir i distribuir les dades de l’Active Directory, cal utilitzar protocols
d’accés i replicació de directori. Mitjançant aquests protocols els clients es poden
comunicar entre ells. La replicació garanteix que les actualitzacions de les dades
arribin a tots els controladors de domini.
Sistemes operatius en xarxa 62 Instal·lació i configuració de sistemes operatius propietaris
Les dades del directori es guarden en el fitxer Ntds.dit del controlador de domini.
És recomanable emmagatzemar aquest fitxer en una partició NTFS.
• Dades del domini: Contenen informació sobre els objectes d’un domini.
Aquí obtindreu informació com contactes de correu electrònic, atributs de
comptes d’usuaris i equips.
En el catàleg global s’emmagatzema una còpia completa de tots els objectes del
directori per al seu domini d’usuari (host) i una còpia parcial de tots els objectes
dels altres dominis del bosc.
Es poden afegir o treure del catàleg global, de manera manual, altres atributs
d’objectes mitjançant el complement Esquema de l’Active Directory. A vegades
pot ser necessari personalitzar el catàleg global per incloure-hi atributs addicio-
nals. No obstant això, haureu d’estudiar les opcions disponibles, ja que els canvis
en els atributs poden afectar negativament el trànsit de la xarxa. Per defecte, el
catàleg global conté els atributs més comuns de cada objecte del bosc i també les
aplicacions i els usuaris que pot consultar.
3. Feu clic amb el botó dret a Configuración NTDS del tauler de detalls i, tot
seguit, cliqueu a Propiedades.
Els catàlegs globals són molt útils i és recomanable fer-los servir. A vegades, però,
a causa de les limitacions de l’amplada de banda de les xarxes, no resulta pràctic
disposar de catàlegs globals en cada grup d’equips dins de grans organitzacions.
Llavors el sistema esdevé vulnerable. Si, per exemple, la xarxa informàtica caigués
i no es disposés de catàleg global, els usuaris no podrien ni iniciar la sessió.
Una manera molt eficient de resoldre aquesta problemàtica és emmagatzemar la
informació universal que pertanyi als grups en una memòria cau.
4.11.4 LDAP
Els clients Active Directory fan servir el protocol LDAP per comunicar-se
amb equips Active Directory en començar una sessió de xarxa o per buscar
recursos compartits.
El protocol LDAP...
La seguretat del servidor de directori es pot millor significativament mitjançant ...es pot utilitzar per administrar
l’Active Directory. L’LDAP
l’LDAP. El Microsoft Windows Server 2008 permet configurar el directori per (lightweight directory access
protocol) permet accedir de
demanar la signatura d’un servidor LDAP. Mitjançant mmc seria el següent: manera remota a una base de
dades amb informació referent a
la xarxa.
• Ús de la directriu de grup:
5. Premeu Aceptar.
6. Expandiu Directiva de equipo local, expandiu Configuración del
equipo, expandiu Directivas de, expandiu Configuración de Windows,
expandiu Configuración de seguridad, expandiu Directivas locales i,
a continuació, obriu Opciones de seguridad.
7. Cliqueu amb el botó dret del ratolí a Seguridad de red: requisitos de
firma de cliente LDAP i, a continuació, cliqueu a Propiedades.
8. En el quadre de diàleg Controlador de dominio: requisitos propieda-
des de firma de servidor LDAP, habiliteu Definir esta configuración
de directiva. Cliqueu a Requiere firma en la Definición de esta
configuración de directiva i, a continuació, cliqueu a Aceptar.
9. Feu clic a Sí en el quadre de diàleg Confirmar cambio de configuraci-
ón.
mestre de RID en cada domini del bosc. Per determinar quin servidor
és l’actual mestre RID del domini, escriviu dsquery server -hasfsmo
rid en el símbol de sistema.
Una de les tasques més importants que desenvolupa un sistema operatiu servidor
és l’administració de comptes d’usuari i de grup.
Els comptes d’usuari permeten que els usuaris individuals iniciïn una sessió
a la xarxa i puguin accedir als recursos compartits que hi ha.
Sense comptes d’usuari no podríeu personalitzar els perfils dels usuaris ni contro-
lar l’accés d’aquests usuaris a continguts i recursos. Gestionar molts usuaris, però,
esdevé un problema de fàcil solució.
Els comptes de grup s’utilitzen per gestionar els recursos de diversos usuaris
alhora.
Sistemes operatius en xarxa 68 Instal·lació i configuració de sistemes operatius propietaris
Els permisos i els privilegis que els comptes d’usuari i de grup tenen assignats
determinen quines accions poden executar i a quins recursos poden accedir.
El sistema Microsoft Windows Server 2008 controla l’accés als recursos mitjan-
çant els components del model de seguretat.
La figura 4.1 mostra els permisos de què disposa un grup d’usuaris determinat.
Identificació de comptes
En el Microsoft Windows Server 2008, els comptes d’usuari tenen dues parts:
• Nom d’usuari: és una etiqueta de text que identifica el compte. Els noms
locals han de ser únics per a cada equip individual, haurien de ser únics en
tot un domini, no poden excedir els 64 caràcters de longitud i poden contenir
caràcters alfanumèrics i especials.
Identificadors de seguretat
Els comptes d’usuari tenen una sèrie d’atributs, alguns dels quals són molt
importants.
Quan es crea un compte d’usuari nou es genera un SID que no es modificarà encara
que canviï el nom d’usuari lligat al compte. Així, es pot estudiar el recorregut dels
comptes d’usuari amb independència del nom d’usuari emprat.
Un compte de grup està format per una sèrie de comptes d’usuari amb
característiques molt semblants. Un dels avantatges de poder fer servir
comptes de grup és la simplificació que comporta el fet d’utilitzar-los en
l’administració de comptes.
Atès que és molt usual que el nom del compte de grup es repeteixi dins d’organis-
mes grans, l’Active Directory utilitza el format domini\nomdelgrup, que li permet
diferenciar grups amb el mateix nom que pertanyen a diferents dominis.
Tipus de grups
Figur a 4. 2. La selecció dels objectes és una tasca fàcil amb aquest entorn.
Àmbit de grup
Podeu utilitzar els grups en diferents àrees, segons convingui. Hi ha quatre àmbits:
• Grups locals integrats: aquests grups tenen un àmbit especial de grup amb
permisos d’àmbit local de domini. No es poden crear ni eliminar, només
modificar.
• Grups globals: s’utilitzen per definir conjunts d’usuaris o equips del mateix
domini amb característiques molt semblants. Un exemple d’ús de grup
global seria utilitzar-lo per donar permís d’accés a un recurs, ja que només
caldria fer membre del grup local de domini al grup global.
• Grups universals: són grups que s’utilitzen per definir conjunts d’usuaris
o equips que haurien de tenir permisos aplicables a tot un domini o bosc.
La instal·lació del Microsoft Windows Server 2008 instal·la usuaris i grups prede-
terminats. Mitjançant aquests comptes predeterminats el sistema pot construir la
xarxa.
Amb la instal·lació del Microsoft Windows Server 2008 s’instal·len els comptes
següents:
4. Cliqueu a Usuarios.
4. Cliqueu a Usuarios.
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
premeu Establecer contraseña.
6. Premeu Continuar.
8. Cliqueu a Aceptar.
• S’ha d’exigir l’historial de contrasenyes per tal de no deixar utilitzar sempre el mateix grup de
contrasenyes.
• La vigència mínima de la contrasenya ha d’oscil·lar entre els tres i els set dies.
• La contrasenya ha de tenir com a mínim vuit caràcters, o catorze com a mínim si necessiteu
més seguretat.
Sistemes operatius en xarxa 74 Instal·lació i configuració de sistemes operatius propietaris
Per deshabilitar o activar un compte d’usuari local heu de seguir els passos
següents:
4. Cliqueu a Usuarios.
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
premeu Propiedades.
4. Cliqueu a Usuarios.
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
premeu Eliminar.
Eviteu problemes amb els
comptes
Abans d’eliminar un compte Per canviar el nom d’un compte d’usuari local cal que feu el següent:
d’usuari és recomanable
deshabilitar-lo. No es poden
recuperar comptes d’usuari
eliminats. Tampoc no es poden 1. Obriu Administración de equipos.
eliminar els comptes
Administrador i Convidat.
2. Cliqueu a Herramientas del sistema.
4. Cliqueu a Usuarios.
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
premeu Cambiar nombre.
Per assignar una carpeta principal a un compte d’usuari local heu de fer el següent:
4. Cliqueu a Usuarios.
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
cliqueu a Propiedades.
4. Cliqueu a Grupos.
10. Per agregar al grup un compte d’usuari indiqueu-lo a Escriba los nombres
de objeto que desea seleccionar i premeu Aceptar.
Per identificar els membres d’un grup local heu de seguir aquests passos:
4. Cliqueu a Grupos.
5. Cliqueu amb el botó dret al damunt del grup que necessiteu i cliqueu a Eliminació de grups
Els grups eliminats no es poden
Propiedades. recuperar. Quan s’elimina només
el grup no s’eliminen els
comptes d’usuari, els comptes
d’equip ni els comptes de grup
Per eliminar un grup local heu de fer el següent: que eren membres del grup. Si
s’elimina un grup i se’n crea un
de nou amb el mateix nom,
aquest grup nou no hereta els
1. Obriu Administración de equipos. permisos del grup anterior.
Sistemes operatius en xarxa 76 Instal·lació i configuració de sistemes operatius propietaris
4. Cliqueu a Grupos.
5. Cliqueu amb el botó dret al damunt del grup que necessiteu i premeu
Eliminar.
Instal·lació i configuració de
sistemes operatius lliures
Juan José López Zamorano
Índex
Introducció 5
Resultats d’aprenentatge 7
3 Serveis de directori 97
3.1 Què és un directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
3.2 Que és un servei de directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.2.1 Què no és un servei de directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.2.2 Utilitats d’un servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
3.2.3 Arquitectura del servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.2.4 Serveis de directori distribuïts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.2.5 Seguretat del servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
3.3 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
3.3.1 Ús de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
3.3.2 Orígens de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
3.3.3 Funcionament de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3.3.4 Avantatges en l’ús de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3.3.5 Estructura del directori LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
3.3.6 El format d’intercanvi de dades LDIF . . . . . . . . . . . . . . . . . . . . . . . . . . 112
3.3.7 Operacions de l’LDAP en el directori . . . . . . . . . . . . . . . . . . . . . . . . . . 112
3.4 Instal·lació i configuració d’un servei de directori als sistemes GNU/Linux . . . . . . . . . . . 115
3.4.1 Introducció a l’OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.2 Instal·lació OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.3 Instal·lació del servidor OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.4.4 Configuració del servidor OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 119
3.4.5 Gestió del servei OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
Introducció
Els sistemes operatius lliures i tot el programari de codi obert ofereixen una alter-
nativa de negoci dins el mercat informàtic que cada vegada està més consolidada.
Els sistemes operatius lliures es caracteritzen per ser robustos, fiables, adaptables
i potents, propietats que fan que moltes vegades superin els sistemes operatius de
propietat. Aquest també és el motiu pel qual els sistemes lliures cada vegada són
més presents en les organitzacions i les institucions, en què implementen una gran
varietat d’escenaris i solucions juntament amb altres tipus de sistemes o no.
Per treballar els continguts d’aquesta unitat, és convenient anar fent les activitats
i els exercicis d’autoavaluació. És possible que l’alumnat ja conegui alguns dels
conceptes, ordres o eines que apareixen en la unitat formativa. Es tracta, però, de
contextualitzar al màxim possible l’ús d’aquests conceptes amb els temes tractats.
Sistemes operatius en xarxa 7 Instal·lació i configuració de sistemes operatius lliures
Resultats d’aprenentatge
Una vegada considerats tots els factors previs a la instal·lació, heu de seguir una
sèrie de passos per instal·lar un sistema operatiu Ubuntu Server Edition.
A finals de la dècada dels anys seixanta i durant els inicis de la dels setanta, el
panorama en el món de la informàtica era totalment diferent a l’actual.
• Robustesa i estabilitat.
Sistemes operatius en xarxa 10 Instal·lació i configuració de sistemes operatius lliures
Totes aquestes característiques van fer que l’UNIX obtingués una popularitat
extraordinària.
Així doncs, Stallman va decidir iniciar un gran projecte per intentar obrir una altra
vegada el codi font dels programes. Conscient que no podria aconseguir que les
companyies tornessin a obrir el codi dels programes, es va proposar crear un nou
sistema operatiu que no tingués les restriccions que tenien els sistemes que hi havia
en aquell moment. D’aquesta manera, va començar un projecte anomenat GNU.
1.2 GNU
GNU és un acrònim recursiu
que significa ‘GNU no és
UNIX’ (GNU’s not UNIX ).
GNU és un projecte iniciat a la dècada dels anys vuitanta per Richard Stallman
amb la finalitat de crear un sistema operatiu totalment lliure. La idea inicial va ser
crear una alternativa lliure al sistema operatiu UNIX, el qual és propietari. Així
doncs, GNU es va dissenyar per ser totalment compatible amb el sistema UNIX.
Entenem que són de programari lliure els programes que ens permeten
El logotip de GNU és el cap d’un nyu. obtenir-ne el codi font i també estudiar-los, modificar-los i redistribuir-los
sense que ens obliguin a pagar per fer-ho.
FSF
La Free Software Foundation
(Fundació per al Programari
El projecte GNU compta amb el suport de la Free Software Foundation, que el
Lliure) és una organització dota de cobertura econòmica, legal i logística.
creada a l’octubre de 1985 per
Richard Stallman i altres
entusiastes del programari lliure
amb el propòsit de difondre
La filosofia que la Free Software Foundation té del programari es defineix a partir
aquest moviment. de les quatre llibertats següents:
1.3 GNU/Linux
A finals de la dècada dels anys vuitanta, el projecte GNU disposava d’una sèrie
d’elements que li donaven certa robustesa. Tenia unes pretensions ben definides
quant a finalitat i funcionament. A més, GNU també comptava amb una fundació
que li donava suport, una llicència que li aportava un marc legal i filosòfic i una
sèrie d’aplicacions de codi obert, com l’editor de textos Emacs, el compilador
GCC o l’intèrpret d’ordres Bash. No obstant això, no disposava del component El Tux i el nyu són els logotip de
clau: el nucli (kernel). Linux i GNU.
El 1991, un estudiant de la Universitat d’Hèlsinki, Linus Torvalds, va decidir crear Nucli (kernel)
En informàtica, el nucli (també
el seu propi nucli per a un sistema operatiu nou, que va anomenar Linux. El Linux conegut amb l’anglicisme
kernel) és la part fonamental
intentava millorar el sistema operatiu MINIX, un sistema amb finalitats docents d’un sistema operatiu. És el
basat en l’UNIX, creat uns anys enrere pel professor de la Universitat d’Holanda programari responsable de
facilitar accés segur al maquinari
Andrew Tanenbaum. de l’ordinador als diferents
programes. És a dir, és
l’encarregat de gestionar
La idea de Linus Torvalds era crear un UNIX per a PC, amb la finalitat que tothom recursos per mitjà de serveis de
crida al sistema.
el pogués utilitzar en el seu ordinador. Linus va donar a conèixer el seu projecte en
un fòrum de debat de MINIX i poc després va aportar la seva part del codi del nucli
del Linux. Aquesta iniciativa va obtenir una resposta ràpida i massiva d’experts
informàtics d’arreu del món, que hi van aportar coneixements i treball per tal
de continuar el desenvolupament del nucli del Linux. El projecte ràpidament va
adoptar la llicència GNU i es va convertir, així, en el nucli del sistema operatiu
del projecte GNU. Es va formar el que ara es coneix com a GNU/Linux. Només el 2% del codi del
nucli Linux actual està escrit
per Linus Torvalds.
Tanmateix, es considera
que Torvalds és el pare del
GNU/Linux és un dels termes emprats per referir-se al sistema operatiu lliure nucli.
S’ha de tenir en compte que els sistemes GNU/Linux estan formats per tres grans
grups d’aplicacions:
3. Tota la resta d’aplicacions que no formen part del sistema base. Aquí hi
ha la major part de les aplicacions i els serveis d’explotació del sistema:
Apache, Samba, SQUID, SSH, NAMED, KDE, GNOME, etc. Segons el
tipus de distribució GNU/Linux, qualsevol aplicació d’aquest gran paquet
(el més nombrós) ha de complir estrictament l’estàndard GNU (llicència
GPL o similar).
Per tal que un sistema operatiu compleixi l’estàndard GNU/Linux cal, principal-
ment, estar sota les llicències promogudes per l’FSF de tal manera que es respectin
Filesystem hierarchy els preceptes de la filosofia del programari lliure; també ha de complir que el seu
standard o FHS
nucli estigui basat en el nucli Linux i a més el sistema ha de fer servir l’estàndard
FHS és una norma que defineix
els directoris principals i els seus jeràrquic en l’estructura de directoris principals i els seus continguts, és a dir, que
continguts en el sistema operatiu
GNU/Linux i altres sistemes de les distribucions respecten el filesystem hierarchy standard o FHS.
la família Unix. Es va dissenyar
originalment el 1994 per a
estandarditzar el sistema Les diferències que hi ha entre aquestes distribucions les determinen, sobretot,
d’arxius de les distribucions de
Linux, basant-se en la ubicació dels arxius en el sistema, la gestió de recursos o la utilització d’a-
l’organització de directoris
tradicional dels sistemes Unix. plicacions determinades (per exemple, sistemes d’instal·lació de paquets, entorn
Sobre el sistema gestor
d’escriptori, etc.).
de paquets podeu veure
l’apartat “Configuració i
monitoratge en sistemes A continuació, descriurem algunes de les distribucions GNU/Linux més conegu-
GNU/Linux”. des o utilitzades (figura 1.1):
Sistemes operatius en xarxa 13 Instal·lació i configuració de sistemes operatius lliures
Figur a 1. 1
De dalt a baix i d’esquerra a dreta, els logotips de: Fedora, Suse, Red Hat, Linkat, Ubuntu, Debian
Red Hat Linux: és una de les distribucions més populars i també una de les més
antigues. Està desenvolupada per una empresa nord-americana que inicialment
la va comercialitzar com un sistema operatiu per a servidors. Va ser la creadora
de l’eina RPM per a l’administració de paquets, que posteriorment han incorporat
altres distribucions. També va ser la primera distribució que la va utilitzar. En
l’actualitat, la Red Hat Linux se centra en la versió empresarial de la distribució
Red Hat Enterprise Linux. No obstant això, hi ha una versió lliure del projecte
que manté una comunitat anomenada Fedora Core. Tot i que és independent de la
Red Hat Linux, l’empresa hi dóna suport. Actualment, el sistema operatiu Fedora
és un dels sistemes més utilitzats pels usuaris de la comunitat GNU/Linux.
Debian: és una de les distribucions que fa més temps que és en el mercat i s’hi
basen moltes altres distribucions. La desenvolupen i la mantenen col·laboradors
d’arreu del món i, quant a infraestructura, només rep suport d’alguna empresa.
El sistema de gestió de paquets de la Debian permet diferenciar clarament el
programari lliure del que no ho és. D’aquesta manera, ofereix la possibilitat de
crear tot el sistema només amb programes de programari lliure. La Debian i les
distribucions derivades utilitzen el format de paquet .deb i incorporen les eines
adequades per fer anar aquest tipus de paquet, com ara dpkg, apt o aptitude. La
Debian és una de les distribucions més estables i segures que hi ha.
lliure i gratuïta. La Ubuntu allibera una versió nova cada sis mesos (abril i
octubre) que rep el suport de Canonical durant un determinat temps. A més,
disposa de tot el suport de la comunitat de programari lliure. En la Ubuntu
podem trobar diverses derivacions o sabors dependent de l’entorn d’escriptori que
utilitzen. Entre d’altres, hi ha la Ubuntu Desktop, que utilitza l’entorn d’escriptori
GNOME; Kubuntu, que utilitza l’entorn KDE; Xubuntu, que utilitza l’entorn
XFCE; Edubunu, orientada a àmbits educatius, i Ubuntu Server, sense entorn
gràfic i orientada a la utilització en servidors.
Entorn d’escriptori
Qualsevol sistema GNU/Linux pot funcionar tant en entorn gràfic com en mode terminal. El
mode terminal és més comú en distribucions per a servidors, mentre que la interfície gràfica
està més orientada a l’usuari final. Un escriptori és un conjunt d’elements conformat per
finestres, icones i similars que faciliten la utilització del computador. Els escriptoris més
populars en Linux són: Cinnamon, GNOME, KDE, LXDE (o LXQt), XFCE.
Des de l’inici del projecte GNU/Linux, els desenvolupadors i els usuaris del
programari lliure s’han comunicat mitjançant Internet. Per això a la xarxa
sempre s’ha pogut trobar molta informació sobre el projecte, les aplicacions i les
distribucions implicades. La majoria de programes estan disponibles a Internet,
empaquetats en algun dels sistemes que hi ha o bé directament per mitjà del
seu codi font. Moltes de les distribucions que hi ha també es poden baixar
d’Internet lliurement. Tot i així, si volem disposar del suport que ofereixen
Ordre man algunes companyies, la millor manera és comprar el material que proporcionen
Linux proporciona un sistema
d’ajuda basat en text al qual
(CD, manuals, etc.) i registrar-s’hi.
s’accedeix mitjançant l’ordre
man. L’ordre és l’abreviatura de
manual. En l’àmbit del programari lliure, una de les capacitats clau per moure-s’hi amb
soltesa és saber trobar la informació que necessitem. Saber buscar i trobar la
L’ordre man ens proporciona
ajuda sobre les ordres, els fitxers documentació o els recursos que s’adaptin als problemes que tenim ens ajudarà
de configuració, les funcions i
altres ítems del sistema. La a estalviar temps i esforç. Les fonts principals en què podem trobar informació
sintaxi general de l’ordre man és
;$man <element a per resoldre problemes i aprofundir en diversos temes són les següents: la
consultar>
documentació generada per la comunitat de programari lliure, que ens podem
D’una manera recursiva, podem
utilitzar la mateixa ordre man per
descarregar gratuïtament de la xarxa; els fòrums, les llistes de correu, els grups de
consultar el manual de l’ordre notícies relacionades amb el programari lliure, els com-es-fa (how-to manuals),
man ;$man man Els manuals de
Linux estan organitzats en nou les pàgines de les diverses distribucions, la documentació incorporada en el
categories, les quals es poden
consultar en el manual de man. sistema, per exemple mitjançant l’ordre man, etc.
Sistemes operatius en xarxa 15 Instal·lació i configuració de sistemes operatius lliures
Abans d’iniciar la instal·lació del sistema operatiu en un equip, us heu de fer una
sèrie de preguntes:
• Processador.
• Memòria RAM.
• Disc dur.
• Targeta gràfica.
• Lector de CD/DVD.
• Targeta de xarxa.
3. Quin tipus d’instal·lació fareu? Heu de saber quins suports, quines eines
i quines infraestructures teniu per fer la instal·lació del sistema operatiu.
Una partició de disc és el nom genèric que rep cadascuna de les divisions
que hi ha en una sola unitat física d’emmagatzematge de dades.
Cada partició representa una unitat lògica dins d’una unitat física. La funció
principal de les particions és organitzar les dades en el suport d’emmagatzematge.
Els motius principals pels quals es recomana utilitzar particions en els discos durs
són els següents:
Abans d’explicar el procés de partició, cal fer una consideració important sobre
el tipus de sistema que voleu instal·lar. És a dir, cal que tingueu en compte els
diferents escenaris, per als quals ens calen solucions diversificades.
Cal tenir en compte que les mides proposades poden variar molt segons l’ús que
vulgueu fer del sistema. Hi ha tantes possibilitats que és impossible proposar
Sistemes operatius en xarxa 18 Instal·lació i configuració de sistemes operatius lliures
• /bin i /sbin
Sistemes operatius en xarxa 19 Instal·lació i configuració de sistemes operatius lliures
• /lib
• /dev
Disc formatat
Hi ha tres tipus diferents de particions: Un disc físic completament
formatat consisteix, en realitat,
en una partició primària que
Partició primària: és la primera divisió que es fa en el suport d’emmagatzematge. ocupa tot l’espai del disc i
posseeix un sistema d’arxius.
És obligatori que hi hagi, almenys, una partició primària. En un suport d’emma- Pràcticament qualsevol sistema
operatiu que reconegui el format
gatzematge hi pot haver quatre particions primàries o tres particions primàries i d’aquest tipus de particions les
una d’estesa (en el GNU/Linux es numeren de l’1 al 4). Han d’estar inscrites en pot detectar i els pot assignar una
unitat.
la taula de particions que és en el primer sector del disc dur, en què n’hi ha de
figurar alguna com a activa. Que la partició estigui activa vol dir que el programa
d’inicialització li cedirà el control en el moment de l’arrencada (si no hi ha cap
gestor d’arrencada instal·lat com GRUB o LILO).
Partició estesa: és un altre tipus de partició que actua com una partició primària.
Serveix per contenir-hi unitats lògiques. Va ser ideada per trencar la limitació de
quatre particions primàries en un sol disc físic. Només hi pot haver una partició
d’aquest tipus per disc i només serveix per contenir particions lògiques. Per tant,
és l’únic tipus de partició que no suporta un sistema d’arxius directament.
Partició lògica: ocupa una porció d’una partició estesa o la seva totalitat. Cada
partició lògica es pot formatar amb un tipus específic de sistema d’arxius i se li
pot assignar un directori del sistema. Les particions lògiques també es numeren.
Així, en els sistemes GNU/Linux, sempre es comencen a numerar a partir del 5.
No tots els sistemes operatius es poden instal·lar en una partició lògica. En funció
de les capacitats del nucli i del maquinari, hi pot haver des de particions lògiques
il·limitades fins a una partició estesa.
Sistema de fitxers
Els sistemes de fitxers indiquen la manera de gestionar els fitxers dins de les
particions del suport d’emmagatzematge en què resideix el sistema operatiu.
ext3: és un sistema d’arxius amb registre per diari. El registre per diari soluciona
el problema de les inconsistències implementant transaccions (similar a les bases
de dades). És la versió millorada de l’ext2, amb previsió de pèrdua de dades
Es poden veure el sistemes
de fitxers suportats per la per errades del disc dur o apagades. En contraprestació, és totalment impossible
Ubuntu a /usr/src/
/linux-headers-x.x.xx-xx/fs recuperar dades esborrades.
Haureu de valorar l’ús que fareu de l’equip per configurar la mida de la swap,
i augmentar-la si utilitzeu la hibernació. Com a guia, si disposeu de menys
de 2GB de RAM, configurareu el doble o triple de swap. Si disposeu de 2GB
o més de RAM, configurarem la swap amb la mateixa quantitat o el doble.
Una de les característiques dels sistemes UNIX i dels seus derivats és la manera
de tractar a escala de sistema els dispositius de maquinari.
Tau la 1 . 2 (continuació)
Directori Descripció
Dispositius en el GNU/Linux
Per exemple, a la figura 1.3 podeu veure com totes les particions estan configurades
dins el primer disc dur SATA (sda). La primera partició primària comença per
sda1, i la primera lògica comença per sda5.
Les aplicacions utilitzades per a la gestió de les particions en els suports d’em-
magatzematge són conegudes com a gestors o editors de particions. Aquestes
aplicacions us permetran, entre altres tasques, crear particions, esborrar-les,
redimensionar-les, copiar-les i donar-los format.
Sistemes operatius en xarxa 23 Instal·lació i configuració de sistemes operatius lliures
GParted
Abans de crear cap partició, heu de crear la taula de particions. Aquesta taula és
un índex del disc dur i indica quines particions hi ha, tipus i inici / final de cada
una. Per fer-ho, anireu a Device > Create Partition Table > Apply (podeu deixar
marcada la opció habitual msdos com a tipus de taula de particions).
Creant una nova taula de particions prepareu un disc per fer-lo servir, però
també eliminareu l’accés a qualsevol dada que hi hagués anteriorment.
A la figura 1.9 veureu la configuració feta per crear una nova partició de 10GB
(10240MB), del tipus primària, amb sistema de fitxers ext4 i amb etiqueta usuari.
