FP SMX m04 Material Paper

Informàtica i comunicacions
Sistemes operatius en xarxa

CFGM.SMX.M04/0.10
CFGM - Sistemes microinformàtics i xarxes
Generalitat de Catalunya
Departament d’Ensenyament
Aquesta col·lecció ha estat dissenyada i coordinada des de l’Institut Obert de Catalunya.
Coordinació de continguts
Anna Castelló Gistau
Redacció de continguts
Jordi Cárdenas Guia
Juan José López Zamorano
Agraïments
Hem d’agrair la col·laboració d’en Sergi Tur Badenas, per l’aportació de les seves publicacions web i idees
d’activitats.
Primera edició: setembre 2010

© Departament d’Ensenyament
Material realitzat per Eureca Media, SL
Dipòsit legal: DL B 13341-2017
Llicenciat Creative Commons BY-NC-SA. (Reconeixement-No comercial-Compartir amb la mateixa llicència 3.0 Espanya).
Podeu veure el text legal complet a
http://creativecommons.org/licenses/by-nc-sa/3.0/es/legalcode.ca
CFGM - Sistemes microinformàtics i xarxes 5 Sistemes operatius en xarxa
Introducció
En la societat del segle XXI no hi pot haver cap organització o empresa sense
un sistema informàtic. El fet que funcioni correctament proporciona un gran
valor estratègic a l’organització i implica una tria acurada de la figura del cap
d’informàtica i de la planificació del sistema informàtic, tant en maquinari com
en programari. Dins de l’àmbit nacional serveis com els bancaris, municipals,
hisenda, xarxes socials, etc. han incrementat l’ús de les xarxes i per tant cal
incrementar la seva seguretat.
Aquest mòdul vol proporcionar les bases teoricopràctiques sobre com dissenyar i
mantenir un sistema informàtic en xarxa.
En la unitat “Sistemes operatius de propietat en xarxa” instal·lareu i configurareu
sistemes operatius propietaris, configurant serveis de directori, i gestionant domi-
nis.
En la unitat “Sistemes operatius lliures en xarxa”, s’instal·larà i monitoritzarà
un sistema operatiu lliure, es configurarà gestionant dominis i emprant eines
d’administració de dominis.
En la unitat “Compartició de recursos en xarxa i seguretat” compartirem recursos
i configurarem la seguretat de la xarxa.
En la unitat “Integració de sistemes operatius”, veureu com integrar diversos
sistemes operatius en la mateixa xarxa, instal·lant i configurant el programari
especific necessari.
Per a treballar els continguts d’aquest mòdul, és convenient anar fent les activitats
i els exercicis d’autoavaluació, i llegir els annexos.
Resultats d’aprenentatge
En finalitzar aquest mòdul l’alumne/a:

Sistemes operatius de propietat en xarxa
1. Instal·la i monitoritza sistemes operatius en xarxa propietaris, descrivint

característiques, eines utilitzades. Fa tasques de gestió sobre dominis
utilitzant eines d’administració de dominis i interpretant la documentació
tècnica.
Sistemes operatius lliures en xarxa
1. Instal·la i monitoritza sistemes operatius en xarxa lliures, descrivint carac-

terístiques, eines utilitzades. Fa tasques de gestió sobre dominis utilitzant
eines d’administració de dominis i interpretant la documentació tècnica.
Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
1. Comparteix recursos en xarxa i gestiona la seguretat, instal·lant programari

específic i interpretant la documentació tècnica.
Integració de sistemes operatius
1. Fa tasques d’integració de sistemes operatius lliures i propietaris, instal·lant

programari específic i interpretant la documentació tècnica.
Continguts
Sistemes operatius propietaris en xarxa
Unitat 1
Instal.lació i configuració de sistemes operatius propietaris
1. Instal·lació i administració de sistemes operatius de propietat
2. Supervisió de sistemes operatius de propietat
3. Directrius de grup en sistemes operatius de propietat
4. Active Directory
Sistemes operatius lliures en xarxa
Unitat 2
Instal.lació i configuració de sistemes operatius lliures
1. Sistemes operatius lliures. Instal·lació de sistemes GNU/Linux
2. Configuració i monitoratge en sistemes GNU/Linux
3. Serveis de directori
4. Autenticació d’usuaris en xarxes GNU/Linux
Compartir recursos en xarxa i seguretat en sistemes lliures i de

propietat
Unitat 3
Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
1. Compartir recursos en xarxa i seguretat en sistemes de propietat
2. Compartir recursos en xarxa i seguretat en sistemes lliures
Unitat 4
1. Sistemes heterogenis. Integració de sistemes amb Windows
2. Integració de sistemes amb GNU/Linux

Instal·lació i configuració de
sistemes operatius propietaris
Jordi Cárdenas Guia

Sistemes operatius en xarxa Instal·lació i configuració de sistemes operatius propietaris
Índex
Introducció 5
Resultats d’aprenentatge 7
1 Instal·lació i administració de sistemes operatius de propietat 9

1.1 La família Microsoft Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2 Controladors de domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 Serveis de resolució de noms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.4 Eines més usuals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.5 Interfície Windows PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.6 Instal·lació del Microsoft Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.6.1 Requeriments del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.6.2 Funcions i serveis del Microsoft Windows Server 2016 . . . . . . . . . . . . . . . . . 14
1.6.3 Tipus d’instal·lació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.6.4 Utilització del símbol del sistema durant la instal·lació . . . . . . . . . . . . . . . . . 19
1.6.5 Eliminar particions de disc durant la instal·lació . . . . . . . . . . . . . . . . . . . . . 22
1.7 Administració del Microsoft Windows Server 2016 . . . . . . . . . . . . . . . . . . . . . . . 22
1.7.1 Configuració inicial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.7.2 Administració de servidors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.7.3 Propietats del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2 Supervisió de sistemes operatius de propietat 27

2.1 L’administrador de tasques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.2 Administració de serveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2.1 Iniciar sessió . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.2.2 Recuperació de serveis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.3 Registre d’esdeveniments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.3.1 Filtratge de registres d’esdeveniments . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.3.2 Eliminació de registres d’esdeveniments . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.4 Rendiment de l’equip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.4.1 Monitor de fiabilitat i rendiment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
2.4.2 Seleccionar més comptadors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.4.3 Supervisar comptadors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.4.4 Alertes per a comptadors de rendiment . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.5 Optimització del rendiment del sistema operatiu Microsoft Windows Server 2008 . . . . . . . 39
2.5.1 Optimització de la memòria i la memòria cau . . . . . . . . . . . . . . . . . . . . . . 39
2.5.2 Optimització de l’ús del microprocessador . . . . . . . . . . . . . . . . . . . . . . . 40
2.5.3 Optimització d’entrada i de sortida de disc . . . . . . . . . . . . . . . . . . . . . . . 41
2.5.4 Optimització d’accés a la xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3 Directrius de grup en sistemes operatius de propietat 43

3.1 Ordre d’aplicació de les directrius de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2 Aplicació de les directrius de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
3.2.1 Inici del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Sistemes operatius en xarxa Instal·lació i configuració de sistemes operatius propietaris
3.2.2 Compatibilitat de versions de directrius rectives de grup . . . . . . . . . . . . . . . . 44

3.3 Directrius de grup local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.3.1 Configuració dels objectes de directriu de grup local . . . . . . . . . . . . . . . . . . 47
3.4 Directives de llocs, dominis i unitats organitzatives . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.1 Directives de domini i predeterminades . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.4.2 Consola d’administració de directrius de grup . . . . . . . . . . . . . . . . . . . . . . 48
3.4.3 Editor de directrius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.4.4 Les plantilles administratives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.4.5 Creació d’un magatzem central . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.5 Administració d’usuaris i equips mitjançant directrius de grup . . . . . . . . . . . . . . . . . 50
3.6 Administració de les directrius de seguretat del sistema operatiu Microsoft Windows Server 2008 50
3.6.1 Assistent per a la configuració de seguretat (SCW) . . . . . . . . . . . . . . . . . . . 51
3.6.2 Línia d’ordres Scwcmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.6.3 Complement plantilles de seguretat . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
3.6.4 Complement configuració i anàlisi de seguretat . . . . . . . . . . . . . . . . . . . . . 52
3.6.5 Creació i aplicació d’una directriu de seguretat . . . . . . . . . . . . . . . . . . . . . 53
4 Active Directory 55
4.1 Sistema de noms de domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.2 Conceptes relacionats amb l’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3 Servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.4 Estructures lògiques i físiques de domini . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.5 Dominis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.6 Arbres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.7 Boscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.8 Relacions de confiança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.9 Llocs i subxarxes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.10 Treballant amb l’Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.10.1 Mode d’operacions amb el Microsoft Windows Server 2008 . . . . . . . . . . . . . . 60
4.10.2 Funcionalitat de dominis i boscos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.11 Estructura de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.11.1 Magatzem de dades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
4.11.2 Catàlegs globals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.11.3 Cau d’informació universal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.11.4 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.11.5 Mestre d’operacions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.12 Comptes d’usuari i de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
4.12.1 Protocols d’autenticació . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
4.12.2 Comptes d’usuari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4.12.3 Comptes de grup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
4.12.4 Comptes predeterminats d’usuari i de grup . . . . . . . . . . . . . . . . . . . . . . . 71
4.12.5 Capacitats dels comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.12.6 Ús d’usuaris i grups locals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Sistemes operatius en xarxa 5 Instal·lació i configuració de sistemes operatius propietaris
Introducció
Els sistemes operatius en xarxa de propietat han aconseguit abastar una quantitat
molt significativa del mercat informàtic empresarial. És interessant observar que
servidors mitjans i petits estan gestionats per sistemes operatius en xarxa que, en
gran mesura, són de propietat.
La formació d’estudiants en sistemes operatius en xarxa de propietat és necessària,

ja que és molt probable que hi hagin de tractar en el món laboral. Així doncs, en
la unitat “Instal·lació i configuració de sistemes operatius en xarxa de propietat”
es pretén aconseguir fer entendre la instal·lació, el funcionament i el manteniment
d’un sistema operatiu en xarxa de propietat. El sistema escollit, atesa l’àmplia
implementació en empreses, és el Microsoft Windows Server 2008.
A mesura que progresseu en l’estudi d’aquest mòdul anireu assolint més conei-
xements sobre els sistemes operatius de propietat i els lliures. En aquesta part
del mòdul estudiareu els sistemes operatius de propietat i en detectareu els punts
dèbils i els forts. Aconseguireu tenir una opinió robustament fomentada sobre
aquest tipus de sistemes operatius que us permetrà escollir correctament quan,
com a professionals, se us demani l’opinió.
En l’apartat “Instal·lació i administració de sistemes operatius de propietat” es

fa una introducció al sistema operatiu Microsoft Windows Server 2008. Al llarg
del text, s’estableixen comparacions amb altres sistemes del Microsoft Windows.
Veureu les pautes a seguir en el procés d’instal·lació de la versió que més s’adapti
a les vostres necessitats i coneixereu les eines més útils de què disposa el sistema.
La supervisió d’un sistema operatiu és molt important. Per això l’apartat “Super-
visió de sistemes operatius de propietat” se centra en la supervisió dels indicadors
principals del sistema. Coneixereu les eines que s’utilitzen durant la supervisió
del sistema i sabreu com interpretar les dades recollides.
La gestió de les polítiques del sistema s’abordarà en l’apartat “Directrius de grup

en sistemes operatius de propietat”. Veureu com administrar els usuaris i els grups
de manera efectiva per aconseguir gestionar els vostres sistemes de la manera més
eficient possible.
L’apartat “Active Directory” pretén presentar l’estratègia que segueix el Microsoft

Windows Server 2008 a l’hora de gestionar tots els recursos que hi ha en una xarxa.
Per treballar aquesta unitat és molt recomanable que practiqueu amb un equip
i seguiu les pautes, els consells i els comentaris que trobareu. Les activitats i
els exercicis d’autoavaluació us ajudaran a comprendre millor l’estructura i el
funcionament d’aquest sistema.
En finalitzar aquesta unitat, l’alumnat ha de saber:
1. Instal·lar i monitoritzar sistemes operatius en xarxa propietaris, descrivint

les característiques i les eines utilitzades. I fer tasques de gestió sobre
dominis utilitzant eines d’administració de dominis i interpretant la docu-
mentació tècnica.
• Fer l’estudi de compatibilitat del sistema informàtic. Planificar la

partició del disc. Seleccionar i aplicar els sistemes d’arxius i com-
ponents a instal·lar. Instal·lar i actualitzar el sistema. Comprovar
el funcionament correcte i la connectivitat dels sistemes operatius i
programari instal·lats
• Diferenciar els modes d’instal·lació. Automatització d’instal·lacions i
tasques.
• Interpretar la informació de configuració del sistema operatiu en xarxa
i dur a terme tasques de manteniment del programari instal·lat en el
sistema i de configuració de l’entorn.
• Instal·lar, configurar i descriure les característiques de programes de
monitorització. Identificar problemes de rendiment en el sistema a
partir de les traces generades pel propi sistema.
• Documentar adequadament els processos realitzats d’instal·lació i
monitorització, les incidències aparegudes i les solucions aportades.
• Identificar la funció de servei de directori i domini, l’estructura, els
seus elements i nomenclatura. Fer la instal·lació i configuració bàsica
del servei de directori i establir relacions de confiança.
• Utilitzar eines gràfiques d’administració de domini i consoles d’admi-
nistració
• Utilitzar agrupacions d’elements per a la creació de models adminis-
tratius. Crear, configurar i gestionar comptes d’usuari, grups, equips i
diferents tipus de perfils.
• Especificar el propòsit dels grups, els seus tipus i àmbits i gestionar la
pertinença d’usuaris a grups. Identificar les característiques d’usuaris
i grups predeterminats i especials. Utilitzar eines per a l’administració
d’usuaris i grups, incloses en el sistema operatiu en xarxa.
• Aplicar directives a la gestió del domini. Identificar tipus de directives.
• Verificar la correcció de les tasques realitzades i documentar adequa-
dament les tasques de gestió i administració de dominis realitzades.
• Cercar i interpretar documentació tècnica en les llengües oficials i en
les de més ús al sector.
1. Instal·lació i administració de sistemes operatius de propietat
El sistema operatiu en xarxa Microsoft Windows Server 2016 (o Windows Server

vNext) és l’última versió de Microsoft Windows en la línia Server (sistemes
operatius desenvolupats per Microsoft per al seu us en servidors). El seu homòleg
en la versió d’estacions de treball seria el Microsoft Windows 10.
Imatge identificativa del Microsoft
Windows Server.
El Microsoft Windows Server 2016 succeeix al Microsoft Windows Server

2012 R2 en la línia de sistemes operatius per a servidors. El llançament
inicial va tenir lloc al setembre del 2016 i actualment la versió més recent és
el Microsoft Windows Server 2016 RS1.
En la secció “Annexos”
del material web,
Les principals noves característiques de Windows Server 2016 són les següents: corresponent a aquesta
unitat, trobareu una guia
d’instal·lació del sistema
operatiu.
• Nano Server. Emprant aquesta tècnica es dissenyen de manera independent

els components del sistema operatiu. Això comporta un gran avantatge, ja
que permet eliminar o instal·lar components nous amb facilitat.
• Entorn de preinstal·lació i prearrencada. L’entorn de preinstal·lació

de Windows substitueix l’MS-DOS (Windows PE 2.0, Windows Preins-
tallation Environment). Aquest entorn s’utilitza en tasques d’instal·lació,
implementació, recuperació i resolució de problemes. Aquest entorn, per
exemple, permet accedir a un altre sistema operatiu instal·lat a la mateixa
màquina, sempre que aquest sistema sigui anterior al Microsoft Windows
Vista.
• Control de comptes d’usuari. Les aplicacions s’executaran sempre sota

els privilegis d’un compte d’usuari. El control de comptes d’usuari (UAC,
user account control) millora la seguretat de l’equip i permet crear comptes
d’usuari diferents del compte d’administrador.
Cal tenir present que una màquina gestionada amb el Microsoft Windows Server
2008 no pot ni hivernar ni entrar en mode suspès. Tampoc no es pot restaurar. El
Microsoft Windows Server 2008 no utilitza informació de rendiment, té moltes
limitacions pel que fa a l’estalvi energètic i tampoc no es preocupa gaire per oferir
una interfície d’usuari meravellosa. Contràriament, aquest sistema operatiu està
dissenyat per fer tasques pròpies de servidor.
1.1 La família Microsoft Windows Server 2016
El Microsoft Windows Server 2016 constitueix una família de productes que us

permet escollir el més adient per a les vostres necessitats.Les versions actuals s’han
Edicions del Microsoft
resumit així, les diferents versions que teniu són les següents:
Windows Server 2016
L’evolució del programari és
contínua. En aquest cas concret, • Microsoft Windows Server 2016, Standard Edition. Aquesta edició
comprovareu que en el mercat hi
ha menys versions del Microsoft
proporciona serveis i recursos a altres sistemes de la xarxa. Es considera
Windows Server 2008, amb el substitut natural del Microsoft Windows Server 2008.Recomanda per
aquestes versions es vol donar
solucions a les necessitats entorns de baixa densitat o no virtualitzats.(Requereix CAL)
empresarials d’avui en dia.
• Microsoft Windows Server 2016, Essentials Edition. Ofereix més ca-

racterístiques que l’edició estàndard. Correspon a un servidor en primer
lloc connectat al núvol molt adequada a entorns de màxim 25 usuaris ,
substitueix a la antiga Foundation Edition que no està disponible en aquesta
edició.
• Microsoft Windows Server 2016, Datacenter Edition. Aquest és el

producte més robust de Microsoft. Presenta millores en la utilització de
clúster i permet utilitzar grans quantitats de memòria ( pot treballar amb 24
TB de RAM).Per entorns altament virtualitzats i centres de dades definits
per programari.(Requereix CAL)
Client Access License Si les estacions de treball a la teva organització

estan en xarxa, probablement depenguis d’un programari de servidor en
xarxa per dur a terme certes funcions, com ara l’ús compartit d’arxius i
impressores. Per accedir a aquest programari de servidor legalment, pot ser
que es requereixi una llicència d’accés de client (CAL). Una CAL no és un
producte de programari; més aviat, és una llicència que li dóna a l’usuari el
dret a accedir al servei del servidor.
1.2 Controladors de domini
Gestionar l’accés a un domini de xarxa és una tasca tan important que requereix
algun mecanisme que se n’ocupi de manera gairebé exclusiva.
Un controlador de domini és una part essencial dels sistemes operatius

de Microsoft. S’encarrega fonamentalment d’emmagatzemar les parelles
usuari-contrasenya dels comptes d’usuari que tenen accés al domini de xarxa.
Aquest controlador centralitza la funció d’autenticar l’accés al domini.
Seguint els passos del Microsoft Windows Server 2008 i el Microsoft Windows
Server 2012, el sistema operatiu actual utilitza un model de replicació multimestre,
l’Active Directory.
La versió de l’Active Directory que utilitza el sistema operatiu actual de Microsoft