Com podeu veure, per definir la mida d’una partició farem servir el camp espai
que ocuparà la partició o New Size.
Per acabar l’exercici, creareu una nova partició estesa de 20GB. Posteriorment hi
creareu dins una de lògica (també de 20GB, de tipus NTFS i d’etiqueta dades).
Us ha de quedar com a la figura 1.10
En prémer el botó Add no es creen directament les particions en el disc dur, sinó
que encara podeu modificar o esborrar les particions i continuar fent-ne de noves
(fixeu-vos en la part inferior del GParted que ens indica que hi ha operacions
pendents). Els canvis no tindran efecte en el disc dur fins que no premeu el botó
Feu sempre les pràctiques Apply (marca de verificació o tick verd superior).
en màquines virtuals o en
equips no susceptibles de
perdre informació important. Les opcions d’esborrar, redimensionar i copiar particions es poden aplicar si se
selecciona la partició implicada i es fa clic amb el botó dret del ratolí o es clica en
el menú Partition. Tingueu sempre en compte que si una partició està muntada
-té un cadenat al costat-, l’haureu de desmuntar per poder-hi fer les accions que
vulgueu. Per modificar la partició d’intercanvi també l’haureu de desactivar.
La instal·lació mitjançant un USB Bootable amb una imatge ISO és la més comuna
i la que utilitzarem si volem instal·lar el sistema operatiu en un nombre reduït
d’equips.
També podeu aconseguir CD i DVD amb les distribucions per altres vies, com ara
revistes d’informàtica, botigues d’ordinadors o distribuïdors. Si no voleu fer servir
un USB Bootable també podeu descarregar la imatge ISO d’Internet i copiar-la en
un suport CD/DVD. En algunes distribucions, com en el cas de la Ubuntu, fins i
tot les podeu demanar per correu en la pàgina web de la distribució.
Una vegada tingueu el USB Bootable o el CD o DVD, haureu de seguir una sèrie
de passos per instal·lar el sistema operatiu a l’equip. Els passos a seguir són els
següents: L’entrada al BIOS i a la
configuració d’aquest
sistema depèn del tipus de
màquina.
1. Configurar l’arrencada de l’ordinador des del USB o des del lector de
CD/DVD en el BIOS de l’equip.
Primer de tot, heu de disposar d’una targeta de xarxa PXE per poder arrencar
i instal·lar el sistema operatiu des de la xarxa. A més, heu de tenir el BIOS
configurat per iniciar l’arrencada en xarxa. També necessiteu un servidor en la
xarxa des del qual es pugui carregar el sistema.
Targeta PXE
Una targeta PXE és aquella que permet funcionar amb preboot execution environment
o entorn d’execució de prearrencada, un entorn per arrencar i instal·lar sistemes
operatius en ordinadors mitjançant una xarxa, de manera independent dels dispositius
d’emmagatzematge de dades disponibles o dels sistemes operatius instal·lats.
Sistemes operatius en xarxa 28 Instal·lació i configuració de sistemes operatius lliures
2. Xarxa local: la instal·lació del sistema operatiu es fa per mitjà dels dipòsits o
les imatges que hi ha en la LAN.
La instal·lació del sistema per la xarxa local es pot fer de maneres diferents. Una de
les més comunes és utilitzar un servidor NFS, com DRBL juntament amb eines
com Clonezilla o Fog que ens permeten generar i gestionar les imatges que cal
instal·lar, encara que també es poden utilitzar CD/DVD d’instal·lació o rèpliques
(mirrors) de dipòsits disponibles a partir de la xarxa local.
Per fer la clonació o la partició del disc dur que teniu instal·lat en el sistema
operatiu, haureu de fer servir programari específic. Podeu utilitzar diversos
programes de codi obert, com ara Clonezilla i Partimatge. Com a recurs dels
sistemes operatius GNU/Linux, és important mencionar l’ordre de sistema dd.
La clonació es pot fer amb els discos connectats en el mateix equip o per mitjà de
la xarxa.
Un mètode que ens permet combinar la instal·lació per mitjà de xarxa i la clonació,
i crear un sistema d’instal·lació remota és la utilització conjunta d’eines com
Clonezilla i un servidor DRBL o l’eina fog. Podeu veure la pantalla inicial del
DRBL a la figura 1.11
Sistemes operatius en xarxa 29 Instal·lació i configuració de sistemes operatius lliures
Altres instal·lacions
Com a resum de l’apartat, cal dir que el grau d’interacció de l’usuari que requereix
una instal·lació depèn del sistema i del tipus d’instal·lació que es faci. Cada
sistema té avantatges i inconvenients. Una instal·lació estàndard ens permet
anar pas a pas, cosa que és extremadament útil per adequar el sistema a les
nostres necessitats i possibilitats, mentre que un sistema d’instal·lació totalment
automàtic requereix unes infraestructures i uns coneixements més avançats. Per
tant, constitueix una inversió, tant de temps com d’infraestructura, que només es
justifica si el nombre de sistemes a instal·lar és molt gran.
L’Ubuntu Server està orientat i optimitzat per treballar en servidors dedicats, sense
entorn gràfic. Les diferències principals que hi ha entre les versions Desktop i
Server se centren en algunes funcionalitats del nucli del sistema i en els serveis
que tenen instal·lats. Totes dues versions, però, poden fer de servidor o d’estació
de treball indistintament.
Tot i que a continuació hi trobareu una descripció pas a pas de com fer la
instal·lació, també podeu visualitzar el procés en aquest video: https://vimeo.
com/181773917
El primer pas que haureu de fer és configurar el BIOS de l’equip en què instal·lareu
el sistema perquè arrenqui des del USB o lector de CD. Una vegada configurat, cal
que inseriu el USB o CD en el lector i arrenqueu el sistema. La primera tasca és
escollir l’idioma de la interfície tal i com mostra la figura 1.12
Si heu triat l’idioma català, és possible que vegeu una pantalla informant que la
traducció al català no és completa i potser trobeu text en anglès. Podeu continuar
si hi esteu d’acord o tornar enrera per triar un altre idioma. Aquesta pantalla és la
de la figura 1.14
La següent pantalla que veureu és la que permet escollir el país en què es troba
l’equip, important per configurar la data, hora i teclat. Aleshores seleccionareu el
país corresponent i continuareu la instal·lació. Podeu veure aquesta pantalla a la
figura 1.15
Sistemes operatius en xarxa 32 Instal·lació i configuració de sistemes operatius lliures
El pas següent us dóna dues opcions: permetre que el sistema detecti la configura-
ció del vostre teclat o bé triar una configuració de la llista que hi ha. Escolliu
la opció de No, que és la més senzilla. En la llista, cal que escolliu el país
corresponent i, dins el país, la configuració correcta del teclat. Podeu veure aquests
configuracions a la Figura 1.16., Figura 1.17. i Figura 1.18.
Si en qualsevol moment de
la instal·lació voleu tornar
enrere, ho fareu amb la
Després d’escollir la configuració del teclat, apareixerà la pantalla on cal que opció Vés enrere, i podreu
escollir el pas al qual voleu
especifiqueu el nom de la vostra màquina en la xarxa (vegeu la figura 1.19). accedir a partir d’una llista.
Manual: us permet crear i formatar les particions en els discos durs del sistema.
La podeu triar si teniu un disc dur buit o si ja teniu particions creades en el
suport d’emmagatzematge, haureu d’escollir aquesta opció i muntar els diferents
directoris del sistema en les particions que vulgueu. Així, en seleccionar aquesta
opció, apareixerà una pantalla similar a la de la figura 1.26
Heu de seleccionar la partició en què voleu muntar cada directori prement la tecla
Intro. En aquest exemple configurareu una partició primària per l’arrel del sistema,
una partició lògica per muntar la /home, i una partició lògica per la swap. Així
doncs, comenceu triant el disc dur pricipal i prement Intro. Veureu un menú com
el següent on us demanarà si voleu crear una taula de particions, i triarem sí (vegeu
la figura 1.27).
Un cop teniu el disc amb una taula de particions, ja teniu disponible l’ESPAI
LLIURE per afegir-hi particions. Comenceu sel·leccionant l’espai lliure per crear
la partició arrel (/). Vegeu la figura 1.28
A la següent pantalla us demana què voleu fer amb aquest espai lliure. Trieu Crear
una nova partició per començar a configurar el disc dur. Veure figura 1.29
Sistemes operatius en xarxa 37 Instal·lació i configuració de sistemes operatius lliures
La següent partició serà pel punt de muntatge /home (on es guarden els fitxers de
l’usuari). Serà una partició nova, Lògica i creada al principi de l’espai lliure.
El sistema de fitxers serà ext4 i el punt de muntatge /home. Us ha de quedar com
a la figura 1.35
La última partició a configurar serà l’àrea d’intercanvi o swap. Serà una nova
partició, lògica, i el sistema de fitxers és àrea d’intercanvi o swap. Comproveu
a la figura 1.36 que us ha quedat igual.
Si esteu segurs de la configuració que heu fet, triareu Finalitza la partició i escriu
els canvis al disc. Amb això es modificarà la taula de particions del disc, i no
es podrà tornar enrera ni modificar-ho, a no ser que torneu a començar el procés
Sistemes operatius en xarxa 40 Instal·lació i configuració de sistemes operatius lliures
Com que la configuració modifica el disc dur, veureu una pantalla de resum i
confirmació com la figura 1.38 Si heu fet bé les particions, podeu tirar endavant.
Els altres mètodes d’instal·lació que podem utilitzar són els següents:
Si voleu triar aquesta última opció (configuració LVM), el primer que us dema-
narà és el disc dur on voleu treballar, i us anunciarà que prepararà el disc dur per
treballar amb volums lògics (no físics com al mètode manual) tal i com mostra la
figura 1.39
Sistemes operatius en xarxa 41 Instal·lació i configuració de sistemes operatius lliures
En el següent pas podeu establiu la grandària del volum que volem gestionar amb
l’LVM. Si la grandària és petita us permetrà modificar-la mitjançant les eines de
l’LVM i us oferirà més flexibilitat. Ho podeu veure a la figura 1.40
Per defecte, us crearà una partició primària en format ext4 i una partició d’in-
tercanvi. Les dues particions ocuparan la grandària que heu determinat en la
pantalla anterior. En la partició ext4 es muntarà l’arrel del sistema. En un
partició lògica formatada en ext2 fora del volum, ens muntarà el directori /boot.
La partició que contingui /boot no podrà formar part d’un volum lògic, ja que
els carregadors d’arrancada no solen suportar aquest sistema de fitxers (aquesta
configuració la podeu modificar posteriorment). Podeu veure el resum de tota
aquesta configuració a la figura 1.41
Sistemes operatius en xarxa 42 Instal·lació i configuració de sistemes operatius lliures
Tant si heu triat la opció de configuració manual com la instal·lació amb LVM,
la instal·lació continuarà fins que el sistema necessiti accedir a internet per fer
comprovacions i descarregar actualitzacions (veieu figura 1.42). En aquest punt
us demanarà si esteu rera un proxy o servidor intermediari. Si en teniu un, haureu
d’especificar la IP d’aquest. Si no en teniu cap, tirareu endavant.
En un sistema operatiu GNU/Linux amb entorn gràfic, com ara l’Ubuntu Desktop
Edition, moltes de les ordres que transmeteu al sistema es poden fer mitjançant
l’entorn d’escriptori amb botons, finestres, quadres de diàleg i editors sofisticats
de text. Les eines gràfiques (GUI) ofereixen una estètica millorada i una major
simplificació. Per això consumeixen més recursos computacionals i, en general,
redueixen la funcionalitat assolible. Tanmateix, no sempre us trobareu amb
sistemes amb l’entorn gràfic instal·lat, com en el cas dels servidors dedicats.
També pot ser que l’entorn gràfic no funcioni per diversos motius. En qualsevol
d’aquests casos us heu de poder comunicar amb el sistema per mitjà de l’intèrpret
d’ordres (shell).
L’intèrpret d’ordres estàndard és el Bash, però n’hi ha molts més, com sh, csh, ksh,
Prompt
dash.
Es diu prompt al caràcter o
conjunt de caràcters que es Per indicar que espera una instrucció, l’intèrpret d’ordres presenta un prompt
mostren en una línia de
comandes per indicar que el al començament de la línia. Segons la configuració predefinida per l’editor de
sistema està a l’espera d’ordres.
El prompt pot variar depenent de la distribució del GNU/Linux que utilitzem, aquest prompt pot tenir diferents
l’intèrpret de comandes i sol ser
configurable. aspectes.
Per defecte, la versió Ubuntu Server Edition treballa sense entorn gràfic i, una
vegada carregat el sistema, us hi haureu de comunicar mitjançant la línia d’ordres.
En la versió Ubuntu Desktop Edition hi ha un emulador de terminal amb la línia
d’ordres en la ubicació: Per obrir-la entreu a Aplicacions > Accessoris > Terminal
o el cercareu prement el botó de Ubuntu i entrant Terminal. També podeu obrir
el Terminal amb la combinació de tecles Ctrl + Alt + t. Per accedir-hi i obrir
diferents sessions de terminal també podeu polsar la combinació de tecles Ctrl +
Alt + F1 fins a F6, amb les quals desapareixerà l’entorn gràfic. Per tal de carregar
L’arxiu /etc/shells mostra els
intèrprets d’ordres coneguts
la sessió en què funciona l’entorn gràfic polseu Ctrl + Alt + F7.
en un sistema Linux.
Sense cap mena de dubte, una de les ajudes més utilitzades i que més facilita l’ús
del terminal és l’ajuda en l’acabament d’ordres. La majoria d’intèrprets d’ordres
moderns proporciona aquesta ajuda que consisteix a finalitzar ordres que estan
escrites d’una manera parcial.
• Terminals virtuals: són els terminals als quals podem accedir amb la
combinació de tecles Ctrl+Alt+Fx en què x és el número de terminal. La
Sistemes operatius en xarxa 47 Instal·lació i configuració de sistemes operatius lliures
Els emuladors de terminal són aplicacions de les quals es poden executar múltiples
instàncies, cadascuna d’elles completament independent de les altres.
És important conèixer la sintaxi de les ordres per evitar que hi hagi gaires errors
d’escriptura.
1 [prompt]$ ordre
• Xarxa.
Sistemes operatius en xarxa 48 Instal·lació i configuració de sistemes operatius lliures
• Entorn gràfic.
• Usuaris.
• /etc/fstab Aquest arxiu conté informació sobre els dispositius que es mun-
taran automàticament durant l’arrencada del sistema.
Per editar aquests arxius podeu utilitzar els editors de text que hi ha en el sistema.
Entre els més utilitzats i que no depenen de l’entorn gràfic hi ha, per exemple, el
Vi, el nano, el JOE, etc.
En els sistemes GNU/Linux els programes que instal·leu són conjunts de paquets.
En instal·lar una aplicació en aquests sistemes, en realitat s’instal·len paquets de
programari en el sistema operatiu.
Sistemes operatius en xarxa 49 Instal·lació i configuració de sistemes operatius lliures
Els paquets binaris són paquets construïts específicament per a algun tipus
d’ordinador o arquitectura.
Els paquets font són senzillament paquets que inclouen codi font, i
generalment els pot utilitzar qualsevol tipus de màquina si el codi es compila
de manera correcta.
Un paquet deb/rpm també
es pot convertit en un altre
També podeu trobar els anomenats paquets virtuals (tonto o dummy). Són paquets format de paquet i viceversa
utilitzant l’aplicació Alien.
buits de contingut amb un nom genèric que proveeixen altres paquets mitjançant
dependències. El paquet Apache2 n’és un exemple.
Normalment tots els paquets per a una determinada distribució els podeu trobar
en els dipòsits.
Els dipòsits estan preparats per distribuir-se habitualment mitjançant una xarxa
informàtica com Internet. Tanmateix, també els podem trobar en servidors de
xarxa LAN (intranet) o en un mitjà físic, com un CD o un DVD. Els dipòsits
poden ser d’accés públic o poden estar protegits, de manera que es necessita una
autenticació prèvia per accedir-hi. Dipòsits Ubuntu
A banda dels dipòsits en línia,
És molt més aconsellable instal·lar paquets des dels dipòsits en línia amb els Ubuntu proporciona una URL en
què podeu descarregar tots els
gestors de paquets. Una de les raons és que els paquets dels dipòsits en línia estan paquets oficials disponibles per a
una determinada versió.
actualitzats i permeten satisfer les dependències entre paquets, cosa que fa que el
procés d’instal·lació sigui més senzill.
Sistemes operatius en xarxa 50 Instal·lació i configuració de sistemes operatius lliures
Els gestors de paquets són aplicacions que permeten gestionar paquets. Són
eines que faciliten les tasques més habituals relacionades amb la gestió de
paquets (instal·lació, cerques, eliminacions, etc.)
Els paquets deb són arxius ar estàndard de l’UNIX que inclouen dos arxius
tar, en format gzip, bzip2 o lzma. L’un conté la informació de control
(scripts de manteniment i metadades) i l’altre els fitxers que s’instal·laran
en el sistema.
El programa principal utilitzat per gestionar aquest tipus de fitxers és el dpkg, tot
i que sovint s’utilitza mitjançant els frontals (front ends) apt i aptitude. També
podeu utilitzar interfícies gràfiques com el Synaptic, el PackageKit o el Gdebi.
Heu de diferenciar entre el nom del paquet i el nom del fitxer .deb que el conté.
Vegeu els exemple següents:
Sistemes operatius en xarxa 51 Instal·lació i configuració de sistemes operatius lliures
Els fitxers .deb dels paquets instal·lats els podem trobar en la carpeta /var/cac-
he/apt/archives
A continuació, veureu les diferents aplicacions o ordres per gestionar paquets .deb.
DPKG
El dpkg és en si mateix una eina de baix nivell. Cal un frontal d’alt nivell per portar
els paquets des de llocs remots o resoldre conflictes complexos en les dependències
de paquets. Normalment com a usuaris utilitzarem aquestes eines d’alt nivell. El
sistema Debian compta amb l’APT per fer aquesta tasca.
Accions de consulta:
APT
APT és el sistema gestor de paquets d’alt nivell o front-end utilitzat per dpkg i,
concretament, pels sistemes Debian i derivats; així doncs, podem dir de l’APT
que:
Per veure les ordres que us proporciona l’APT podeu utilitzar la instrucció següent:
$dpkg -L apt | grep bin
1 /usr/bin
2 /usr/bin/apt−cache
3 /usr/bin/apt−cdrom
4 /usr/bin/apt−config
5 /usr/bin/apt−get
6 /usr/bin/apt
7 /usr/bin/apt−key
8 /usr/bin/apt−mark
Abans de veure les ordres que s’utilitzen per gestionar paquets, heu de mencionar
l’arxiu /etc/apt/sources.list. Aquest arxiu és imprescindible per al funcionament
de l’APT, ja que conté la informació dels dipòsits de programari des dels quals es
descarregaran els paquets .deb que volem instal·lar en el sistema.
Per defecte, està configurat per descarregar els paquets de la xarxa, però el podeu
editar i canviar per descarregar-los des de CD o DVD o per modificar els dipòsits
que hi ha i afegir-n’hi de nous.
Per veure tots els arxius de configuració emprareu la instrucció dpkg –L apt |
grep etc
Sistemes operatius en xarxa 53 Instal·lació i configuració de sistemes operatius lliures
Per instal·lar paquets .deb utilitzarem l’ordre sudo apt-get install nom_paquet.
Vegeu aquest exemple:
L’opció purge també elimina qualsevol fitxer de configuració del paquet desins-
tal·lat.
• Actualitza els dipòsits. Cada cop que feu un canvi en els dipòsits o vulgueu
comprovar si teniu les últimes versions dels paquets en els dipòsits, heu
d’executar una actualització (update) abans: apt-get update
• Actualitza tots els paquets instal·lats en les últimes versions que hi ha en els
dipòsits: apt-get upgrade
APTITUDE
Aptitude és una altra de les eines més utilitzades per a la gestió de paquets .deb,
utilitza com la resta d’eines la llibreria d’APT. Podeu definir Aptitude com:
L’aptitude és una interfície gràfica en mode text (ncurses) per a l’APT. També
es pot utilitzar com a ordre en la línia d’ordres. A les últimes versions
de Ubuntu cal instal·lar-la previament, amb l’ordre sudo apt-get install
aptitude.
Sistemes operatius en xarxa 54 Instal·lació i configuració de sistemes operatius lliures
La sintaxi i els resultats són molt semblants als de l’apt-get i l’apt-cache tot i
que no funcionen ben bé igual, sobretot pel que fa al maneig de les dependències
i a les opcions i la formatació de la sortida per pantalla. L’aptitude elimina
les dependències que queden orfes en desinstal·lar un paquet. L’APT no ho fa
automàticament, sinó que heu d’utilitzar l’ordre clean.
Per instal·lar paquets .deb amb l’aptitude utilitzareu l’ordre aptitude install
nompaquet. Vegeu l’exemple següent: $aptitude install traceroute
L’opció purge també elimina qualsevol fitxer de configuració del paquet desins-
tal·lat.
• Actualitza tots els paquets instal·lats en les últimes versions que hi ha en els
dipòsits: aptitude upgrade
Per fer servir la interfície gràfica haureu d’utilitzar les tecles següents, cadascuna
de les quals té la seva funció:
• Ajuda: ?
Per tal d’instal·lar un paquet amb la interfície gràfica de l’aptitude seguirem els
passos següents:
• Paquet instal·lat: i
• Paquet virtual: v
• Paquet trencat: B
Gairebé tots els sistemes GNU/Linux, en les versions amb interfície gràfica,
incorporen gestors de paquets en mode gràfic per facilitar les tasques d’instal·lació,
desinstal·lació, recerca i configuració de paquets.
Synaptic
Synaptic és una altra de les eines més utilitzades, sobretot en entorns d’escriptori
GNOME, per a la gestió de paquets .deb. També utilitza la llibreria APT; el podem
definir com a:
La casella del costat del nom de cada paquet en determina l’estat: blanc si no està
instal·lat, verd si està instal·lat i amb un vist si està marcat per ser instal·lat. A la
següent figura 2.2 es mostra el Synaptic amb el navegador web Chromium marcat
per ser instal·lat.
Per instal·lar paquets amb el Synaptic els heu de buscar. Seguidament, hi heu de
fer doble clic al damunt. També podeu fer servir el botó dret del ratolí i seleccionar
l’opció Marcar-los per instal·lar. Una vegada marcats tots els paquets que voleu
instal·lar, cliqueu a Aplica. Si els paquets tenen dependències d’altres paquets,
us preguntarà si també les voleu instal·lar. Vegeu-ne l’exemple en la figura 2.2,
on hi ha marcats en verd dos paquets que s’instal·laran com a dependències del
navegador Chromium.
Sistemes operatius en xarxa 57 Instal·lació i configuració de sistemes operatius lliures
Per desinstal·lar un paquet (ha de tenir la casella verda al costat), hi heu de clicar al
damunt amb el botó dret del ratolí i seleccionar Marca per eliminar o Marca per
eliminar completament segons calgui. A continuació, heu de fer clic a Aplica.
Ho veieu a la següent figura figura 2.3
Quan un paquet instal·lat té una estrelleta en la casella d’estat vol dir que hi ha
actualitzacions disponibles d’aquest paquet i el podem Marcar per actualitzar. Execució de gestors
Mai no hi pot haver més d’una
Des del Synaptic, entre altres coses, també podem actualitzar tots els paquets aplicació de gestió de paquets
oberta al mateix temps. Si una
instal·lats i modificar la configuració de les llistes de dipòsits de paquets de l’APT. aplicació de gestió de paquets es
penja pot deixar bloquejat
l’accés al dipòsit.
Tasksel
El sistema de paquets RPM el va crear la companyia Red Hat. Per això es diu
RPM (Red Hat package manager). Amb el temps, d’altres distribucions han anat
adoptant aquest sistema d’empaquetatge de fitxers. Les distribucions principals
que l’han adoptat són Fedora, Suse i Mandrake.
RPM
Els paquets amb format rpm utilitzen principalment l’ordre rpm per a la ins-
tal·lació. La sintaxi general d’una ordre d’instal·lació rpm és aquesta:
1 rpm -i [opcions] [paquets]
1 rpm −e vim−4.5−2.i386.rpm
YUM
L’aplicació YUM també és una eina important per administrar paquets RPM.
S’utilitza en distribucions importants com Fedora o CentOS. A més, el sistema
de dipòsits yum s’ha convertit en un estàndard per als dipòsits basats en l’RPM.
Sistemes com l’openSUSE basen els seus dipòsits en yum. Podem fer l’analogia
amb apt en els paquets Debian. Es pot considerar, doncs, que yum és el el frontal
de l’rpm. La sintaxi és similar a la de l’rpm:
Els dipòsits des dels quals l’eina yum descarrega els paquets es configuren a la
carpeta /etc/yum.repos.d. L’estructura del dipòsit és diferent a la de Debian, però
la funcionalitat és la mateixa.
L’eina yum també disposa de molts entorns gràfics, com ara pirut o packagekit.
En algunes darreres versions, la versió del nucli del sistema també pot canviar
respecte a la versió anterior. Així, s’afegeix, per exemple, suport a dispositius o
eines que abans no tenien.
Sistemes operatius en xarxa 60 Instal·lació i configuració de sistemes operatius lliures
L’actualització del sistema la podeu fer de diferents maneres. Les principals són
des d’un suport físic (CD/DVD o USB) o des de la xarxa. Aquesta última és la
més recomanada, ja que els paquets estaran actualitzats.
Anar al menú Sistema > Administració > Gestor d’actualitzacions o cercar-lo des
del botó de Ubuntu.
Tot seguit s’obrirà el Gestor d’actualitzacions, en què es veuen, entre altres, els
paquets que el sistema us recomana actualitzar. Per actualitzar tot el sistema ha
d’aparèixer la disponibilitat d’una versió nova. Si cliqueu a Actualitza, tal com es
veu en la figura 2.5, el sistema es començarà a actualitzar amb la darrera versió.
Per tal d’actualitzar el sistema operatiu amb la versió Server de l’Ubuntu, heu
d’instal·lar (pot ser que ja estigui instal·lat) el paquet update-manager-core:
1 $sudo apt−get install update−manager−core
A la següent figura (figura 2.7) es pot observar les ordres a realitzar, tot i que en
aquest exemple el servidor ja està actualitzat.
En el cas que hi hagi una nova versió, confirmeu que voleu actualitzar el sistema
operatiu i començarà l’actualització des de xarxa. Al final del procés el sistema
Sistemes operatius en xarxa 62 Instal·lació i configuració de sistemes operatius lliures
us preguntarà si voleu eliminar els paquets obsolets. Li heu de dir que sí. Després
de l’actualització el sistema s’haurà de reiniciar. Una vegada reiniciat, ja tindreu
l’Ubuntu Server Edition actualitzat.
Es coneix com a procés d’aturada tot allò què succeeix en el vostre ordinador
des que donem l’ordre d’aturada fins que el sistema deixa d’estar operatiu.
El procés d’aturada ofereix a l’administrador del sistema una sèrie d’opcions
com ara apagar o reiniciar el sistema.
Per ordre d’execució els passos del procés d’arrencada són els següents:
10. Finalment, es proporciona a l’usuari una pàgina d’inici de sessió que pot ser
per línia d’ordres o per entorn gràfic. També és possible configurar l’entorn
per tal que l’usuari entri sense necessitat de fer login.
Sistemes operatius en xarxa 64 Instal·lació i configuració de sistemes operatius lliures
El nucli, al seu torn, inicia la resta del sistema operatiu. Els gestor d’arrencada més
conegut i utilitzat és el GRUB (grand unified bootloader). El gestor d’arrencada
és un programa mínim que s’instal·la en un dispositiu arrencable. El lloc més
habitual és l’MBR del primer disc dur o el sector d’arrencada d’un disquet.
Procés dimoni
Un dimoni o daemon (disk and execution monitor ), és un tipus especial de procés informàtic
que s’executa d’una manera contínua en segon terme, en comptes de ser controlat
directament per l’usuari, és a dir, és un procés no interactiu. Generalment, els dimonis
no disposen d’una “interfície” directa amb l’usuari, ja sigui gràfica o textual i no fan ús de
les entrades i sortides estàndard per comunicar errors o registrar-ne el funcionament, sinó
que usen arxius del sistema en zones especials com /var/log/ o utilitzen altres dimonis
especialitzats en aquest registre com el syslogd.
A continuació veureu una taula (taula 2.1) que mostra els nivells d’execució o
runlevels que hi ha en els sistemes GNU/Linux i la descripció de cadascun.
4 Normalment no s’utilitza.
Sistemes operatius en xarxa 66 Instal·lació i configuració de sistemes operatius lliures
Tau la 2 . 1 (continuació)
Mode monousuari
El mode monousuari (single user) es pot fer servir per corregir problemes amb
sistemes de fitxers corruptes que el sistema no pot resoldre automàticament.
També s’utilitza per instal·lar programari i altres tasques de configuració del
sistema que s’han de fer sense que hi hagi cap usuari connectat, com ara les còpies
de seguretat del sistema. En aquest mode l’únic procés d’usuari que es llança és el
sulogin, que només permet la validació com a arrel (root). Per tant, l’únic usuari
que pot treballar en aquest mode serà el superusuari.
Els serveis que estan instal·lats en el sistema creen un script situat en el directori
/etc/init.d, que permet controlar el servei (arrencar-lo, aturar-lo, reiniciar-lo, etc.).
Quan l’argument stop es passa al nom de l’script, el dimoni s’atura. Amb el
paràmetre start, en canvi, s’arrenca. Hi ha altres opcions, com ara restart, reload
o status.
El fet que un servei estigui instal·lat no vol dir que estigui configurat per arrencar-
se automàticament en iniciar el sistema. Per això s’ha d’activar.
Per veure tots els serveis instal·lats i l’estat en què es troben (activat/desactivat)
s’ha d’usar l’ordre service –status-all per distribucions Ubuntu a partir de la 15.04
o initctl list per qualsevol distribució.
Per configurar els runlevels heu d’accedir al directori /etc/, on trobem una sèrie
de directoris, un per a cada nivell d’execució:rc0.d – rc6.d.
Aquest directori conté scripts individuals d’aturada i arrencada per a cada servei
en el sistema. En cadascun dels directoris dels runlevels (des de /etc/rc0.d fins
/etc/rc6.d) hi ha enllaços simbòlics que apunten als scripts del directori /etc/init.d.
[K|S][número_seqüència][descripció]
Quan el procés init entra en un nivell d’execució examina els enllaços del directori
associat, els llista alfabèticament i els executa amb un paràmetre: start si comença
per S i stop si comença per K.
Per conèixer el nivell d’execució en què us trobeu una vegada arrencat el sistema
podem utilitzar l’ordre runlevel, la qual mostra el nivell d’execució actual i
l’anterior mitjançant un número. Si no s’ha efectuat cap canvi de nivell, el nivell
anterior apareixerà com a N.
Sistemes operatius en xarxa 68 Instal·lació i configuració de sistemes operatius lliures
Per tal de canviar el nivell d’execució podeu utilitzar l’ordre init o telinit. Aquesta
última és un enllaç a init. Així doncs, el nivell es pot indicar amb el número de
nivell corresponent o si voleu canviar al mode monousuari amb les lletres S o s.
Per exemple, l’ordre següent us passaria del runlevel actual al runlevel 3: $sudo
init 3
Per canviar de target haureu d’entrar, per exemple: systemctl isolate graphi-
cal.target. Amb aquesta última comanda entrareu a l’antic nivell d’execució 5.
Systemd també afegeix noves opcions per gestionar els serveix. Així doncs, per
veure els serveis en funcionament entrareu systemctl.
Systemd continua sent compatible amb les ordres anteriors per gestionar serveis,
com service nom_servei status.
Sistemes operatius en xarxa 69 Instal·lació i configuració de sistemes operatius lliures
En els sistemes GNU/Linux hi ha una ordre per aturar el sistema, l’ordre shut-
down.
Les ordres que pot executar shutdown són reboot, halt i poweroff. Són les que
realment reinicien, aturen o apaguen el sistema, respectivament. L’ordre poweroff
és equivalent a halt -p.
Per conèixer totes les opcions de l’ordre shutdown podeu consultar el manual del
sistema amb l’ordre man shutdown.
Per tal de saber si la targeta de xarxa que teniu instal·lada en l’equip s’ha detectat
i mostrar-ne alguns dels paràmetres, podeu utilitzar l’ordre següent:
Una vegada us hàgiu assegurat que els dispositius físics de xarxa de l’equip
funcionen correctament, heu de determinar si la configuració dels paràmetres
de xarxa assignats per defecte a la instal·lació del sistema és correcta o l’heu de
modificar.
• Adreça IP
• Màscara de xarxa
• Porta d’enllaç
• Servidor de DNS
També és interessant tenir en compte les taules de rutes del vostre equip, sobretot
si actua com un encaminador a la xarxa.
En l’Ubuntu 9.04 Desktop Edition aquestes configuracions les podem fer gràfica-
ment o mitjançant la línia d’ordres. Aquesta última opció és la mateixa per a la
versió Server.
Per tal d’establir els paràmetres de xarxa gràficament, feu clic amb el botó dret del
ratolí al damunt de la icona de xarxa de la part superior esquerra de la pantalla i
seleccioneu l’opció Edita les connexions.
Depenent del tipus de configuració que tingueu (amb fil o sense, dsl, etc.),
seleccioneu la interfície que voleu configurar i polseu el botó Edite. A continuació
apareixerà un quadre en què heu de seleccionar la pestanya Parametres IPv4. Tal
com podeu veure en la figura 2.9, hi heu d’establir els paràmetres de configuració
que vulgueu mitjançant les diverses opcions que ofereix.
Sistemes operatius en xarxa 71 Instal·lació i configuració de sistemes operatius lliures
Per fer la configuració mitjançant la línia d’ordres heu d’editar el fitxer /etc/-
network/interfaces. Per exemple:
1 $sudo nano /etc/network/interfaces
Per configurar estàticament els paràmetres de xarxa, afegiu en el fitxer les línies
que apareixen en l’exemple següent:
1 auto eth0
2 iface eth0 inet static
3 address 192.168.3.90
4 netmask 255.255.255.0
5 gateway 192.168.3.1
6 dns−nameservers 8.8.8.8
El fitxer /etc/hosts és el fitxer que el sistema llegirà per defecte si la vostra màquina
no utilitza un servidor DNS. Si l’editeu, $sudo nano /etc/hosts, veureu el següent:
1 127.0.0.1 localhost
2 192.168.0.1 nomdomini
Sistemes operatius en xarxa 72 Instal·lació i configuració de sistemes operatius lliures
Podeu establir manualment el nom i l’adreça de les màquines que voleu resoldre.
1 domain local.lan
2 search local.lan
3 nameserver 8.8.8.8
Després de fer els canvis en els diversos fitxers de configuració dels paràmetres de
xarxa, heu de reiniciar els serveis de xarxa perquè els canvis tinguin efecte amb
l’ordre:
1 /etc/init.d/networking restart
Una vegada configurats els paràmetres de xarxa del sistema, heu de comprovar
que funcionin correctament. Per fer-ho podeu utilitzar una sèrie d’ordres o eines
que hi ha en tots els sistemes operatius GNU/Linux. Aquestes ordres serveixen
per fer el monitoratge del funcionament de la xarxa. Les ordres principals són les
següents:
Ordre ping
L’ordre ping és una de les ordres més utilitzades per diagnosticar el funcionament
dels diferents elements d’interconnexió o nodes d’una xarxa.
Per comprovar que el servidor web de Google està funcionant, executaríeu l’ordre
següent: El paràmetre -c 4 us
determina el nombre de
sol·licituds de resposta o
1 $ping −c 4 google.com ECHO_REQUEST paquets.
2 Pinging www.l.google.com [64.233.183.103] with 32 bytes of data:
3 Reply from 64.233.183.103: bytes=32 time=12ms TTL=244
4 Reply from 64.233.183.103: bytes=32 time=12ms TTL=244
5 Reply from 64.233.183.103: bytes=32 time=12ms TTL=244
6 Reply from 64.233.183.103: bytes=32 time=12ms TTL=244
7 Ping statistics for 64.233.183.103:
8 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
9 Approximate round trip times in milli−seconds:
10 Minimum = 12ms, Maximum = 12ms, Average = 12ms
Ordre traceroute
L’ordre traceroute permet seguir la pista dels paquets que van d’un node de
xarxa a un altre i especificar el camí que han recorregut.
Per fer ús de traceroute cal escriure, després de l’ordre, l’adreça de xarxa o el nom
del domini al qual voleu arribar. Vegeu l’exemple següent:
Voleu conèixer el camí, és a dir, els nodes pels quals passaran els paquets, en
establir una comunicació amb el servidor de Google. Així executeu l’ordre
següent:
1 $traceroute www.google.com
2 traceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets
3 1 1 ms 1 ms 1 ms 192.168.1.1
4 2 * 53 ms 116 ms 192.168.153.1
5 3 48 ms 48 ms 45 ms 66.Red−80−58−123.staticIP.rima−tde.n 3.66]
6 4 48 ms 48 ms 46 ms So−3−0−0−0−grtbcnes1.red.telefonica−t
[84.16.9.253]
7 5 68 ms 67 ms 88 ms Xe11−0−0−0−grtpartv1.red.telefonica−t
[84.16.13.142]
8 6 65 ms 64 ms 64 ms GOOGLE−xe−9−0−0−0−grtpartv1.red.tele sale.net
9 \[84.16.6.106]
10 7 66 ms 67 ms 68 ms 209.85.251.40
11 8 140 ms 74 ms 74 ms 209.85.243.111
12 9 72 ms 75 ms 72 ms 72.14.236.191
13 10 78 ms 72 ms 84 ms 209.85.243.93
14 11 72 ms 74 ms 75 ms wy−in−f99.1e100.net [209.85.227.99]
L’ordre us retorna la IP del servidor Google, el nombre de salts (nodes) pels quals
passen els nostres paquets, la IP o el nom de màquina de cada node i el temps
d’anada i tornada de les tres proves que fa l’ordre traceroute per a cada salt.
Sistemes operatius en xarxa 74 Instal·lació i configuració de sistemes operatius lliures
Ordre ifconfig
L’ordre ifconfig és una eina bàsica per conèixer i configurar els paràmetres de
xarxa d’un equip, en permet conèixer i configurar les IP de les interfícies de xarxa,
les MAC, els errors i les estadístiques de transmissió, entre altres informacions.
L’ordre ifconfig potser no Així doncs:
mostra totes les interfícies
de xarxa d’un equip
depenent de si són sense fil,
etc.
Si executem l’ordre sense paràmetres us mostra la informació de cadascuna de les
interfícies de xarxa configurades a l’equip.
1 $ifconfig
2 eth0 Link encap:Ethernet HWaddr 00:0A:E6:C6:07:85
3 inet addr:132.18.0.16 Bcast:132.18.0.255 Mask:255.255.255.0
4 inet6 addr: fe80::20a:e6ff:fec6:785/64 Scope:Link
5 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
6 RX packets:18458 errors:0 dropped:0 overruns:0 frame:0
7 TX packets:8982 errors:0 dropped:0 overruns:0 carrier:0
8 collisions:0 txqueuelen:1000
9 RX bytes:4015093 (3.8 MiB) TX bytes:1449812 (1.3 MiB)
10 Interrupt:10 Base address:0xd400
En la primera línia podem veure el nom de la interfície, eth0, l’adreça IP, l’adreça
de broadcast i la MAC; en la línia següent us mostra, entre altres dades, l’adreça
ipv6 corresponent. La línia següent us proporciona la grandària màxima (MTU)
dels paquets transmesos per aquesta interfície i la mètrica; la resta de línies us
mostren estadístiques sobre els paquets rebuts i enviats per la interfície i dades
referents al maquinari com el nombre d’interrupció de la targeta de xarxa i l’adreça
de memòria relacionada.
Ordre netstat
L’ordre netstat és una eina per veure les connexions actives d’un ordinador, tant
d’entrada com de sortida.
La informació que es retorna inclou el protocol en ús, les adreces IP (tant locals
com remotes), els ports locals i remots utilitzats i l’estat de la connexió. Vegeu
l’exemple següent:
1 $netstat −nr
1 $netstat −a
Sistemes operatius en xarxa 75 Instal·lació i configuració de sistemes operatius lliures
1 $netstat −l
Ordre nmap
L’ordre nmap us serveix per rastrejar els ports d’una màquina i mostrar-ne
l’estat. S’utilitza sobretot per avaluar la seguretat del sistema i per veure els
serveis que ofereix.
Ho heu de tenir en compte, ja que també pot ser utilitzada en contra vostra amb
finalitats malicioses.
Per comprovar quins ports estan oberts en el nostre equip, podeu executar des del
mateix l’ordre següent:
Aquesta ordre us mostra per defecte tots els ports tcp, especificant-ne el número i
el protocol al qual correspon, que tenim oberts.
Ordre route
L’ordre route permet veure i manipular la taula de rutes del sistema operatiu. La
taula de rutes emmagatzema les rutes en els diferents nodes de la xarxa.
1 $route
2 Kernel IP routing table
3 Destination Gateway Genmask Flags Metric Ref Use Iface
4 10.0.2.0 * 255.255.255.0 U 1 0 0 eth0
5 link−local * 255.255.0.0 U 1000 0 0 eth0
6 default 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
Sistemes operatius en xarxa 76 Instal·lació i configuració de sistemes operatius lliures
Ordre ip
Aquest paquet el podem trobar inclòs en el Debian i el Red Hat amb versions del
nucli a partir de la 2.2.
• Permet als usuaris veure els enllaços de veïnatge, afegir entrades de veïnatge
noves i esborrar les antigues: neighbour
• Permet als usuaris veure les taules d’encaminament i canviar-ne les regles:
route
• Permet als usuaris veure els túnels IP i les propietats que tenen, i canviar-los:
tunnel
• Permet als usuaris veure les adreces multienllaç i les propietats que tenen, i
canviar-les: maddr
Moltes de les tasques que s’han d’efectuar són rutinàries: rotació dels fitxers de
registre, neteja de fitxers i directoris temporals, reconstrucció de bases de dades
del sistema, còpies de seguretat, etc. A continuació, veureu algunes de les eines
que us ofereix el GNU/Linux per automatitzar diverses tasques.
Cron
Una de les eines més utilitzades en els sistemes GNU/Linux per automatitzar
tasques és l’eina cron.
El Cron és el nom del programa que permet als usuaris de sistemes GNU/Linux
executar ordres o guions d’intèrpret d’ordres de manera automàtica en una
data i un temps específics. Sovint els administradors de sistemes fan servir aquest
programa com a eina per automatitzar tasques d’administració.
Només l’usuari primari pot editar o eliminar el fitxer crontab d’altres usuaris.
Sistemes operatius en xarxa 78 Instal·lació i configuració de sistemes operatius lliures
Mitjançant les ordres anteriors programarem les tasques per a l’usuari logejat en
el sistema en aquell moment.
Per tal de programar tasques per a tot el sistema, editeu el fitxer /etc/crontab i
afegiu-hi les tasques que voleu programar amb el format específic que dóna el
fitxer. El podem veure en la figura 2.10.
F i g ura 2 . 1 0. crontab
Per exemple, per executar un programa una vegada al dia a les 6.15 h, introduirem
la línia següent en el fitxer /etc/crontab:
1 15 6 * * * programa
Es poden indicar diversos valors per a un camp separant-los per comes (1,3,6) o
especificar un rang de valors (3-7).
Ordre at
La sintaxi és la següent:
1 at -f fitxer temps
temps: Pot indicar una hora (HH:MM) o una data (amb el format MMDDYY,
MM/DD/YY o MM.DD.YY).
Quan es programa una tasca amb l’ordre at es genera un job amb un número que
permet gestionar-lo. La sortida d’at és fa enviant un correu electrònic a l’usuari
que ha programat la tasca. També podeu utilitzar altres opcions:
La possibilitat de poder-se connectar remotament per mitjà de xarxa des d’un equip
a una determinada màquina o node, per manejar-la com si la tinguéssiu al davant,
és una tasca imprescindible per a l’administració de qualsevol sistema informàtic.
En els sistemes GNU/Linux teniu dues possibilitats per fer aquesta connexió de
manera senzilla mitjançant l’arquitectura client/servidor. Es pot fer via Telnet o
via SSH (secure shell).
El fet que la informació viatgi sense xifrar permetria a algú que espiés el tràfic
de la xarxa capturar les dades i accedir a la xarxa il·lícitament. Una altra falta
de seguretat per la qual no es recomana utilitzar aquest protocol és la manca
d’un esquema d’autenticació que permeti assegurar que la comunicació s’estableix
entre les màquines adequades i que, per tant, no ha estat interceptada. El protocol
Telnet s’utilitza sobretot per a la configuració local d’encaminadors (routers).
El protocol SSH us permet efectuar múltiples tasques de manera segura, com ara
còpies i transferències segures de fitxers mitjançant les ordres scp i sftp. Qualsevol
aplicació que utilitzi el protocol TCP es pot fer servir per mitjà d’un túnel segur
amb protocol SSH, cosa que proporciona una alternativa potent per crear sistemes
VPN. La versió lliure i oberta del protocol SSH, que és de propietat, és l’OpenSSH.
En tots dos casos, Telnet i SSH, la comunicació s’estableix entre servidors i clients.
Les màquines a les quals us voleu connectar hauran de tenir instal·lada l’aplicació
servidor i les màquines des de les quals ens volem connectar, l’aplicació client.
Vegeu el procés d’instal·lació i configuració d’un servei SSH en un equip amb
l’Ubuntu 16.04 Server Edition.
Quan el servei SSH s’instal·la es creen un parell de claus, una de pública i una altra
de privada, que s’utilitzen per autenticar, en intercanviar-se, tant el client com el
servidor.
Les modificacions principals per fer més robusta la seguretat de la connexió han
de ser les següents:
• Establir, si és possible, una llista per restringir els usuaris amb permisos per
connectar-se remotament (paràmetre AllowUsers).
Per tal que els canvis en el fitxer de configuració tinguin efecte, cal reiniciar el
servei:
Una vegada configurat el servidor, per poder connectar-vos remotament des d’una
màquina client heu d’utilitzar bàsicament l’ordre següent:
Abans de poder fer el monitoratge del sistema, heu de saber de quins recursos
disposeu per tal de poder-los controlar. Tots els sistemes operatius connectats a la
xarxa disposen dels recursos següents:
Cal examinar en cada cas la situació del sistema que voleu monitorar. En general,
podeu trobar dos escenaris:
En ambdues opcions haureu d’analitzar les dades extretes del procés de monito-
ratge per tal d’aconseguir el vostre objectiu. Heu de tenir en compte que per a
cadascun dels recursos anteriors podeu obtenir una gran quantitat de dades.
El moment idoni per examinar detalladament les dades d’ús de la CPU i començar
a determinar en quin punt es consumeix la major part de la capacitat de processa-
ment és quan el percentatge d’ús de la unitat arriba al 100%.
Algunes de les estadístiques més populars d’utilització de la CPU són les següents:
Canvis de context
Un canvi de context ocorre quan la CPU atura l’execució d’un procés i comença
a executar-ne un altre. Com que cada context requereix que el sistema operatiu
prengui el control de la CPU, els canvis de context excessius i els nivells alts de
consum de la CPU a escala de sistema tendeixen a estar molt relacionats.
Interrupcions
Processos executables
Un procés pot tenir diferents estats. Quan l’estat d’un procés es torna executable
vol dir que aquest procés necessitarà temps de CPU per fer la seva tasca. Com que
només hi pot haver un procés en execució en cada moment en la CPU, la resta de
processos executables estaran en estat d’espera. D’aquesta manera, mitjançant el
monitoratge del nombre de processos executables és possible determinar com de
compromesa està la CPU del sistema.
Sistemes operatius en xarxa 84 Instal·lació i configuració de sistemes operatius lliures
La memòria del sistema és una àrea en què hi ha una gran quantitat d’estadístiques
de rendiment.
Pàgines dintre/fora
Pàgines actives/inactives
Intercanvi dintre/fora
Espai lliure
Probablement, l’espai lliure és el recurs que heu de vigilar més de prop. Heu de
procurar que el vostre sistema sempre disposi d’una quantitat adequada d’emma-
gatzematge per tal de cobrir-ne les necessitats.
De vegades aquests dos aspectes van lligats, ja que pot ser que un atac al sistema
afecti el rendiment. Tant si teniu una LAN sense accés des d’Internet com si oferiu
qualsevol tipus de servei a l’exterior, heu de controlar que tant els paràmetres de
rendiment com els de seguretat estiguin dins dels límits establerts per la política
del sistema.
Podeu tenir en compte les estadístiques següents per fer el monitoratge de la xarxa:
Bytes rebuts/enviats
Les estadístiques de la interfície de xarxa proporcionen un indicatiu de la utilitza-
ció de l’amplada de banda de la xarxa.
Sistemes operatius en xarxa 86 Instal·lació i configuració de sistemes operatius lliures
A tall de resum de l’apartat de monitoratge, cal dir que heu de ser conscients que
les estadístiques d’utilització de la CPU poden acabar apuntant un problema en el
subsistema d’E/S o que les estadístiques d’utilització de memòria poden indicar
que hi ha un defecte en una aplicació.
A continuació, veurem algunes de les ordres i les eines lliures més utilitzades en
el monitoratge de sistemes:
Ordres de monitoratge
Els sistemes GNU/Linux incorporen moltes ordres que tenen la funció de propor-
cionar dades pràctiques per al monitoratge del sistema. A continuació, en veurem
algunes de les més utilitzades.
Ordre top
L’ordre top mostra una llista dels processos del sistema. Aquesta llista s’actualitza
freqüentment, de manera que proporciona informació en temps real sobre el fun-
cionament del sistema. Els processos s’ordenen per l’ús de CPU i mostren el PID,
l’usuari, el tant per cent de CPU consumit o el tant per cent de memòria utilitzada,
entre altres dades dels processos. L’ordre top és molt útil per als administradors
de sistema, ja que mostra els usuaris que consumeixen una quantitat específica de
Sistemes operatius en xarxa 87 Instal·lació i configuració de sistemes operatius lliures
Amb vmstat és possible obtenir una vista general dels processos, la memòria,
l’espai d’intercanvi, les entrades i les sortides i l’activitat de la CPU mitjançant
línies, tal com podem veure a la figura 2.12.
• us: Temps consumit executant codi que no pertany al nucli del sistema
(temps d’usuari).
• sy: Temps consumit executant codi que pertany al nucli del sistema
(temps de sistema).
• id: Temps consumit funcionant en buit.
• wa: Temps consumit esperant operacions d’E/S.
Ordre tcpdump
Normalment, el tcpdump s’utilitza amb filtres que determinen les dades que s’han
de capturar. Per exemple:
Aplicacions de monitoratge
Fi gu ra 2 . 1 3
Tal com mostra la imatge anterior, aquesta aplicació us permet controlar l’ús que
s’està fent dels recursos del sistema, la CPU, la memòria, el disc dur o el trànsit
d’interfície de xarxa, entre altres, de manera gràfica.
És una altra eina molt interessant i que permet visualitzar de manera gràfica l’espai
ocupat en el disc dur. Amb el baobab podeu veure fàcilment quines carpetes
ocupen més espai i desplegar l’arbre de directoris per veure la grandària exacta de
cadascun dels subdirectoris. L’eina també disposa d’un cercador d’arxius i detecta
Sistemes operatius en xarxa 90 Instal·lació i configuració de sistemes operatius lliures
en temps real els canvis que es fan en el sistema de fitxers, també el muntatge i el
desmuntatge d’unitats.
El Baobab és molt útil per veure l’espai que ocupa cada usuari en la màquina o
determinar quines carpetes s’haurien de netejar primer per fer espai en el disc dur.
En podeu veure l’aspecte en la figura 2.14.
Detectors (sniffers)
• Anàlisi de fallades per descobrir problemes en la xarxa, com ara per quina
raó l’ordinador A no pot establir una comunicació amb l’ordinador B.
Sistemes operatius en xarxa 91 Instal·lació i configuració de sistemes operatius lliures
Hi ha una gran quantitat de packet sniffers per a Ethernet/LAN. Alguns dels més
coneguts són el Wireshark (Ethereal), l’Ettercap i el Tcpdump. També n’hi ha
molts per a xarxes sense fil, com el Kismet o el Network Stumbler. En la figura
2.15 es mostra l’aspecte de l’eina Wireshark:
Per instal·lar el Wireshark entrareu l’ordre sudo apt-get install wireshark, accep-
tant la pregunta sobre si els usuaris no administradors poden capturar trànsit.
Ntop
L’Ntop (Network top) permet el monitoratge en temps real dels usuaris i les
aplicacions que consumeixen recursos de xarxa en un moment concret. També
possibilita la detecció de configuracions incorrectes d’algun equip o servei.
L’Ntop està desenvolupat dins del projecte GNU i disposa d’un microservidor
web que permet veure la sortida de manera remota amb qualsevol navegador.
Ho podem veure en la figura 2.16. Els protocols que l’Ntop pot monitorar
són els següents: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,
Sistemes operatius en xarxa 92 Instal·lació i configuració de sistemes operatius lliures
Netbios. Dins del TCP/UDP, és capaç d’agrupar-los per FTP, HTTP, DNS,
Telnet, SMTP/POP/IMAP, SNMP, NFS i X11. El programari d’aquesta eina està
desenvolupat per a plataformes GNU/Linux i Windows.
El podeu instal·lar amb la comanda sudo apt-get install ntop, i executar des des
d’un navegador web entrant la URL localhost:3000.
Nagios
Es tracta d’un programari que proporciona una gran versatilitat per consultar
pràcticament qualsevol paràmetre d’interès d’un sistema i genera alertes quan
aquests paràmetres excedeixen dels marges definits. Els administradors poden
rebre aquestes alertes mitjançant correu electrònic i missatges SMS.
dels sistemes que són objecte de monitoratge. Es mostra en la figura 2.17. A més,
el Nagios permet la visualització del llistat de notificacions enviades, l’historial
de problemes, els arxius de registres, etc.
Munin
Amb Munin es pot fer fàcilment el monitoratge del rendiment dels ordinadors,
les xarxes i els serveis. A més, un gran nombre de connectors de control estan
disponibles a Munin.
El Munin utilitza l’eina RRDtool, està escrit en Perl i funciona amb l’arquitectura
client/servidor, de manera que el servidor es connecta a tots els clients en intervals
regulars i els demana les dades. A continuació, emmagatzema les dades en els
arxius RRD i si cal actualitza els gràfics. En la figura 2.18 veiem un exemple de
les dades que ofereix.
Sistemes operatius en xarxa 94 Instal·lació i configuració de sistemes operatius lliures
Polítiques
Les polítiques s’escriuen per formalitzar i aclarir els criteris a l’hora de gestionar el
sistema. Aquestes polítiques estableixen la manera com es manegen les sol·licituds
de recursos o d’assistència. La naturalesa, l’estil i el mètode de les polítiques
varien segons l’organització.
Sistemes operatius en xarxa 95 Instal·lació i configuració de sistemes operatius lliures
Procediments
Els procediments són seqüències de passos sobre accions que s’han de fer per
arribar a una tasca determinada. Els procediments a documentar inclouen
procediments de còpies de seguretat, procediments d’administració de comptes
d’usuaris, procediments d’informes de problemes, etc.
Modificacions
3. Serveis de directori
Per assolir els coneixements adequats necessiteu conèixer els conceptes de directo-
ri i servei de directori. A més, convé saber en què consisteix, per a què s’utilitza i
com funciona el protocol de servei de directori més utilitzat en els sistemes lliures,
l’LDAP. Per poder desenvolupar tots els coneixements adquirits cal instal·lar,
configurar i administrar l’OpenLDAP, el projecte de codi obert que proporciona
tant el servidor com el client del protocol LDAP. Convé conèixer diverses eines
gràfiques per administrar el servei de directori i veure un exemple d’instal·lació i
funcionament d’una d’aquestes eines, concretament la phpLDAPadmin.