és diferent a la de les versions anteriors. Per començar, s’han creat una sèrie de
serveis nous:
• AD CS: serveis de certificate server de l’Active Directory. Aquest servei

proporciona les funcions necessàries per emetre i revocar certificats digitals
per a usuaris, estacions de treball i servidors.
• AD DS: serveis de domini de l’Active Directory. Aquest servei proporciona

els serveis de directori necessaris per crear un domini i un magatzem de
dades que contindrà la informació dels objectes de la xarxa i la posarà a
l’abast dels usuaris. Normalment no s’utilitza el
nom serveis de domini de
l’Active Directory ni AD DS,
ja que AD DS és el nucli de
l’Active Directory. Es fa
• AD FS: serveis de federació de l’Active Directory. Complementa les servir de l’Active Directory
quan en realitat es fa
característiques d’autenticació i gestió d’accés ofertes per l’AD DS, i les referència a serveis de
domini de l’Active Directory
estén al web. o a l’AD DS.
• AD LDS: serveis de directori lleuger de l’Active Directory. Proporciona un

magatzem de dades a les aplicacions basades en la utilització del directori
que no necessitin ni l’AD DS ni s’hagin d’instal·lar en controladors de
domini.
• AD RMS: serveis de gestió de drets de l’Active Directory. Constitueix una

capa de protecció de la informació de l’organització que es pot estendre més
enllà de l’empresa.
1.3 Serveis de resolució de noms
La resolució de noms és un mecanisme que facilita la comunicació entre els equips

de la xarxa. El Microsoft Windows Server 2016 utilitza tres sistemes de resolució DHCP (protocol dinàmic de
de noms: configuració d’hoste) és
capaç d’assignar adreces IP
als equips que formen part
de la xarxa.
• DNS: sistema de resolució de noms de domini. Converteix noms d’ordi-
nadors en adreces IP. El DNS és un protocol que actua sobre la pila de
protocols TCP/IP i es pot integrar dins el WINS, el DHCP i els serveis de
domini de l’Active Directory.
• WINS: servei de noms d’Internet de Windows. Converteix noms d’ordina-

dors en adreces IP. Aquest protocol és necessari per al funcionament dels
sistemes anteriors al Windows 2000.
• LLMNR: resolució de noms de multidifusió local de vincles. Duu a terme

la resolució de noms punt a punt per a dispositius amb adreces IPv4, IPv6
o totes dues. Descarrega els servidors DNS o WINS.
1.4 Eines més usuals
Els sistemes Microsoft dissenyen un gran nombre d’eines que faciliten l’adminis-
tració dels sistemes. En el sistema operatiu Microsoft Windows Server 2016 les
eines més utilitzades són les següents:
• Plafó de control: conté una sèrie d’eines que ajuden a gestionar la

configuració del sistema. Des d’aquí podreu modificar paràmetres de
seguretat i del sistema, de la xarxa i de l’accés a Internet, modificar la
configuració dels dispositius de maquinari, desinstal·lar programes, agregar
o treure comptes d’usuari, personalitzar l’aparença del sistema, configurar
el rellotge i l’idioma o optimitzar la presentació visual.
• Eines gràfiques d’administració: conté les eines més útils i efectives per
administrar els equips i els recursos de les xarxes. Per exemple, podreu
fer còpies de seguretat, treballar amb el programador de tasques, accedir al
visor d’esdeveniments o configurar el tallafocs del sistema operatiu.
• Assistents d’administració: és un conjunt d’eines que automatitzen les

tasques administratives. Aquests assistents els trobareu a l’administrador
del servidor, el qual és l’eina més important que s’utilitza en la tasca
d’administrar el sistema operatiu Microsoft Windows Server 2016.
• Utilitats de la línia d’ordres: pràcticament totes les eines gràfiques es

poden executar des de la línia d’ordres. Si escriviu NET HELP en el símbol
del sistema seguit d’una instrucció us apareixerà ajuda de com utilitzar
aquesta ordre.
Podeu veure els continguts del tauler de control en la figura 1.1. Disposeu d’una
sèrie d’eines molt útils, com la gestió dels comptes d’usuari. Sense cap mena de
dubte obrireu molt sovint aquest tauler per fer tasques administratives del sistema.
F igu r a 1. 1 . Plafó d’administració del Microsoft Windows Server 2016

1.5 Interfície Windows PowerShell
Microsoft ha desenvolupat una interfície de línia d’ordres molt potent i flexible

anomenada PowerShell. Aquesta interfície permet cridar ordres cmdlets i utilitzar
característiques de programació.
Les cmdlets són unes ordres que permeten fer una sèrie de tasques
directament relacionades amb l’administració del sistema.
Millores que ofereix el
PowerShell
Si voleu instal·lar la interfície PowerShell haureu de seguir els passos següents:
Aquesta interfície permet a
desenvolupadors de programari
independents crear cmdlets
1. Cliqueu a Inicio. personalitzades per millorar
aplicacions i administrar el
sistema.
2. Seleccioneu Herramientas administrativas.
3. Cliqueu a Administrador del servidor.
4. Dins el node Características cliqueu a Agregar características.
5. Seleccioneu Windows PowerShell dins del quadre de diàleg Asistente para

agregar características.
6. Cliqueu a Siguiente i després a Instalar.
Des del símbol del sistema s’executarà PowerShell i s’escriurà powershell al

símbol del sistema.
1.6 Instal·lació del Microsoft Windows Server 2016

Abans d’iniciar la
instal·lació...
La instal·lació del Microsoft Windows Server 2008 no s’ha de prendre a la lleugera. ... planifiqueu l’arquitectura que
No és difícil d’instal·lar, però com a tècnics heu d’instal·lar el que realment haurà de tenir el servidor. Heu de
saber com es farà la instal·lació
necessiteu on ho necessiteu. de programari i com respondrà el
maquinari al final del procés.
Una vegada iniciat el procés d’instal·lació, no és recomanable desfer la instal·lació

per tal de fer modificacions o resoldre problemes. Abans de començar, llegiu bé
la documentació.
1.6.1 Requeriments del sistema
A la pàgina web oficial de Microsoft trobareu els requisits del sistema. La taula
1.1 us pot servir de guia.
Taul a 1. 1. Requisits mínims del sistema
Component Requisit
Processador Com a mínim necessitareu 1,4 GHz (processador

x64).
Cal dir que si treballeu en sistemes basats en Itanium
necessitareu un processador Intel Itanium 2.
Memòria RAM Com a mínim 512 MB
Disc dur Com a mínim 32 GB
Sortida estàndard Com a mínim Súper VGA (800x600)
Altres Lector DVD, teclat i ratolins compatibles amb

Microsoft
Aquests cinc elements, però, són mínims i no garanteixen una resposta àgil del
sistema. Es recomana que el vostre sistema tingui les característiques que es
mostren a la taula 1.2.
Taul a 1. 2. Requisits recomanables del sistema
Component Requisit
Processador 3 GHz o més
Memòria RAM 2 GB són necessaris per suportar una instal·lació

completa
Disc dur 80 GB per a una instal·lació completa que permeti

portar a terme determinades tasques
Sortida estàndard Com a mínim Súper VGA (800x600)
Altres Lector DVD, teclat i ratolins compatibles amb

Microsoft
1.6.2 Funcions i serveis del Microsoft Windows Server 2016
Si és la primera vegada que instal·leu el Microsoft Windows Server 2016 no us

amoïneu. De fet, si coneixeu algun sistema operatiu servidor de Microsoft no
tindreu gaires avantatges, ja que hi ha moltes diferències entre la versió 2016 i les
versions anteriors.
Primer de tot, cal que conegueu bé aquests components:
• Funcions del servidor. Són un conjunt de característiques molt relaciona-

des entre elles que permeten fer tasques als usuaris i a la resta de màquines
d’una xarxa. Un servidor es pot especialitzar en una única funció o en
diverses.
• Serveis de funció. Constitueixen el programari que utilitzen les funcions

del servidor. Funcions tan útils com el servidor de noms de domini (DNS,
domain name server) o el protocol dinàmic de configuració d’hoste (DHCP,
dynamic host configuration protocol) estan associades a un únic servei de
funció.
• Característiques. Les característiques són programes que ofereixen funci-

ons addicionals. Es poden instal·lar independentment de les funcions del
servidor i els serveis de funció.
Per configurar aquests tres components haureu d’utilitzar l’administrador

del servidor, que és un complement per a la consola d’administració
(MMC, Microsoft management console). Si voleu llançar l’administrador
del servidor des de la consola executeu ServerManagerCmd.exe.
En la figura 1.2 podeu veure l’aspecte de l’administrador del servidor. En la part

esquerra de la finestra hi ha aplicacions per a funcions, diagnòstic, configuració
i emmagatzematge i, com és habitual, clicant a sobre de qualsevol d’aquestes
aplicacions, en la part dreta de la finestra apareixeran les seves característiques
amb detall.
F ig ur a 1. 2. Imatge de l’administrador del servidor
Afegir complements a la
MMC
Hi ha dependències entre les funcions del servidor, els serveis de funció i les ca- Dins el menú Archivo trobareu
Agregar o quitar complemento,
racterístiques. Durant el procés d’instal·lació del Microsoft Windows Server 2008, que us permetrà afegir més
components a la MMC. Si
i de manera automàtica, l’administrador les notifica. Durant la desinstal·lació de necessiteu ajudes especials
d’accessibilitat, heu de saber que
components passa el mateix. És a dir, l’administrador del servidor, en detectar-les, la MMC proporciona mètodes
abreujats de teclat per a
avisa de la desinstal·lació de tots els components relacionats. seleccions i navegació.
La taula 1.3 descriu les funcions principals del servidor, els serveis de funció i les
característiques.
Taul a 1. 3. Components principals de Microsoft Windows Server 2016
Component Descripció
AD CS Serveis del servidor de certificació de l’Active

Directory. Proporcionen les funcions necessàries per
emetre i revocar certificats digitals.
AD DS Serveis de domini de l’Active Directory. Proporcionen

les funcions necessàries per emmagatzemar
informació sobre usuaris, grups, equips i la resta
d’objectes de xarxa.
AD FS Serveis de federació de l’Active Directory.

Complementen els AD DS i els estenen a la web.
AD LDS Serveis de directori lleuger de l’Active Directory.

Constitueixen una base de dades que utilitzen
aplicacions compatibles amb el directori i que no
necessiten ni els AD DS. Tampoc cal que estiguin
instal·lades en un controlador de domini.
Servidor d’aplicacions Permet que el servidor allotgi aplicacions distribuïdes

creades amb ASP.NET, serveis empresarials i .NET
Framework.
Servidor DHCP Proporciona un control centralitzat de l’adreçament IP.

S’encarrega bàsicament d’assignar de manera
dinàmica les adreces IP dels diferents equips d’una
xarxa.
Servidor DNS S’encarrega de transformar els noms dels equips en

adreces IP. Aquest servidor és imprescindible per al
funcionament de l’Active Directory.
Serveis d’arxius S’encarreguen de la compartició d’arxius i la

distribució per la xarxa.
NPAS Són els serveis d’accés i les directives de xarxes.

S’encarreguen de gestionar l’encaminament i l’accés
remot a xarxes.
Terminal Services Són essencials per poder executar aplicacions que

estan instal·lades en un servidor remot.
IIS És el servidor web de Microsoft. S’utilitza per allotjar

pàgines web i aplicacions web.
Serveis d’impressió Proporcionen tot el que es necessita per gestionar

impressores i gestors d’impressió.
WDS Serveis d’implementació de Windows. Proporcionen

tots els serveis necessaris per poder instal·lar equips
amb Windows dins l’organització.
Windows SharePoint Services Permeten connectar equips i informació, de manera

que faciliten el treball en equip.
.NET Framework 3.0 Proporciona les API de .NET Framework.
BitLocker Xifratge de dades basat en maquinari. Impedeix la

manipulació de dades emmagatzemades en els
discos mentre la màquina està apagada.
BITS Servei de transferència intel·ligent en segon pla.
CMAK Conjunt d’eines d’administració i de gestió de

connexions.
Clúster de commutació per error Permet treballar conjuntament, a més d’un servidor
per tal de proporcionar una millor disponibilitat de
serveis i aplicacions.
GPMC Administració de directives de grup de manera

centralitzada.
Client d’impressió a Internet Permet utilitzar impressores mitjançant HTTP.

Tau l a 1.3 (continuació)
Component Descripció
NLB Balanceig de càrrega de xarxa. Distribueix la càrrega

de la xarxa a diferents màquines servidor.
Servidor SMTP Protocol per controlar la transferència i enrutament

de missatges de correu.
Servidor SNMP Protocol d’administració de xarxes molt útil i fàcil

d’utilitzar.
Subsistema per a aplicacions UNIX Permet l’execució de determinades aplicacions

basades en UNIX.
Windows Internal Database Base de dades sobre l’SQL Server 2014 Embedded
Edition.
Windows PowerShell Entorn millorat de línia d’ordres.
Entorn de recuperació Windows Permet restaurar la màquina.
Característiques de còpia de seguretat Permet elaborar i restaurar còpies de seguretat.
Administrador de recursos de sistema Els diversos processadors que la màquina pugui tenir
gestionen la utilització de recursos.
Xarxes sense fil Facilita l’ús de connexions i perfils en xarxes sense fil.
Molts dels components comentats en la taula 1.3 no s’instal·len si no ho indiqueu.

Per tant, abans de començar el procés d’instal·lació, cal que el planifiqueu molt bé
i reviseu quins components necessitaríeu en el vostre entorn.
1.6.3 Tipus d’instal·lació
La instal·lació del Microsoft Windows Server 2016 requereix un exercici previ de

planificació. La mida del paquet de la versió estàndard a instal·lar va des dels 4 Gb
de la instal·lació bàsica als 32 Gb de la versió completa. Des del web de Microsoft
podeu descarregar una versió d’avaluació i de proves força completa que us dóna
la possibilitat de provar el sistema durant seixanta dies.
Hi ha dos tipus d’instal·lació per al Microsoft Windows Server 2016:
• Instal·lació Datacenter (Experiencia de escritorio). Permet configurar

tot tipus de combinacions permeses de funcions, serveis de funcions i
característiques. Disposa d’una interfície d’usuari que inclou un entorn
d’escriptori complet i una consola local d’administració.
• Instal·lació Server Datacenter ( antiga Core). Permet configurar un

conjunt limitat de funcions i de combinacions d’aquestes funcions. Un dels
límits més importants és que aquest tipus d’instal·lació no permet crear un
servidor d’aplicacions. En aquest cas, un problema remarcable és la impos-
sibilitat de treballar amb .NET Framework a causa d’incompatibilitats. Espai del disc lliure
Tant si heu fet la instal·lació des
de zero com si heu fet una
Una vegada escollit el tipus d’instal·lació, cal que decidiu si fareu una instal·lació actualització, aquest sistema
operatiu sempre necessita tenir
des de zero o bé optareu per actualitzar el vostre sistema. Les característiques com a mínim un 10% de l’espai
del disc lliure per a tasques
principals del mode d’instal·lació són les següents: diverses.
• Instal·lació des de zero. El sistema operatiu que hi hagi a l’equip se

substituirà completament, de manera que les configuracions i les aplicacions
es perdran.
• Actualització. En aquest cas, el sistema operatiu s’instal·la i es fa una

migració de les configuracions, els documents i les aplicacions que els
usuaris tenien instal·lats en la versió anterior del Microsoft Windows.
Instal·lació des de zero
Per instal·lar el Microsoft Windows Server des de zero heu de seguir els passos
següents:
1. Comenceu el procés d’instal·lació arrancant l’equip amb el DVD d’ins-

tal·lació del Microsoft Windows Server 2016.
2. Seleccioneu l’idioma, el format de data, la moneda i la distribució del teclat.
3. Cliqueu a Instalar ahora.
4. Si l’equip ja té un sistema operatiu i teniu accés a Internet, podreu descarre-

gar actualitzacions durant el procés d’instal·lació.
5. Introduïu la clau del producte.
6. Decidiu quina versió necessiteu instal·lar (versió experiència escriptori o

Server Datacenter).
7. Si esteu d’acord amb els termes de la llicència, accepteu-los.
8. Seleccioneu el tipus d’instal·lació que voleu fer.
9. Indiqueu on voleu fer la instal·lació.
10. A partir d’aquí, s’inicia la còpia de fitxers des de la imatge del disc.
Assegureu-vos que el vostre Actualització

equip pot arrancar des de la
unitat de DVD.
Si us cal fer una instal·lació des de zero i migrar la configuració d’usuaris,

documents i aplicacions de la versió anterior del Windows, la solució és fer una
actualització. Per actualitzar el sistema operatiu actual en el Microsoft Windows
Server 2008 convindria que seguíssiu els passos següents:
1. Inicieu una sessió de Microsoft Windows amb permisos d’administrador.
2. Introduïu el DVD amb l’instal·lador del Microsoft Windows Server 2016.
3. Si no arranca automàticament, executeu el fitxer que hi ha en el DVD que

porta l’etiqueta Setup i l’extensió exe.
4. Cliqueu a Instalar ahora.