La finalitat dels directoris clàssics és, per tant, emmagatzemar físicament la infor-
mació de manera estructurada per tal de facilitar l’accés a les dades necessàries i
l’actualització.
Per simplificar, es pot dir que la finalitat dels directoris electrònics és la mateixa
que la dels clàssics, tot i que el tipus d’informació que s’hi emmagatzema, la
manera de treballar-hi i el suport físic que tenen és diferent. Aquest tipus de
directoris estan orientats a emmagatzemar, en algun suport informàtic, informació
relativa a una o diverses xarxes d’ordinadors.
S’ha dit que un directori és una base de dades. Cal recordar, però, que és
especialitzada i que, per tant, les característiques que té són diferents a les d’una
base de dades relacional de propòsit general. Les diferències principals que hi ha
són les següents:
Sistemes operatius en xarxa 99 Instal·lació i configuració de sistemes operatius lliures
Les diferències fonamentals entre els serveis de directori i els sistemes de fitxers
són les següents:
Hi ha moltes aplicacions basades en el servei web, però aquest servei està centrat
a proporcionar una interfície d’usuari agradable. El servei web en cap moment
posseeix les capacitats de cerca que té el servei de directori.
Si voleu que els usuaris accedeixin a la informació que hi ha en una base de dades,
segurament el servei web és la millor elecció. Tanmateix, si voleu que una gran
varietat d’aplicacions puguin accedir a la informació, haureu d’utilitzar un
servei de directori.
Algunes de les utilitats principals dels serveis de directori són la recerca i gestió
d’informació dins d’una xarxa i el fet de garantir la seguretat d’accés a la xarxa
mitjançant el seu ús per a l’autenticació d’usuaris. De les seves utilitats principals
gairebé la més utilitzada o implementada és la del manteniment de la seguretat de
xarxes locals.
Sistemes operatius en xarxa 101 Instal·lació i configuració de sistemes operatius lliures
Trobar informació
Gestionar informació
Tanmateix, si afegiu més servidors web, o d’un altre tipus, en la xarxa i també
necessiteu autenticar-hi usuaris, haureu d’implementar una base de dades per a
cada servidor amb els mateixos usuaris, possiblement, a més de mantenir les dades
sincronitzades per evitar inconsistències.
Òbviament, heu de tenir en compte els avantatges que té un servei de directori. Tanmateix,
també heu de considerar que a vegades la implementació i la gestió d’un servei de directori
pot ser complicada. Quan el volum de dades a tractar sigui petit, pot ser que no compensi
generar tota la infraestructura d’un servei de directori.
Podem dir que un servei de directori a què poden accedir multitud d’aplicacions
es converteix en una part vital del sistema en proporcionar un accés uniforme a
les persones, els recursos i altres objectes del sistema. És a dir, el directori es veu
com un tot uniforme i no pas com un conjunt de parts independents.
Seguretat
Els serveis de directori poden fer funcions d’autenticació d’usuari mitjançant dos
tipus de mecanismes:
Per altra banda, el servei de directori és el suport ideal per a la distribució dels
certificats electrònics personals. Concretament, el directori resol dos problemes
principals:
És convenient tenir clara l’arquitectura del servei de directori per entendre’n millor
el funcionament i la raó d’ésser.
Quan el servei de directori està distribuït, les dades poden estar fraccionades
o replicades. Quan la informació està fraccionada, cada servidor del servei de
directori emmagatzema un subconjunt únic de la informació. És a dir, una entrada
només s’emmagatzema en un servidor. Quan la informació està replicada, una
entrada es pot emmagatzemar en diversos servidors. Generalment, quan el servei
de directori està distribuït, una part de la informació està fraccionada i una altra
part està replicada.
La política de seguretat defineix quin usuari té quin tipus d’accés sobre quina
informació.
Els serveis de directori han de permetre les capacitats bàsiques per implementar
una política de seguretat. Encara que els serveis mateixos puguin no incorporar
aquestes capacitats, han d’estar integrats amb un servei de xarxa fiable que
ACL és un concepte de proporcioni aquests serveis bàsics de seguretat.
seguretat utilitzat per donar
o no privilegis a un objecte
determinat que està fent
una consulta.
Inicialment es necessita un mètode per autenticar l’usuari. Una vegada s’ha
verificat la identitat del client, es pot determinar si està autoritzat a portar a terme
l’operació sol·licitada o no. Generalment les autoritzacions estan basades en l’ACL
(access control list). Aquestes llistes es poden unir als objectes o als atributs que
hi ha en el directori. Per facilitar l’administració d’aquestes llistes, els usuaris amb
els mateixos permisos s’agrupen en grups de seguretat.
3.3 LDAP
Cal que conegueu la definició, l’origen, el funcionament i les diverses utilitats d’u-
na de les especificacions més utilitzades en el món de les xarxes per implementar
serveis de directoris, el protocol LDAP.
• OpenLdap
3.3.1 Ús de l’LDAP
Per entendre millor la utilitat del protocol, cal que imagineu que en la vostra xarxa
disposeu d’un servidor LDAP. Si configureu tots els PC i tots els serveis de la
xarxa perquè s’hi autentiquin, n’hi haurà prou de crear els comptes d’usuari i els
grups d’usuaris en el vostre servidor LDAP per tal que els usuaris puguin fer ús del
Sistemes operatius en xarxa 106 Instal·lació i configuració de sistemes operatius lliures
sistema i dels serveis que ofereix des de qualsevol lloc de la xarxa. És un sistema
ideal per centralitzar l’administració d’usuaris en un únic lloc.
En general, l’LDAP s’utilitza quan es vol accedir a una base de dades des de
diferents plataformes i des de múltiples ordinadors o aplicacions ubicats en una
xarxa i quan els registres de la base de dades canvien poc (poques vegades al dia o
menys). En la figura 3.2 podeu veure un exemple d’un servei de directori en línia.
L’estàndard X.500 defineix un protocol que permet l’accés a les dades del servei
de directori denominat DAP (directory access protocol). El protocol DAP resulta
molt complex i pesat a l’hora d’implementar aplicacions que hi treballen, ja que
les aplicacions requereixen molts recursos i temps d’implementació perquè el
protocol està definit sobre la pila completa de nivells OSI, és a dir, perquè s’ha
Actualment s’utilitzen els
de tenir en compte en implementar cadascun dels set nivell teòrics del model OSI,
certificats X.509 en en comptes dels quatre del nivell pràctic TCP/IP.
criptografia de clau pública.
Així doncs, com a alternativa més lleugera al protocol DAP apareix el protocol
LDAP.
L’LDAP sorgeix com una alternativa al DAP per accedir a directoris del
tipus X.500. L’LDAP ofereix un protocol lleuger gairebé equivalent, però
molt més senzill i eficient, dissenyat per operar directament sobre el model
TCP/IP.
Sistemes operatius en xarxa 107 Instal·lació i configuració de sistemes operatius lliures
El servei de directori LDAP, com gairebé tots els serveis de directori, té una
arquitectura client-servidor.
No importa amb quin servidor LDAP es connecti el client, ja que sempre observarà
la mateixa vista del directori. És a dir, el nom amb el qual es fa la consulta a un
servidor LDAP fa referència a la mateixa entrada a què faria referència en un altre
servidor LDAP.
L’ús de directoris LDAP s’ha popularitzat cada vegada més a l’hora de fer servir
serveis de directori, ja que té molts avantatges sobre altres tipus de sistemes
d’emmagatzematge i recuperació de dades. Els directoris LDAP són compatibles
o utilitzats per a la implementació de molts sistemes, organitzacions i aplicacions
tant lliures com propietàries al món de la informàtica com, per exemple, OpenL-
DAP, Windows , MySQL, SAMBA, etc.
Així doncs, el directori LDAP destaca sobre els altres tipus de bases de dades per
les característiques següents:
• Disposa d’un model de noms globals que assegura que totes les entrades
són úniques.
Com que l’LDAP va néixer com a alternativa lleugera al DAP per a l’accés a
servidors X.500, segueix el model d’estructura de l’estàndard X.500, tot i que és
una mica restringit. A continuació, veureu cadascun dels elements que componen
l’estructura del directori LDAP i les relacions que hi ha entre ells.
1. Entrada
2. Objecte
Els elements als quals fan referència les entrades del directori, i per tant són els
elements que conformen lògicament el directori, són els objectes:
Cada entrada del directori descriu un objecte, com ara una persona, un grup,
una organització, una impressora, un servidor, etc. Per tant, els objectes són
els elements del món real als quals representen les entrades del directori.
3. Atribut
Les propietats o els valors que identifiquen els objectes del directori són determi-
nats pels atributs.
Per exemple, un atribut del tipus cn (common name) pot contenir el valor
“Pere Pérez López”. Un atribut del tipus email pot contenir un valor “pperez-
lop@exemple.com”. Hi ha dos tipus d’atributs especials:
Sistemes operatius en xarxa 109 Instal·lació i configuració de sistemes operatius lliures
1 <nom_atribut>=<valor>
Per entendre millor els conceptes de DN i RDN, els podeu comparar amb un
sistema de fitxers de qualsevol sistema operatiu en què el DN és el camí absolut
al fitxer i el RDN és el camí relatiu.
L’estructura de les diferents entrades del directori és formada per l’arbre d’infor-
mació del directori.
Cada RDN es correspon amb una branca de l’arbre d’informació del directori
(DIT). Cada branca parteix de l’arrel (base) i acaba en les fulles en què se situen els
objectes del directori. No hi pot haver entrades soltes, és a dir, que no depenguin
d’un RDN o pare. Només l’entrada arrel pot no tenir entrada pare. En cas
d’afegir una entrada en un punt inexistent en el directori, el servidor retornarà
un missatge d’error i no efectuarà l’operació. Aquesta estructura permet que el
directori emmagatzemi la informació de la manera més convenient. Per exemple,
es pot crear un grup que contingui totes les persones de l’organització i un altre
que en contingui tots els grups.
Sistemes operatius en xarxa 110 Instal·lació i configuració de sistemes operatius lliures
El nom distingit (DN) de cada entrada del directori, per tant, és una cadena de
caràcters formada per parells
1 <tipus_atribut>=<valor>
(RDN) separats per comes, que representen la ruta invertida que duu des de la
posició lògica de l’entrada en l’arbre (fulla) fins a l’arrel (base). D’aquesta
manera, el nom distingit (DN) de cada entrada en descriu la posició que ocupa
en l’arbre de l’organització, i viceversa.
5. Esquema
Cada entrada o objecte en el directori pot tenir, com s’ha dit, un conjunt d’atributs
tan descriptius com es vulgui.
Sistemes operatius en xarxa 111 Instal·lació i configuració de sistemes operatius lliures
La definició dels possibles tipus d’objectes i dels atributs que els componen
(incloent-hi el nom, el tipus, el valor o valors admesos i les restriccions),
que el directori d’un servidor LDAP pot utilitzar, la fa el servidor mateix
mitjançant el denominat esquema (schema) del directori. Per tant, l’esquema
conté les definicions dels objectes que es poden donar d’alta en el directori.
Atès que cada servidor pot definir el seu propi esquema, per permetre la interope-
rabilitat entre diferents servidors de directori, els atributs i les classes d’objectes
estan estandarditzats per la IANA i tenen un número d’identificació de l’objecte
(object ID).
6. Classes d’objecte
Cada objecte necessita, a més del nom distingit que l’identifica, la seva classe
d’objecte, que s’especifica mitjançant l’atribut objectClass. La classe de l’objecte
ha de constar en l’esquema o esquemes actius en el servidor LDAP. Un mateix
objecte pot pertànyer a diferents classes simultàniament, de manera que hi pot
haver molts objectClass per a un mateix objecte en el directori.
El format LDIF (LDAP data tnterchange format) és l’estàndard per representar les
entrades del directori LDAP en format text.
Resulta molt útil conèixer aquest tipus de representació perquè és el format que
els servidors LDAP (l’OpenLDAP, entre altres) utilitzen per defecte per inserir
informació en el directori i extreure’n. Així, segons el format LDIF, una entrada
del directori consisteix en dues parts:
2. Els atributs de l’entrada. Cada atribut es compon d’un nom d’atribut, seguit
del caràcter dos punts i el valor de l’atribut. Si hi ha atributs multivalorats, han de
posar-se seguits.
dn: cn=joan, ou=professors, dc=ioc, dc=cat objectClass: person cn: joan sn:
Perez description: professor mail: joan@ioc.cat
Cal tenir en compte que una entrada pot canviar de posició dins de l’arbre
i modificar el seu DN. Per això tots els objectes tenen un universally unique
identifier (UUID) que els identifica de manera única.
L’estàndard LDAP proporciona un model que permet controlar l’accés a les dades
que hi ha en el directori. Aquest model defineix un conjunt d’operacions dividides
en tres grups:
Operacions de consulta
Operacions d’actualització
1. Operació add
2. Operació delete
Aquesta operació permet eliminar entrades del directori. Com a paràmetres, rep
el DN de l’entrada a esborrar. Per poder fer aquesta operació, s’han de complir les
condicions següents:
3. Operació rename
4. Operació modify
Permet modificar els atributs d’una entrada. Per poder executar aquesta operació,
s’han de complir les condicions següents:
Aquest punt indica que les operacions en LDAP són atòmiques. Si alguna de les
modificacions falla, tota l’operació d’actualització falla.
• Monitorar el servidor.
• Optimitzar els paràmetres del sistema operatiu. Cal que us assegureu que
la memòria, el processador i els suports d’emmagatzematge funcionen
correctament.
Fig ur a 3 . 4 . Configuració IP
Ara sí que podeu procedir amb la instal·lació. El paquet necessari per instal·lar
el servidor OpenLDAP el podeu trobar en els dipòsits de l’Ubuntu: és el paquet
slapd. També és convenient instal·lar el paquet ldap-utils, ja que proporciona
diverses eines per manipular bases de dades com ldapadd per afegir una entrada
nova a la base de dades. Caldrà escollir-la durant la configuració del servidor.
Per instal·lar aquests dos paquets executareu l’ordre següent, la qual també podeu
consultar a la figura 3.6:
Una vegada instal·lat el servidor OpenLDAP, podeu consultar els diferents tipus
de fitxers que s’han afegit al sistema.
• Amb la següent ordre llisteu els fitxers executables o les ordres instal·lades.
Aquestes ordres són necessàries per gestionar el servidor i la base de dades.
• Per consultar els manuals i la documentació sobre el servidor feu servir les
ordres:
Seguireu amb l’entrada del nom del domini. En aquest exemple IOC-domini.cat.
L’OpenLDAP utilitzarà aquest nom per crear tots els noms distingits de les
entrades del directori, és a dir, el nom identificatiu de la base del vostre directori
OpenLDAP. Veieu-ho a la figura 3.9
Us demanarà (dues vegades) la contrasenya que voleu definir per l’accés d’admi-
nistrador. Ho veieu a la figura 3.11
Sistemes operatius en xarxa 121 Instal·lació i configuració de sistemes operatius lliures
Al triar que no voleu purgar, ara ens avisa que hi ha fitxers anteriors, i els ha de
moure per crear la nova base de dades. Accepteu l’acció tal i com mostra la figura
3.14
F i g ura 3 . 1 4. Nova base de dades
Una vegada acabat el procés de configuració, cal comprovar que no hi hagi cap
error i que generi l’usuari openldap al fitxer /etc/passwd . Si és així, ja tindreu
el vostre servidor OpenLDAP preparat per poder-hi treballar. És interessant
saber que el procés d’arrencada i aturada manual del servidor LDAP es fa de la
mateixa manera que en tots els serveis en l’Ubuntu. El servei disposa d’un script
d’arrancada i aturada en la carpeta /etc/init.d.
Amb l’ordre dpkg –L ldap-utils | grep bin podeu consultar les ordres que instal·la
el paquet ldap-utils, és a dir, el client OpenLDAP:
Sistemes operatius en xarxa 124 Instal·lació i configuració de sistemes operatius lliures
• ldapsearch, s’utilitza per fer una cerca mitjançant els paràmetres especifi-
cats, possiblement és l’ordre més utilitzada.
• ldapadd, s’usa per afegir entrades, és igual que l’ordre ldapmodify -a.
Totes aquestes ordres han d’obrir una connexió amb el servidor LDAP, és a dir,
s’han d’autenticar per portar a terme la seva tasca.
En totes les ordres serà necessari especificar l’usuari, la paraula de pas, la màquina
en què us voleu autenticar i alguna altra opció. Així, les opcions comunes a totes
les ordres són les següents:
Recordem que les operacions de lectura són anònimes per defecte. La resta
d’opcions de cadascuna de les ordres es poden consultar mitjançant l’ordre
següent:
1 man nom_comanda
Exemples
A continuació afegireu a la base de dades LDAP que acabeu de crear un nou grup
i un usuari. Ho fareu via terminal, amb la ordre ldapadd i els fitxers LDIF.
1 dn: ou=grups,dc=IOC−domini,dc=cat
2 objectClass: organizationalUnit
3 objectClass: top
4 ou: grups
5
6 dn: cn=alumnes,ou=grups,dc=IOC−domini,dc=cat
7 objectClass: posixGroup
8 objectClass: top
9 cn: alumnes
10 gidNumber: 1002
Sistemes operatius en xarxa 126 Instal·lació i configuració de sistemes operatius lliures
3- Creareu ara un nou usuari, seguint el procediment anterior: redacció del fitxer
ldif i inserció amb la comanda ldapadd. Comenceu per la redacció del fitxer
usuaris.ldif amb el codi per crear l’usuari Luke que formarà part de la unitat
organitzativa usuaris.
1 dn: ou=usuaris,dc=IOC−domini,dc=cat
2 objectclass: organizationalUnit
3 objectclass: top
4 ou: usuaris
5
6 dn: cn=Luke Skywalker,ou=usuaris,dc=IOC−domini,dc=cat
7 cn: Luke Skywalker
8 gidnumber: 1002
9 homedirectory: /home/lukes
10 loginshell: /bin/bash
11 objectclass: inetOrgPerson
12 objectclass: organizationalPerson
13 objectclass: person
14 objectclass: posixAccount
15 objectclass: top
16 sn: Skywalker
17 uid: lukes
18 uidnumber: 1100
Instal
Sistemes operatius en xarxa 127 s u d o · lació i configuració de sistemes operatius lliures
Podeu afegir o canviar manualment de grup un usuari creant un nou fitxer de tipus
ldif amb el següent codi:
1 dn: cn=alumnes,o=grups,dc=IOC−domini,dc=cat
2 changetype: modify
3 add: memberuid
4 memberuid: lukes
Un cop instal·lat, heu de configurar el nom del domini que haurà de fer servir. Per
fer-ho, editareu el fitxer /usr/share/phpldapadmin/config/config.php , i cercareu
les següents tres entrades dins l’apartat Define your LDAP servers in this section
(podeu consultar-ho també a la figura 3.21 i figura 3.22:
L’entrada:
La canviareu per:
L’entrada:
1 $servers−>setValue(’server’,’base’,array(’dc=example,dc=com’));
La canviareu per:
1 $servers−>setValue(’server’,’base’,array(’dc=IOC−domini,dc=cat’));
• Nom de l’administrador:
L’entrada:
1 $servers−>setValue(’login’,’bind_id’,’cn=admin,dc=example,dc=com’);
La canviareu per:
1 $servers−>setValue(’login’,’bind_id’,’cn=admin,dc=IOC−domini,dc=cat’);
Un cop guardats els canvis i tancat l’editor, podeu obrir una sessió de qualsevol
navegador web d’un ordinador connectat a la mateixa xarxa que l’equip servidor,
i accedir a la interfície gràfica. Per fer-ho, caldrà introduir el següent en la línia
d’adreces:
1 http://IP_del_servidor/phpldapadmin
Així doncs, com veieu, teniu disponible el grup alumnes i l’usuari Luke Skywalker.
Si cliqueu a l’usuari, en veureu la seva informació, com per exemple el grup al que
pertany (alumnes).
Aquesta és una interfície molt agradable per gestionar la base de dades, i podeu fer-
hi qualsevol canvi als usuaris ja creats o crear-ne de nou. Això ho feu a continuació.
Per introduir les dades del directori amb el phpLDAPadmin, teniu dues opcions:
importar un fitxer en format LDIF o bé utilitzar la interfície gràfica que ens
proporciona l’aplicació per crear-les. Veureu totes dues opcions.
La importació de dades des d’un fitxer LDIF requereix que el fitxer tingui el format
correcte perquè l’aplicació ho interpreti adequadament. Un exemple de fitxer per
crear un nou grup (professors) seria el següent:
1 dn: cn=professors,ou=grups,dc=IOC−domini,dc=cat
2 objectClass: posixGroup
3 objectClass: top
4 cn: professors
5 gidNumber: 1003
Un exemple d’un fitxer per crear un nou usuari dins el grup professors seria el
següent:
Una vegada tingueu el fitxer amb el format correcte, seleccionareu l’opció import,
que apareix al damunt de l’arbre de directori i ens permetrà seleccionar el fitxer
d’importació que volem (o copiant el contingut del fitxer i enganxant-lo al quadre
disponible). Després de seleccionar-lo, cal que cliqueu a Proceed. Si no hi ha cap
error, ens afegirà les entrades corresponents a l’arbre del directori.
Podeu veure les dues maneres d’entrar la informació a la figura 3.25, on entreu
la informació del nou grup, i a la figura 3.26, on entreu la informació d’un nou
usuari.
Sistemes operatius en xarxa 132 Instal·lació i configuració de sistemes operatius lliures
Com veieu a la següent figura 3.27, ja teniu creat els dos grups de la organització,
i un usuari per cada un. També podeu comprovar que l’usuari Leia Amidala forma
part del nou grup professors. Us faltarà, però, crear-li una contrasenya.
Podeu afegir camps a una entrada clicant sobre Add new attribute. Trieu el camp
Password i afegiu-li, tal i com podeu observar a la figura 3.27.
Si voleu introduir manualment les dades d’un nou objecte (usuari o grup), haureu
de seleccionar Create new entry here allà on el voleu crear. A continuació,
apareixerà la pantalla de la figura 3.28, en què podreu escollir el tipus d’entrada
que voleu afegir a l’arbre del directori.
Sistemes operatius en xarxa 133 Instal·lació i configuració de sistemes operatius lliures
Per posar-hi un exemple, creareu un nou usuari fent clic a Generic User Account
i entrant els detalls del vostre nou usuari. En podeu veure un exemple a la figura
3.29.
Fig ur a 3 . 29 . Exemple de creació d’un nou usuari
Un cop creat l’usuari, podeu comprovar que les dades s’han entrat correctament.
Especialment comproveu si el homeDirectory s’ha desat bé. També podreu
escriure manualment el loginShell per posar-lo en /bin/bash , ja que és l’habitual.
Finalment, actualitzeu els canvis amb un UpdateObject.
El significat dels paràmetres o els camps que podeu especificar per a la cerca són
els següents:
Per exportar les dades del directori a un fitxer de text, cal que seleccioneu l’opció
export, que apareix al damunt de l’arbre del directori. Apareixerà la pantalla que
es mostra en la figura 3.31, en què podreu escollir els paràmetres que determinaran
les dades que voleu i amb quin format les voleu exportar. Després de seleccionar
les dades, clicareu a Proceed. Si marqueu la casella Save as file, ens generarà el
fitxer amb les dades corresponents i el format especificat.
Es poden fer més operacions amb aquest o altres exploradors gràfics. Deixarem
que els alumnes explorin la resta d’opcions i d’altres eines gràfiques per gestionar
el directori.
Sistemes operatius en xarxa 135 Instal·lació i configuració de sistemes operatius lliures
• Domini d’Internet
Domini Windows
Des del punt de vista de l’administració de sistemes, un domini constitueix El concepte de domini en
l’administració de sistemes és
un conjunt d’equips interconnectats en una xarxa local que comparteixen pròpiament un concepte
Windows. En aquest àmbit, un
informació administrativa centralitzada (usuaris, grups, contrasenyes, etc.). domini fa referència a un conjunt
de recursos de xarxes, controlats
Aquesta informació es fa servir per poder autenticar-se i crear un entorn per servidors NT, als quals un
usuari pot accedir mitjançant un
inicial de treball per als usuaris que, segons els seus permisos, podran accedir únic usuari i contrasenya. Quan
parlem de domini en sistemes
als recursos que proporciona el sistema. GNU/Linux fem referència a
l’autenticació d’usuaris en xarxa,
és a dir, a un grup de màquines
L’autenticació per mitjà de la xarxa en sistemes GNU/Linux requereix fonamen- que s’autentiquen per mitjà d’un
o diversos servidors en què hi ha
talment la disponibilitat d’almenys un o diversos ordinadors que emmagatzemin la base de dades dels usuaris amb
els seus atributs o, dit d’una altra
físicament aquesta informació i que la comuniquin a la resta de màquines connec- manera, el directori d’usuaris.
Per exemple, quan un usuari vol iniciar una sessió en qualsevol ordinador client
del grup d’autenticació (domini), aquest ordinador haurà de validar les dades de
l’usuari en el servidor i obtenir del mateix servidor tota la informació necessària
per poder crear el context inicial de treball per a l’usuari.
Avantatges:
Inconvenients:
Redundància i replicació
Replicació fa referència a la còpia i al transport de dades entre dos o més servidors, per tal
d’augmentar la disponibilitat de les dades.
3. Auditoria, mitjançant la qual la xarxa o els sistemes associats registren tots els
accessos als recursos que fan els usuaris autoritzats o no.
L’autenticació dels usuaris permet que aquests sistemes assumeixin amb una
seguretat raonable que qui s’hi connecta és qui diu ser. D’aquesta manera, les
accions que s’executen en el sistema després es poden referir a l’usuari i el sistema
pot aplicar els mecanismes d’autorització i auditoria oportuns. Per tant, el primer
element necessari per a l’autenticació és que hi hagi identitats amb un identificador
únic o login.
4. El sistema valida segons les seves regles si les credencials aportades són
suficients per donar accés a l’usuari o no.
Per entendre millor la gestió d’usuaris en els sistemes GNU/Linux, cal que tingueu
presents els conceptes següents:
Els grups són estructures lògiques que es fan servir per organitzar els usuaris
amb un propòsit i unes característiques comuns. Quan es concedeix la
pertinença a un grup a un usuari, se li assignen automàticament totes les
propietats, drets, característiques, permisos i privilegis d’aquest grup. Els
sistemes GNU/Linux emmagatzemen la informació dels distints grups en
l’arxiu /etc/group.
Cada usuari i grup del sistema té un identificador únic anomenat userid (UID)
i groupid (GID), respectivament. El sistema utilitza aquest identificador, en
El login s’utilitza per la
comoditat de les persones,
comptes de noms, per diferenciar unívocament entre els usuaris i els grups.
ja que resulta més fàcil
recordar-se d’un nom que
no pas d’un identificador La funció principal de l’existència dels usuaris i els grups en els sistemes
numèric. GNU/Linux és la d’autenticació, que permet accedir al sistema. Cada usuari
disposa d’un nom d’usuari o login i una contrasenya que haurà d’utilitzar per
iniciar una sessió en el sistema. El sistema, mitjançant el procés d’autenticació,
comprovarà que l’usuari existeix i que la paraula de pas que fa servir coincideix
amb la contrasenya emmagatzemada de manera encriptada. Una vegada dins del
sistema, cada usuari disposarà dels permisos i els drets que determini el grup al
El perfil, per defecte, pot ser
determinat per
qual pertany i d’un perfil establert per defecte.
l’administrador del sistema.
A més de l’autenticació en el sistema, una de les utilitats principals dels usuaris i
els grups és la gestió dels recursos del sistema. Per exemple, quan es crea un fitxer
Sistemes operatius en xarxa 139 Instal·lació i configuració de sistemes operatius lliures
umask
Quan instal·leu un sistema GNU/Linux, per defecte es creen una sèrie d’usuaris i
grups necessaris perquè el sistema i algunes aplicacions funcionin correctament.
Podeu distingir tres tipus de comptes d’usuari i tres tipus de comptes de grup.
Entre els comptes d’usuari, hi ha els següents:
• Grups de sistema: tenen la mateixa funció que els comptes del mateix nom
i permeten donar els mateixos drets d’accés a una sèrie d’aplicacions.
• Grups d’usuaris: representen una sèrie de persones reals que han d’accedir
als mateixos arxius. Normalment tenen un GID superior o igual a 500 o
1000, en funció de com estigui configurat el sistema.
Sistemes operatius en xarxa 140 Instal·lació i configuració de sistemes operatius lliures
Quan creem un usuari, per facilitar la gestió dels permisos i els drets, el sistema
crea un grup d’usuari nou amb el nom de l’usuari mateix. L’usuari és l’únic
membre d’aquest grup.
• nom_us: Aquest camp és el nom d’usuari (login) que s’utilitza per accedir
al sistema, és un camp obligatori.
• clau: Aquest camp correspon a la clau que l’usuari utilitza per accedir al
sistema. El camp clau està encriptat i realment no s’emmagatzema en aquest
arxiu, sinó en l’arxiu /etc/shadow. La raó per la qual la clau s’emmagatzema
en un arxiu distint és la seguretat, ja que tots els usuaris del sistema tenen
permisos de lectura sobre l’arxiu /etc/passwd i es podrien utilitzar tècniques
de cracking per desencriptar les claus d’altres usuaris. Normalment apareix
una x en el camp.
1 nom_grup:clau:GID:lista_components
1 nom_us:clau:ult_canvi:pue_canvi:ha_de_canvi:avís:cad:desha:reservat
• ult_canvi: són els dies que han transcorregut des de l’1 de gener de 1970
fins el dia que es va canviar la contrasenya per última vegada. Serveix per
calcular quant de temps fa que no es canvia la contrasenya.
• ha_de_canvi: són els dies que han de passar perquè un usuari pugui canviar
la seva contrasenya.
• avís: aquest camp determina el nombre de dies d’antelació amb els quals
s’avisarà un usuari perquè canviï la contrasenya abans que caduqui.
• cad: aquest camp especifica el nombre de dies que han de transcórrer des
que la contrasenya ha expirat fins que es deshabilita.
• desha: nombre de dies, des de l’1 de gener de 1970, que fa que el compte
està deshabilitat.
• users: aquesta ordre s’utilitza per imprimir els noms dels usuaris que
actualment estan connectats a la màquina.
• groups: ordre que es fa servir per veure els usuaris que hi ha en el sistema.
• id: ordre que mostra l’usuari amb el qual s’ha ingressat en el sistema i els
grups als quals pertany aquest usuari.
• chage: ordre que permet modificar les dades d’expiració de les paraules de
pas dels usuaris.
L’Ubuntu també proveeix una interfície gràfica senzilla per gestionar els usuaris.
Hi podeu accedir mitjançant la cerca de Comptes d’Usuaris (o dins el menú
Paràmetres del Sistema). Si, a més, voleu gestionar grups, haureu d’instal·lar el
paquet gnome-system-tools amb la següent ordre:
Un cop instal·lat, ja hi podreu treballar tal i com veieu a la següent figura 4.1. Per
obrir el gestor haureu de cercar Usuaris i grups.
Per entendre millor com funcionen els perfils d’usuaris i els fitxers implicats en la
configuració, cal veure primer els tipus d’intèrprets d’ordres que podeu trobar en
els sistemes GNU/Linux i els fitxers que s’executen per a cada tipus. Generalment,
la majoria de distribucions GNU/Linux utilitzen per defecte l’intèrpret d’ordres
bash. Durant el procés d’arrencada del sistema, s’executa una sèrie d’scripts amb
l’objectiu de crear un entorn d’usuari. Entre aquests scripts hi ha els que activen
els terminals de consola i l’entorn gràfic. En activar aquests serveis s’invoca un
intèrpret d’ordres (shell). Cal diferenciar, però, dos tipus d’intèrprets d’ordres en
funció de la manera com s’executen.
Sistemes operatius en xarxa 145 Instal·lació i configuració de sistemes operatius lliures
El més habitual és que els fitxers de configuració globals només els puguin editar
l’administrador del sistema (usuari root) o els usuaris que tinguin permisos per
administrar el sistema. Els fitxers són els següents:
• Executar l’ordre umask per modificar els permisos per defecte a l’hora de
crear arxius nous.
També segons l’estàndard FHS, els fitxers que són propietat dels usuaris del
sistema són en la carpeta /home. Dins d’aquesta carpeta cada usuari sol ser
el propietari de la carpeta /home/nom_usuari. Per exemple, l’usuari Pere és
propietari de la carpeta següent:
/home/pere
Com que els fitxers de la carpeta home d’un usuari són propietat seva, l’usuari
els pot llegir, modificar i, fins i tot, eliminar. Per raons de seguretat, els fitxers de
configuració solen ser fitxers ocults, és a dir, comencen per ”.” (punt). Per veure
aquests fitxers cal utilitzar el paràmetre -a de l’ordre ls.
Els fitxers de configuració de la bash a escala d’usuari (per-user basis) són els
següents:
La home sovint es referencia amb el símbol ˜ i, per tant, sovint parlem dels fitxers
˜ /.bashrc, ˜/.bash_logout, etc.
Fitxers ocults
Utilitzar fitxers ocults té dos Cal tenir en compte que els usuaris poden modificar els fitxers de la seva home.
objectius. En primer lloc,
amagar fitxers que normalment Així doncs, no podeu fer “configuracions obligatòries” mitjançant aquests fitxers.
l’usuari no modifica directament,
ja que ho fan les aplicacions. En També cal pensar que aquests fitxers normalment s’executen després dels fitxers
segon lloc, fa més difícil que
l’usuari modifiqui aquests fitxers
de configuració de sistema i que, per tant, poden sobreescriure les configuracions
per error. Se suposa que només
l’usuari que sap què fa pot
de sistema.
modificar directament aquests
fitxers.
L’ordre d’execució dels fitxers per als distints tipus d’intèrprets d’ordres són els
següents:
Sistemes operatius en xarxa 147 Instal·lació i configuració de sistemes operatius lliures
Login SHELL
3. ˜/.bashrc, encara que es tracta d’un fitxer de no login s’executa perquè és cridat
implícitament als fitxers de configuració de login.
No login SHELL
1. /etc/bashrc
2. ˜/.bashrc
Per exemple, si creem un usuari nou anomenat ioc, en crear el seu compte es crearà
un directori nou anomenat /home/ioc, que serà una còpia del directori /etc/skel.
El mecanisme més utilitzat per les aplicacions per a l’autenticació d’usuaris es diu
PAM (pluggable autentication module) i el podem definir com a:
La utilització del PAM comporta una sèrie d’avantatges. Per exemple, permet
utilitzar sistemes d’autenticació diferents del mecanisme tradicional d’autentica-
ció dels sistemes GNU/Linux, fitxer /etc/passwords, sense necessitat de canviar el
disseny de les aplicacions. És a dir, podem comunicar les nostres aplicacions amb
els mètodes d’autenticació que volem d’una manera transparent. També permet
Un esquema d’autenticació desenvolupar programes amb independència de l’esquema d’autenticació. Utilitza
defineix la manera com un
usuari determinarà la seva
mòduls d’autenticació en temps d’execució i així no ha de tornar a compilar per
identitat. canviar l’esquema d’autenticació.
La gran majoria de les aplicacions dels sistemes GNU/Linux estan preparades per
utilitzar el Linux PAM. És a dir, són PAM-aware i utilitzen els diversos mòduls o
llibreries que proporciona el PAM per autenticar-se en el sistema.
La configuració del funcionament del Linux PAM es fa per mitjà del fitxer
/etc/pam.conf, en què hi ha totes les dades de configuració juntes, o bé per mitjà
IPA
de diversos arxius dins del directori /etc/pam.d, cosa que facilita el maneig i la
Una IPA (en anglès, API,
application program interface) o comprensió de la configuració.
interfície de programa
d’aplicació constitueix el conjunt
de funcions i procediments o Quan s’inicia una aplicació preparada per autenticar-se mitjançant el PAM, s’ac-
mètodes, en la programació
orientada a objecte, que ofereix tiva la seva comunicació amb la IPA del PAM. Entre altres coses, això força la
una biblioteca d’una aplicació
perquè un altre programari lectura de l’arxiu de configuració /etc/pam.conf o dels arxius de configuració sota
l’utilitzi com una capa
d’abstracció. el directori /etc/pam.d (quan hi ha un arxiu de configuració correcte sota aquest
directori, s’ignora l’arxiu /etc/pam.conf).
Sistemes operatius en xarxa 149 Instal·lació i configuració de sistemes operatius lliures
Com mostra l’esquema de la figura 4.4, els fitxers de configuració del Linux PAM
especifiquen quin serà el mecanisme d’autenticació per a cada servei o aplicació
del sistema. Per tant, no cal modificar el codi del sistema ni de cap aplicació.
F ig ur a 4 . 4 . Esquema PAM
Dins el directori /etc/pam.d podeu configurar la manera com cada element s’haurà
d’autenticar, els serveis o les aplicacions que requereixen autenticació en el
sistema. Per no haver de repetir la configuració per a cada servei, hi ha una
sèrie d’arxius comuns, el nom dels quals comença per common. Els arxius de
configuració de cada servei fan referència a aquests arxius comuns mitjançant
una línia @include amb el nom de l’arxiu. Utilitzar aquesta línia té el mateix
resultat que copiar el text de l’arxiu al qual fan referència en el fitxer que la conté.
Els arxius comuns són common-auth, common-account, common-session i
common-password.
Tots quatre arxius estan formats per línies que determinen una sèrie de regles
d’actuació. Cada línia executarà un mòdul que s’encarregarà de l’autenticació.
Aquestes regles estan formades per un conjunt de camps amb el format següent:
1 type control module−path module−arguments
1. Camp type
El camp type especifica l’àmbit al qual afectarà la regla. Els possibles valors són
el següents:
També s’encarrega de l’assignació de grups. Les regles d’aquest tipus les trobem
en el fitxer common-auth.
2. Camp control
Determina què cal fer un cop l’execució sigui correcta o incorrecta. Hi ha dues
sintaxis per a aquest camp: una de senzilla d’un camp i una altra que especifica
més d’un camp dins de claudàtors [ ]. Per a la sintaxi bàsica, els possibles valors
que pot tenir aquest camp són els següents:
• optional: s’ignora el resultat del mòdul. Només és necessari per tal que
l’autenticació sigui un èxit.
3. Camp module-path
4. Camp module-arguments
Permet determinar els arguments que es passaran al mòdul. Els arguments varien
segons el mòdul.
Així doncs, veiem com a mostra la sintaxi del fitxer common-auth. Per exemple:
1 $cat /etc/pam.d/common−auth
2 # here are the per−package modules (the "Primary" block)
3 auth [success=1 default=ignore] pam_unix.so nullok_secure
4 # here’s the fallback if no module succeeds
Sistemes operatius en xarxa 151 Instal·lació i configuració de sistemes operatius lliures
Autenticació LDAP
1. Crear o importar els usuaris que es vulgui amb el format adequat al servidor
OpenLDAP per poder fer l’autenticació satisfactòriament.
2. Substituir les bases de dades d’usuaris locals dels fitxers /etc/passwd, /etc/-
groups, /etc/shadow per una base de dades centralitzada amb l’OpenLDAP. Per
aconseguir-ho, heu de configurar l’NSS (name service switch) per mitjà del fitxer
de configuració /etc/nsswitch.conf.
Migració d’usuaris
Si teniu usuaris creats en els sistemes locals i voleu que siguin en el servidor
d’autenticació, no us caldrà tornar a crear-los manualment en el servidor, ja que
hi ha la possibilitat de migrar automàticament els usuaris locals al directori LDAP.
Per fer aquesta migració, haureu d’utilitzar les eines que us proporciona el paquet
migrationtools. Per instal·lar aquest paquet, feu servir l’ordre següent:
1 $sudo apt−get install migrationtools
3. Una vegada tingueu el fitxer destinació creat (en aquest exemple, usuaris.ldif),
l’heu d’editar. Assegureu-vos que els camps dn de l’inici de cada objecte són
correctes i elimineu els comptes d’usuaris que no vulgueu migrar (per exemple,
els usuaris del sistema).
Migrationtools
Fixeu-vos en el contingut del
Una vegada creats o migrats els usuaris corresponents al servidor OpenLDAP, directori
usr/share/migrationtools. Es
només caldrà configurar les estacions de treball per tal d’utilitzar aquests usuaris. tracta de tota una sèrie d’scripts
que us permetran migrar
elements del vostre sistema a
l’LDAP. Com ja heu vist, podeu
migrar usuaris, però també
Configuració de l’NSS (name service switch) grups, hostes, serveis, etc.
El pas següent en el procés de configuració de l’autenticació del sistema és la
configuració de l’NSS. Vegem en què consisteix exactament.
Les bases de dades amb les quals treballa l’NSS són les següents:
Les bases de dades que us interessen per a l’autenticació són les de passwd, group
i shadow. En el fitxer /etc/nsswitch.conf trobareu les línies següents:
1 passwd: files
2 group: files
3 shadow: files
En cada línia del fitxer /etc/nsswitch.conf, les paraules que hi ha al costat de cada
base de dades indiquen diferents serveis de bases de dades en què el sistema
buscarà les dades dels usuaris, els grups i les contrasenyes per autenticar l’entrada
en el sistema. D’aquesta manera, podeu indicar, introduint serveis de bases de
dades l’un darrere l’altre, l’ordre de les bases de dades que ha de llegir el sistema
GNU/Linux per fer l’autenticació.
NIS
Amb tota la informació que heu vist fins ara, ja podeu començar a configurar el
vostre client per tal que sigui capaç d’autenticar-se amb un servidor LDAP com el
que teniu configurat al contingut 3. Serveis de directori.. En aquest manual veureu
Sistemes operatius en xarxa 155 Instal·lació i configuració de sistemes operatius lliures
Ara sí, la configuració comença fent login amb una sessió com a root en la màquina
virtual que voleu configurar com a client LDAP. En LinuxMint, necessitareu
ajustar el comportament dels serveis NSS i PAM per cada client. Per fer-ho cal
instal·lar els següents paquets:
• nscd: És un dimoni que ofereix una memòria cau per a moltes de les
peticions més freqüents del servei de noms.
La comanda per instal·lar tots els paquets a la vegada és (també la podeu veure a
la figura 4.7:
Quan executeu l’ordre d’instal·lació, us aniran apareixent una sèrie de menús (deb-
conf) en què cal configurar les dades corresponents al vostre servidor OpenLDAP.
El primer menú que us apareix, com el de la figura 4.8, demana el nom o l’adreça
IP del servidor OpenLDAP sobre el qual voleu autenticar-vos.
En l’opció següent del menú, com veieu en la figura 4.13, haureu d’introduir el
compte d’administrador del servidor OpenLDAP. Per fer-ho, heu de repetir tot el
DN de la base i afegir-hi el cn (common name) del superusuari o l’administrador.
Aquest compte es farà servir quan es canviï la contrasenya d’administrador.
Assegureu-vos que és el mateix que es va configurar al servidor (habitualment
es fa servir admin).
A vegades, mitjançant els menús que van apareixent, els paquets no s’instal·len bé
o no apareixen totes les opcions de configuració. Per solucionar-ho, podeu editar
i modificar directament el fitxer de configuració /etc/ldap.conf, en què hi ha les
dades de configuració per als paquets libnss-ldap i libpam-ldap. També podeu, de
manera més senzilla, tornar a configurar els paquets executant l’ordre següent:
1 $dpkg−reconfigure ldap−auth−config
Si heu obtingut el resultat done pels usuaris i grups, la cosa haurà anat bé, en cas
contrari, repetiu la configuració assegurant-vos que heu entrat bé totes les dades,
i que la configuració IP és correcte.
Podeu comprovar com els usuaris i grups ja s’han importat del servidor LDAP amb
la comanda getent, la qual us mostrarà els usuaris i grups donats d’alta a la base
de dades LDAP. Fareu servidor les següents comandes, que també podeu veure a
la figura 4.18 i figura 4.19
1 getent passwd
Sistemes operatius en xarxa 160 Instal·lació i configuració de sistemes operatius lliures
1 getent group
La primera vegada que entreu amb un usuari LDAP, us crearà la seva carpeta a
/home. Veieu-ho a la figura 4.22
1 [SeatDefaults]
2 user−session=ubuntu
3 greeter−show−manual−login=true
També podeu provar els nous usuaris des d’una consola. Per exemple, podeu
provar de canviar, mitjançant l’ordre su (su=switch user - canviar d’usuari),
Sistemes operatius en xarxa 162 Instal·lació i configuració de sistemes operatius lliures
1 ioc@SOX−Client−IOC ~ $ su leia
2 Password:
3 leia@SOX−Client−IOC /home/ioc $
A continuació, veureu la configuració que s’ha de fer per establir la manera com
s’autentiquen els serveis i les aplicacions del sistema que ho requereixen.
Per tal de configurar la manera com s’autenticarà cada servei i aplicació que
necessita autenticació en el sistema LDAP, heu d’editar i modificar alguns dels
arxius del directori /etc/pam.d.
Per evitar configurar els arxius de cada servei o aplicació, hi ha una sèrie d’arxius
comuns, que afecten la majoria de serveis i aplicacions, el nom dels quals comença
per common. Els arxius comuns són els següents:
Tots aquests arxius contenen una línia que fa referència a la llibreria pam_unix.so,
utilitzada per a l’autenticació contra els arxius GNU/Linux. En el vostre cas, per
aconseguir que els serveis i les aplicacions del vostre sistema es puguin autenticar
per mitjà d’un servidor LDAP, us interessa que primer s’utilitzi la llibreria
pam_ldap.so, que es fa servir per a l’autenticació contra un servidor LDAP. Per
fer-ho, heu d’afegir la línia corresponent a la llibreria pam_ldap.so per sobre de
la línia corresponent a la llibreria pam_unix.so en els arxius common. Així, les
aplicacions s’autenticaran primer contra el servidor LDAP i, si l’autenticació falla,
provaran d’autenticar-se després amb els arxius GNU/Linux.
Per tal que els serveis i les aplicacions del sistema utilitzin les llibreries pam-ldap
per autenticar l’usuari, heu d’afegir a l’arxiu /etc/pam.d/common-auth la línia
següent:
Per permetre que els serveis i les aplicacions del sistema comprovin el compte d’u-
suari mitjançant les llibreries pam-ldap, heu d’afegir a l’arxiu /etc/pam.d/common-
account la línia següent, al damunt de la línia de la llibreria pam_unix.so:
Per tal que els serveis i les aplicacions del sistema obtinguin els paràmetres de la
sessió d’usuari de les llibreries pam-ldap, cal que afegiu (o comprovar que ja hi
és) a l’arxiu /etc/pam.d/common-session, al darrere de la línia en què hi hagi la
llibreria pam_unix.so, la línia següent:
Per tal que els serveis i les aplicacions del sistema pugin modificar la con-
trasenya d’usuari mitjançant les llibreries pam-ldap, cal que afegiu a l’arxiu
/etc/pam.d/common-password la línia següent, al damunt de la línia en què
apareix la llibreria pam_unix.so:
Índex
Introducció 5
Resultats d’aprenentatge 7
Introducció
Un dels motius principals pels quals els equips, en les organitzacions, es connecten
per mitjà d’una xarxa és la compartició de recursos del sistema informàtic. Quan
parlem de recursos compartits ens podem referir a qualsevol entitat, sia programari
o maquinari, susceptible de ser compartit. Els sistemes operatius tenen un paper
fonamental en aquest mecanisme de compartició, ja que proporcionen les eines
necessàries per controlar, gestionar i compartir els recursos que hi ha a la xarxa.
Tant en sistemes operatius lliures com en sistemes de propietat, hem de tenir clar
el procés que cal seguir per tenir un sistema de xarxa que permeti autenticar els
usuaris i proporcionar informació sobre els usuaris i els recursos que hi ha a la
xarxa. Així, doncs, el pas següent serà conèixer i treballar amb els protocols i les
aplicacions que ens permeten compartir els diversos recursos entre els usuaris de
les xarxes Windows i GNU/Linux per separat.
Per treballar els continguts d’aquesta unitat convé anar fent les activitats i els
exercicis d’autoavaluació.
Sistemes operatius en xarxa 7 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Resultats d’aprenentatge
5. Estableix nivells de seguretat per controlar l’accés del client als recursos
compartits en xarxa en sistemes lliures i de propietat.
8. Documenta les tasques de gestió de recursos que s’han fet, les incidències
que hi ha hagut i les solucions que s’han aportat.
Per configurar les opcions bàsiques d’unitats i arxius compartits, cal que utilitzeu
el centre de xarxes i recursos compartits. La figura 1.1 mostra l’aspecte bàsic
d’aquesta utilitat i, com podeu observar, se segueix el concepte d’administració
gràfica dels sistemes del Microsoft. Si seguiu els passos següents, podreu
configurar el funcionament dels recursos compartits:
Per poder treballar amb els recursos compartits podeu utilitzar l’administració d’e-
quips, l’administració d’emmagatzematge i recursos compartits o l’ordre net share
des de la interfície d’ordres. La figura 1.2 mostra l’aspecte que té l’administració
d’equips a Windows Server 2008.
Mitjançant l’administració d’equips, els passos a seguir per compartir una carpeta
són els següents:
4. Cliqueu a Següent.
6. Escriviu el nom que vulgueu posar al recurs compartit en el camp Nom del
recurs.
• Els administradors tenen accés total; cap altre usuari hi té accés: els
administradors poden veure, crear, modificar o eliminar continguts, però
la resta d’usuaris no hi tenen accés.
utilitzar els permisos d’arxius i carpetes i també els perfils dels comptes dels
propietaris d’arxius i carpetes per restringir les accions sobre el recurs. Si es
fes servir un volum que utilitza la taula d’assignació de fitxers (en anglès, file
allocation table, FAT), però, només es podria controlar l’accés.
• Lectura: aquest permís permet veure el nom dels arxius i de les subcarpetes,
accedir a les subcarpetes, llegir la informació dels arxius i dels atributs que Administració de permisos
tinguin, i executar programes. Heu de comprendre molt bé el
significat real dels permisos i
administrar-los correctament. Si
• Modificar: aquest permís inclou les possibilitats del permís de lectura i no ho feu, tindreu seriosos
problemes de seguretat.
dóna capacitat per crear arxius i subcarpetes, modificar arxius, modificar
atributs d’arxius i subcarpetes, i eliminar arxius i subcarpetes.
Per conèixer els permisos que té un recurs, es poden seguir els passos que es
mostren a continuació:
Tot i que els recursos compartits ocults es poden eliminar amb els permisos
d’administrador, cada vegada que es reiniciï el sistema tornaran a crear-se de
manera automàtica. Si voleu desactivar permanentment aquests recursos haureu
de posar a zero dos registres:
1 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer
2
3 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks
FAX$ Proporciona suport per a faxos de L’utilitzen els clients de fax per
xarxa. enviar faxos.
IPC$ Proporciona suport per a les L’utilitzen els programes quan fan
comunicacions entre processos. administració remota i quan
examinen recursos compartits.
Per accedir a un recurs compartit ocult heu de seguir els passos següents:
Sistemes operatius en xarxa 15 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Per crear un recurs compartit ocult nou, cal que feu el següent:
4. Escriviu el nom del recurs compartit que voleu utilitzar seguit del signe de
dòlar i, a continuació, feu clic a Següent.
3. Seleccioneu Sessions.
• Usuari: indica els noms dels usuaris o dels equips connectats al recurs.
Detectareu els noms dels equips perquè van precedits pel caràcter dòlar.
A la figura 1.3 es pot observar com es poden administrar els recursos compartits
des de l’administrador d’equips.
Per tancar tots els fitxers oberts dels recursos compartits d’un equip, cal que seguiu
els passos següents:
Per connectar-se a una unitat de xarxa i accedir als recursos que conté, només cal
executar l’ordre net use. Per exemple, si es vol accedir a un recurs amb l’etiqueta
Imatges que s’emmagatzema en una màquina anomenada Multimedia i la lletra de
la unitat és la d, cal escriure el següent: net use d: [[|]].
4. Cliqueu a Acceptar.
Per fer una administració correcta de les impressores de xarxa, cal tenir en compte
els punts següents:
• Serveis d’impressió
• Impressió compartida
Els dispositius d’impressió que podeu trobar poden ser locals o de xarxa:
Sistemes operatius en xarxa 18 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
• Servei LPD: aquest servei permet que equips que estiguin funcionant amb
sistema operatiu UNIX o que utilitzin el servei LPR puguin accedir a les
impressores compartides.
• Impressió a Internet: genera un espai web que permet als usuaris autorit-
zats gestionar els treballs que hagin enviat a les impressores compartides.
LPD o LPR
LPD o LPR és un protocol de
xarxa que permet utilitzar
Per afegir la funció de serveis d’impressió, seguiu els passos següents:
impressores de manera remota.
Les sigles volen dir line printer
daemon protocol i line printer
remote protocol, respectivament.
• Obriu l’administrador del servidor.
• S’inicia un auxiliar.
• Cliqueu a Compartir.
pare quan es creen, o els que crea l’usuari a objectes que no són fills.
Sistemes operatius en xarxa 20 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Per defecte, els objectes d’un contenidor hereten els permisos des d’aquest
contenidor quan es creen els objectes.
2. Seleccioneu Propietats.
Els arxius i les carpetes poden emprar els mateixos permisos, però s’ha de tenir
en compte que el significat del permís canvia segons si s’aplica a un fitxer o a
una carpeta. En la taula 1.2 es resumeixen els permisos d’arxius i carpetes en el
Microsoft Windows Server 2008:
Taul a 1. 2. Permisos de carpeta i fitxer
Lectura i execució Permet examinar i llistar els arxius Permet examinar l’arxiu, accedir
i les subcarpetes, i també al contingut i executar-lo.
executar arxius.
Mostrar el contingut de la carpeta Permet examinar i llistar arxius i Aquest permís no es pot aplicar
subcarpetes, i també executar sobre els arxius.
arxius.
Control total Permet llegir, escriure, modificar i Permet llegir, escriure, modificar i
eliminar arxius i carpetes. eliminar l’arxiu.
Recórrer Sí Sí Sí Sí
carpeta /
executar
arxiu
Mostrar Sí Sí Sí Sí Sí
carpeta /
llegir dades
Llegir Sí Sí Sí Sí Sí
atributs
Atributs Sí Sí Sí Sí Sí
estesos de
lectura
Crear arxius Sí Sí Sí
/ escriure
dades
Crear Sí Sí Sí
carpetes /
annexar
dades
Escriure Sí Sí Sí
atributs
Escriure Sí Sí Sí
atributs
estesos
Eliminar Sí
subcarpetes
i arxius
Eliminar Sí Sí
Permisos de Sí Sí Sí Sí Sí Sí
lectura
Canviar Sí
permisos
Prendre Sí
possessió
Sincronitzar Sí Sí Sí Sí Sí Sí
Podeu fer servir Còpies de seguretat del Microsoft Windows Server 2008 per crear
i administrar còpies de seguretat de l’equip local o d’un equip remot. També pot
programar còpies de seguretat perquè s’executin de manera automàtica.
Sistemes operatius en xarxa 23 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Abans de crear una còpia de seguretat, d’un tipus o d’un altre, cal analitzar una
sèrie de factors:
• Fiabilitat dels equips i del programari: el preu dels equips i del programa-
ri pot determinar quins equipaments i quin suport cal utilitzar. És important
considerar la fiabilitat de tot el conjunt.
Utilització d’instantànies
Recuperar còpies de seguretat quan hi ha hagut una pèrdua de dades pot significar
una inversió de temps i de recursos del sistema força gran. El Microsoft
Windows Server 2008 permet simplificar aquesta feina mitjançant una eina que
fa instantànies.
Una instantània és una còpia de seguretat, que es crea amb una freqüència
determinada, dels arxius als quals els usuaris poden accedir directament
mitjançant les carpetes compartides.