5. Si necessiteu obtenir actualitzacions per mitjà d’Internet, ara ho podreu

indicar.
6. Decidiu quina versió necessiteu instal·lar (versió completa o Server Core).
7. Si esteu d’acord amb els termes de la llicència, accepteu-los.
8. Seleccioneu el tipus d’instal·lació a Actualización.
9. Després de copiar la imatge del disc s’instal·laran les característiques que

depenguin de la configuració i el maquinari detectats en l’equip.
1.6.4 Utilització del símbol del sistema durant la instal·lació
A vegades, durant el procés d’instal·lació us manquen dades que necessiteu per

continuar la instal·lació. En el moment en què l’assistent de la instal·lació us
pregunta ¿Dónde desea instalar Windows? podeu accedir al símbol del sistema
prement Majúscules i F10. Les utilitats a les quals tindreu accés són les que teniu
en la taula 1.4.
Taul a 1. 4. Ordres més útils per utilitzar des de la línia d’ordres
Ordre Descripció
ARP Mostra i modifica la taula de traduccions d’adreces

físiques que utilitza el protocol ARP.
ASSOC Mostra i modifica l’associació d’extensions d’arxius.
ATTRIB Mostra i modifica els atributs dels fitxers.
CALL N’executa un script o una etiqueta.
CD/CHDIR Mostra el nom del directori actual o permet canviar

de directori.
CHKDSK Cerca errors en discos i mostra un informe dels

resultats.
CHKNTFS Mostra l’estat dels volums.
CHOICE Crea una llista d’opcions en arxius d’execució per

lots.
CLS Neteja la finestra de la consola.
CMD Executa una nova consola de línia d’ordres.
COLOR Canvia els colors de la finestra del símbol de sistema.
CONVERT Transforma volums FAT a NTFS.
DATE Mostra i modifica la data del sistema.
DEL Elimina un o diversos fitxers.
DIR Mostra la llista de fitxers i carpetes que hi ha en el

directori actual.
DISKPART Permet gestionar discos, particions i volums.
DOSKEY Edita línies d’ordres, memoritza ordres de Windows i

crea macros.
ECHO Mostra missatges i activa o desactiva l’eco.
ENDLOCAL Atura el seguiment dels canvis en l’entorn en arxius

d’execució per lots.
Tau la 1 . 4 (continuació)
Ordre Descripció
ERASE Elimina un o més arxius.
EXIT Abandona l’intèrpret d’ordres.
EXPAND Descomprimeix fitxers.
FIND Cerca cadenes de text dins d’arxius.
FORMAT Formata una unitat.
FTP Transfereix fitxers.
HOSTNAME Mostra el nom de l’equip.
IPCONFIG Mostra la configuració TCP/IP.
LABEL Crea, modifica o elimina l’etiqueta del disc.
MD/MKDIR Crea un directori o un subdirectori.
MORE Mostra informació pantalla a pantalla.
MOUNTVOL Administra el punt de muntatge d’un volum.
MOVE Trasllada arxius d’un directori a un altre dins la

mateixa unitat.
NBSTAT Mostra l’estat de NetBIOS.
NET ACCOUNTS Gestiona les directives de comptes d’usuaris i

contrasenyes.
NET COMPUTER Afegeix equips a un domini o els elimina.
NET CONFIG SERVER Mostra o modifica la configuració dels serveis d’un

servidor.
NET CONFIG Mostra o modifica la configuració dels serveis d’un

equip.
NET CONTINUE Reinicia l’execució d’un servei en pausa.
NET FILE Mostra o administra els fitxers oberts en el servidor.
NET GROUP Mostra o administra els grups globals.
NET LOCALGROUP Mostra o administra els grups locals.
NET NAME Mostra o modifica els destinataris dels missatges del

servei de missatgeria.
NET PAUSE Posa en pausa un servei.
NET PRINT Mostra o administra les tasques d’impressió i les

cues compartides.
NET SEND Envia un missatge.
NET SESSION Mostra la llista de sessions que hi ha o les

desconnecta.
NET SHARE Mostra o administra les impressores i els directoris

compartits.
NET START Mostra o posa en marxa els serveis de xarxa.
NET STATISTICS Mostra estadístiques d’estacions de treball i de

servidors.
NET STOP Para serveis.
NET TIME Mostra l’hora i permet sincronitzar-la.
NET USE Mostra o administra les connexions remotes.
NET USER Mostra o administra els comptes locals d’usuari.

Ordre Descripció
NET VIEW Mostra els recursos i els equips de xarxa.
NETSH Obre un intèrpret d’ordres independent.
NETSTAT Mostra l’estat de les connexions de xarxa.
PATH Mostra o configura la ruta de cerca per a arxius

executables que utilitza l’intèrpret d’ordres.
PATHPING Localitza camins i proporciona informació sobre els

paquets perduts.
PAUSE Posa en pausa l’execució d’un script.
PING Determina si és possible establir una connexió per

mitjà de la xarxa.
POPD Canvia al directori emmagatzemat utilitzant PUSHD.
PRINT Imprimeix un fitxer de text.
PROMPT Modifica el símbol de sistema del Windows.
PUSHD Emmagatzema el directori actual i canvia a un

directori nou.
RD/RMDIR Elimina un directori.
RECOVER Recupera informació llegible d’un arxiu corrupte o

defectuós.
REG ADD Insereix en el registre una subclau o entrada nova.
REG COMPARE Compara subclaus o entrades del registre.
REG COPY Copia una entrada del registre a la ruta especificada.
REG DELETE Elimina una subclau o diverses entrades del registre.
REG QUERY Mostra les entrades que hi ha en una clau.
REG RESTORE Torna a emmagatzemar en el registre les claus

guardades.
REG SAVE Emmagatzema en un fitxer la llista de subclaus,

entrades i valors especificada.
REGSVR32 Registra i elimina el registre del DLL.
REM Afegeix comentaris als scripts.
REN Canvia el nom d’un fitxer.
ROUTE Administra les taules d’encaminament.
SET Examina o modifica les variables d’entorn de

Windows.
SETLOCAL Posa en marxa el procés de seguiment de canvis en

l’entorn.
SFC Cerca arxius protegits del sistema i comprova que el

seu estat sigui correcte.
SHIFT Canvia la posició de paràmetres reemplaçables en

scripts.
START Obre una finestra nova de l’intèrpret d’ordres per

executar el programa o l’ordre especificada.
SUBST Associa una ruta d’accés a una lletra d’unitat.
TIME Mostra o estableix l’hora del sistema.
TITLE Estableix el títol de la finestra de l’intèrpret d’ordres.
TRACERT Mostra la ruta entre dos equips.

Ordre Descripció
TYPE Mostra el contingut d’un fitxer de text.
VER Mostra la versió del Windows.
VERIFY Indica si el Windows ha de comprovar o no que els

arxius s’escriguin correctament en el disc.
VOL Mostra l’etiqueta i el número de sèrie d’un disc.
1.6.5 Eliminar particions de disc durant la instal·lació
A vegades us podeu trobar que, havent iniciat la instal·lació, no podeu utilitzar el

disc dur que voleu. Saber treballar amb les ordres més necessàries des de la línia
d’ordres us pot ser molt útil. Seguiu els passos següents per solucionar aquesta
situació:
1. Quan l’assistent de la instal·lació us pregunti ¿Dónde desea instalar Win-

dows? premeu Majúscules i F10.
2. Inicieu la utilitat DiskPart. Per fer-ho, escriviu diskpart a la línia d’ordres.
3. Traieu la llista de discos de l’equip mitjançant l’ordre list disk.
4. Escriviu letec disc seguit del número del disc amb el qual necessiteu
treballar.
5. Teclegeu clean per eliminar les particions del disc.
6. Quan la utilitat DiskPart acabi de formatar, escriviu exit per sortir.
7. Tanqueu la interfície. Per fer-ho, escriviu exit una altra vegada.
1.7 Administració del Microsoft Windows Server 2016
La gestió d’un servidor és una tasca complexa i de risc. La utilització de la consola

és una opció força interessant per a l’usuari expert, sobretot per la rapidesa d’acció
que ofereix, però pot presentar inconvenients a l’hora de gestionar alguns recursos.
L’administrador de servidors simplifica la tasca d’administració i

protecció de les funcions del servidor. Permet administrar la informació del
sistema i la identitat d’un servidor, de manera que en mostra l’estat, detecta
problemes de configuració i administra les funcions.
Utilitzar l’administrador de servidors és una opció molt recomanable en el cas que

necessiteu fer qualsevol d’aquestes tasques:
• Administrar la configuració del servidor.
• Administrar la instal·lació del servidor.
• Administrar les sessions i les connexions al servidor.
• Administrar serveis.
• Administrar aplicacions de xarxa.
• Etc.
1.7.1 Configuració inicial

Si no voleu...
Una vegada s’ha instal·lat el sistema operatiu Microsoft Windows Server 2008 ... que cada vegada que inicieu el
sistema aparegui la finestra que
correctament, apareix en pantalla una finestra emergent. Aquesta finestra mostra mostra les tasques de
configuració inicial, marqueu
les tasques de configuració inicial. l’opció No mostrar esta ventana
al iniciar la sesión, que apareix
en el marge inferior esquerre.
En primer lloc caldrà proporcionar la informació següent a l’equip:
• Establir zona horària. Tots els servidors estan configurats per sincronitzar
l’hora de manera automàtica amb un servidor d’hora d’Internet, però des
d’aquest menú podreu establir la zona horària. Per fer aquesta acció, també
podeu clicar amb el botó dret del ratolí al damunt del rellotge que teniu a
la barra d’eines. A continuació, heu de seleccionar l’opció Ajustar fecha y
hora.
• Configurar funcions de xarxa. Des d’aquí accedireu directament a la

configuració de xarxa. Tingueu en compte que l’encaminament dinàmic
està configurat per defecte. Quan inicieu l’equip, aquest equip pregunta a la
xarxa si hi ha un servidor DHCP. Si hi és, rep la petició de rebre una adreça
IP lliure i l’entrega. Contràriament, si no hi és, s’assigna automàticament
una adreça IP. El Microsoft Windows Server 2016 té un menú de control
que també permet accedir a la configuració de les funcions de xarxa.
• Proporcionar nom de l’equip i del domini. El nom de l’equip per defecte

és WORKGROUP. Aquestes dades també les podreu modificar des del menú
de control del sistema operatiu.
A banda de facilitar informació al sistema, la finestra de tasques de configuració

inicial us permet fer actualitzacions en el sistema:
• Habilitar comentaris i actualitzacions automàtiques. La configuració

per defecte no té habilitada l’actualització automàtica i sí que envia informes
d’error a Microsoft.
• Descarregar i instal·lar actualitzacions. Mitjançant el Windows Update

del menú de control podeu descarregar i instal·lar actualitzacions en el
sistema operatiu. Per defecte, aquesta opció, i en diferència a les versions
anteriors, està acivada, i serà l’administrador que escollirà quan vol realitzar
les actualitzacions.
• Agregar funcions. Permet instal·lar funcions noves en el servidor.
• Agregar característiques. Permet agregar característiques mitjançant un

assistent. Per defecte, el servidor no té cap característica configurada.
• Agregar escriptori remot. Per defecte, l’escriptori remot no està activat

per motius de seguretat. Des d’aquesta opció podreu configurar l’accés al
servidor des d’un altre equip.
• Configurar tallafoc del Windows. Per defecte, el sistema té activat

el tallafoc del Windows. Des d’aquí podreu canviar la configuració del
tallafoc.
Normalment no tornareu a accedir a la finestra de tasques de configuració inicial,

ja que fareu tots els canvis de configuració que necessiteu des d’altres menús. La
figura 1.3 mostra aquesta finestra, des d’aquí podeu accedir de manera ràpida a la
configuració que es considera bàsica per al sistema. Quan hi hàgiu introduït les
dades essencials, ja podreu continuar treballant amb tot el potencial del sistema.
F igu r a 1. 3 . Aspecte de les tasques de configuració inicial
1.7.2 Administració de servidors
L’entorn d’administració especialitzat del Microsoft Windows Server 2008 és la

consola d’administració del servidor. Des d’aquí fareu totes les tasques bàsiques
per administrar el vostre sistema.
Per accedir a la consola d’administració de servidors caldrà que seguiu els passos
següents:
1. Cliqueu a Inicio.
2. Expandiu Herramientas administrativas.
3. Cliqueu a Administrador del servidor.
Quan obriu la consola us adonareu que sou en un entorn típic de Microsoft: a

l’esquerra trobareu un plafó amb totes les opcions agrupades en forma d’arbre i a
la dreta, el detall de l’opció escollida.
El primer nivell de l’arbre de categories que teniu en el plafó esquerre conté les
opcions següents:
• Funcions. Us mostrarà un resum de les funcions que teniu instal·lades. Po-

dreu veure l’estat de les funcions i les opcions d’administració de cadascuna
d’elles. És possible detallar aquesta informació dins de cada funció.
• Característiques. Us mostrarà un resum de les característiques instal·lades.

Des d’aquí comprovareu l’estat que presenten actualment.
• Diagnòstic. Donarà accés a eines d’administració de serveis i dispositius i

a l’examen de successos.
• Configuració. Des d’aquí accedireu a les eines bàsiques de configuració

del sistema.
• Emmagatzemament. Aquesta categoria us donarà accés a les eines

bàsiques d’administració d’unitats d’emmagatzematge per fer, per exemple,
còpies de seguretat.
1.7.3 Propietats del sistema
Per accedir a la informació del servidor i fer tasques d’administració seleccioneu

Inicio > Panel de Control > Sistema. El que es mostra a continuació és un recull
de dades bàsiques agrupades en quatre àrees:
• Edició del Windows. Aquest apartat mostra l’edició del Microsoft Win-
dows Server 2008 instal·lada i la versió del sistema operatiu i el Service
Pack instal·lats.
• Sistema. Presenta informació sobre la marca, el model i les característiques

bàsiques del processador, indica la memòria RAM instal·lada a l’equip i el
tipus de sistema (32 o 64 bits).
• Configuració de nom, domini i grup de treball de l’equip. Aquí podreu

veure el nom de l’equip, el nom complet, una breu descripció d’aquest equip
i el domini al qual pertany. Des d’aquí mateix, mitjançant el botó que teniu
més a la dreta i que s’anomena Cambiar la configuración, podreu canviar
la configuració que veieu en pantalla.
• Activació del Windows. Si heu introduït la clau del producte tindreu el

sistema activat. Si encara no heu facilitat una clau vàlida haureu de clicar a
Cambiar la clave del producto.
Dins la finestra de sistema, al marge superior esquerre, trobareu tres accessos

directes que us permetran administrar dispositius, configurar l’accés remot i fer
una configuració avançada del sistema.
El quadre de diàleg Propiedades del sistema conté quatre fitxes que us poden donar
DEP
informació molt útil del sistema:
La tecnologia DEP (data
execution prevention) és una
tecnologia de protecció de la • Fitxa Nombre del equipo: examina i modifica els valors que identifiquen
memòria. Bàsicament
s’encarrega d’impedir la inserció l’equip a la xarxa. Hi apareix el nom complet de l’equip i el domini al qual
de codi nociu per al sistema. Cal
destacar que les versions de 32 pertany.
bits del Windows permeten la
versió DEP d’AMD.
• Fitxa Hardware: permet accedir a l’administrador de dispositius i a la
configuració de controladors del Microsoft Windows Update.
• Fitxa Opciones avanzadas: permet controlar una sèrie de característiques

clau en el sistema, com ara el rendiment del sistema, el rendiment d’aplicaci-
ons, la configuració de la memòria virtual, la prevenció d’execució de dades,
la configuració de variables d’entorn del sistema i d’usuari i la configuració
d’inici i recuperació del sistema.
• Fitxa Acceso remoto: permet controlar les invitacions d’assistència remota

i escriptori remot.
2. Supervisió de sistemes operatius de propietat
La supervisió del sistema operatiu esdevé una de les tasques més importants i
difícils que han de fer els tècnics. El sistema operatiu Microsoft Windows Server
2016 us proporciona una sèrie d’eines i facilitats perquè pugueu fer la tasca
d’administrar el sistema de manera efectiva i ràpida.
L’administrador ha de vigilar l’estat de la xarxa, l’ús correcte dels

recursos del sistema, l’estat dels serveis, l’espai físic dels sistemes
d’emmagatzematge, els problemes generats pel programari, l’ús que els
usuaris fan del sistema i l’estat dels equips.
d’aquesta unitat, en el
Seria gairebé impossible acomplir correctament la tasca d’administrador si el material web, trobareu
una guia de referència de
sistema operatiu no ens donés un cop de mà. l’eina PowerShell.
2.1 L’administrador de tasques
Seria ideal poder controlar des d’una única finestra l’estat de les aplicacions que
s’estan executant en el sistema o saber quins processos estan actius, quina memòria
estan utilitzant o quin és el rendiment de l’equip. L’administrador de tasques
permet fer totes aquestes operacions.
L’administrador de tasques és l’eina principal per administrar processos i

aplicacions del sistema.
Teniu quatre vies per accedir a l’administrador de tasques:

Tecles de drecera (hot keys)
Les tecles de drecera són

1. Combinar les tecles Control, Majúscules i Esc. combinacions de tecles que us
permeten accedir de manera
2. Combinar les tecles Control, Alt i Supr i escollir l’opció Iniciar el adminis- ràpida a programes o a utilitats.
Podeu continuar fent servir els
trador de tareas. mètodes abreujats de teclat que
ja empràveu en versions anteriors
del Microsoft Windows.
3. Clicar a Inicio, escriure taskmgr en el quadre de text, clicar a Iniciar
búsqueda i prémer Enter.
4. Clicar amb el botó dret del ratolí a la barra d’eines i seleccionar l’opció
Administrador de tareas.
Quan executeu l’administrador de tasques apareixerà una finestra amb sis pes-
tanyes en pantalla. Cadascuna d’aquestes pestanyes us ajudarà a administrar
aplicacions, processos, serveis, rendiment, funcions de xarxa i usuaris. A
continuació es descriuen amb més detall aquestes pestanyes:
• Aplicacions. Es mostra l’estat dels programes que estan funcionant en

Desplegueu el menú... aquest precís moment. Aquesta pestanya no solament mostra informació,
... Ver de la finestra i cliqueu a
Seleccionar columnas. És sinó que també es pot fer servir per finalitzar tasques, activar-ne o crear-ne
possible que us interessi
visualitzar alguna d’aquestes
de noves. Per exemple, des d’aquí podeu detectar si hi ha aplicacions que no
columnes. responen. Si cliqueu amb el botó dret del ratolí a qualsevol tasca, apareixerà
un menú amb més opcions que, per exemple, us mostrarà el procés que
correspon a una determinada tasca.
• Processos. Des de la pestanya processos obtindreu molta informació

referent al procés que seleccioneu. Aquí podreu veure el nom del procés,
el nom de l’usuari o el servei del sistema responsable del procés, l’ús que el
procés fa de la CPU, la quantitat de memòria que el procés està utilitzant i
una breu descripció del procés. Per defecte es mostren els processos de tots
els usuaris. Per canviar aquesta configuració, cal que desmarqueu el quadre
Mostrar procesos de todos los usuarios que hi ha al marge inferior esquerre.
• Serveis. Aquesta pestanya us permet accedir a informació molt útil referent

PID als serveis. Podeu veure el nom, el PID, una descripció breu i l’estat del
El PID és l’identificador de
procés. Tot procés té un únic servei. També conté una funcionalitat força interessant, la d’agrupar. La
identificador numèric que el fa
diferent de la resta.
columna Agrupar proporciona informació sobre restriccions o valors de
paràmetres retornats. Des d’aquí podreu parar un servei, posar-lo en marxa
o localitzar el procés que hi està associat.
La memòria del kernel • Rendiment. De manera gràfica podreu veure l’ús de la CPU i de la memòria
El kernel o nucli del sistema té actuals (també de la memòria cau) i un historial de l’estat de la CPU i de la
accés al maquinari i als recursos
del sistema, i necessita executar memòria física. També obtindreu informació addicional del sistema i de la
codi en una part restringida de
memòria. És important controlar memòria del nucli (kernel).
aquest espai de memòria, ja que
es poden donar situacions que
provoquin l’esgotament
d’aquesta memòria.
• Funcions de xarxa. Des d’aquesta pestanya podreu fer una ullada a tots
els adaptadors de xarxa que el servidor estigui utilitzant. Identificareu cada
connexió de xarxa amb el nom de l’adaptador, comprovareu la càrrega de
la xarxa, la velocitat de la connexió i l’estat en què es troba.
• Usuaris. Aquesta pestanya fa referència a usuaris locals i remots. Per

exemple, mitjançant els Terminal Services o l’escriptori remot els usuaris
poden accedir remotament al servidor. La informació que es presenta en
pantalla comprèn el nom i el número que identifiquen l’usuari, l’estat de
l’usuari, el nom de la màquina client i el tipus de sessió establerta. Si
l’usuari és dins el sistema de manera local, la sessió és Console. Si l’usuari
ha accedit al sistema de manera externa, l’identificareu amb el tipus de
connexió i el protocol que ha emprat. Si cliqueu amb el botó dret al damunt
d’un usuari, veureu que podeu connectar-lo si la seva sessió no està activada,
desconnectar-lo sense guardar dades, tancar la sessió havent guardat dades
d’aplicacions i d’estat, assignar la combinació de tecles per finalitzar les
sessions de control remot i enviar un missatge als usuaris amb sessió oberta.
2.2 Administració de serveis
Per poder administrar els serveis del sistema del Microsoft Windows Server
2016 podeu utilitzar l’administrador del servidor. Una vegada obriu la consola
Administrador del servidor, cliqueu a Servicios, que trobareu dins la categoria
Configuración, situada al plafó de l’esquerra.
Els serveis proporcionen les funcions fonamentals als equips de treball i als
servidors.
El plafó de serveis us mostra la informació següent:
• Nom. Identifica el servei mitjançant el nom. Per defecte, únicament hi

apareixen els serveis que ja estan instal·lats.
• Descripció. Es descriu de manera breu i directa el servei donat.
• Estat. Mostra l’estat actual del servei. Els serveis poden estar funcionant,
aturats o en pausa.
• Tipus d’inici. Indica com s’iniciaran els serveis, és a dir, de manera

automàtica o manual.
• Iniciar sessió com. Marca el compte que s’utilitzarà en l’inici de sessió.
La figura 2.1 mostra la consola d’administració de serveis. Com podeu comprovar,

només amb un cop d’ull ja s’hi observen detalls importants dels serveis.
F ig ur a 2. 1. Consola d’administració de serveis

És important que feu la configuració d’inici dels serveis més escaient. Tot seguit
es descriuen les quatre opcions de què disposeu per iniciar un servei:
• Automàtic. El servei que s’iniciï en mode automàtic començarà a funcionar

quan l’equip s’engegui.
• Automàtic (inici retardat). Aquest servei s’inicia quan l’equip està en

marxa i tots els serveis automàtics (marcats amb l’opció anterior) estan
funcionant. No heu de confondre l’opció Automàtic descrita a dalt i l’opció
Automàtic (inici retardat).
• Manual. Amb aquesta opció el servei s’haurà d’iniciar manualment.
• Deshabilitat. Aquesta opció desactiva el servei.
Per iniciar, aturar i posar en pausa serveis, només cal seleccionar el servei que es
vulgui en el Panel de servicios i clicar-hi al damunt amb el botó dret del ratolí.
Apareixeran les opcions Iniciar, Detener, Pausa, Reiniciar i Reanudar.
Els serveis poden arrencar de manera manual o automàtica. Per configurar el tipus
d’arrencada d’un servei podeu seguir els passos següents:
1. Cliqueu al damunt del servei que voleu configurar amb el botó dret del ratolí.
2. Premeu Propiedades.
3. Expandiu la llista Tipo de inicio que hi ha en la fitxa General.
4. Seleccioneu el tipus d’inici més adient i premeu Aceptar per finalitzar.
Hi ha quatre tipus d’arrencada:
• Automàtic: el servei s’iniciarà quan s’iniciï el sistema.
• Automàtic (inici retardat): el servei s’iniciarà quan s’iniciï el sistema i la

resta de serveis automàtics (no retardats) s’hagin iniciat.
• Manual: el servei es posarà en marxa manualment.
• Deshabilitat: el servei restarà desactivat.
2.2.1 Iniciar sessió
El sistema ofereix la possibilitat que els serveis utilitzin un compte d’usuari del
sistema local o bé un compte d’usuari en concret. Per configurar-lo, cal que feu el
següent:
1. Cliqueu amb el botó dret al damunt del registre que voleu configurar i
premeu Propiedades.
2. Cliqueu a la fitxa Iniciar sesión.
3. Seleccioneu Cuenta del sistema local si necessiteu que el servei s’iniciï

utilitzant el compte del sistema.
4. Seleccioneu Esta cuenta si necessiteu que el servei s’iniciï utilitzant un

compte d’usuari en concret. En aquest cas, caldrà introduir-hi la contrasenya
relacionada amb l’usuari.
2.2.2 Recuperació de serveis
El sistema Microsoft Windows Server 2016 permet fer accions si detecta que un
servei específic falla. Per configurar les opcions de recuperació d’un servei, caldrà
que feu el següent:
1. Cliqueu amb el botó dret al damunt del registre que voleu configurar i
premeu Propiedades.
2. Cliqueu a la fitxa Recuperación.
3. Marqueu l’opció més adient.
4. Indiqueu cada quant de temps voleu reiniciar el recompte d’errors.
5. Indiqueu cada quants minuts voleu reiniciar el servei.
6. Teniu la possibilitat d’habilitar accions en cas que es produís un error.
Les opcions de recuperació que us ofereix el sistema són tres:
• No fer cap acció: el sistema no intentarà recuperar-se d’aquest error, però

sí de la resta.
• Reiniciar el servei: atura el servei, fa una pausa i el torna a iniciar.
• Executar un programa: si es produeix un error en aquest servei, es llançarà

un script o un programa.
2.3 Registre d’esdeveniments
Quan es produeix un error en un sistema, l’administrador comença a fer una cerca

intensiva per tal d’identificar-ne les causes i pal·liar-ne els efectes. Si el tècnic
no té cap eina que l’ajudi, aquesta petita tasca es pot arribar a convertir en una
travessia llarga i feixuga.
El registre d’esdeveniments posa a disposició de l’administrador

informació historial, amb la qual pot localitzar problemes de seguretat i
del sistema. Aquest servei controla el registre de successos del Microsoft
Windows Server 2016.
El sistema operatiu Microsoft Windows Server 2016 utilitza dos tipus de registres:
• Registres del Windows. Aquests registres s’encarreguen d’emmagatzemar

els esdeveniments del sistema relacionats amb aplicacions, seguretat, confi-
guració i components del mateix sistema.
• Registres d’aplicacions i serveis. En aquest cas, l’historial que es conserva

fa referència a les aplicacions i els serveis mateixos.
Per accedir al registre d’esdeveniments del Windows, haureu d’obrir la consola

de l’administrador del servidor : Servidor Local, on ens mostra els darrers cinc
esdeveniments. Per fer una consulta més exhaustiva haureu d’anar al menú similar
a la versió anterior de ‘Herramientas: Administración de equipos’ situada també a
la nova consola d’Administrador del servidor.A la figura 2.2 us mostrem les dues
vistes posibles. Els registres del Windows són a dins de la categoria de diagnòstic.
Aquí podeu comprovar com els diferents esdeveniments s’agrupen en cinc tipus:
• Aplicació. Emmagatzema successos originats per aplicacions.
• Seguretat. Guarda esdeveniments que tenen el seu origen en les directives

de grup locals o globals. Necessitareu que l’usuari que hagi d’accedir als
registres de seguretat tingui permisos per administrar l’auditoria i el registre
de seguretat.
• Instal·lació. Aquí es llistaran els successos ocorreguts durant el procés

d’instal·lació, sigui del sistema operatiu o d’una aplicació.
• Sistema. Mostra els esdeveniments generats pel sistema operatiu i els

components que té.
• Esdeveniments reenviats. Si s’activa el reenviament d’esdeveniments,

emmagatzemarà els registres en un altre equip.
Accés al registre de
seguretat
Per defecte, només La informació que us mostra el visor d’esdeveniments en la finestra principal és
l’administrador pot accedir al
registre de seguretat. Si cal, la següent:
atorgueu permisos a un altre
grup, tot i que no és gaire
recomanable, ja que es tracta
d’una part crítica del sistema. • Paraula clau. A priori és la part més important, ja que us comunica la
característica de l’esdeveniment:
1. Informació: normalment queda registrat quan una acció finalitza amb

èxit i envia un text informatiu.
2. Auditoria correcta: s’indica quan una acció finalitza amb èxit.
3. Error d’auditoria: s’indica quan una acció finalitza amb fallida.
4. Advertència: es tracta d’un avís. Estudieu els avisos, ja que quan

apareixen són per alguna causa que cal investigar i corregir.
• Data i hora. Instant en el qual té lloc l’esdeveniment.
• Origen. Què ha de registrar l’esdeveniment. Els orígens possibles poden

ser aplicacions, serveis o components.
• Id. de l’esdeveniment. Cada esdeveniment està associat a un número. Això

facilita la cerca de més dades relacionades amb l’esdeveniment.
• Categoria de la tasca. S’utilitza per descriure amb més exactitud l’esdeve-

niment en qüestió.
El visor d’esdeveniments complementa la finestra principal amb dues pestanyes,

situades a sota. Mitjançant les pestanyes General i Detalles obtindreu informació
extra que us pot ajudar molt en la vostra tasca.
Si la informació que us mostra el visor d’esdeveniments no us sembla prou útil,

el podeu personalitzar. Al plafó de l’esquerra de l’administrador del servidor i
dins la categoria de diagnòstic, expandiu Visor de eventos i entreu a la carpeta
Vistas personalizadas. Des d’aquí podeu crear una vista personalitzada i filtrar els
esdeveniments que només necessiteu visualitzar en la consola del visor.
2.3.1 Filtratge de registres d’esdeveniments
Atesa la gran quantitat d’informació relacionada amb els registres d’esdeveni-

ments que hi pot haver, resulta molt interessant la possibilitat de filtrar els resultats.
La figura 2.2 mostra el Visor de eventos, finestra imprescindible per filtrar els
registres d’esdeveniments. Els passos per fer un filtratge d’esdeveniments són els
següents:
1. Expandiu Diagnóstico.
2. Expandiu Visor de eventos.
3. Seleccioneu Vistas personalizadas.
4. Cliqueu a Crear vista personalizada.
5. S’obrirà el quadre de diàleg que us permetrà crear una vista personalitzada.