Per poder crear instantànies és imprescindible treballar amb volums NTFS, ja que
les instantànies s’han de crear en tots els volums de què es disposi.
1. Cliqueu amb el botó dret del ratolí a sobre de la icona del disc que us
interessi.
• Utilitzat: indica la quantitat d’espai del disc que utilitzen les instantànies.
1. Cliqueu amb el botó dret a sobre del recurs compartit que vulgueu revisar i
seleccioneu Propietats.
6. Feu clic a Acceptar per tancar el quadre de diàleg, un cop confirmades les
opcions que hi apareixen.
Sistemes operatius en xarxa 26 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Les instantànies també es poden deshabilitar. Cal seguir aquests sis passos:
Per poder fer còpies de seguretat i restauració heu de disposar de diversos permisos
i drets d’usuari. L’usuari administrador i el grup d’operadors de còpies de
seguretat tenen autoritat total per copiar i restaurar qualsevol tipus de fitxer,
independentment dels permisos que tinguin els fitxers i de qui en sigui el propietari.
El propietari d’un arxiu i els usuaris que tinguin permisos per controlar aquests
arxius podran fer còpies de seguretat, però només dels fitxers que siguin de
propietat o que tinguin els permisos s’escriptura, lectura i execució, modificació
o control total.
Les còpies de seguretat proporcionen extensions per gestionar uns quants tipus de
dades especials:
• Dades d’estat del sistema: són els arxius imprescindibles del sistema per
En el Windows Server 2008,
poder recuperar el sistema local.
les còpies de seguretat de
l’estat del sistema per als
volums crítics es bloquegen.
• Dades d’aplicació: són els arxius imprescindibles de les aplicacions per
poder recuperar-les si fos necessari.
Sistemes operatius en xarxa 27 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Si inicieu les còpies de seguretat del Microsoft Windows Server 2008, us connec-
tareu a l’equip local. De totes maneres, si necessiteu accedir a un equip remot,
podeu fer el següent:
S’ha de tenir en compte que les eines de línia d’ordres fan referència a un
conjunt de cmdlets del Windows PowerShellTM, no a l’eina de línia d’ordres
WBADMIN.EXE. Per tant, si decidiu instal·lar totes dues característiques, també
haureu d’instal·lar la característica del Windows PowerShell.
Per configurar una programació de còpia de seguretat, heu de ser membres del grup
d’administradors. Per dur a terme totes les altres funcions amb aquesta ordre, heu
de ser membres dels operadors o el grup d’administradors, o heu d’haver delegat
els permisos adequats.
Des de la línia d’ordres podeu executar Wbadmin amb una sèrie d’instruccions
que li donen molta versatilitat. Aquestes ordres es descriuen en la taula 1.4:
Ordre Descripció
Wbadmin get disks Llista les unitats que estan en línia actualment.
Aquesta ordre només s’aplica al Windows Server
2008.
Wbadmin delete systemstatebackup Elimina una o més còpies de seguretat de l’estat del
sistema. Aquesta ordre només s’aplica al Windows
Server 2008.
Ordre Descripció
1. Cliqueu a Inici.
5. Cliqueu a Acció.
11. Activeu la casella del disc de destinació i, a continuació, feu clic a Següent.
7. Escriviu S per habilitar còpies de seguretat amb les opcions que vau
configurar.
8. Escriviu S per donar format i fer servir els volums en la unitat especificada
com a ubicació per emmagatzemar les còpies de seguretat programades.
Xifratge i certificació
Moltes vegades és necessari xifrar les dades amb les quals es treballa per tal
d’augmentar la seguretat. Tot i que a priori es podria pensar que això complica la
tasca de fer còpies de seguretat i restaurar dades, la realitat és una altra.
Si utilitzeu programari aliè a Microsoft Windows Server per fer còpies de seguretat
xifrant les dades o per recuperar dades xifrades, heu de tenir en compte que aquest
programari ha de ser compatible amb el sistema EFS.
Només hi ha una clau de xifratge per a cada fitxer xifrat. L’usuari que hagi xifrat
un arxiu hi podrà accedir sempre que tingui la clau privada amb què el va xifrar o
disposi d’un servei de gestió d’identificadors digitals.
Per defecte, la configuració de l’EFS permet que els usuaris xifrin arxius sense
necessitat de tenir permisos especials.
Els fitxers es xifren mitjançant la clau privada/pública que l’EFS genera de manera
automàtica per a cada usuari.
• Equip local: si l’equip forma part d’un grup de treball o d’una configuració
independent, l’administrador de l’equip local serà l’agent de recuperació.
El PFX (personal
information exchange,
Per fer una còpia de seguretat dels certificats, primer caldrà afegir a la consola intercanvi d’informació
personal) és el format amb
d’administració del Microsoft el complement Certificats: el qual s’emmagatzemen
els certificats personals.
1. Cliqueu a Inici.
Ara ja serà possible fer una còpia de seguretat dels certificats. A continuació,
caldrà seguir els passos següents:
2. Cliqueu amb el botó dret del ratolí al certificat que vulgueu guardar.
Seleccioneu Totes las tasques i Exportar.
Sistemes operatius en xarxa 32 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
3. S’inicia un auxiliar.
4. Cliqueu a Següent.
4. Cliqueu a Personal amb el botó dret del ratolí, seleccioneu Totes les tasques
i Importar.
5. S’iniciarà un auxiliar.
6. Feu clic a Següent i obriu l’arxiu que conté el certificat personal amb Obrir.
7. Premeu Següent.
Cal auditar tots els sistemes per conèixer l’ús dels recursos que té i l’estat en què es
troba, tant pel que fa a la vessant física com pel que fa a la seguretat. L’auditoria de
recursos augmenta l’eficàcia de la figura de l’administrador del sistema i permet
que les accions d’aquest evitin problemes amb el sistema en el futur.
En els equips amb directori actiu, les directives d’auditoria es configuren mitjan-
çant les directives de grup del directori actiu. En canvi, en els equips individuals
es configuren mitjançant les directives locals.
3. Expandiu Directives.
• Auditar l’accés a objectes: audita l’ús d’alguns recursos del sistema, com
ara els arxius, els directoris, els recursos compartits, les impressores o els
objectes del directori actiu.
1. Cliqueu amb el botó dret a sobre de l’arxiu o la carpeta que vulgueu auditar.
2. Premeu Propietats.
6. Cliqueu a sobre del botó Aplicar per especificar on es vigilaran els objectes.
Per configurar l’auditoria del registre, cal que seguiu els passos següents:
6. Feu Afegir.
10. Cliqueu a Acceptar per anar tancant tots els quadres de diàleg que resten
oberts.
2. Cliqueu amb el botó dret del ratolí a l’objecte que voleu auditar i premeu
Propietats.
5. Seleccioneu els usuaris, els grups o els equips dels quals vulgueu auditar
les accions mitjançant la llista Entrades d’auditoria.
Des del punt de vista del maquinari, compartir recursos fa referència a l’ús del
maquinari per dos o més processos dins del sistema operatiu.
En aquesta unitat ens centrarem en la compartició des del punt de vista de les
xarxes d’ordinadors.
Es poden compartir tot tipus de recursos, encara que els més habituals són
directoris i impressores. En els sistemes operatius lliures hi ha diversos protocols
i aplicacions que ens permeten compartir recursos en xarxa, com el protocol NFS
i el paquet de programari Samba.
El sistema GNU/Linux només pot treballar amb una jerarquia de directoris. Per
tant, si volem accedir a diferents sistemes d’arxius, particions de discos o CD-
ROM, entre altres, primer hem de muntar aquests elements en algun punt de la
jerarquia.
Sistemes operatius en xarxa 38 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
El protocol NFS pot ser utilitzat amb múltiples finalitats, sempre dins de l’àmbit
de compartició de recursos. Per això, en general, el protocol NFS és molt flexible
i admet diferents possibilitats o escenaris de funcionament com, per exemple, els
següents:
• Un client NFS pot muntar directoris remots exportats per diferents servi-
dors.
Tenint en compte això, hi ha diversos usos típics de l’NFS en què aquest servei
mostra la utilitat que té. En podem destacar les utilitats tradicionals següents:
Totes les operacions sobre fitxers són síncrones. Això significa que l’operació
només torna un resultat quan el servidor ha completat tot el treball associat a
aquesta operació.
Per exemple, per muntar un sistema de fitxers NFS mitjançant l’ordre mount,
podem fer servir la línia següent:
Si es vol que el directori /home es munti a l’inici de sessió, es pot afegir aquesta
entrada permanent al fitxer /etc/fstab:
El servidor necessita, a més dels dos dimonis mountd i nfsd, un altre dimoni
anomenat portmap. El funcionament dels dimonis mountd i nfsd es basa en el
dimoni portmap. Així, doncs, la configuració d’un servidor NFS només necessita
tenir disponibles aquests serveis i iniciar-los en el nivell d’execució 3 (o 5 o bé
tots dos) de la màquina.
Per tal de parar, reiniciar, etc. el servei NFS, es poden fer servir els scripts del
servei que hi ha a la carpeta /etc/init.d.
Una vegada actius els serveis NFS, el servidor ha d’indicar explícitament quins
directoris vol que s’exportin, a quines màquines s’han d’exportar i amb quines
opcions s’ha de fer. Per això hi ha un fitxer de configuració denominat /etc/exports.
Vegem un exemple d’aquest fitxer:
1 # /etc/exports: the access control list for filesystems which may be exported
2 #to NFS clients. See exports(5).
3 # Example for NFSv2 and NFSv3:
4 #/srv/homes hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,
no_subtree_check)
5 # Example for NFSv4:
6 # /srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
7 # /srv/nfs4/homes gss/krb5i(rw,sync,no_subtree_check)
Cada línia del fitxer /etc/exports especifica un directori a exportar, juntament amb
una llista d’autoritzacions. És a dir, determina quins ordinadors podran muntar
aquest directori i amb quines opcions ho podran fer. Cada element de la llista
d’ordinadors pot especificar un sol ordinador (mitjançant un nom simbòlic o una
adreça IP) o un grup d’ordinadors (mitjançant l’ús de caràcters comodí, com * o ?).
Quan no s’especifica l’ordinador o el rang, significa que el directori corresponent
s’exporta a tots els ordinadors de la xarxa.
Sistemes operatius en xarxa 41 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Les opcions de muntatge més importants que es poden especificar entre parèntesis
per a cada ordinador o grup són les següents:
• (): aquesta opció estableix les opcions que l’NFS assumeix per defecte.
• root_squash: els accessos des del client amb UID = 0 (root) es converteixen
en el servidor en accessos amb UID d’un usuari anònim (opció per defecte).
• all_squash: tots els accessos des del client, amb qualsevol UID, es transfor-
men en accessos d’usuari anònim.
És important destacar que cada vegada que es modifica aquest fitxer, el servidor Control NFS
NFS s’ha d’actualitzar mitjançant l’ordre exportfs –ra a fi que s’activin els canvis. El mecanisme per controlar
quines màquines de la xarxa
poden disposar dels fitxers
compartits i quines no consistiria
En la pàgina de manual exports hi ha una llista completa de les opcions de a utilitzar els fitxers
muntatge i el significat que tenen. Per accedir-hi, cal utilitzar l’ordre man exports. /etc/hosts.allow i /etc/hosts.deny.
Els dos protocols més importants que formen el paquet de programari Samba són
el NetBIOS i l’SMB.
• Serveis generals
• Servei de noms
• Servei de sessió
• Servei de datagrames
L’SMB forma part dels protocols anomenats petició-resposta, ja que les comuni-
cacions sempre s’inicien des del client com una petició de servei al servidor. El
servidor la processa i torna una resposta a aquest client. La resposta del servidor
pot ser positiva o negativa, en funció del tipus de petició, la disponibilitat del
recurs, els permisos del client, etc. El Samba incorpora tres
nivells més de seguretat
que l’SMB.
El protocol SMB incorpora dos nivells de seguretat. Són els següents:
El Samba és una implementació lliure del protocol SMB amb les extensions de
Microsoft.
Sistemes operatius en xarxa 44 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Nom Samba
Inicialment el Samba s’anomenava smbserver, però li van haver de canviar el nom a causa
de problemes amb una altra empresa que tenia aquesta marca registrada. Per obtenir el
nom nou van buscar una paraula al diccionari de GNU/Linux que contingués les lletres
SMB:
El dimoni smbd s’encarrega d’oferir els serveis d’accés remot a fitxers i impres-
sores (per fer-ho, implementa el protocol SMB), a més d’autenticar i autoritzar
usuaris. El dimoni smbd ofereix les dues maneres de compartició de recursos
del Windows: compartició basada en usuaris (user-level) o compartició basada en
recursos (share-level).
Gràcies al Samba, en una xarxa hi pot haver equips amb Windows i equips
amb GNU/Linux de manera que puguin intercanviar informació en carpetes
compartides i compartir impressores, tal com es faria si tots els equips fossin
Windows o GNU/Linux. Podeu trobar més
informació sobre la
compartició de recursos
L’avantatge principal del paquet de programari Samba és que és pràcticament equi- entre sistemes GNU/Linux
i Windows en la unitat
valent a qualsevol servidor SMB/CIFS (Windows NT o 2000, servidor Netware, “Integració de sistemes
operatius”
servidor NFS UNIX, etc.) i, a més, és programari lliure i gratuït. En la taula 2.1
es mostren els diversos rols o serveis per als quals es pot utilitzar el Samba.
Servidor de fitxers Sí
Servidor d’impressores Sí
Autenticació GNU/Linux Sí
Integració LDAP Sí
El Samba, a més dels nivells de seguretat que proporciona el protocol SMB (share
i user), incorpora tres subnivells de seguretat en el nivell d’usuari. Així, en total
podem fer servir els nivells de seguretat següents:
• share: cada recurs compartit utilitza una paraula de pas. Tothom que sàpiga
aquesta paraula de pas pot accedir al recurs.
• user: cada recurs compartit del grup de treball està configurat per permetre
l’accés a un grup específic d’usuaris. En cada connexió inicial a un servidor
Samba autentica l’usuari.
El client envia una paraula de pas cada cop que vol accedir a un recurs, però no
envia cap usuari. Els sistemes GNU/Linux, no obstant això, sempre han d’utilitzar
un usuari per autenticar-se. Així, doncs, quin usuari s’envia per fer la connexió?
• Els sistemes Windows moderns i el Samba envien com a usuari per defecte
l’usuari que està utilitzant, en el moment d’accedir al recurs, la màquina
client.
Sistemes operatius en xarxa 47 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
• També es poden enviar a altres usuaris, com un inici de sessió previ, el nom
del recurs al qual es vol accedir, el nom NetBIOS del client o els usuaris del
paràmetre user list, depenent de les diferents configuracions.
El guest only i el guest
account són paràmetres
Per tant, en iniciar una sessió, els clients passen un usuari al servidor (sense que hi ha en el fitxer de
configuració
contrasenya). El Samba emmagatzema aquest usuari en una llista de possibles /etc/samba/smb.conf , els
quals analitzem en l’apartat
usuaris. Quan el client especifica una contrasenya i accedeix a un recurs concret, “Configuració d’un servidor
Samba”.
el Samba apunta el nom del recurs juntament amb els usuaris vàlids que apareguin
en el fitxer /etc/samba/smb.conf en la llista anterior. Seguidament, es comprova la
paraula de pas de cadascun dels possibles usuaris. Si hi ha coincidència, aleshores
s’autentica amb aquest usuari.
Quan aquesta llista no està disponible, aleshores el Samba envia una petició al
sistema GNU/Linux per trobar l’usuari a qui correspon la contrasenya. Això es fa
mitjançant l’NSS i la configuració del fitxer /etc/nsswitch.conf.
L’opció user és l’opció per defecte i també és la més simple. El client s’identifica
en el nivell de sessió amb un usuari i una paraula de pas. El servidor pot acceptar o
denegar la sessió, però no necessàriament ha de saber a quins recursos vol accedir
el client. En aquest nivell, doncs, per controlar l’accés als recursos el servidor
només es pot basar en els elements següents:
Si s’accepta la sessió, el client pot accedir als recursos remots sense haver de tornar
a especificar la paraula de pas. En aquest mètode és imprescindible que els usuaris
apareguin com a usuaris de GNU/Linux i del Samba.
Les màquines amb una versió del Samba posterior a la 2.2 es poden unir a un
domini de directori actiu. Això és possible si el servidor funciona en mode natiu,
ja que el directori actiu en aquest mode accepta perfectament membres de domini
de l’estil NT4.
A partir de la versió 3 del Samba, a més, el servidor Samba es pot afegir com a
membre natiu de directori actiu. Això pot ser útil si hi ha una política de seguretat
que prohibeix els protocols d’autenticació d’NT.
Aquest mode es manté per compatibilitat enrere i existeix perquè abans era el
mode que s’utilitzava quan el Samba no podia actuar com un PDC. No és gens
recomanable fer servir aquesta opció perquè té moltes deficiències.
Sistemes operatius en xarxa 49 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
amb diverses finalitats. Els paquets més utilitzats són els següents:
• samba-common: arxius comuns del Samba que utilitzen els clients i els
servidors.
Automàticament, la primera vegada que fem aquesta acció, ens dirà que ha
d’instal·lar el servei Samba. Si acceptem i introduïm la contrasenya de superusuari,
ens preguntarà si deixem que el Nautilus afegeixi els permisos necessaris per
poder compartir la carpeta. Si diem que sí començarà la instal·lació dels paquets
samba, smbclien i samba-common, entre d’altres. Per tant, aquesta possibilitat
d’instal·lació ens instal·la, a més d’altres eines, el servidor i el client Samba
conjuntament. Això ens permet compartir els nostres recursos i accedir als
recursos compartits d’altres màquines. Durant aquest procés d’instal·lació del
Samba, una de les accions que es fa mitjançant la compartició de carpetes és crear
un grup d’usuaris anomenat sambashare. L’usuari que fa la instal·lació s’afegeix a
aquest grup, al qual també han de pertànyer tots els usuaris del sistema que vulguin
compartir recursos.
Així, aquest serà el mètode que utilitzarem per compartir carpetes fàcilment
mitjançant l’entorn gràfic.
Sistemes operatius en xarxa 51 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Una vegada instal·lats els paquets relacionats amb el Samba mitjançant alguna
de les possibilitats anteriors, podem consultar les ordres o les aplicacions que
s’instal·len en el sistema amb l’ordre següent:
1 dpkg −L samba | grep bin
2 /usr/bin
3 /usr/bin/eventlogadm
4 /usr/bin/smbstatus
5 /usr/bin/smbcontrol
6 /usr/bin/profiles
7 /usr/bin/tdbbackup
8 /usr/bin/pdbedit
9 /usr/sbin
10 /usr/sbin/smbd
11 /usr/sbin/nmbd
12 /usr/sbin/mksmbpasswd
o
Sistemes operatius en xarxa 52 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
1 /etc/init.d/samba restart/
Per altra banda, podem configurar l’arrencada automàtica del servei Samba quan
iniciem el sistema amb l’ordre següent:
Per tal que aquesta administració sigui possible, el Samba disposa de la seva pròpia
base de dades d’usuaris Samba. No obstant això, com que els usuaris utilitzen
altres recursos del servidor, com carpetes i impressores, cal que aquests usuaris
també estiguin creats en el sistema GNU/Linux.
Per poder ser usuari del Samba, cal disposar d’un compte d’usuari a
GNU/Linux i d’un compte d’usuari al Samba.
1. Creació d’usuaris Samba. Per crear un usuari Samba hem d’utilitzar l’ordre
smbpasswd. Abans de crear un usuari, però, aquest usuari ha d’existir en el sistema
GNU/Linux.
Per exemple, suposem que volem que l’usuari lluis, gaudeixi dels serveis del
Sistemes operatius en xarxa 53 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
L’opció -a serveix per indicar al Samba que ha d’afegir l’usuari a la llista d’usuaris
Samba. Tot seguit ens preguntarà dues vegades la contrasenya que volem establir a
l’usuari. El més raonable és que aquesta contrasenya sigui la mateixa que l’usuari
té a GNU/Linux.
Per a més informació es pot consultar la pàgina del manual del smbpasswd amb
l’ordre man smbpasswd.
Abans de veure la manera com el Samba gestiona els permisos d’usuaris i grups,
cal tenir clar la diferència que hi ha entre permís i dret en els sistemes operatius.
Després d’identificar cada usuari amb accés al servei Samba, es poden especificar
els permisos i els drets que té a la xarxa. L’administrador s’encarrega de
determinar l’ús de cada recurs de la xarxa o les operacions que cada usuari pot
dur a terme en cada estació de treball.
Per exemple, un usuari pot tenir el dret a accedir a un servidor per mitjà de la
xarxa, a forçar l’apagada o el reinici d’un equip remotament, a canviar el sistema
Sistemes operatius en xarxa 54 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
d’arrencada, etc. Alhora, cada recurs, servei o utilitat té una informació associada
que li indica qui pot utilitzar-lo o executar-lo i qui no. Així, doncs, no hem de
confondre dret amb permís. Vegem-ne la diferència:
D’aquesta manera, els drets fan referència a operacions pròpies del sistema
operatiu com, per exemple, el dret a fer còpies de seguretat o a canviar l’hora
del sistema. En canvi, els permisos fan referència a l’accés als diferents objectes
de xarxa com, per exemple, el permís de llegir un fitxer concret.
Així, doncs, cada recurs té associat un grup de marques (bits) que determina
els permisos que té cada usuari depenent del grup al qual pertanyi o de si és el
propietari del recurs o no.
Els drets els determinen les accions que cada usuari pot desenvolupar en el sistema.
Per exemple, si pertany al grup root o al grup sudo.
Els drets prevalen sobre els permisos. Per exemple, un operador de consola
pot tenir dret a fer una còpia de seguretat de tot un disc, però és possible que
no pugui accedir a determinats directoris d’usuaris perquè no tingui permís per
fer-ho. D’aquesta manera, podrà fer la còpia de seguretat, perquè el dret de
còpia de seguretat preval sobre la restricció dels permisos, però no podrà llegir
la informació que hi ha en els directoris si no té permís per fer-ho.
2. En segon lloc, s’han de configurar els permisos dels fitxers i els directoris
que conté aquest servei de xarxa. Depenent del sistema operatiu de
xarxa, les marques associades als recursos varien, encara que en general
hi ha les de lectura, escriptura, execució, esborrament, etc. En xarxes
en què coexisteixen sistemes operatius de xarxa de distints fabricants, cal
determinar els permisos per a cada sistema.
Sistemes operatius en xarxa 55 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Aquest esquema es va desenvolupar als anys setanta i avui encara és adequat per a
la gran majoria dels sistemes en xarxa que hi ha en qualsevol tipus d’organització,
tant si es tracta de xarxes petites com de xarxes grans.
És cert que té algunes limitacions, però té l’avantatge de ser senzill. Això fa que
sigui fàcil d’administrar i que el rendiment sigui molt elevat.
En els sistemes Windows, la gestió dels permisos que els usuaris i els grups
tenen sobre els arxius es fa mitjançant un esquema complex de llistes de control
d’accés (access control lists, ACL) per a cada directori i arxiu. El sistema ACL té
l’avantatge de ser molt més flexible que el sistema GNU/Linux, ja que es poden
establir més tipus de permisos, donar permisos només a uns quants usuaris i grups,
denegar permisos, etc. Com s’ha comentat anteriorment, però, en la majoria de
casos n’hi ha prou amb les prestacions del sistema GNU/Linux.
D’altra banda, el sistema ACL és més complex d’administrar i més lent, ja que
abans d’accedir a les carpetes o als arxius el sistema ha de comprovar les llistes.
En sistemes de GNU/Linux, en canvi, es fa una operació lògica dels bits que
especifiquen els permisos, de manera que és molt més ràpid.
Per exemple, si tenim compartida una carpeta anomenada professors amb per-
misos d’escriptura per al grup professors, tots els usuaris que pertanyin al grup
professors podran efectuar canvis en la carpeta. No obstant això, si dins d’aquesta
carpeta n’hi ha una altra que s’anomena confidencial, a la qual el grup professors
no té permís per entrar, cap professor en podrà veure el contingut, encara que sigui
dins d’una carpeta compartida.
Sistemes operatius en xarxa 56 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Per fer una gestió eficaç d’usuaris, grups i permisos, es recomana fer servir
els permisos GNU/Linux, els quals permeten assignar permisos de lectura,
escriptura i execució a l’usuari propietari de l’arxiu, al grup propietari de
l’arxiu i a la resta d’usuaris del sistema.
Pot ser que hi hagi alguna contradicció entre els permisos del sistema GNU/Linux
i els permisos del recurs compartit a Samba.
Per exemple, podem tenir un directori compartit anomenat magatzem amb permi-
sos GNU/Linux de lectura, escriptura i execució per a tots els usuaris del sistema.
Tanmateix, si en l’arxiu de configuració del Samba aquest recurs té el paràmetre
read only = yes, no s’hi podran efectuar canvis, ja que està compartit amb permís
només de lectura.
1. [global]. Defineix els paràmetres a escala global del servidor Samba, a més
d’alguns dels paràmetres que s’establiran per defecte en la resta de les seccions.
Sistemes operatius en xarxa 57 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
En la taula 2.2 es mostren els paràmetres més significatius amb el valor per defecte
i exemples:
Taul a 2. 2. Opcions principals de la configuració global del Samba
Tau la 2 . 2 (continuació)
El funcionament del servei Samba determina que, quan es faci una sol·licitud de
connexió a un recurs compartit, s’escanegin les seccions que hi hagi en el fitxer
/etc/samba/smb.conf mitjançant la cerca del nom del recurs. Si es troba una
coincidència, s’utilitzen els paràmetres de la secció, amb el mateix nom que el
recurs sol·licitat, per determinar les propietats i la configuració del recurs.
1 [home]
2 path=/home/%u
3 read only=no
Aquesta és una manera ràpida i senzilla de donar accés als directoris a un gran
nombre de clients amb un esforç mínim.
Aquesta secció pot especificar tots els paràmetres de les seccions dels recursos
nous a compartir, encara que alguns paràmetres tindran més sentit que d’altres.
3. [printers]. Aquesta secció funciona com [homes], però per a les impressores.
del recurs sol·licitat, s’utilitzen els paràmetres de la secció amb el mateix nom per
determinar les propietats i la configuració del recurs. Si no hi ha coincidències,
però hi ha una secció [homes], se segueix el procés que s’ha descrit en la secció
anterior. En cas que no hi hagi cap secció [homes], el nom de la secció (recurs)
sol·licitada es tracta com un nom d’impressora i s’analitza l’arxiu /etc/printcap per
comprovar si aquest nom és un nom vàlid d’impressora compartida. Si es troba
una coincidència, es crea una secció nova amb el nom de la secció buscada i amb
els paràmetres especificats en la secció [printers] per defecte.
1 [printers]
2 path = /var/spool/samba
3 guest ok = yes
4 printable = yes
4. Recursos nous a compartir. Cada vegada que es vol compartir un recurs (un
directori, una impressora, etc.), cal crear una secció nova amb un encapçalament
entre claudàtors. L’encapçalament d’aquesta secció es correspondrà amb el nom
que el recurs tindrà a la xarxa (el nom mitjançant el qual es podrà accedir al recurs
des d’una altra màquina). Generalment es fa servir el mateix nom de la impressora
o la carpeta a compartir per tal que sigui més aclaridor.
hosts allow Proporciona una llista buit(vol dir tots els 192.169.
d’ordinadors des dels ordinadors)
quals es permet accedir
al recurs. S’hi afegeixen
els que s’han especificat
en la secció [global].
valid users Proporciona una llista buit(vol dir tots els pere, @pas
d’usuaris que poden usuaris)
accedir al recurs. En cas
de conflicte, preval el
que s’indica en la secció
[global].
invalid users Proporciona una llista buit(vol dir cap usuari) profe,@admin
d’usuaris que no poden
accedir al recurs. En cas
de conflicte, preval el
que s’indica en la secció
[global].