F igu r a 2. 2 . Visor d’esdeveniments
2.3.2 Eliminació de registres d’esdeveniments
Els registres d’esdeveniments es poden omplir d’informació. Llavors, els haureu

d’eliminar tal com es descriu a continuació:
1. Expandiu Diagnóstico.
2. Expandiu Visor de eventos.
3. Expandiu qualsevol dels dos registres que apareixen (del Windows o d’apli-
cacions i serveis).
4. Cliqueu amb el botó dret al damunt del registre que necessiteu buidar i
premeu Vaciar registro.
2.4 Rendiment de l’equip
Quan s’instal·la un programari en un equip comença una aventura sense fi per a

l’informàtic. Haurà d’estar atent a diversos aspectes. A partir d’aquest moment,
haurà de prendre una sèrie de decisions que tenen per objectiu aconseguir que el
treball sigui tan eficient com sigui possible.
El tècnic responsable del servidor ha d’utilitzar les eines més efectives que
tingui a l’abast per tal d’aconseguir que el rendiment del servidor sigui
màxim.
Per supervisar correctament el rendiment del servidor, heu d’establir les línies
inicials de l’estudi. Cal que mesureu el rendiment de l’equip en diferents moments
i sota diferents càrregues de treball. Mitjançant comparacions entre les dades
recollides en diferents moments podreu determinar com es comporta el vostre
servidor.
Quan tingueu clara l’estratègia que seguireu, haureu d’establir un pla de supervisió
que pugueu aplicar en el vostre servidor. Heu de tenir en compte els punts
següents:
1. Identifiqueu, primer de tot, els esdeveniments que s’han de supervisar per

tal d’obtenir-ne dades útils.
2. Agrupeu la informació o filtreu només les dades útils. Si no ho feu, us podeu

trobar amb un mar de dades que no es poden interpretar.
3. Utilitzeu comptadors per registrar esdeveniments i poder relacionar-los amb

els recursos del sistema.
4. Emmagatzemeu les dades importants. Més endavant les fareu servir per fer
comparacions.
5. Analitzeu les dades recollides. És necessari perquè amb aquesta pràctica

podreu trobar solucions a problemes.
El sistema operatiu Microsoft Windows Server 2016 us proporciona tres eines

molt útils per a les tasques de supervisió:
• Monitor de rendiment. Us permet visualitzar el rendiment del sistema i

determinar què podeu millorar.
• Monitor de fiabilitat. Permet comparar els canvis efectuats sobre el

sistema amb l’estat anterior. Aquesta eina és molt útil per buscar l’estabilitat
del sistema.
• Registres d’esdeveniments. Si estudieu els registres de sistema, de segure-

tat i d’aplicació podreu solucionar un bon grapat de problemes del sistema.
2.4.1 Monitor de fiabilitat i rendiment
L’eina que ofereix el Microsoft Windows Server 2008 per comprovar el temps real
del rendiment i la fiabilitat del sistema és el monitor de fiabilitat i rendiment.
Per obrir aquesta eina, heu de seguir els passos següents:

3. Seleccioneu Monitor de confiabilidad y rendimento.
El monitor de fiabilitat i rendiment us ofereix una sèrie d’estadístiques agrupades

en quatre categories:
CPU
• Utilització de la CPU. Veureu l’ús actual i el màxim assolit de la CPU.
CPU són les sigles d’unitat
central de processament (central Podeu estudiar el gràfic més detalladament si expandiu la part inferior de la
processing unit en anglès) i es
considera el cervell de finestra. D’aquesta manera, podreu veure l’identificador del procés, el PID
l’ordinador.
del procés, una petita descripció del procés, el número de processos que en
depenen, l’ús actual de la CPU que representa i la mitjana de les aplicacions
que s’estan executant.
• Utilització de disc. Aquí trobareu la quantitat de kilobytes per segon que es

llegeixen i s’escriuen en el disc. Podreu veure amb més detall la utilització
PID del disc si expandiu la finestra. Així obtindreu el nom del procés que utilitza
El PID és un nombre que
identifica cadascun dels el disc, el seu PID, una petita descripció, l’arxiu que s’està llegint o escrivint,
processos que s’executen en un
sistema els bytes llegits per segon, els bytes escrits per segon, la prioritat d’entrada
i de sortida i el temps de resposta del disc.
• Utilització de xarxa. Mitjançant aquest monitor podreu veure la utilització

de l’amplada de banda i el percentatge d’ús. És molt interessant mirar amb
deteniment aquest monitor, ja que si expandiu la finestra veureu dades tan
importants com el nom del procés, l’identificador del procés, la direcció
IP, els bytes enviats per minut, els bytes rebuts per minut i l’acumulació de
bytes enviats i rebuts.
• Utilització de la memòria. Aquest monitor és molt útil, ja que a banda de

mostrar l’estat actual de la memòria, us informa dels errors de pàgina per
segon que es produeixen. Aquest monitor també proporciona més informa-
ció si expandiu la finestra. Podreu veure el nom del procés, el seu PID, el
número d’errors per pàgina que genera en un minut, les confirmacions de
memòria, l’espai de treball, la memòria que es pot compartir i la memòria
privada.
El monitor de fiabilitat i rendiment conté dues eines que utilitzareu molt sovint.
En la carpeta d’eines de supervisió, que trobareu a la part esquerra de la finestra,
podeu seleccionar el monitor de rendiment i el monitor de fiabilitat.
La funció del monitor de rendiment és mostrar gràfics d’estadístiques amb

els paràmetres que hi hàgiu indicat.
És molt important que seleccioneu els paràmetres que voleu estudiar. Aquests
paràmetres s’anomenen comptadors. Els comptadors estan directament relaci-
onats amb els components instal·lats en el sistema. Cada vegada que instal·leu
una característica o un component nou s’actualitza un conjunt de comptadors. Si
aquest fet no es produís, el procés de monitorització i l’acció de millora que se’n
deriva no es podrien efectuar.
La tasca del monitor de fiabilitat és registrar els canvis en el servidor i

comparar aquestes dades amb l’estabilitat del sistema.
La figura 2.3 mostra el monitor de rendiment i fiabilitat. La representació gràfica

simplifica molt a l’administrador del sistema el procés d’adquisició de les dades de
rendiment. Només amb un cop d’ull podeu comprovar la salut del vostre sistema.
Figur a 2. 3. Monitor de rendiment i fiabilitat
2.4.2 Seleccionar més comptadors
El monitor de rendiment mostra uns comptadors predefinits que resulten molt útils
en la majoria dels casos. A vegades, però, són insuficients. El sistema ofereix una
quantitat enorme de comptadors i els posa a disposició de l’usuari perquè pugui
escollir quins són més adients per al seu sistema. Per afegir comptadors al monitor,
només caldrà que feu el següent:
1. Cliqueu a Agregar en la barra d’eines.
2. Expandiu la llista Comptadors disponibles.
2.4.3 Supervisar comptadors
La millor manera de detectar problemes és a partir de la comparació de valors.

Mitjançant la supervisió de comptadors podreu comparar els diferents valors que
assoleix un mateix comptador i analitzar-ne els resultats.
Per supervisar un comptador, caldrà que seguiu els passos següents:
1. Cliqueu a Monitor de rendimiento.
2. Cliqueu a Ver actividad.
3. Cliqueu a Agregar.
4. Apareixerà el quadre de diàleg Agregar contadores.
5. Seleccioneu el comptador que necessiteu a Seleccionar contadores.
6. Cliqueu a Agregar.
7. Cliqueu a Aceptar.
Si obriu el monitor de fiabilitat (clicant a Monitor de confiabilidad), veureu que

el valor d’aquest comptador canvia.
2.4.4 Alertes per a comptadors de rendiment
És difícil estar sempre pendents de l’estat del sistema. El Microsoft Windows

Server 2008 permet configurar alertes que ens avisen quan succeeixen determinats
esdeveniments. Per configurar una alerta, cal seguir aquestes indicacions:
1. Expandiu el node Conjuntos recopiladores de datos.
2. Expandiu el node Definido por el usuario.
3. Seleccioneu l’opció Nuevo.
4. Cliqueu a Conjunto de recopiladores de datos.
5. Poseu un nom identificatiu al recopilador de dades.
6. Seleccioneu l’opció Crear manualmente.
7. Cliqueu a Siguiente.
8. Quan l’assistent us pregunti ¿Qué tipos de datos desea supervisar? selecci-

oneu Alerta del contador de rendimiento.
10. Quan l’assistent us pregunti ¿Qué contadores de rendimiento desea super-

visar? cliqueu a Agregar.
11. Seleccioneu els comptadors que necessiteu.
12. Premeu Aceptar.
13. Seleccioneu un dels comptadors afegits i marqueu a la llista Avisar cuando

en quines situacions es dispararà l’alerta.
2.5 Optimització del rendiment del sistema operatiu Microsoft

Windows Server 2008
Amb les dades que s’obtenen a partir de l’observació d’un sistema es poden
prendre decisions per tal d’aconseguir millorar-ne el rendiment.
Les àrees més usuals de millora són les següents:
• La utilització de la memòria i la memòria cau.
• La utilització del processador.
• L’entrada i la sortida dels discos.
• L’amplada de banda i la connectivitat de la xarxa.
2.5.1 Optimització de la memòria i la memòria cau

Memòria cau
És tasca de l’administrador és establir unes opcions de configuració de rendiment La memòria cau és un tipus de
memòria molt específic que
i utilització de memòria de les aplicacions adients segons els recursos del sistema. presenta com a característiques
principals la seva gran velocitat
de treball i la seva ubicació, ja
Els comptadors que us ajudaran més en l’optimització de la memòria són els que està instal·lada en el mateix
processador. La seva tasca és
següents: proporcionar al processador les
dades que necessita per treballar.
• Memòria\Kilobytes disponibles. Memòria física disponible per a proces-

sos en execució del servidor. És recomanable que hi hagi com a mínim un
5% de la memòria lliure, tot i que la pràctica ens suggereix tenir sempre
prop del 10% de la memòria lliure.
• Memòria\Bytes confirmats. Memòria virtual confirmada. Els bytes

confirmats no haurien de superar el 75% del total de la memòria física.
• Memòria\Errors de pàgina. Representa la freqüència amb què el proces-

sador gestiona qualsevol tipus d’error de paginació.
• Memòria\Entrades de pàgina. Número de pàgines que ha hagut de llegir

el disc per resoldre errors de paginació.
• Memòria\Lectures de pàgina. Número de lectures de disc que han calgut

per resoldre un problema de paginació.
• Memòria\Bytes de bloc paginat. Número de bytes dels blocs paginats. Si

aquest número és massa gran en comparació amb la memòria física, indica
que cal augmentar-la.
• Memòria\Bytes de bloc no paginat. Número de bytes dels blocs no

paginats. Si aquest número és massa gran en comparació amb la memòria
virtual, indica que cal augmentar-la.
La figura 2.4 mostra una finestra bàsica que s’ha de consultar regularment, ja que
mostra l’estat dels discos de la màquina.
F igu r a 2. 4 . Podeu administrar els volums de l’administrador del servidor
2.5.2 Optimització de l’ús del microprocessador
Tot i que el rendiment del processador sigui òptim, pot ser la causa d’un coll
d’ampolla en el sistema. El processador és el responsable de processar tota la
informació del sistema i, per tant, necessita que li dediquem recursos i comprovem
que funciona adequadament.
Hi ha dos comptadors que donen informació molt important sobre l’ús del
microprocessador:
• Sistema\Longitud de la cua del processador. Mostra els subprocessos

que hi ha a la cua del processador i que esperen que s’executin. Si el vostre
sistema té més d’un processador, veureu que la cua està situada en una zona
de memòria compartida per tots els processadors. Si aquest valor és igual
o superior a dos de manera constant, necessiteu instal·lar processadors més
potents o incorporar més processadors en el sistema.
• Processador\% del temps de processador. Aquest percentatge indica la

quantitat de temps que el processador passa treballant. Si detecteu que el
microprocessador no para de treballar i, en canvi, hi ha poc trànsit de xarxa
o no hi ha moviments de dades, haureu de canviar els processadors que teniu
per altres de més potents o incorporar més processadors en el sistema.
2.5.3 Optimització d’entrada i de sortida de disc
És molt important que l’entrada i la sortida de dades dels discos físics del servidor
es faci de la manera més ràpida i eficient possible. Actualment, és molt habitual
que les màquines que desenvolupen tasques de servidor utilitzin interfícies de
transmissió de dades internes molt ràpides i discos físics amb temps d’accés molt
baix. Els comptadors que es descriuen breument tot seguit us ajudaran a detectar
problemes de velocitat originats en l’entrada i la sortida de dades:
• Disc físic\% de temps de disc. Indica el percentatge de temps durant el

qual el disc efectua operacions de lectura o d’escriptura. Si se superés el
90%, hauríeu de mirar el comptador Disc físic\Longitud actual de la cua de
disc, ja que és possible que hi hagi en espera moltes peticions d’utilització
del disc.
• Processador\% de temps de processador. Aquesta regla mostra el

rendiment del % de temps del processador. Es pren la mostra cada cinc
minuts. Aquest % és el percentatge de temps durant el qual el processador
no executa cap subprocés inactiu i, en principi, executa una tasca principal.
Aquest indicador és molt important en la detecció de colls d’ampolla en el
processador. Hauria de tenir valors entre el 80% i el 90%.
• Interfície de xarxa\Total de byte/s. Nombre de bytes que estan viatjant

per la interfície de xarxa analitzada.
• Disc físic\Escriptures en disc. Aquest monitor indica les escriptures que

es fan en un segon en el disc analitzat. Cada minut es recullen mostres.
• Disc físic\Lectures de disc. Aquest monitor indica les lectures que es fan
en el disc físic. Recull una mostra per minut.
• Disc físic\Longitud mitjana de la cua d’escriptura de disc. Indica la

mitjana de sol·licituds d’escriptura que hi ha en el disc. Com més petit
sigui aquest número més eficient és el sistema.
• Disc físic\Longitud mitjana de la cua de lectura de disc. Indica la mitjana

de sol·licituds de lectura que hi ha en el disc. És important que aquest
número sigui petit, ja que indica que el sistema és eficient.
• Disc físic\Longitud actual de la cua de disc. Indica el nombre actual de

sol·licituds que hi ha en el disc.
2.5.4 Optimització d’accés a la xarxa
En els últims anys, la presència de les xarxes informàtiques ha assolit un protago-

nisme enorme. Es fa difícil imaginar un servidor sense una xarxa informàtica. La
interacció entre la xarxa i el servidor, per tant, és completa i també pot constituir
una possible font de problemes o d’ajuda per resoldre’ls.
Moltes vegades es detecten problemes en el servidor perquè la xarxa va lenta. Això

indica que hi ha problemes de xarxa o que el servidor no funciona correctament.
Per detectar el problema de xarxa resulta imprescindible observar els comptadors
següents:
• Interfície de xarxa\Bytes rebuts. Aquest comptador proporciona el

nombre de bytes que ha rebut el servidor per mitjà de la interfície analitzada.
• Interfície de xarxa\Bytes enviats. Aquest comptador proporciona el

nombre de bytes que el servidor ha entregat a la xarxa per mitjà de la
interfície analitzada.
• Interfície de xarxa\Total de bytes. Aquest comptador indica el nombre

total de bytes que s’han desplaçat per mitjà de la interfície de xarxa que
estudieu.
• Interfície de xarxa\Amplada de banda actual. Amplada de banda de què

es disposa en la interfície que s’analitza.
3. Directrius de grup en sistemes operatius de propietat
L’administració d’un sistema com el Microsoft Windows Server 2008 no es pot

entendre sense haver estudiat i comprès les directrius de grup.
Les directrius rectives de grup constitueixen la xarxa troncal

d’administració de les organitzacions que utilitzen el Microsoft Windows
Server 2008.
Les directrius que no són de
grup local s’emmagatzemen
Les directrius de grup simplifiquen molt l’administració del sistema. Permeten a en el magatzem de dades
de l’Active Directory.
l’administrador controlar privilegis, permisos i recursos de manera centralitzada.
Podeu aplicar directrius de grup a un conjunt d’equips, a un domini, a una part
d’un domini o a diversos dominis.
Les directrius de grup que s’apliquen a un conjunt d’equips reben el nom de

directrius de grup local. Aquestes directrius només s’emmagatzemen en els
equips que afecten.
3.1 Ordre d’aplicació de les directrius de grup
El sistema operatiu Microsoft Windows Server 2008 fa possible que hi hagi moltes
directrius de grup actives alhora. En el cas que es produeixi aquesta situació,
l’ordre d’aplicació és la següent:
1. Directrius de grup local.
2. Directrius de grup de lloc.
3. Directrius de grup de domini.
4. Directrius de grup d’unitats organitzatives.
5. Directrius de grup d’unitats organitzatives filles.
3.2 Aplicació de les directrius de grup
En funció d’on s’apliquin les directrius de grup, es poden crear dos grans conjunts
de directrius:
• Directives que s’apliquen a equips: normalment s’apliquen durant l’arren-

cada de l’equip.
• Directives que s’apliquen a usuaris: s’apliquen quan els usuaris inicien

les sessions.
3.2.1 Inici del sistema
Quan s’estudia el comportament del sistema s’ha de tenir molt clar el moment en
què es produeix cada acció. La seqüència d’arrencada del sistema és la següent:
1. La xarxa es posa en marxa. En aquest precís moment el sistema operatiu

aplica les directrius dels equips. Per defecte, no es mostra en pantalla
informació d’aquesta acció.
2. Els scripts d’arrencada s’executen.
3. L’usuari ha de prémer la combinació de tecles Ctrl + Alt + Supr per iniciar

sessió. Si les dades d’accés són correctes es carrega el perfil de l’usuari.
4. El sistema operatiu aplica les directrius d’usuari.
5. El sistema operatiu processa els scripts d’inici de sessió de l’usuari.
6. El sistema operatiu posa en marxa la interfície de l’intèrpret d’ordres.
7. La directriu de grup s’actualitzarà si un usuari tanca la sessió o si l’equip es

reinicia. Aquest comportament es pot canviar per mitjà de l’ordre gpupdate.
3.2.2 Compatibilitat de versions de directrius rectives de grup
Tot i que entre les directrius de grup de les diverses versions de sistema operatiu hi
ha diferències, mantenen una compatibilitat àmplia. El sistema operatiu Microsoft
Windows 2000 va ser el primer a incloure directrius de grup.
Les directrius de grup informen de les compatibilitats mitjançant la fitxa Configu-

ración, inclosa en les propietats.
3.3 Directrius de grup local

LGPO
La sigla que identifica els
objectes de directriu de grups
locals és LGPO, que significa Si utilitzeu el Microsoft Windows Server 2008, podeu fer servir més d’un objecte
‘objectes de directriu de grup
local’. de directriu de grup local en un mateix equip. Aquesta és una diferència important
respecte als sistemes anteriors, que únicament permetien un LGPO.
Amb el Microsoft Windows Server 2008, l’administració d’objectes de directriu

de grup local es fa d’una manera molt flexible. El sistema operatiu ofereix tots
els mitjans necessaris per administrar més d’un LGPO en un únic equip. No cal
dir que aquesta flexibilitat facilita molt la tasca de l’administrador de gestionar
entorns en què es comparteixen elements informàtics en un únic equip.
La directriu de grup local proporciona una infraestructura per a

l’administració centralitzada de la configuració del sistema operatiu i de les
aplicacions que s’hi executen.
La directriu de grup local i de domini es pot administrar mitjançant versions

basades en domini del Microsoft Windows Server 2008. Heu de tenir molt
en compte, però, que cal instal·lar Administració de directrius de grup com
a característica mitjançant l’Administrador del servidor per poder utilitzar la
Consola d’administració de directrius de grup.
Hi ha tres nivells d’objectes de directriu de grup local:
• Directiva de grup local: es tracta d’un únic objecte que permet aplicar
a tots els usuaris del sistema les mateixes opcions de configuració tant de
l’equip com de l’usuari.
• Directiva de grup local per a administradors i no administradors:

únicament conté opcions de configuració d’usuari. L’aplicació d’aquesta
directriu s’efectua amb independència del compte d’usuari utilitzat.
• Directiva de grup local per a usuaris: simplement conté opcions de

configuració d’usuari. És aplicable a tots els grups i usuaris.
L’ordre d’aplicació dels tres nivells d’objectes de directriu de grup local s’inicia
amb les directrius de grup local, se segueix amb la directriu de grup local per a
administradors i no administradors i es finalitza amb la directriu de grup local per
a usuaris.
La utilització d’objectes de directriu de grup pot generar conflictes. El mètode

que utilitza el Microsoft Windows Server 2008 és reemplaçar les opcions de
configuració més antigues per les més actuals.
Per accedir a l’LGPO de l’ordinador local, cal escriure el següent en la línia

d’ordres:
1 gpedit.msc /gpcomputer: "%NomDeLaMaquina%"
Si necessiteu accedir a l’LGPO d’una màquina remota, hi heu d’escriure-hi el

següent:
1 gpedit.msc /gpcomputer: "NomDeLaMaquinaRemota"
En la línia anterior s’especifica el nom de la màquina remota sense utilitzar els

símbols de tant per cent. És així perquè l’ordinador local té una variable d’entorn
que identifica la mateixa màquina, però no té variables que identifiquin altres

màquines de la xarxa.
Per accedir a les directrius de grup local d’administradors, no administradors i

usuaris, cal que seguiu els passos següents:
2. Escriviu mmc en el quadre de text d’Iniciar búsqueda.
3. Expandiu el menú Archivo i seleccioneu Agregar o quitar complemento.
4. Cliqueu a Editor de objetos de directiva de grupo.
5. Polseu Agregar.
6. En el quadre Seleccionar un objeto de directiva de grupo, cliqueu a

Examinar.
7. En el quadre Buscar un objeto de directiva de grupo, cliqueu a Usuarios.
8. La columna El objeto de directiva de grupo existe mostra els objectes de

directriu local creats.
9. Escolliu Administradores per crear o accedir a l’objecte de directriu de grup

local de l’administrador, o No administradores per crear o accedir a l’objecte
de directriu de grup local de no administradors.
10. Cliqueu a Aceptar per finalitzar.
En la figura 3.1 podeu veure els vint-i-dos grups creats. Podeu observar que
per arribar a aquesta dada cal executar l’administrador del servidor i, dins de la
configuració, seleccionar la carpeta grups que trobeu a Usuaris i grups locals.
F igu r a 3. 1 . Grups de l’equip

3.3.1 Configuració dels objectes de directriu de grup local
Les directrius de grup local s’emmagatzemen a la carpeta

%SystemRoot%\System32\GroupPolicy. A dins trobareu les carpetes
següents:
• Machine: conté els scripts de l’equip dins la carpeta Scripts. La informació

de les directrius del registre estan emmagatzemades a l’arxiu Registry.pol.
• User: conté els scripts d’usuari dins la carpeta Scripts. La informació de

les directrius referents a l’usuari són a l’arxiu Registry.pol.
3.4 Directives de llocs, dominis i unitats organitzatives
En la llista de directrius de grup, les directrius de grup que estiguin situades més
amunt tindran més prioritat. Aplicar una jerarquia garanteix que les directrius
s’apliquin correctament als llocs, als dominis i a les unitats organitzatives corres-
ponents.
3.4.1 Directives de domini i predeterminades
Tots els dominis disposen de dos GPO predeterminats:
• Directiva predeterminada de controladors de domini: creat per a la uni-

tat organitzativa de controladors de domini. S’aplica a tots els controladors
de domini dins del domini.
• Directiva predeterminada de domini: creat per al domini mateix dins de

l’Active Directory. Hi està vinculat.
Les directrius de grup per a llocs, dominis i unitats organitzatives s’emmagatze-

men a la carpeta %SystemRoot%\SysVol\Domain\Policies dels controladors
de domini.
Dins la carpeta de cada directriu trobareu el següent:
• Machine: dins la carpeta Scripts trobareu els scripts de l’equip.
• User: dins la carpeta Scripts trobareu els scripts d’usuari.

3.4.2 Consola d’administració de directrius de grup
La consola d’administració de directrius de grup (GPMC) inclou totes les utilitats

que es poden utilitzar durant l’administració de les directrius de grup.
Per obrir la consola d’administració de directrius de grup, seguiu els passos

següents:
1. Polseu Inicio.
2. Expandiu Todos los programas.
3. Expandiu Herramientas adinistrativas.
4. Seleccioneu Administración de directivas de grupo.
Amb la consola d’administració de directrius de grup, és molt senzill accedir al

bosc en què es troba. Si expandiu el bosc, la consola us mostrarà el següent:
• Dominis: des d’aquí podeu accedir a les opcions de configuració de

directrius dels dominis del bosc.
• Llocs: podreu accedir a les opcions de configuració de llocs del bosc.
• Modelat de directrius de grup: permet accedir a l’assistent per al modelat

de directrius de grup. Aquest modelat és de gran ajuda a l’hora de planificar
la implementació de directrius.
• Resultats de directrius de grup: permet accedir a l’assistent per resultats

de directrius de grup.
3.4.3 Editor de directrius
Els objectes de directrius es poden editar. Per aconseguir-ho, només caldrà que
cliqueu al damunt de l’objecte amb el botó dret del ratolí i seleccioneu l’opció
Editar.
L’editor de directrius té dos nodes principals:
• Configuració de l’equip: permet establir les directrius que s’aplicaran als

equips amb independència de qui inicia la sessió.
• Configuració d’usuari: permet establir les directrius que s’aplicaran als

usuaris, independentment de l’equip en què hagin iniciat la sessió.
3.4.4 Les plantilles administratives
Les plantilles administratives permeten administrar fàcilment elements com els

següents:
• Plafó de control: pot determinar les opcions que estiguin disponibles, la

configuració i les utilitats.
• Escriptori: permet configurar l’escriptori del sistema i les opcions disponi-

bles.
• Xarxa: configura la xarxa i les opcions de xarxa dels clients.
• Impressores: configura les impressores, la cerca d’impressores, les tasques

d’impressió i les opcions de directoris.
• Carpetes compartides: permet la publicació de carpetes compartides i del

sistema de fitxers distribuïts.
• Menú Inici: controla les opcions disponibles i la configuració.
• Barra de tasques: controla les opcions disponibles i la configuració.
• Sistema: configura les opcions del sistema.
• Components de Windows: determina les opcions disponibles i la configu-

ració de diversos components.
3.4.5 Creació d’un magatzem central

Servei de replicació
El servei de replicació garanteix
Un magatzem central és un conjunt de carpetes creades en el directori Sysvol que la informació entre els
controladors de domini estigui
dels controladors de domini de cada domini. El servei de replicació transmetrà actualitzada. La replicació
garanteix que els canvis fets en
el magatzem a tots els controladors de domini dins del domini. una rèplica en un controlador de
domini són enviats a les
rèpliques dels controladors de
Els passos per crear un magatzem central són els següents: domini.
Fitxers ADMX
1. Creeu una carpeta a %SystemRoot\Domain\Policies mitjançant l’explo- Són uns arxius basats en XML
que permeten a l’administrador
rador del Windows. generar una interfície d’usuari en
la consola d’administració de
directrius de grup.
2. Creeu ara la carpeta %SystemRoot\Domain\Policies\PolicyDefinitions.
3. Ompliu el magatzem central amb els fitxers ADMX.
4. Reinicieu amb el Windows Vista i ompliu el magatzem central amb els

arxius ADMX distribuïts pel Windows Server 2008.
Per a cada idioma que utilitzin els administradors, s’haurà de crear una subcarpeta
que en contindrà les dades adients.
3.5 Administració d’usuaris i equips mitjançant directrius de grup
WSH
Mitjançant les directrius de grup es poden administrar els elements següents:
El Windows Script Host fa
possible executar seqüències
d’ordres fent doble clic sobre un • El reencaminament de carpetes: permet centralitzar l’administració de
fitxer que contingui aquesta
seqüència. Per executar carpetes especials. Les carpetes s’encaminen a una ubicació de xarxa en
seqüències d’ordres amb WSH
executeu wscript.exe en la comptes d’utilitzar diferents ubicacions en cadascun dels equips.
interfície d’ordres.
• Els scripts d’equip i usuari: els scripts poden ser arxius d’execució per
lots o programes escrits mitjançant WSH. Els quatre scripts que es poden
executar són inici, apagada, inici de sessió i tancament de sessió.
• La implementació de maquinari: s’utilitza per a l’automatització i el

manteniment del programari de qualsevol organització, sigui petita o gran.
• La inscripció de certificats d’equip i usuari: els usuaris i els equips

autoritzats podran sol·licitar un certificat que l’entitat de certificats pugui
processar automàticament.
• Les opcions d’actualització automàtica: permeten mantenir el sistema

operatiu al dia.
3.6 Administració de les directrius de seguretat del sistema operatiu

Microsoft Windows Server 2008
El sistema operatiu Microsoft Windows Server 2008 conté una sèrie d’eines molt
útils per millorar la seguretat dels equips. Les eines principals que s’utilitzen
generalment per administrar les directrius de seguretat en les màquines servidor
són quatre:
• Assistent per a la configuració de seguretat (SCW). L’SCW és una eina

que indica pas a pas com crear una directriu de seguretat a partir de les
funcions que desenvolupa un servidor.
• Línia d’ordres Scwcmd. L’Scwcmd és la utilitat de línia d’ordres que

s’instal·la amb l’SCW.
Heu de tenir en compte
que aquestes quatre eines
no són les úniques que hi • Complement plantilles de seguretat. Aquestes plantilles permeten crear
ha. De fet, no s’ha
destacat el Servei de una directriu de seguretat personalitzada. Cal destacar que en el Microsoft
domini de l’Active
Directory ni les Directives Windows Server 2008 no hi ha plantilles de seguretat predefinides.
de grup, que són
imprescindibles per a
l’administració d’una • Complement configuració i anàlisi de seguretat. Aquest complement
xarxa. Aquestes eines i
altres tecnologies es permet analitzar i configurar la seguretat d’equips locals.
tracten en els apartats
“Directrius de grup en
sistemes operatius de
propietat” i “Active Amb el pas del temps les configuracions dels servidors poden canviar. De fet, el
Directory”.
més normal és que canviïn, ja que les xarxes i els sistemes són elements “vius”
i s’han d’adaptar contínuament a les noves necessitats. La tasca de mantenir

actualitzat el servidor o servidors amb les configuracions de seguretat noves és
vostra. Tot seguit s’indiquen quatre punts a seguir per ajudar-vos a mantenir la
seguretat d’un servidor mitjançant l’administració de directrius:
1. Analitzeu la configuració de la seguretat del servidor abans de fer res.

Tingueu en compte que la directriu aplicada a un servidor ha de ser
l’apropiada per a la funció del servidor.
2. Actualitzeu una directriu de servidor sempre que la configuració del servi-

dor es modifiqui.
3. Creeu una directriu sempre que aparegui una aplicació o una funció de
servidor nova que no estigués inclosa en l’administrador del servidor.
4. Utilitzeu les eines d’administrador de directrius, ja que és la millor manera

d’aplicar configuracions de directrius.
Quan instal·leu funcions, serveis de funcions i característiques mitjançant l’ad-

ministrador del servidor, les condicions de seguretat s’estableixen de manera
automàtica. En aquest cas, les eines d’administració de directrius de seguretat
no es fan servir. Tanmateix, l’escenari canvia quan cal fer canvis personalitzats i
és llavors quan esdevé necessari utilitzar aquestes eines.
3.6.1 Assistent per a la configuració de seguretat (SCW)
L’SCW és un assistent que permet generar polítiques de seguretat en funció de les

tasques que ha de desenvolupar un servidor.
Aquesta eina té dos components bàsics:
• Interfície d’usuari. La interfície d’usuari permet crear directrius de

seguretat noves, editar una directriu de seguretat ja generada, aplicar una
directriu de seguretat generada i revertir a l’última directriu de seguretat.
• Base de dades de configuració de seguretat. La base de dades de

configuració de seguretat emmagatzema els serveis i els ports necessaris
per a cada funció de servidor compatible amb l’SCW.
del material web,
corresponent a aquesta
unitat, trobareu un manual
molt útil d’SCW i un
conjunt de respostes a
3.6.2 Línia d’ordres Scwcmd problemes que podeu
trobar relacionats amb
aquesta eina.
Resulta molt útil disposar d’algun tipus d’ajuda per crear directrius de seguretat
a mida de les funcions que es desenvolupin. La interfície SCW (security
configuration wizard) és una guia que ajuda a crear directrius de seguretat. L’eina
Scwcmd està inclosa en el paquet d’SCW.
Aquesta eina s’utilitza des de la línia d’ordres. L’Scwcmd s’instal·la durant la

instal·lació de l’SCW. Les tasques principals que es poden fer amb l’Scwcmd són
les següents:
• Configurar un o més servidors amb una directriu generada per l’SCW.
• Analitzar un o més servidors amb una directriu generada per l’SCW.
• Veure el resultat de les anàlisis en format HTML.
• Revertir a directrius de l’SCW.
• Transformar una directriu generada per l’SCW en arxius natius compatibles

amb la directriu de grup.
• Registrar una extensió de la base de dades de configuració de seguretat amb

l’SCW.
3.6.3 Complement plantilles de seguretat
Generalment resulta necessari modificar la configuració per defecte d’un sistema

per restringir privilegis o directrius de grup local. Aleshores s’utilitzen les
plantilles de seguretat per crear una directriu de seguretat personalitzada, sigui
per a un equip o per a la xarxa d’aquest equip.
Es poden definir configuracions de directrius en les àrees següents:
• Directives de comptes. Directiva de contrasenyes, directriu de bloqueig de

comptes i directriu Kerberos.
• Directives locals. Directiva d’auditoria, assignació de drets d’usuaris i

opcions de seguretat.
• Registre d’esdeveniments. Opcions de configuració del registre d’esdeve-

niments de seguretat, sistema i aplicacions.
• Grups restringits. Pertànyer a grups crítics per a la seguretat.
• Serveis del sistema. Inici i permisos per a serveis del sistema.
• Registre. Permisos per a claus del registre.
• Sistema d’arxius. Permisos per a carpetes i arxius.
3.6.4 Complement configuració i anàlisi de seguretat
Normalment, el complement configuració i anàlisi de seguretat s’utilitza com-

parant la directriu d’equips locals amb una base de dades d’anàlisi. D’aquesta
manera es pot determinar si hi ha alguna discrepància entre les opcions de

configuració que necessita la base de dades i la directriu local.
L’anàlisi de seguretat presenta suggeriments de configuració sobre el sistema i fa

servir marcadors visuals o comentaris per destacar les àrees que no assoleixen el
nivell de seguretat proposat.
3.6.5 Creació i aplicació d’una directriu de seguretat
L’assistent per a la configuració de la seguretat només us permetrà efectuar

configuracions de directrius en l’equip en què s’estigui executant. Per fer aquesta
configuració, l’assistent conté diversos apartats que faciliten molt la tasca:
• Configuració de servei basat en funcions: permet configurar com s’inici-

en els serveis instal·lats en el sistema i els serveis relacionats.
• Seguretat de xarxa: l’utilitzeu per configurar les regles d’entrada i sortida

del tallafoc del Microsoft Windows.
Tallafoc
Un tallafoc és un programari que
ofereix seguretat a la xarxa. La
seva tasca principal és estudiar el
• Configuració del registre:permet configurar els protocols utilitzats per tràfic que circula per la xarxa i
evitar l’accés no desitjat.
comunicar-se amb altres equips.
• Directiva d’auditoria:en funció de les preferències marcades, configura

l’auditoria del servidor seleccionat.
• Emmagatzemar directriu de seguretat:permet emmagatzemar i examinar

la directriu de seguretat.
A continuació es crea una directriu de seguretat pas a pas:
3. Cliqueu a Asistente para configuración de seguridad.
4. Seleccioneu Crear una nueva directiva de seguridad a Acción de configura-

ción.
6. Seleccioneu un Servidor.
7. Seleccioneu un equip amb Seleccionar equipo.
8. Cliqueu a Comprovar nombres.
9. Premeu Siguiente.
10. Cliqueu a Ver la base de datos dins de Procesar la base de datos de

configuración de seguridad.
11. Quan arribeu a Seleccionar funciones de servidor veureu les funcions que
ja estan instal·lades.
12. Seleccioneu Seleccionar características de cliente i podreu veure les carac-

terístiques de client emprades pels serveis actius.
13. Marqueu les caselles de verificació de les opcions que vulgueu activar a
Seleccionar opciones de administración y otras.
14. Marqueu les caselles dels serveis que vulgueu activar a Seleccionar sevicios
adicionales.
15. indiqueu com voleu gestionar la resta de serveis que no han estat llistats a
Tratamiento de servicios sin especificar.
16. A Seguridad en red us trobareu amb Reglas de seguridad de red. Aquí

podreu afegir, modificar o eliminar regles d’entrada o de sortida.
17. A Seguridad del registro veureu les opcions de seguretat de signatures SMB.
18. Seleccioneu els mètodes emprats pels servidors seleccionats per autenticar
equips remots a Métodos de autenticación de salida.
19. Indiqueu com s’utilitzarà el nivell d’autenticació a Autenticación de salida

por medio de cuenta de dominio.
20. Cliqueu a Siguiente si els valors de registre són correctes.
21. Configureu el nivell d’auditoria a Directriu d’auditoria.
22. Comproveu que la directriu d’auditoria és correcta a Resumen de directiva

de auditoría.
23. Guardeu el nom de la directriu de seguretat a Guardar directiva de seguri-

dad.
24. Cliqueu a Incluir plantillas de seguridad si necessiteu incloure plantilles de

seguretat.
25. Les directrius de seguretat s’hauran emmagatzemat a

%SystemRoot$\Security\Msscw\Policies.
26. Cliqueu a Aplicar directiva de seguridad.