Tau la 2 . 3 (continuació)
• Per tenir una descripció detallada de tots els paràmetres, es pot consultar la
pàgina del manual d’/etc/samba/smb.conf amb l’ordre man smb.conf.
Per altra banda, el Samba ofereix una interfície d’edició d’aquest fitxer basada
en web denominada Swat. Aquesta eina permet configurar el Samba utilitzant un
navegador de xarxa, tant de forma local com remota. És interesant i imprescindible
veure la manera de configurar gràficament el servidor Samba amb l’eina Swat.
Eines gràfiques de Per fer servir l’Swat com a eina d’administració de qualsevol servidor Samba,
configuració per al Samba
Hi ha diverses eines que ens
el servidor ha de tenir prèviament instal·lat i funcionant com a mínim un servei
ajuden a gestionar gràficament el
Samba o aspectes que hi estan
web. Per obtenir els requisits necessaris per accedir via web al servidor podem
relacionats. D’aquestes eines, en instal·lar-hi el paquet de programari LAMP de manera ràpida i senzilla amb l’eina
podem destacar cinc: el Gosa, el
LAM, l’ebox, el Webmin i tasksel. Una vegada instal·lat aquest paquet, disposarem del servei de base de
l’Swat. Nosaltres veurem l’Swat
perquè està totalment orientat a dades MySQL i de l’intèrpret de PHP, a més del servei web Apache.
la configuració amb interfície
gràfica del servidor Samba.
Per instal·lar l’Swat farem servir dos paquets: el paquet swat i el paquet inetutils-
inetd. Utilitzarem l’ordre següent:
Sistemes operatius en xarxa 63 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Una vegada instal·lat l’swat, l’hem d’activar a inetd amb aquesta ordre:
Inetd
L’inetd és un dimoni que atén les
Finalment, hem d’establir una contrasenya a l’usuari primari (root user) per tal de sol·licituds de connexió que
arriben al nostre equip i està a
poder-nos validar a l’inici de l’aplicació: l’expectativa de tots els intents
de connexió que es fan en la
màquina. L’inetd s’utilitza
1 sudo −s principalment per llançar
2 passwd processos que contenen altres
dimonis, generalment serveis.
Els serveis de xarxa que presta la
màquina estan descrits a
Per accedir a la interfície gràfica de l’swat, hem d’obrir un navegador. Si som en /etc/inetd.conf.
el mateix servidor, en la barra de cerques hi hem d’escriure http://localhost:901. Si volem accedir de manera
remota al servidor Samba,
hauríem de canviar
L’aplicació ens demanarà un nom d’usuari i una contrasenya. Si volem accedir a localhost per l’adreça IP, el
nom de la màquina o el nom
totes les funcionalitats del Samba, hem d’entrar com a usuaris primaris i fer servir de domini.
Com podem observar en la part superior de la pantalla, tenim una sèrie de botons
que ens permeten seleccionar diferents opcions de gestió i configuració. Ens
interessa conèixer què ens ofereix cada botó:
1. HOME. Aquest botó ens porta a la pàgina inicial de l’aplicació, la qual ens dóna
la benvinguda i ens proporciona una gran quantitat d’enllaços a la documentació
més actualitzada del Samba.
2. GLOBALS. Aquest botó ens porta a una pàgina que ens permet configurar tots
Sistemes operatius en xarxa 64 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
5. WIZARD. Aquesta secció ens permet determinar el rol del nostre servidor
Samba dins d’una xarxa Windows. Podem especificar quin tipus de servidor serà:
només servidor, membre del domini o controlador de domini. També podem
determinar si farem servir WINS o no, i si el nostre servidor farà de servidor
WINS o de client d’un altre servidor WINS.
També ens ofereix la possibilitat de mostrar el directori dels usuaris Samba, per
tal que s’hi pugui accedir des dels equips de la xarxa local o el grup de treball.
A més, des d’aquesta secció podem aturar o reiniciar els distints dimonis del servei
Samba (smbd, nmbd i winbindd) i terminar (matar) les connexions establertes pels
Sistemes operatius en xarxa 67 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
usuaris.
El client Samba ens proporciona una ordre per accedir als recursos compartits dels
servidors Samba disponibles per mitjà de la xarxa: smbclient. L’ordre smbclient és
una petita aplicació que ens permet accedir als servidors Samba com a clients, com
si es tractés d’una mena d’accés FTP. S’utilitza sobretot per saber quins recursos
Samba ens ofereix una màquina remota. Per exemple, la sintaxi per llistar els
recursos d’una màquina remota és la següent:
1 smbclient −N −L IOC
2 Anonymous login successful
3 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.3.2]
4 Sharename Type Comment
5 −−−−−−−−− −−−− −−−−−−−
6 material ioc Disk
7 apunts Disk
8 IPC$ IPC IPC Service (ioc−laptop server (Samba, Ubuntu))
9 print$ Disk Printer Drivers
10 homes Disk
11 Anonymous login successful
12 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.3.2]
13 Server Comment
14 −−−−−−−− −−−−−−−
15 ALFA ioc−laptop server (Samba, Ubuntu)
16 Workgroup Master
17 −−−−−−−− −−−−−−−
18 WORKGROUP ALFA
Per connectar-nos al recurs que ens interessa, haurem de fer servir aquesta ordre:
1 smbclient //NETBIOS_NAME/Recurs
Sistemes operatius en xarxa 68 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Quan accedim al recurs compartit, disposem d’una línia d’ordres. Tot i així, també
podem executar les ordres típiques del servei FTP, com put o get, entre altres. Per
tal que ens mostri totes les ordres que podem utilitzar, hem d’executar l’ordre help:
També podem fer servir les ordres de navegació per al sistema de fitxers de
GNU/Linux (cd, ls) i algunes de les ordres habituals de modificació de fitxers
(rm, mkdir, del o rename), sempre que tinguem permisos.
Tot i que l’ordre smbclient és molt útil, aquesta manera de treballar pot resultar
una mica enutjosa. Hi ha, però, la possibilitat de muntar les unitats de xarxa a les
quals volem accedir en directoris del nostre sistema, com si es tractés de directoris
locals. Per això haurem de tenir instal·lat el paquet smbfs.
Sistemes operatius en xarxa 69 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
No obstant això, com ja hem comentat, hi ha una diferència entre l’NFS i l’SMB.
L’NFS no requereix que l’usuari que fa la connexió s’autentiqui. Aquest servidor
fa servir el UID de l’usuari de l’ordinador client per accedir als fitxers i als
directoris exportats. Realment, l’ordre mount -t
smbfs es reencamina a
smbmount.
Un servidor SMB, per contra, sí que requereix que l’usuari s’autentiqui, i per això
necessita un nom d’usuari i una contrasenya. Per muntar un recurs SMB podem
fer servir les ordres smbmount o, directament, l’ordre mount si li indiquem un
tipus de sistema d’arxius específic (en aquest cas, smbfs). La sintaxi d’aquestes
dues ordres seria la següent:
Vegem un exemple del fitxer /etc/fstab configurat per muntar recursos Samba
remots en l’arrencada del sistema:
Per altra banda, també pot ser molt útil permetre que els usuaris que no tinguin
permisos de superusuari puguin muntar unitats Samba remotes. Per fer-ho,
haurem de seguir una sèrie de passos:
2. Editar sudo per permetre que els usuaris del grup puguin muntar unitats Samba.
1 sudo visudo
2 ## Members of the admin group may gain root privileges
3 %admin ALL=(ALL) ALL
4 %samba ALL=(ALL) /bin/mount,/bin/umount,/sbin/mount.cifs,/sbin/umount.cifs
Ara tots els usuaris del grup afegit podran muntar unitats Samba remotes.
L’Ubuntu ens permet accedir gràficament als recursos disponibles dels grups
de treball (paràmetre workgroup del Samba) que hi ha a la xarxa local amb el
navegador Nautilus, per mitjà del menú Llocs > Xarxa.
En seleccionar aquesta opció del menú, se’ns obrirà una finestra del Nautilus en
què ens apareixeran tots els grups de treball (dominis) que hi hagi a la xarxa
local. Si fem doble clic a cadascun dels grups, ens mostrarà els servidors Samba
disponibles. Per veure els recursos que comparteix cada servidor, haurem de
fer doble clic al damunt de la icona amb el nom. Aleshores, o bé hi podrem
accedir lliurement perquè el servidor permet l’accés a usuaris convidats o bé
haurem d’especificar el nom d’usuari Samba i la contrasenya adequada. En accedir
a qualsevol servidor Samba, automàticament es muntaran totes les carpetes
compartides del servidor, cosa que ens permetrà gestionar més fàcilment els
recursos als quals tinguem accés. L’accés a cada recurs pot ser lliure o pot requerir
un nom d’usuari Samba i una contrasenya. Si ens fixem en la figura 2.8 i figura
2.9 podrem entendre més bé tot el que hem comentat.
Per moure’ns per les carpetes, els servidors i els grups també podem utilitzar, a
més dels clics, la barra de cerques Ubicació. La sintaxi de les adreces en la barra
Sistemes operatius en xarxa 72 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Ubicació és la següent:
1 smb://nom_servidor/recurs
Un ordinador que executa el CUPS actua com un servidor que pot acceptar tasques
d’impressió des d’altres ordinadors clients, les processa i les envia a la impressora
apropiada.
El CUPS, a més d’utilitzar el protocol IPP com a base per al maneig de tasques
d’impressió i cues d’impressió, també proveeix les ordres tradicionals de línia
d’ordres d’impressió dels sistemes GNU/Linux.
El CUPS també disposa d’un suport limitat d’operacions sota el protocol SMB, el
quals s’utilitza, en aquest cas, per compartir impressores.
• cups-pdf, és el paquet que ens instal·la una eina que ens permet crear fitxers
PDF a partir del CUPS, com si fos una impressora. És similar al PDFCreator
del Windows.
631. Aquesta interfície web ens permet de manera gràfica afegir, cercar i eliminar
impressores i classes d’impressores, controlar els treballs en les cues d’impressió
i gestionar diversos paràmetres del servidor. En la figura 2.10 es mostra la pantalla
que apareix en carregar la interfície web del CUPS.
Per tal de compartir impressores amb el servidor CUPS disposem d’un entorn
gràfic, al qual ens podem connectar mitjançant l’explorador d’Internet, que ens
facilita el procés. Així doncs, el procés de compartició d’impressores per mitjà
PostScript
del CUPS consta dels passos següents:
El PostScript és un llenguatge de
descripció de pàgines que
s’utilitza en moltes impressores i, 1. Instal·lació en el servidor d’impressió de les impressores a compartir. Per
de manera usual, també es fa
servir com a format de transport instal·lar una impressora en el servidor CUPS hem de seleccionar l’opció Add
d’arxius gràfics en tallers
d’impressió professional. printers de la pestanya Administration.
Apareixerà una pantalla, com la que veiem en la figura 2.11, en què ens demanarà
un nom, la localització i una descripció per a la impressora que volem instal·lar.
Fig u ra 2 . 1 1 . Pantalla inicial per afegir una nova impressora amb CUPS
Seguidament ens mostrarà la pantalla de la figura 2.12, en què ens demanarà l’URI
PostScript printer (uniform resource identifier, identificador uniforme de recursos) del dispositiu per
description
El PPD és un arxiu que crea el
poder especificar on és la impressora en el sistema. Hem d’anar en compte perquè,
fabricant de la impressora per
descriure les característiques
si no especifiquem bé aquest paràmetre, la impressora romandrà inaccessible.
disponibles per a les seves Podem consultar en la documentació del CUPS com hem d’especificar l’URI,
impressores PostScript. Un PPD
conté el codi de PostScript segons el model de la impressora.
necessari per fer servir les
característiques d’una
impressora. D’aquesta manera, La pantalla següent ens demana pel fabricant de la impressora a fi d’instal·lar
funciona com un controlador de
dispositiu per a les impressores els controladors de dispositiu adequats. També ens permet especificar aquests
PostScript i proveeix una
interfície unificada. controladors mitjançant un fitxer de text en format PPD (PostScript printer
Sistemes operatius en xarxa 75 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Fi g ura 2 .12 . Pantalla d’especificació del lloc de l’impressora al sistema amb CUPS
Si ens ha detectat la impressora que volem instal·lar, només caldrà que premem el
botó Endavant.
Finalment, el sistema ens proposarà imprimir una pàgina de prova perquè puguem
Sistemes operatius en xarxa 77 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Si, per contra, en el quadre Impressora nova no es mostra la impressora que volem
instal·lar, tenim dues possibilitats:
1 ipp://nom_o_ip_servidor/printers/nom_impresora
Finalment, el sistema ens proposarà imprimir una pàgina de prova perquè puguem
estar segurs que la instal·lació s’ha fet correctament.
El servei Samba integra el servei d’impressió CUPS i està configurat per tal que,
per defecte, faci servir aquest sistema. Tot i que el Samba també suporta altres
estils o sistemes d’impressió, el paràmetre printing, el qual determina el sistema
d’impressió, té el valor cups per defecte.
1 smb://[grup_de_treball]nom_o_ip_servidor[:port]/nom_impressora
• Seleccionar, en la part dreta del quadre, l’opció Windows Printer via SAMBA
i especificar en cada quadre de text els valors dels paràmetres demanats.
1 smb://[grup_de_treball]nom_o_ip_servidor[:port]/nom_impressora
A continuació, ens mostrarà una pantalla en què ens demanarà que seleccionem
una marca d’impressora de la base de dades de controladors del sistema, que li
proporcionem el controlador en un fitxer PPD o que cerquem el controlador a
baixar.
Finalment, el sistema ens proposarà imprimir una pàgina de prova perquè puguem
estar segurs que la instal·lació s’ha fet correctament.
Integració de sistemes
operatius
Jordi Cárdenas Guia i Juan José López Zamorano
Índex
Introducció 5
Resultats d’aprenentatge 7
Introducció
Resultats d’aprenentatge
9. Estableix nivells de seguretat per controlar l’accés dels usuaris i grups als
recursos compartits en xarxa.
11. Documenta les tasques d’integració fetes, les incidències aparegudes i les
solucions aportades.
El codi obert dels sistemes Linux i la seva gratuïtat es contraposen al codi tancat
i de pagament dels sistemes Windows. Segons Microsoft, els seus sistemes són
realment més barats que els sistemes Linux, ja que són més fàcils d’utilitzar i
això implica a llarg termini un abaratiment del producte, mentre que els sistemes
Linux requereixen una “mà” més experta, cosa que encareix un producte que en
un principi era gratuït.
El fet que existeixen diferents màquines amb sistemes operatius en una mateixa
organització indica que cada màquina gestionarà una quantitat d’informació i una
sèrie de recursos com ara impressores, discos durs, unitats de CD-ROM que
pot ser necessari que siguin compartits amb la resta de màquines de la xarxa o
l’organització.
La figura 1.1 il·lustra la idea de sistema heterogeni. Es pretén fer conviure sistemes
molt diferents en un mateix espai.
En els dos casos anteriors els clients podran ser màquines amb sistemes Windows
o GNU/Linux.
1. No utilitzar Directori Actiu, fent servir winbind, aquesta opció ens permet:
2. Utilitzar Directori Actiu, fent servir IDMU, aquesta opció ens permet:
NT amb una màquina GNU/Linux, la qual cosa suposa utilitzar programari lliure,
evitant així, haver de pagar llicències per la seva utilització. Els clients Windows
podran accedir al domini i als recursos accessibles des del domini sense cap
problema. Els clients GNU/Linux podran accedir als recursos del domini, si
els usuaris existents als clients estan donats d’alta també com a usuaris Samba.
Si volem que els clients GNU/Linux, a més, s’autentiquen al domini creat pel
servidor Samba, haurem d’utilitzar i configurar eines com NSS, PAM, i windbind
o LDAP.
Existeix una altra opció molt més senzilla per a la simple compartició de recursos
entre màquines Windows i GNU/Linux, sense necessitat d’implementar un domini.
Aquesta opció consisteix a utilitzar Samba a les màquines GNU/Linux i crear un
grup de treball comú entre les màquines amb sistemes Windows i les màquines
amb sistemes GNU/Linux.
Tot i que Microsoft domina clarament el mercat domèstic, cada vegada més el
sistema Linux està present a les llars compartint màquina amb una versió Windows.
En el món de les supercomputadores les dades canvien: Microsoft és el segon
sistema utilitzat per darrere de Linux.
Des del punt de vista tècnic, el més important és saber identificar les febleses de
cadascun dels sistemes i cobrir-les amb un altre sistema operatiu. És aquí on té un
paper molt important saber integrar diferents sistemes operatius.
Microsoft Windows Server 2008 ofereix diverses opcions d’integració vers dife-
rents sistemes operatius, com ara les distribucions Linux o els sistemes operatius
d’Apple.
Per utilitzar el SUA l’haureu d’instal·lar com una característica de Windows Server
2008.
El SUA inclou una sèrie d’utilitats que el posicionen com una eina molt potent i
amb un ampli camp d’aplicació. Algunes de les utilitats que inclou el SUA són:
• Shells: Korn i C.
El SUA també inclou un ampli suport d’APIs que permeten dur a terme la
portabilitat d’aplicacions UNIX sense haver de fer gaires canvis en el codi font,
com ara C, C++, Fortran, Perl, Math, RPC, Socket, Curse, Crypt, Termcap, Lex,
Yacc, Pthread, X11R6.6 i suport a Dynamic linking/shared object.
Portabilitat d’aplicacions
La gestió d’identitats s’instal·la com una part del Role de Directory Services de
Windows Server 2008.
Sistemes operatius en xarxa 14 Integració de sistemes operatius
• La gestió d’identitats pot utilitzar NIS maps com estàndard, per exemple
hosts, group, protocols, o com no estàndard.
• SNIS pot instal·lar-se en altres DC del domini per a que actuïn com a
subordinats.
• Els servidors NIS UNIX poden seguir actuant com a subordinats del domini
NIS.
SNIS agrupa una sèrie d’eines i utilitats que faciliten molt les tasques de l’usuari.
En resum, SNISS ofereix:
• Els clients poden utilitzar moltes funcions i crides de procediment remot per
connectar al servei de xarxa: yp_match, yp_first, yp_next, yp_all, yp_order,
yp_master, yperr_string, and ypprot_err.
Sincronització de contrasenyes
La sincronització de contrasenyes:
• S’instal·la com una part del Role de Directory Services de Windows Server
2008.
Resulta de gran utilitat utilitzar un client NFS per migrar arxius d’una màquina Windows Services For UNIX és
un paquet que conté utilitats per
UNIX a un servidor Windows Server 2008. Utilitzant el client per a NFS podreu reproduir diverses Shell de
accedir sense gaires problemes a una màquina UNIX. UNIX, emular el seu
comportament i proporcionar un
entorn operatiu similar al
d’UNIX o Linux dins de
Característiques que heu de tenir en compte a l’hora d’utilitzar NFS són: Windows Server 2003.
• S’instal·la com a part del Role de servidor de fitxers amb el Server Manager.
Per instal·lar el client per a NFS des de la línia d’ordres haureu de seguir els passos
següents:
1. Inicieu una sessió en l’equip amb un compte del grup dels administradors.
Sistemes operatius en xarxa 16 Integració de sistemes operatius
Els components que podeu trobar per a serveis per UNIX lligats a NFS estan
directament relacionats amb els processos d’autenticació o bé en depenen. A
continuació es descriuen breument aquests components:
• User Name Mapping Server: mapa els usuaris UNIX que estan a Windows
i els usuaris Windows que estan a UNIX. Si es donés el cas que un usuari
té un compte d’usuari en UNIX i un en Windows, el component conté un
mecanisme per relacionar-los amb una única persona.
• Server for PCNFS: aquest servidor el pot utilitzar qualsevol altre NFS que
necessiti accedir a PCNFS.
• Client for NFS: es tracta del component client d’SFU per a NFS. El client
per NFS ha d’estar a la màquina que utilitzarà el recurs NFS a la xarxa.
• Gateway for NFS: es tracta d’un client NFS especial. Proporciona l’accés a
recursos a altres màquines Windows que no tenen instal·lat cap component
SFU.
• Server for NFS: el servidor per a NFS s’instal·la en aquells equips que han
de proporcionar el servei NFS a la xarxa.
És possible configurar NFS per compartir carpetes locals en volums NTFS utilit-
zant l’explorador de Windows o mitjançant d’administració d’emmagatzematge
i recursos compartits. Mitjançant l’explorador de Windows podreu activar i
configurar l’ús compartit d’NFS si seguiu els passos següents:
1. Cliqueu amb el botó dret del ratolí a sobre del recurs compartit que vulgueu
administrar.
Sistemes operatius en xarxa 17 Integració de sistemes operatius
2. Seleccioneu Propietats.
Els noms dels recursos compartits mitjançant NFS han de ser únics per a cada
sistema. El nom del recurs que indiqueu és el nom de la carpeta a la qual es
connectaran els usuaris UNIX.
Per defecte, els equips UNIX només disposen d’accés de lectura al recurs compar-
tit mitjançant NFS. Per canviar els permisos d’accés heu de clicar, dins el quadre
de diàleg Ús compartit avançat d’NFS, a sobre del botó Permisos.
Si el que necessiteu és desactivar els recursos compartits amb NFS heu de seguir
els passos següents:
1. Cliqueu amb el botó dret del ratolí a sobre del recurs compartit que vulgueu
desactivar.
DFS, sistema de fitxers distribuït Proporciona eines i serveis per als espais de noms i
la replicació DFS.
FSRM, administrador de recursos del servidor de Agrupa un conjunt d’eines que els administradors
fitxers poden utilitzar per gestionar les dades
emmagatzemades.
Serveis d’arxiu de Windows Server 2003 Proporciona serveis de fitxer compatibles amb
Windows Server 2003.
FRS, serveis de replicació d’arxius Permet sincronitzar carpetes amb servidors d’arxius
que utilitzin FRS en comptes de DFS.
Per afegir la funció Serveis de fitxer i poder treballar seguiu els passos següents:
4. Marqueu Serveis per a Network File System per poder treballar amb sistemes
UNIX.
UNIX. L’alta càrrega de treball fa que calgui fer un treball d’administració força
acurat.
2. Cliqueu a Propietats.
7. Dins la fitxa Seguretat comproveu que els permisos són els adients.
Kerberos és un sistema molt més segur que NTLM i que gestiona millor l’escala-
bilitat. Els sistemes Linux i UNIX també utilitzen Kerberos, per tant es converteix
en molt real la possibilitat d’integrar els diferents sistemes operatius.
És necessari proporcionar els identificadors de Linux o UNIX per a tots els usuaris,
i els grups als quals pertanyen, que poden iniciar sessió. S’han de definir valors
per als atributs uidNumber i gidNumber dels usuaris i grups. No oblideu que:
• WebDAV.
Per connectar-se a xarxes, Mac OS X disposa d’un client AFP, un altre SMB per
connectar-se a servidors de fitxers Windows i també un NFS per als servidors Unix.
La integració de clients Macintosh en aquestes plataformes de servidor és senzilla
i molt intuïtiva.
Des d’una estació de treball Windows s’accedeix de la mateixa manera a tots els
recursos ubicats en un servidor Mac OS X.
Cal tenir molt en compte que no podeu utilitzar les utilitats de la línia d’ordres ni
Serveis per a NFS per administrar versions anteriors.
Utilitzeu Servidor per a NFS per controlar l’accés dels usuaris i dels grups als
recursos de Serveis per a NFS mitjançant Active Directory. Per aconseguir-ho, us
caldrà l’identificador d’usuari o l’identificador de grup segons quin sigui el cas.
Si agregueu una nova unitat en l’equip que és el servidor d’NFS, tingueu en compte
que haureu de modificar permisos. El directori arrel de la unitat haurà de tenir els
permisos adequats perquè no tothom hi pugui escriure.
Per poder utilitzar recursos de Windows Server 2008 en màquines amb sistemes
operatius Mac, caldrà que el protocol AppleTalk estigui funcionant correctament.
Per activar el protocol AppleTalk seguiu els passos següents:
Des del punt de vista del manteniment, resulta de gran utilitat treballar amb Open
Directory, ja que el tècnic només ha de preocupar-se de mantenir un únic directori,
independentment de les plataformes que es trobin dins la xarxa informàtica.
L’ús compartit d’impressores és una de les tasques més desitjades en els escenaris
heterogenis.
Mac OS X Server Sí Sí Sí Sí
Windows 2008 Sí Sí Sí Sí
Server
Netware 6 Sí Sí Sí Sí
Linux Sí Sí Sí Sí
Solaris Sí Sí Sí
Sistemes operatius en xarxa 27 Integració de sistemes operatius
Un altre punt interessant que tractarem és la integració entre els usuaris, grups i
permisos dels sistemes Windows i GNU/Linux que es fa utilitzant Samba. Cal
tenir clar la manera en què Samba permet garantir la seguretat a l’hora d’accedir
als recursos des de diferents plataformes. La millor manera d’entendre el funciona-
ment del mecanisme de compartició de recursos amb Samba és mitjançant alguns
exemples de compartició de recursos instal·lats en diferents sistemes operatius.
També és molt interessant saber com funciona la integració entre Samba i LDAP
per tal de garantir la seguretat, fiabilitat, escalabilitat i robustesa en un escenari de
xarxa heterogeni.
Samba té com a característica principal que ens permet compartir recursos entre
màquines Windows i GNU/Linux connectades en xarxa, per tant possibilita
compartir recursos en un escenari heterogeni.
– NT domain logons.
Sistemes operatius en xarxa 28 Integració de sistemes operatius
Tot aquest conjunt de protocols són necessaris per a la integració entre màquines
NetBIOS Windows i GNU/Linux.
NetBIOS és necessari per al
funcionament de Samba, excepte El paquet Samba instal·lat sobre una màquina amb un sistema GNU/Linux permet
en el cas d’una xarxa amb Active
Directory on SMB pot treballar que la màquina ofereixi una sèrie de serveis i ocupi una sèrie de rols dins d’una
directament sobre TCP/IP sense
utilitzar NetBIOS. xarxa integrada, similars als que oferiria una màquina amb un sistema Windows
NT instal·lat. Així doncs, veiem els serveis que ofereix i el rols que pot ocupar un
servidor Samba i els que no.
• Servidor de fitxers.
• Servidor d’impressores.
• Es pot executar més d’un servidor SMB/CIFS per cada sistema GNU/Linux.
(dynamic SMB servers).
• Habilitat per implementar una solució SSO real (no solament per a Win-
dows).
• Proveir una àrea de dades comuna per fer una transició de Windows a
GNU/Linux.
El fet que un servidor Samba pugui adquirir diversos rols i treballar en combinació
amb altres serveis ens permet situar-lo en diferents escenaris heterogenis. És molt
important conèixer els possibles escenaris en què podem utilitzar el servei Samba
per integrar màquines Windows i GNU/Linux i compartir recursos entre elles.
• Comptes d’usuari.
• Els usuaris membres del domini i els seus permisos poden ser gestionats de
forma centralitzada des d’una sola base de dades Security Account Manager
(SAM) anomenada Domain SAM.
• Cal indicar que només poden utilitzar dominis les versions NT4/200x i XP
Professional (no XP Home Edition) del sistema Windows.
• Les estacions de treball del domini poden ser controlades utilitzant policy
files (NTConfig.POL) i perfils d’escriptori.
Un servidor Samba pot substituir servidors Windows en diferents rols dins d’un
domini Windows NT. De fet la versió actual del servidor Samba s’integra totalment
en dominis Windows NT.
Sistemes operatius en xarxa 31 Integració de sistemes operatius
Els grups de treball són utilitzats sobretot per a la compartició de recursos entre
les màquines pertanyents al mateix grup de treball. Els grups de treball són
considerats més útils per a xarxes petites. Dominis mixtos
El servei Samba es pot combinar
Les màquines amb sistemes GNU/Linux i Samba, poden formar part dels grups amb altres serveis com LDAP
per generar una cosa similar a
de treball i compartir recursos a través d’ells amb màquines Windows. Active Directory que integri
màquines Windows i
GNU/Linux amb programari
Els grups de treball es consideren difícils de manejar més enllà d’una dotzena de lliure de manera segura, potent i
escalable. A més, Samba també
clients, i els manquen algunes característiques com SSO, escalabilitat, capacitat permet que màquines
GNU/Linux puguin accedir a un
de recuperació de desastres, i diverses característiques més de seguretat. domini Active Directory amb un
controlador de domini Windows.