4. Active Directory
L’Active Directory proporciona els mitjans per gestionar les identitats i les relaci-
ons que componen una xarxa. Us ofereix la possibilitat de configurar i administrar
de manera centralitzada el sistema, els usuaris i la configuració d’aplicacions.
L’Active Directory (AD DS), conegut anteriorment com a serveis de

directori de l’Active Directory, és el pilar central per a la informació de
configuració, les peticions d’autenticació i la informació sobre tots els
objectes que s’emmagatzemen.
del web trobareu un enllaç
Si feu servir l’Active Directory podreu administrar de manera eficient els usuaris, a una guia pràctica de
els equips, els grups, les impressores, les aplicacions i altres directoris de manera
centralitzada i segura.
4.1 Sistema de noms de domini
El servei Active Directory es basa en el servei de sistema de noms de domini (DNS,

domain name system).
El DNS és un servei d’Internet que tradueix els noms dels dominis en

direccions IP.
Els dominis DNS es jerarquitzen per nivells que identifiquen equips, dominis
d’organització i dominis de nivell superior. També es pot utilitzar el sistema
de noms de domini per assignar noms de servidor a direccions TCP/IP. Podeu
fer servir el DNS perquè una estructura jerarquitzada de l’Active Directory es
defineixi a Internet.
4.2 Conceptes relacionats amb l’Active Directory
Hi ha una sèrie de conceptes que resulta imprescindible tenir clars per treballar
amb el servei de l’Active Directory. Cal familiaritzar-se amb aquests termes i
entendre la funció que fan dins el sistema. A continuació es descriuen breument
els més importants:
• Objecte: Un objecte és quelcom amb entitat en el directori. Per exemple,

un objecte pot ser un usuari, un ordinador, un encaminador, un commutador,

una impressora, etc.
• Domini: És un conjunt de normes que especifiquen què administren els

recursos i els clients en una xarxa local.
• Arbres: És un conjunt de dominis amb relacions de confiança entre ells que

comparteixen recursos, clients i un sistema de resolució de noms.
• Bosc: És un conjunt d’arbres de domini amb relacions de confiança entre

ells. És l’estructura lògica principal de l’estructura de directori. Conté
tots els objectes del vostre directori, començant pels dominis. El bosc
defineix l’esquema, conté la definició i els atributs de tots els objectes.
És molt important per a l’AD, ja que defineix diversos objectes com a
usuaris i grup. Defineix quines propietats tenen aquests objectes, estén la
compatibilitat amb nous objectes i propietats necessàries en aplicacions. El
bosc també conté la informació de replicació per a un funcionament adequat
del directori. Finalment, també manté el catàleg global que proporciona
capacitats de cerca per a ell mateix.
4.3 Servei de directori
Un servei de directori és un dels components més importants d’una xarxa. Els

usuaris i els administradors sovint no saben el nom exacte dels objectes en què
estan interessats. Pot ser que coneguin un o més atributs d’aquests objectes i
puguin consultar el directori per obtenir una llista d’objectes que concordin amb
els atributs.
Un servei de directori és un servei de xarxa que identifica tots els recursos

que s’ofereixen en la xarxa i els posa a disposició dels usuaris i les
aplicacions.
Un servei de directori permet que un usuari trobi qualsevol objecte mitjançant

només un dels atributs que té. Proporciona informació sobre el nom, la descripció,
la localització, l’accés, la gestió i la seguretat d’aquest objecte.
4.4 Estructures lògiques i físiques de domini
Resulta imprescindible meditar un disseny eficient i robust quan es treballa amb

l’Active Directory. Mitjançant l’Active Directory aconseguireu separar l’estructu-
ra lògica del domini de l’estructura física real.
Mentre que una estructura lògica conté objectes, dominis, arbres i boscos, una
estructura física està formada per controladors de domini i espais.
L’objecte és la peça bàsica de tot el tramat de l’estructura lògica.
L’objecte presenta un conjunt de característiques pròpies i amb nom que

representa un recurs. Els objectes es poden agrupar en classes (per exemple,
els usuaris, els grups i els equips són classes d’objectes diferents).
4.5 Dominis
L’Active Directory és la peça clau en el sistema basat en dominis que es fa

servir en el Microsoft Windows. L’Active Directory es basa en el protocol DNS
(sistema de noms de domini). El protocol DNS és un servei estàndard d’Internet
que s’encarrega d’organitzar grups d’equips en dominis, que s’organitzen en una
estructura jeràrquica.
Un domini és un límit administratiu que representa un espai de noms.
La jerarquia de dominis DNS està formada per diferents nivells que identifiquen
equips, dominis organitzatius i dominis de nivell superior. A Internet també
s’utilitza el protocol DNS per assignar noms de servidor a direccions IP. Per
exemple, la IP 85.192.111.244 correspon al servidor ioc.cat. A Internet amb el
protocol DNS es pot definir una jerarquia de domini Active Directory.
Aquest sistema també es fa servir per referir-se a recursos del sistema. Per fer-
ho, cal utilitzar l’FQDN (nom de domini complet). Per exemple, proxy.ioc.cat
indica que el nom de l’equip és proxy, ioc és el domini i cat és el domini de nivell
superior.
El primer domini que es crea rep el nom de domini arrel. Aquest domini és
l’arrel de la resta de dominis que es creen en l’arbre de domini. Un domini
arrel pot ser ioc.cat. Els dominis creats posteriorment en una jerarquia de
dominis són dominis secundaris del domini arrel. Per exemple, si hi hagués un
domini secundari anomenat informatica del domini arrel ioc.cat, el resultat final
seria informatica.ioc.cat. El nom de domini complet d’una màquina anomenada
documents del Departament d’Informàtica seria documents.informatica.ioc.cat.
4.6 Arbres
A mesura que una organització creix, els seus recursos de xarxa també creixen.
Per tant, es fa necessari idear un sistema per agrupar i organitzar la informació de
manera ordenada.
Un arbre és un grup de dominis que formen un espai de noms contigu.
La creació i la utilització d’un arbre de dominis permet crear una estructura lògica
de dominis i reflectir un espai de noms DNS.
4.7 Boscos
Algunes xarxes, tot i que es tracta d’una mateixa xarxa, tenen diversos dominis
arrel. En aquests casos trobeu múltiples arbres de domini.
Un bosc és un espai de noms no contigu. Està format per múltiples arbres

de domini.
La utilització de boscos permet mantenir la continuïtat de tota l’estructura de

recursos de la xarxa encara que hi hagi diferents espais de noms no contigus.
La creació d’un bosc permet a tots els dominis que el formen compartir informa-
ció.
4.8 Relacions de confiança
Cal un mecanisme que permeti la comunicació entre els diferents dominis d’arbre,
ja que contràriament no es podrien crear xarxes extenses de compartició de
recursos.
Les relacions de confiança permeten connectar els dominis de l’arbre. Per

Tingueu en compte... tant, permeten la comunicació entre dominis.
... que les relacions de confiança
funcionen d’una altra manera si
es tracta de sistemes operatius de Hi ha tres tipus de relacions de confiança:
Microsoft anteriors al Windows
2000.
• Confiances transitives: permeten establir una relació de confiança entre

dos dominis que permet accedir a altres dominis. Aquest tipus de confiança
redueix la sobrecàrrega administrativa que es genera amb el manteniment
de relacions de confiança.
• Confiances unidireccionals: estableixen una relació de confiança entre

dominis sense ser transitives ni bidireccionals.
• Confiances de vincle creuat: s’utilitzen per augmentar el rendiment. Per

fer-ho, escurcen la ruta de confiança.
4.9 Llocs i subxarxes
L’emmagatzemament d’informació és una tasca complexa molt important dins uns

estructura organitzada. Fer agrupaments que permetin una millora de la gestió
i una simplificació de l’administració és una part important en el disseny d’un
projecte. Dins d’aquest disseny, els llocs i les subxarxes tenen un paper molt
important.
Un lloc és un conjunt d’equips que pertanyen a una o més subxarxes IP. La

missió que té és reflectir l’estructura física de la xarxa amb independència
de l’estructura lògica del domini.
Un dels avantatges d’utilitzar l’Active Directory és que es poden crear diversos

llocs dins d’un únic domini o crear un únic lloc que englobi diversos dominis.
Una subxarxa és un grup d’adreces IP. El seu ús proporciona un gran

avantatge, ja que simplifiquen molt l’administració i la gestió de les xarxes
informàtiques. Les subxarxes tenen un rang IP en particular i una màscara
de xarxa.
Màscara de xarxa
La norma que marca com assignar equips dins un lloc la determina la ubicació Les adreces IP tenen dues parts:
una part identifica la màquina, i
d’aquests equips dins d’una subxarxa. L’objectiu del responsable del sistema una altra part indica a quina
xarxa pertany aquesta màquina.
és que els llocs estiguin formats per subxarxes i els equips estiguin connectats La màscara de xarxa s’encarrega
d’indicar els bits que
correctament. corresponen a la màquina i els
bits que corresponen a la xarxa.
Una gestió correcta dels llocs i de les subxarxes permet millorar l’estat de la xarxa
informàtica, ja que redueix el trànsit de xarxa i permet augmentar la velocitat de
processament d’algunes tasques, com ara la d’autenticació.
4.10 Treballant amb l’Active Directory
L’Active Directory al màxim rendiment es pot utilitzar en sistemes operatius de

Microsoft Windows en la versió empresarial a partir del Windows 2000 i en la
versió servidor també a partir del Windows 2000. Cal tenir en compte, però,
que els sistemes que no són servidors accedeixen a la xarxa com a clients de
l’Active Directory. D’aquesta manera, tenen accés als recursos del directori i
poden utilitzar les relacions de confiança transitives que hi hagi. Els sistemes
operatius servidors, en canvi, proporcionen serveis a altres equips i poden actuar
com a controladors de domini.
Un domini pot tenir més d’un controlador de domini si fa servir la replicació

automàtica de les dades de directori entre elles utilitzant un model de replicació
amb diversos mestres. El sistema, quan té diversos mestres, estableix la mateixa
responsabilitat a tots els controladors de domini. Aleshores, l’administrador

decideix a quins controladors dóna més prioritats.
Tots els equips que passin a formar part d’un domini obtindran un compte
d’equip, sempre que el sistema operatiu sigui el Windows 2000, el Windows XP
Professional, el Windows Vista, el Windows Server 2003 o el Windows Server
2008. Els comptes d’equip s’emmagatzemen com a objectes de l’Active Directory.
Els comptes d’equip tenen un pes específic molt important dins l’administració
del sistema, ja que es fan servir per controlar l’accés a la xarxa i als recursos de la
xarxa.
4.10.1 Mode d’operacions amb el Microsoft Windows Server 2008
Hi ha quatre nivells funcionals per proporcionar els nivells d’estructures de

dominis:
• Mode Windows 2000 mixt: No permet utilitzar controladors de domini

Windows Server 2008 ni la majoria de les funcions noves de l’Active
Directory. No és gaire recomanable utilitzar-lo.
• Mode Windows 2000 natiu: Presenta dificultats en el canvi de nom de

controladors de domini, en els canvis de marques de temps i en els canvis
de número de versió de clau del KDC de Kerberos. El directori només
accepta controladors de domini Windows Server 2008, Windows Server
2003 i Windows 2000. Així doncs, no accepta controladors de domini
Windows NT. Heu de tenir en compte que aquest mode d’utilitzar Kerberos
v5 per fer les autenticacions i l’emulador de PDC no pot sincronitzar dades
amb cap BDC del Windows NT.
Kerberos
El protocol de xarxa Kerberos
està pensat per oferir seguretat, i • Mode Windows Server 2003: Els dominis que treballin amb aquest mode
permet identificar mútuament de
manera segura dues màquines podran utilitzar les funcions noves de l’Active Directory. No accepta, però,
que es troben dins d’una xarxa
insegura. controladors de domini Windows NT o Windows 2000.
• Mode Windows Server 2008: Aquest mode només accepta controladors

de domini Windows Server 2008. El gran avantatge d’utilitzar el mode
Windows Server 2008 és que es pot esprémer tota l’operabilitat de l’Active
Directory.
4.10.2 Funcionalitat de dominis i boscos
És interessant treballar com a mínim amb el nivell funcional del Windows Server
2003, ja que d’aquesta manera s’utilitzen les millores que s’inclouen en l’Active
Directory. Les capacitats extres que té un administrador que treballa amb el nivell
funcional del Windows Server 2003 o superior es poden resumir en cinc punts:
1. Canviar el nom dels controladors de domini sense haver de baixar-los de

categoria abans.
2. Canviar els noms dels dominis que funcionin amb controladors de domini
3. Fer relacions bidireccionals extenses de confiança entre dos boscos.
4. Reestructurar dominis dins d’una jerarquia canviant els noms i els nivells.
5. Aprofitar les millores de replicació per a membres individuals d’un grup i

catàlegs globals.
Tot i que el sistema ofereix la possibilitat d’actualitzar dominis i boscos, haureu de

tenir en compte el moment en què decidiu fer aquesta operació, ja que pot generar
una gran quantitat de trànsit i redueix la resposta dels servidors.
Si necessiteu elevar el nivell de funcionalitat d’un domini haureu de seguir els

passos següents:
1. Cliqueu a Inicio > Herramientas administrativas > Dominios y confianzas

dins de l’Active Directory.
2. Seleccioneu amb el botó dret el domini que voleu canviar i cliqueu a Elevar
el nivel funcional del dominio.
3. Seleccioneu el nivell que voleu que adquireixi el domini i cliqueu a Elevar.
4.11 Estructura de directori
És bàsic entendre el funcionament i la missió de l’estructura de directori en què

es basa el Microsoft Windows Server 2008. Per tant, és imprescindible conèixer
L’Active Directory és una estructura formada per molts components i basada

en moltes tecnologies. L’Active Directory, mitjançant magatzems de dades
i catàlegs globals, posa a disposició dels usuaris i dels equips les dades del
directori.
Per poder accedir i distribuir les dades de l’Active Directory, cal utilitzar protocols
d’accés i replicació de directori. Mitjançant aquests protocols els clients es poden
comunicar entre ells. La replicació garanteix que les actualitzacions de les dades
arribin a tots els controladors de domini.
4.11.1 Magatzem de dades
El servei de directori de l’Active Directory utilitza un magatzem de dades per a tota

la informació de directori. Aquest magatzem de dades se sol anomenar directori.
El directori o magatzem de dades conté informació sobre objectes, com

ara usuaris, grups, equips, dominis, unitats organitzatives i directrius de
seguretat. Aquesta informació es pot publicar perquè altres usuaris i
administradors en facin ús.
Els controladors de domini emmagatzemen el directori i les aplicacions de xarxa o

els serveis hi poden accedir. Ateses les diferents configuracions que podeu trobar,
és necessari que un domini pugui tenir un o més controladors de domini. L’Active
Directory ho permet.
L’Active Directory millora la seguretat, perquè fa que cada controlador de domini

disposi d’una còpia del directori en tot el domini en què s’ubica. Els canvis
efectuats en el directori en un controlador de domini es repliquen a la resta dels
controladors en el domini, l’arbre de dominis o el bosc. D’aquesta manera, la
informació emmagatzemada tindrà un grau d’accessibilitat alt.
Les particions de directori contenen dades de domini, configuració, esquema i apli-

cació. Aquest disseny d’emmagatzematge i replicació proporciona la informació
de directori als usuaris i als administradors de tot el domini.
Les dades del directori es guarden en el fitxer Ntds.dit del controlador de domini.
És recomanable emmagatzemar aquest fitxer en una partició NTFS.
Les dades de directori replicades entre controladors de domini inclouen la infor-

mació següent:
• Dades del domini: Contenen informació sobre els objectes d’un domini.
Aquí obtindreu informació com contactes de correu electrònic, atributs de
comptes d’usuaris i equips.
• Dades de configuració: Descriuen la tipologia del directori. Inclouen

una llista de tots els dominis, arbres i boscos, i de les ubicacions dels
controladors de domini i els catàlegs globals.
• Dades d’esquema: Hi trobareu la descripció de tots els objectes i tipus que