El PDC conté la còpia mestra de la base de dades SAM. En el cas que l’adminis-
trador vulgui modificar la informació de la base de dades SAM ens podem trobar
amb dues opcions:
....
• Stand-alone server. No utilitza dominis, és la configuració normal per als
grups de treball.
Una vegada conegudes les funcionalitats d’un servidor Samba, resulta interessant
tractar el procés de configuració de les més importants. Abans de passar a la
configuració, però, hem de fer el procés d’instal·lació de Samba.
Sistemes operatius en xarxa 33 Integració de sistemes operatius
Per poder treballar amb el servei Samba i configurar-lo en algun dels diferents
papers que pot ocupar, primer cal dur a terme el procés d’instal·lació. La
instal·lació dels paquets que ens proporcionaran tant el servidor com el client
Samba en una màquina GNU/Linux, en concret Ubuntu 9.04, es pot fer fàcilment
de dues maneres.
2. Mitjançant l’entorn gràfic. Simplement hem de prémer el botó dret sobre una
carpeta del nostre equip, que vulguem compartir, i seleccionar l’opció Opcions de
compartició del menú contextual. A continuació s’obrirà un quadre de diàleg en
el qual marquem la casella Comparteix aquesta carpeta i premem el botó Crear
compartició. Automàticament, la primera vegada que fem aquesta acció, ens
avisarà que ha d’instal·lar el servei Samba; si acceptem i li posem la contrasenya
de superusuari, a continuació ens preguntarà si deixem que Nautilus afegeixi els
permisos necessaris per poder compartir la carpeta. Si acceptem començarà la
instal·lació dels paquets Samba, smbclient i samba-common, entre d’altres.
Podem configurar el servidor Samba per compartir recursos dins d’un grup de
treball entre màquines Windows i GNU/Linux. El tipus de configuració o rol
que ocuparà Samba serà el d’Stand-Alone Server. Els servidors Stand-Alone són
independents dels controladors de domini de la xarxa. Aquests servidors no són
membres del domini, sinó que funcionen com a servidors dins d’un grup de treball.
Com hem comentat la filosofia del grup de treball és d’igual a igual (peer-to-
peer) i per tant existiran tants Stand-Alone Servers dins d’un grup de treball com
màquines amb recursos per a compartir.
• Compartició de directoris.
• Compartició d’impressores.
Compartició de directoris
L’únic requisit és que els directoris que configurem a Samba existeixin realment al
sistema. Amb aquest pas finalitzaríem la configuració de la màquina GNU/Linux
per compartir directoris.
Per exemple, per a compartir una carpeta anomenada alumnes premem botó dret
damunt de la carpeta i seleccionem Propietats, a continuació anem a la pestanya
Compartir i seleccionem l’opció Compartir aquesta carpeta i prenem el botó
Acceptar. Veiem l’exemple en la la figura 2.4.
Per canviar els permisos de la carpeta en Windows XP, abans hem d’activar la
visualització dels permisos. Per fer això dins d’una carpeta anem al menú Eines>
Opcions de carpeta, i a la pestanya Veure desmarquem l’ultima opció Utilitzar ús
compartit simple d’arxius. Així, quan tornem a seleccionar les propietats de la
carpeta, ens apareixerà la pestanya Seguretat on podrem establir els permisos de
cada carpeta per als diferents usuaris.
Una vegada configurats els grups de treball i els recursos a compartir a cadascuna
de les màquines, podem accedir als recursos d’altres màquines mitjançant el menú
Els meus llocs de xarxa a Windows i Llocs> Xarxa a Ubuntu.
Els accessos directes són creats automàticament en l’equip cada vegada que s’obre
un recurs compartit de xarxa, com una nova impressora o una carpeta compartida.
Compartició d’impressores
Windows Printer via Samba i especificar la ruta cap a la màquina Windows que té
la impressora compartida com es veu en la figura 2.5.
Per cada grup de treball de Windows ha d’haver-hi una màquina que funcioni com
a Browse Master. Aquesta màquina és la que s’encarrega d’emmagatzemar la
informació de màquines de xarxa (noms) i els recursos que comparteixen. Cada
cop que s’encén un sistema Windows el primer que fa el programari de xarxa és
buscar un Browse Master a la xarxa:
Aquest sistema és molt poc eficient ja que el procés d’elecció d’un Browse-Master
pot trigar uns minuts un cop activada la màquina. A més, un cop finalitzat el
procés d’elecció, si una màquina s’afegeix a la xarxa o surt de la xarxa pot trigar
A l’hora de fer servir un
DMB cal tenir en compte de en actualitzar-se la xarxa fins a 15 minuts.
totes maneres les normes
d’encaminament o els
possibles tallafocs dels A més del Browse Master existent als grups de treball, a una xarxa Windows
encaminadors (routers).
podem trobar també els Masters Browsers dels dominis:
Sistemes operatius en xarxa 41 Integració de sistemes operatius
Per tal que el servidor Samba sigui escollit com a Local Master Browser d’un
segment de xarxa hem d’especificar les opcions següents a la secció global del
fitxer /etc/samba/smb.conf (figura 2.10).
etc/samba/smb.conf
Per defecte, Samba “guanya” totes les eleccions a Local Master Browser davant
tots els sistemes Windows excepte amb un PDC Windows NT. Això significa que
una configuració errònia del servei Samba pot aïllar la xarxa local de les peticions
de “Browse” de la resta de la xarxa.
1 nmblookup -S nom_màquina
en els sistemes GNU/Linux podem saber el tipus de treball que està fent qualsevol
màquina del domini en un moment concret.
La taula 2.1 enumera alguns dels sufixos NetBIOS que empra Microsoft Windows
NT. Els sufixos s’enumeren en format hexadecimal ja que, en cas contrari, molts
d’ells no podrien imprimir-se.
Sistemes operatius en xarxa 43 Integració de sistemes operatius
domain 1C G Controlador de
domini(PDC)
• Únic (U): el nom només pot tenir assignada una adreça IP.
• Grup (G): un mateix nom pot existir amb diverses adreces IP.
• ldapsam. Aquest backend permet integrar una base de dades LDAP amb
Samba. La versió 3 de Samba incorpora un suport estès per LDAP i permet
gran quantitat d’opcions de control. Es poden utilitzar configuracions de
control d’accés per usuari, perfils, etc. i suporta perfectament sistemes
distribuïts. Per exemple controladors primaris de domini amb múltiples
controladors de backups.
Samba suporta també altres backends per tal de ser compatible amb versions
anteriors. Aquests backends seran eliminats en futures versions:
Els SID no són portables, la qual cosa vol dir que si canviem de sistema es generarà
un nou SID per als usuaris o grups de la xarxa.
El sistema Windows permet l’accés i atorga els privilegis als recursos basant-se en
la llista de control d’accés (ACL), que utilitza el SID per identificar unívocament
els usuaris i membres del seu grup. Quan un usuari entra en una màquina, es
genera un token d’accés que conté el nivell de privilegis i la SID de l’usuari o el
grup. Quan un usuari sol·licita accés a un recurs, el token d’accés és comprovat
per l’ACL per a permetre o denegar l’acció particular sobre el recurs.
Els SID son molt útils per a la localització i resolució de problemes amb auditories
de seguretat, servidors de Windows i migracions de domini. Qualsevol grup o usuari que
no és creat per defecte
tindrà una ID relativa de
El format del SID és el següent: 1000 o més.
S-1-5-12–7623811015-3361044348-030300820-1013
On:
2. UID i GID. En els sistemes Unix i derivats com GNU/Linux, els usuaris són
representats per un identificador numèric d’usuari, normalment abreujat com UID
(User Identifier). Les característiques bàsiques d’aquest identificador són:
• El rang dels valors dels UID varia entre els diferents sistemes. Com a mínim
els UID han d’estar compresos entre 0 i 32767.
• Els UID entre 1 i 499 són reservats normalment per a usuaris creats pel
sistema.
• La llista de tots els UID dels usuaris existents al sistema es troba en l’arxiu
/etc/passwd.
Sistemes operatius en xarxa 46 Integració de sistemes operatius
• La gamma dels valors per a un GID varia entre diversos sistemes, un GID
pot estar 0 i 32767.
• Aquest valor numèric s’utilitza per fer referència a grups en els arxius del
sistema /etc/passwd i /etc/group o els seus equivalents.
• L’altra opció és fer un mapatge de SID enfront UID amb idmap. Això es
pot fer amb els paràmetres idmap uid i idmap gid del fitxer smb.conf.
Un dels rols més importants que pot fer un servidor Samba és actuar com a
controlador primari de domini, ja que un controlador de domini és un servidor
SMB/CIFS. Així doncs, resulta molt interessant conèixer el procés de configu-
ració d’un servidor Samba com a controlador primari de domini en un domini
heterogeni. És a dir, un domini on s’autenticaran i compartiran recursos màquines
Windows i GNU/Linux. Els passos que ha de seguir el servidor Samba són els
següents:
Per tant, un servidor Samba que compleixi aquestes condicions podrà fer de
Controlador Primari de Domini PDC. El procés de configuració consta d’una sèrie
d’etapes. Així doncs, les diferents etapes per configurar un servidor Samba com
a PDC són les següents:
Per configurar els paràmetres de la xarxa de Windows hem d’establir el nom del
domini (workgroup) i el nom de màquina de NetBIOS al fitxer de configuració
/etc/samba/smb.conf. Per exemple, amb Swat quedaria com es mostra en la figura
2.14.
F ig ur a 2. 14. Configuració dels paràmetres de xarxa
Valor domain
És molt important no assignar el
valor domain a l’opció security.
Amb aquesta opció, el client s’identifica a nivell de sessió enviant un usuari i una Al contrari del que pot semblar
paraula de pas i el servidor pot acceptar o denegar la sessió. Així doncs, en aquest pel seu nom aquest model de
seguretat només s’utilitza quan
nivell de seguretat, el servidor pot controlar l’accés als recursos del domini basant- una màquina Samba és membre
d’un domini però no és un PDC.
se en:
Sistemes operatius en xarxa 50 Integració de sistemes operatius
Si la sessió és acceptada, el client podrà accedir als recursos del domini sense
que li calgui haver de tornar a especificar la paraula de pas. En aquest mètode és
imprescindible que els usuaris existeixin com a usuaris de GNU/Linux i com a
usuaris de Samba.
Samba pot funcionar com un servidor primari WINS però no pot sincronitzar les
seves dades amb altres servidors WINS Així doncs, per configurar el servidor
Samba com a WINS i DMB els paràmetres del fitxer de configuració del servidor
Samba quedaran com es mostra en la figura 2.16.
També hem de configurar el paràmetre name resolve order amb els valors wins
host bcast Per configurar un servidor Samba com a client WINS hem d’especificar
les opcions següents:
Una vegada s’ha fet la configuració bàsica de TCP/IP i dels paràmetres de xarxa
de Windows i la resolució de noms de NetBIOS el pas següent és la configuració
de les opcions Logon dels usuaris del servidor Samba. Amb aquestes opcions
podem determinar quins seran els scripts que s’executaran per gestionar els usuaris
i grups GNU/Linux necessaris per als servidor, cosa que permetrà la sincronització
automàtica entre els usuaris GNU/Linux i els usuaris Samba. A més, en aquesta
secció també podem especificar quin serà l’script d’inici (logon script) i on
s’emmagatzemaran els scripts de perfils per als usuaris de les màquines client
Windows que s’autentiquin al domini a través del PDC.
A Swat, com ens mostra la figura 2.17, existeix una secció especifica dins
de l’apartat GLOBALS, amb l’opció Advanced activada, anomenada Logon
Options on ens permet configurar totes les opcions anteriors.
Si no ens interessa executar cap script d’inici (logon script), ni configurar perfils o
gestionar els usuaris remotament, no cal configurar res més a Samba, amb aquesta
Wizard de Swat
configuració ja podríem treballar com a PDC sense servei de NETLOGON.
També podem establir el tipus de
servidor a l’apartat Wizard de Si ens interessa que s’executi un script d’inici cada vegada que un client Windows
l’eina Swat.
es validi al PDC haurem d’utilitzar els paràmetres d’inici de sessió següents:
• Swat activa: domain
logons = Yes. 1. logon script: aquest paràmetre especifica el fitxer batch (.bat) o el fitxer
• Quan executem tesparm
d’ordres de NT (.cmd) que serà descarregat i executat per cada client un cop
ens indica el tipus de s’ha autenticat correctament. Aquests fitxers s’utilitzen generalment per carregar
servidor.
a l’inici recursos compartits com impressores, carpetes, etc.
El fitxer ha d’estar en format DOS (les línies han d’acabar en CR/LF) i la seva
ubicació depèn del recurs compartit [netlogon] el qual ens permet crear un perfil
de xarxa comú per a tots els usuari que s’autentiquin al servidor.
Així, els paràmetres del recurs compartit [netlogon] serien els que es mostren a la
figura 2.18:
Ara només ens caldria crear o afegir l’script d’inici de sessió al directori corres-
ponent en aquest cas /etc/samba/netlogon/logon.bat
Com a exemple de script d’inici de sessió podem fer que, en validar-se, un usuari
sincronitzi l’hora del seu sistema amb l’hora del servidor i munti la carpeta remota
a una unitat local. Així l’script d’exemple seria:
Com que el fitxer ha d’estar en format DOS, podem convertir-lo utilitzant l’eina
tofrodos com a arrel (root). Primer haurien d’instal·lar-la i després crear el nou
fitxer; el procés seria el següent:
Podem comprovar que els fitxers són diferents amb l’ordre file:
1 file /etc/samba/netlogon/logon.bat.unix
2 logon.bat.unix: ASCII text, with no line terminators
3 file /etc/samba/netlogon/logon.bat
4 logon.bat: ASCII text, with CRLF line terminators
2. logon path: indica on estan els perfils mòbils dels usuaris. Els perfils
defineixen entre altres coses les característiques de l’escriptori i els programes
i fitxers accessibles d’un compte.
• Perfils locals (Local Profiles): en aquests tipus de perfils es manté una copia
del perfil a la màquina local, només estan disponibles a l’ordinador local i
el control és únicament de l’usuari al qual pertany cada perfil.
Aquest valor especifica on es guarden per defecte els perfils d’usuari. El valor
%N, si no utilitzem el servei NIS, és idèntic a %L i es correspon amb el nom
NetBIOS del servidor i %U indica el nom d’usuari de sessió.
Per tant els perfils es guarden en una carpeta anomenada profile de la home de
l’usuari. Aquesta carpeta es crea automàticament en el cas de no existir durant el
primer accés de l’usuari.
Els perfils per a clients Windows 9x/Me funcionen d’una manera lleugerament
diferent. Aquests perfils utilitzen el paràmetre:
Amb aquests tipus de clients els perfils només es poden posar a la home. Però hi
ha un truc que és fer que la home comenci per punt i sigui un fitxer ocult:
Tots dos paràmetres, logon path i logon home, es poden utilitzar alhora per suportat
tots els tipus de clients.
“browseable”. Per altra banda aquest directori vinculat amb el recurs profile, no
serà de només lectura, ja que la seva funció és que la màquina client pugi carregar
al servidor el seu perfil mòbil quan l’usuari surt (log off ) i descarregar-lo quan
l’usuari entri al domini (log on).
Així, quan un usuari entra per primera vegada al domini és crea la carpeta profile a
la màquina client, en la ubicació que indica el servidor Samba al paràmetre logon
path. Quan l’usuari surt (log off ) el contingut del seu perfil, és a dir, les dades
de Inicio, Mis Documentos, Favoritos... s’emmagatzemen en aquesta carpeta i
es pugen al servidor Samba, emmagatzemant-se a la carpeta corresponent dins
del recurs profile. Quan l’usuari torna a entrar al domini, descarrega les dades
del seu perfil, pujades anteriorment, de la carpeta compartida al recurs profile del
servidor. Aquesta configuració ens permet modificar, mitjançant l’usuari root, la
configuració del perfil de l’usuari.
El recurs compartit per a perfils mòbils s’utilitza per emmagatzemar els perfils dels
usuaris. Cada usuari ha de tenir un directori en l’arrel d’aquest recurs compartit.
Aquest recurs ha de tenir permisos d’escriptura per als usuaris i permisos de lectura
globals. Els paràmetres més importants d’aquest recurs es mostren a continuació:
• read only = no: Aquesta opció indica que es permet escriure en el recurs
compartit.
Perfils obligatoris
Els perfils obligatoris són aquells perfils amb els quals l’usuari
pot fer modificacions del seu perfil però aquestes modificacions no
s’emmagatzemaran al finalitzar la sessió.
El procés es tan senzill com localitzar el fitxer NTUSER.DAT del perfil de l’usuari
i reanomenar-lo a NTUSER.MAN.
Els perfils per defecte i els perfils per tots els usuaris son perfils locals, i per tant
s’emmagatzemen a la màquina client del domini.
El perfil d’un usuari concret, ja sigui local o de domini, es forma a partir del perfil
per defecte i del perfil per a tots els usuaris de la màquina local.
El perfil per defecte del domini, el podem establir a través del recurs compartit
[netlogon]. Per exemple:
El perfil per a tots els usuaris s’estableix a la màquina local i es carrega des
d’aquesta. Per exemple quan s’instal·len aplicacions normalment s’afegeixen al
menú Inicio del perfil All Users.
Importar perfils
Hi ha casos en què els perfils mòbils no són la millor opció, per exemple quan no es
disposa o no es desitja gastar ample de banda per carregar els perfils dels usuaris,
no es vol tenir control dels clients, tenim distints tipus de màquines i distintes
configuracions de maquinari, i aquest fet complica que un client entri al domini
des de qualsevol lloc amb la seva configuració predeterminada...
1 logon home =
2 logon path =
Atenció
1 logon drive = H:
Swat a la secció Logon Option proporciona una sèrie d’opcions que ens perme-
ten especificar un conjunt d’scripts. Aquests scripts s’utilitzaran per gestionar
remotament els usuaris del sistema GNU/Linux on es troba el PDC. Quan usuaris
de Samba amb permisos de root es connecten remotament des de màquines del
domini Windows NT, aquests scripts permeten crear, esborrar, modificar usuaris
i grups al PDC proporcionant així una sincronització automàtica entre els usuaris
de GNU/Linux i Samba. Veiem algunes d’aquestes opcions. Tots els paràmetres utilitzats
per indicar els diferents
tipus de scripts no s’han
d’utilitzar amb l’opció
• add user script: quan un usuari intenta connectar-se a un servidor Samba, security = share, ja que els
en temps de login, el dimoni smbd contacta amb el servidor de contrasenyes, scripts són executables de
GNU/Linux als quals es
el qual pot ser una màquina remota o ell mateix, i intenta autenticar passa el nom de l’usuari
que correspongui utilitzant
l’usuari. Si l’autenticació és correcta aleshores smbd intenta buscar un la variable %u.
s’executa l’script indicat per la variable: aquest script s’executa com a root
i es l’encarregat de crear l’usuari al sistema GNU/Linux si no existeix.
• delete user script: aquest és l’script que s’executarà quan un usuari amb
permisos d’administrador elimini des d’un client remot un usuari.
• add group script: similar a add user script però per a grups.
• delete group script: idèntic a delete user script però per eliminar un grup.
• add user to group script: s’utilitza quan un usuari amb permisos al client
remot afegeix a un usuari existent a un grup existent.
• delete user from group script: idèntic a l’anterior però per eliminar un
usuari d’un grup.
Variable Significat
%g Grup primari de %u
%G Grup primari de %U
%H Directori “home” de %u
Variable Significat
%v Versió de Samba
Una vegada configurat el servidor Samba com a PDC d’un domini, podem afegir
màquines i usuaris que tinguin accés al domini i als recursos compartits d’aquest.
Per afegir un client a un domini hem de seguir una seqüència de passos que serien:
Perquè tingui validesa l’ordre anterior, hem d’assegurar-nos que al fitxer /etc/sam-
ba/smb.conf no tenim el paràmetre:
1 invalid users=root
1 root=Administrador
Després establirem el nou fitxer com a valor del paràmetre username map. Així,
a la secció global del fitxer /etc/samba/smb.conf s’afegirà el següent:
1 usename map=/etc/samba/smbusers
És recomanable no utilitzar
la mateixa paraula de pas
per a l’administrador Samba
que per a l’usuari root del
servidor.
Sistemes operatius en xarxa 60 Integració de sistemes operatius
2. Cal afegir un compte de màquina MTA per cada estació de treball a la base
de dades SAM del domini.
• De manera manual des de la línia d’ordres del servidor, amb l’ordre net.
Exemple:
• Utilitzant MS Windows NT4 Server Manager des d’una màquina que sigui
membre del domini.
El servei Samba pot funcionar en conjunt amb el servei LDAP per tal de combinar
la potència d’ambdós serveis i oferir un punt central d’autenticació i accés als
recursos compartits tant per a màquines Windows com GNU/Linux.
Samba pot funcionar amb qualsevol tipus de servidor que respecti l’estàndard
LDAP, però el servidor de referència utilitzat per Samba és OpenLDAP.
Sistemes operatius en xarxa 62 Integració de sistemes operatius
Així doncs, què obtenim de combinar Samba amb LDAP o més concretament un
PDC Samba amb OpenLDAP? Doncs obtenim els avantatges següents:
Un dels inconvenients que podem trobar, per esmentar-ne algun, d’utilitzar Samba
amb LDAP, en comptes d’un sistema Windows amb Active Directory, és que es
Escalabilitat perden algunes funcionalitats molt específiques d’Active Directory i Windows,
L’escalabilitat no només depèn
del backend (cal analitzar les
com la replicació de les bases de dades SAM entre màquines Samba i màquines
necessitats de disc dur, memòria Windows o la possibilitat d’actuar com a controlador de domini Active Directory.
RAM, etc. i els patrons de
carrega). Com a norma cal un Encara s’esten treballant a la versió 4 de Samba perquè totes aquestes opcions i
PDC (o BDC) per cada 30-150
clients. més estiguin disponibles.
Sistemes operatius en xarxa 63 Integració de sistemes operatius
Una de les peculiaritats de combinar Samba amb LDAP és que permet substituir el
backends per a la gestió d’usuaris smbpasswd i tdbsam per un específic d’LDAP,
ldapsam. Els beneficis d’aquesta substitució són:
Per aconseguir els objectius anteriors, definirem l’estructura del directori segons
aquest DIT (directory information tree).
1 dc=base del domini
2 ou = Users : comptes d’usuari tant per a GNU/Linux com per a Windows
3 ou = Computers : comptes de màquina per als sistemes Windows
4 ou = Groups : comptes de grups tant per a GNU/Linux com per a Windows
5 ou = DSA : comptes espcials del sistema
Aquesta estructura és conforme amb les recomanacions del RFC 2307bis. Per tant,
la conjunció de Samba i OpenLDAP ens permetrà emmagatzemar la informació
següent:
Sistemes operatius en xarxa 64 Integració de sistemes operatius
La primera cosa que hem de fer és obtenir l’esquema que defineix els objectes de
Samba o samba.schema.
Descripció
Descripció
Editem el fitxer:
1 include /etc/ldap/schema/core.schema
2 include /etc/ldap/schema/collective.schema
3 include /etc/ldap/schema/corba.schema
4 include /etc/ldap/schema/cosine.schema
5 include /etc/ldap/schema/duaconf.schema
6 include /etc/ldap/schema/dyngroup.schema
7 include /etc/ldap/schema/inetorgperson.schema
8 include /etc/ldap/schema/java.schema
9 include /etc/ldap/schema/misc.schema
10 include /etc/ldap/schema/nis.schema
Sistemes operatius en xarxa 66 Integració de sistemes operatius
11 include /etc/ldap/schema/openldap.schema
12 include /etc/ldap/schema/ppolicy.schema
13 include /etc/ldap/schema/samba.schema
1 mkdir /tmp/sortida
Una vegada creats el fitxer i el directori, utilitzem l’ordre slaptest per convertir els
esquemes en un fitxer amb format ldif i desar-lo al directori creat. Aquest fitxer
serà utilitzat per exportar al servidor slapd les dades dels esquemes. L’ordre serà
la següent:
Si mirem dins del directori /tmp/sortida veurem que s’han generat un conjunt de
fitxers i carpetes, similars als continguts a /etc/ldap/slapd.d.
1 dn: cn=samba,cn=schema,cn=config**
2 ...
3 cn: samba
4 ...
1 structuralObjectClass: olcSchemaConfig
2 entryUUID: b53b75ca−083f−102d−9fff−2f64fd123c95
3 creatorsName: cn=config
4 createTimestamp: 20080827045234Z
5 entryCSN: 20080827045234.341425Z#000000#000#000000
6 modifiersName: cn=config
7 modifyTimestamp: 20080827045234Z
Per últim hem d’afegir l’esquema al servidor LDAP amb l’ordre ldapadd:
13 olcDbIndex: sambaPrimaryGroupSID eq
14 olcDbIndex: sambaGroupType eq
15 olcDbIndex: sambaSIDList eq
16 olcDbIndex: sambaDomainName eq
17 olcDbIndex: default sub
Amb la següent ordre veiem les eines que ens proporciona el paquet:
1 sudo dpkg −L smbldap−tools | grep bin
2
3 /usr/sbin
4 /usr/sbin/smbldap−groupadd
5 /usr/sbin/smbldap−groupdel
6 /usr/sbin/smbldap−groupmod
7 /usr/sbin/smbldap−groupshow
8 /usr/sbin/smbldap−passwd
9 /usr/sbin/smbldap−populate
10 /usr/sbin/smbldap−useradd
11 /usr/sbin/smbldap−userdel
12 /usr/sbin/smbldap−userinfo
13 /usr/sbin/smbldap−usermod
14 /usr/sbin/smbldap−usershow
Modificar els valors d’smbldap.conf per fer-los concordar amb el nostre entorn.
1 SID=" S−1−5−21−1329301582−845521840−2767172409"
2 sambaDomain="GRUPIOC"
3 slaveLDAP="127.0.0.1"
4 slavePort="389"
5 masterLDAP="127.0.0.1"
6 masterPort="389"
7 ldapTLS="0"
8 verify="none"
9 cafile="/etc/smbldap−tools/ca.pem"
10 clientcert="/etc/smbldap−tools/smbldap−tools.pem"
11 clientkey="/etc/smbldap−tools/smbldap−tools.key"
12 suffix="dc=grupioc,dc=ioc,dc=xtec,dc=cat"
13 usersdn="ou=People,${suffix}"
14 computersdn="ou=Computers,${suffix}"
15 groupsdn="ou=Groups,${suffix}"
16 idmapdn="ou=Idmap,${suffix}"
17 sambaUnixIdPooldn="sambaDomainName=GRUPIOC,${suffix}"
18 ...
1 slaveDN="cn=admin,dc=grupioc,dc=ioc,dc=xtec,dc=cat"
2 slavePw="contrasenya_admin"
3 masterDN="cn=admin,dc=grupioc,dc=ioc,dc=xtec,dc=cat"
4 masterPw="contrasenya_admin"
Un cop configurat podem fer que smbldap-tools ens generi l’arbre bàsic d’LDAP
amb:
1 sudo smbldap−populate
Amb aquest pas finalitzem la configuració del servei OpenLDAP. El següent pas
en la configuració de l’PDC Samba amb LDAP consisteix en la configuració del
servidor Samba.
A més de les opcions que veiem en la imatge hem de configurar també l’opció
passdb backend, el valor de la qual serà:
1 passdb backend=ldapsam:ldap://localhost
Per poder treballar amb les eines de gestió d’usuari remotament com a root des de
Windows cal configurar els scripts de gestió d’usuari GNU/Linux, com es mostra
en la figura 2.21.
Una vegada fet tot el procés de configuració anterior, caldria comprovar que la
implementació del servei Samba amb OpenLDAP funciona fent servir les ordres
següents:
Sistemes operatius en xarxa 70 Integració de sistemes operatius