es poden emmagatzemar en el directori.
• Dades d’aplicació: Les dades emmagatzemades en la partició de di-

rectori d’aplicacions són d’utilitat quan cal replicar la informació, però
no forçosament a escala global. Per defecte, les particions de directori
L’esquema...
... és la definició formal de totes
d’aplicacions no formen part del magatzem de dades del directori. És tasca
les dades d’objectes i atributs
que es poden emmagatzemar en
de l’administrador crear, configurar i administrar.
el directori.
4.11.2 Catàlegs globals
En el catàleg global s’emmagatzema una còpia completa de tots els objectes del
directori per al seu domini d’usuari (host) i una còpia parcial de tots els objectes
dels altres dominis del bosc.
Un catàleg global és un controlador de domini que emmagatzema una còpia

de tots els objectes de l’Active Directory d’un bosc.
L’emmagatzematge dels atributs més buscats de tots els objectes de domini en el

catàleg global ofereix als usuaris cerques més efectives sense afectar el rendiment
de la xarxa amb referències innecessàries a controladors de domini.
Es poden afegir o treure del catàleg global, de manera manual, altres atributs
d’objectes mitjançant el complement Esquema de l’Active Directory. A vegades
pot ser necessari personalitzar el catàleg global per incloure-hi atributs addicio-
nals. No obstant això, haureu d’estudiar les opcions disponibles, ja que els canvis
en els atributs poden afectar negativament el trànsit de la xarxa. Per defecte, el
catàleg global conté els atributs més comuns de cada objecte del bosc i també les
aplicacions i els usuaris que pot consultar.
Es crea automàticament un catàleg global en el controlador de domini inicial del

bosc. Es pot afegir funcionalitat del catàleg global a altres controladors de domini
o canviar la seva omissió a un altre controlador de domini. Per activar o desactivar
un catàleg global heu de seguir els passos següents:
1. Obriu Sitios y servicios de l’Active Directory.
2. Cliqueu al controlador de domini del qual voleu activar o desactivar el

catàleg global.
3. Feu clic amb el botó dret a Configuración NTDS del tauler de detalls i, tot
seguit, cliqueu a Propiedades.
4. Activeu la casella de verificació Catálogo global per habilitar el catàleg

global o bé desactiveu-la per deshabilitar-lo.
El catàleg global fa funcions de directori:
• Cerca objectes: El catàleg global permet a l’usuari fer cerques d’infor-

mació del directori en tots els dominis d’un bosc, independentment de la
ubicació de les dades.
• Proporciona l’autenticació de nom principal d’usuari: Resol els noms

principals d’usuaris (UPN) quan el controlador de domini d’autenticació no
té coneixement del compte.
• Proporciona informació de pertinença al grup universal en un entorn

de dominis múltiples: La pertinença al grup universal només s’emmagat-
zema en un catàleg global.
• Valida les referències a objectes dins d’un bosc: Els controladors de

domini utilitzen el catàleg global per validar les referències a objectes
d’altres dominis del bosc. Si un controlador de domini inclou un objecte
de directori amb un atribut que conté una referència a un objecte d’un altre
domini, aquesta referència es validarà mitjançant un catàleg global.
4.11.3 Cau d’informació universal
Els catàlegs globals són molt útils i és recomanable fer-los servir. A vegades, però,
a causa de les limitacions de l’amplada de banda de les xarxes, no resulta pràctic
disposar de catàlegs globals en cada grup d’equips dins de grans organitzacions.
Llavors el sistema esdevé vulnerable. Si, per exemple, la xarxa informàtica caigués
i no es disposés de catàleg global, els usuaris no podrien ni iniciar la sessió.
Una manera molt eficient de resoldre aquesta problemàtica és emmagatzemar la
informació universal que pertanyi als grups en una memòria cau.
La memòria cau d’informació universal s’encarrega de guardar tota la

informació universal de pertinença a grups.
La utilització d’aquesta memòria cau comporta els avantatges següents:
• Temps més curts d’inici de sessió, ja que l’autenticació dels controladors

de domini ja no necessita tenir accés a un catàleg global per obtenir la
informació de pertinença al grup global.
• No cal actualitzar el maquinari dels controladors de domini que hi ha

per satisfer els requisits de sistema addicionals necessaris per contenir un
catàleg global.
• Reducció de l’amplada de banda de xarxa necessària, perquè el controlador

de domini ja no ha de controlar la replicació de tots els objectes que hi ha
en el bosc.
4.11.4 LDAP
L’Active Directory necessita un sistema que permeti la comunicació entre els

diferents equips de la xarxa.
Els clients Active Directory fan servir el protocol LDAP per comunicar-se
amb equips Active Directory en començar una sessió de xarxa o per buscar
recursos compartits.
El protocol LDAP...
La seguretat del servidor de directori es pot millor significativament mitjançant ...es pot utilitzar per administrar
l’Active Directory. L’LDAP
l’LDAP. El Microsoft Windows Server 2008 permet configurar el directori per (lightweight directory access
protocol) permet accedir de
demanar la signatura d’un servidor LDAP. Mitjançant mmc seria el següent: manera remota a una base de
dades amb informació referent a
la xarxa.
• Ús de la directriu de grup:
1. Aneu a Inicio i cliqueu a Ejecutar, escriviu mmc.exe i valideu amb

Aceptar.
2. En el menú Archivo cliqueu a Agregar o quitar complemento.
3. En el quadre de diàleg Agregar o quitar complementos cliqueu a Editor
de administración de directivas de grupo i valideu amb Aceptar.
4. En el quadre de diàleg Seleccionar un objeto de directiva de grupo
cliqueu a Examinar.
5. En el quadre de diàleg Buscar un objeto de directiva de grupo cliqueu
a Default Domain Policy en l’àrea dominios, unidades organizativas y
objetos de directiva de grupo vinculados i valideu amb Aceptar.
6. Cliqueu a Finalizar.
7. Premeu Aceptar.
8. Obriu Directiva predeterminada de controladores de dominio. A
continuació, obriu Configuración del equipo, expandiu Directivas
de, expandiu Configuración de Windows, expandiu Configuración
de seguridad, expandiu Directivas locales i expandiu Opciones de
seguridad.
9. Cliqueu amb el botó dret del ratolí a Controlador de dominio: requisi-
tos de firma de servidor LDAP i, a continuació, cliqueu a Propiedades.
10. En el quadre de diàleg Controlador de dominio: requisitos propieda-
des de firma de servidor LDAP, habiliteu Definir esta configuración
de directiva, cliqueu a Requiere firma en la Definición de esta configu-
ración de directiva i, a continuació, cliqueu a Aceptar.
11. Feu clic a Sí en el quadre de diàleg Confirmar cambio de configuraci-
ón.
• Mitjançant directriu de grup (opció del requisit de signatura d’LDAP

de client):
1. Cliqueu a Inicio, cliqueu a Ejecutar, escriviu mmc.exe i, a continuació,

feu clic a Aceptar.
2. En el menú Archivo, feu clic a Agregar o quitar complemento.
3. En el quadre de diàleg Agregar o quitar complementos, cliqueu a
Editor de objetos de directiva de grupo i, a continuació, cliqueu a
Agregar.
4. Feu clic a Finalizar.
5. Premeu Aceptar.
6. Expandiu Directiva de equipo local, expandiu Configuración del
equipo, expandiu Directivas de, expandiu Configuración de Windows,
expandiu Configuración de seguridad, expandiu Directivas locales i,
a continuació, obriu Opciones de seguridad.
7. Cliqueu amb el botó dret del ratolí a Seguridad de red: requisitos de
firma de cliente LDAP i, a continuació, cliqueu a Propiedades.
8. En el quadre de diàleg Controlador de dominio: requisitos propieda-
des de firma de servidor LDAP, habiliteu Definir esta configuración
de directiva. Cliqueu a Requiere firma en la Definición de esta
configuración de directiva i, a continuació, cliqueu a Aceptar.
9. Feu clic a Sí en el quadre de diàleg Confirmar cambio de configuraci-
ón.
4.11.5 Mestre d’operacions
L’Active Directory admet la replicació de diversos mestres del magatzem de dades

de directori entre tots els controladors del domini, de manera que tots es troben,
bàsicament, en el mateix nivell. No obstant això, hi ha canvis que no es poden fer
mitjançant la replicació de diversos mestres.
El mestre d’operacions és un controlador de domini que accepta sol·licituds

per fer canvis mitjançant la replicació de diversos mestres.
Les funcions del mestre d’operacions es poden dividir en dos grups:
• Funcions de mestre d’operacions en tot el bosc.
– Mestre d’esquema: controla totes les actualitzacions i els canvis que

tenen lloc en l’esquema. Per poder actualitzar l’esquema d’un bosc,
ha de tenir accés al mestre d’esquema. Només hi pot haver un mestre
d’esquema en tot el bosc. Per determinar quin servidor és l’actual
mestre d’esquema del domini, heu d’escriure dsquery server -hasfsmo
schema en el símbol del sistema.
– Mestre de noms de domini: controla l’addició o l’eliminació dels
dominis del bosc. Només hi pot haver un mestre de noms de domini
en tot el bosc. Per determinar quin servidor és l’actual mestre de noms
de domini, heu d’escriure dsquery server -hasfsmo name en el símbol
del sistema.
• Funcions de mestre d’operacions en tot el domini.
– Mestre de RID: assigna seqüències d’identificadors d’usuari relatius

(RID) a cadascun dels diferents controladors del domini. En tot
moment només hi pot haver un controlador de domini que actuï com a
mestre de RID en cada domini del bosc. Per determinar quin servidor
és l’actual mestre RID del domini, escriviu dsquery server -hasfsmo
rid en el símbol de sistema.
– Mestre emulador de PDC: si el domini conté equips que operen

sense el programari de client del Windows 2000 o el Windows XP
Professional o bé si conté controladors de domini de reserva (BDC)
del Windows NT, el mestre emulador de PDC actua com a controlador
principal de domini del Windows NT. S’encarrega de processar els
canvis de contrasenya dels clients i replica les actualitzacions en els
BDC. En tot moment només hi pot haver un controlador de domini
que actuï com a mestre emulador de PDC en cada domini del bosc.
Per determinar quin servidor és l’actual mestre d’emulador del domini,
escriviu dsquery server -hasfsmo pdc en el símbol de sistema.
– Mestre d’infraestructures: en tot moment només hi pot haver un con-

trolador de domini que actuï com a mestre d’infraestructures en cada
domini. El mestre d’infraestructures és el responsable d’actualitzar
les referències dels objectes del seu domini en els objectes dels altres
dominis. El mestre d’infraestructures compara les seves dades amb
les del catàleg global. Els catàlegs globals reben actualitzacions
periòdiques dels objectes de tots els dominis mitjançant la replicació,
de manera que les dades dels catàlegs globals sempre estan actualit-
zades. Si el mestre d’infraestructures troba dades sense actualitzar,
demana les dades actualitzades a un catàleg global. Després, el
mestre d’infraestructures replica les dades actualitzades en els altres
controladors del domini. Per determinar quin servidor és l’actual
mestre d’infraestructura del domini, escriviu dsquery server -hasfsmo
infr en el símbol de sistema.
4.12 Comptes d’usuari i de grup
Una de les tasques més importants que desenvolupa un sistema operatiu servidor
és l’administració de comptes d’usuari i de grup.
Els comptes d’usuari permeten que els usuaris individuals iniciïn una sessió
a la xarxa i puguin accedir als recursos compartits que hi ha.
Sense comptes d’usuari no podríeu personalitzar els perfils dels usuaris ni contro-
lar l’accés d’aquests usuaris a continguts i recursos. Gestionar molts usuaris, però,
esdevé un problema de fàcil solució.
Els comptes de grup s’utilitzen per gestionar els recursos de diversos usuaris
alhora.
Els permisos i els privilegis que els comptes d’usuari i de grup tenen assignats
determinen quines accions poden executar i a quins recursos poden accedir.
El sistema Microsoft Windows Server 2008 controla l’accés als recursos mitjan-
çant els components del model de seguretat.
La figura 4.1 mostra els permisos de què disposa un grup d’usuaris determinat.
Fig ur a 4 . 1 . La gestió de grups és una tasca molt important
4.12.1 Protocols d’autenticació
El sistema operatiu necessita un protocol que s’encarregui de gestionar els pro-

cessos d’autenticació. L’autenticació en el Microsoft Windows Server 2008 es
divideix en dues parts: l’inici de sessió interactiu i l’autenticació en xarxa.
Des que va aparèixer el Microsoft Windows 2000 Active Directory, el

protocol predeterminat d’autenticació és el Kerberos v5.
Per mantenir compatibilitat amb els sistemes anteriors es manté el protocol

NTLM.
El sistema operatiu Microsoft Windows Server 2008 té la característica de tenir

un inici de sessió únic:
1. L’usuari inicia la sessió en un domini mitjançant un nom i una contrasenya.

2. El procés interactiu d’inici de sessió comprova les dades. Si el compte

utilitzat és local i les dades són correctes, s’accedeix a l’equip local. Si
el compte és de domini, es comproven les dades a l’Active Directory. En
el cas que siguin correctes, l’usuari accedeix a la xarxa i als recursos que
conté.
3. A partir d’aquest instant l’usuari pot autenticar-se en qualsevol equip de

domini.
4.12.2 Comptes d’usuari
Hi ha dos tipus de comptes d’usuari en el sistema Microsoft Windows Server 2008:
• Comptes d’usuari de domini: estan definits en l’Active Directory i poden

accedir als recursos del domini mitjançant l’inici de sessió únic. Per
crear aquests comptes, haureu d’utilitzar Usuarios y equipos de l’Active
Directory.
• Comptes d’usuari local: estan definits en un equip local i hi tenen accés.

És necessari que aquests comptes s’autentiquin abans d’accedir a recursos
de xarxa. Per crear aquests comptes haureu d’utilitzar Usuarios y grupos
locales.
Identificació de comptes
En el Microsoft Windows Server 2008, els comptes d’usuari tenen dues parts:
• Nom d’usuari: és una etiqueta de text que identifica el compte. Els noms
locals han de ser únics per a cada equip individual, haurien de ser únics en
tot un domini, no poden excedir els 64 caràcters de longitud i poden contenir
caràcters alfanumèrics i especials.
• Domini o grup de treball d’usuari: és el domini o el grup de treball al

qual pertany el compte d’usuari. Assignació de noms
Els noms d’inici de sessió no
poden excedir els 256 caràcters
de longitud. No són vàlids els
Estratègies per assignar noms caràcters següents: ”, /, \, [,
], ;, |, =, +, *, ?, <, >
Per assignar noms hi ha diverses estratègies:
• Nom i primera lletra dels cognoms de l’usuari.
• Primera lletra del nom i cognoms de l’usuari.
• Primera lletra del nom, inicials i cognoms de l’usuari.
• Nom i cognoms de l’usuari.

Identificadors de seguretat
Els comptes d’usuari tenen una sèrie d’atributs, alguns dels quals són molt
importants.
Els SID (security identifiers, identificadors de seguretat) són uns

identificadors únics que es generen automàticament durant la creació dels
comptes.
Quan es crea un compte d’usuari nou es genera un SID que no es modificarà encara
que canviï el nom d’usuari lligat al compte. Així, es pot estudiar el recorregut dels
comptes d’usuari amb independència del nom d’usuari emprat.
4.12.3 Comptes de grup
L’administració d’un sistema que contingui un gran nombre de comptes d’usuari

genera un gran volum de treball si no es disposa d’algun mecanisme que en
simplifiqui la tasca. Per això hi ha els comptes de grup.
Un compte de grup està format per una sèrie de comptes d’usuari amb
característiques molt semblants. Un dels avantatges de poder fer servir
comptes de grup és la simplificació que comporta el fet d’utilitzar-los en
l’administració de comptes.
Atès que és molt usual que el nom del compte de grup es repeteixi dins d’organis-
mes grans, l’Active Directory utilitza el format domini\nomdelgrup, que li permet
diferenciar grups amb el mateix nom que pertanyen a diferents dominis.
Tipus de grups
En el sistema operatiu Microsoft Windows Server 2008 hi ha tres tipus de grups

diferents:
• Grups locals: estan definits en un equip local i només es poden utilitzar

en aquest equip. Per poder-los crear haureu de fer servir Usuarios y grupos
locales.
• Grups de seguretat: són grups que poden tenir descriptors de seguretat

associats. Per definir-los haureu d’utilitzar Usuarios y equipos de l’Active
Directory.
• Grups de distribució: s’utilitzen com a llistes de distribució de correu

electrònic. Heu de tenir en compte que aquests tipus de grups no poden
tenir cap descriptor de seguretat associat. Els haureu de definir mitjançant
Usuarios y equipos de l’Active Directory.
Com es mostra en la figura 4.2, el sistema operatiu Microsoft Windows Server

2008 simplifica molt la tasca de lligar diferents objectes a usuaris o grups.
Figur a 4. 2. La selecció dels objectes és una tasca fàcil amb aquest entorn.
Àmbit de grup
Podeu utilitzar els grups en diferents àrees, segons convingui. Hi ha quatre àmbits:
• Grups locals de domini: aquests grups s’utilitzen per assignar permisos

d’accés a recursos, però només dins d’un únic domini. Per exemple, faríeu
servir aquests grups per administrar una carpeta compartida.
• Grups locals integrats: aquests grups tenen un àmbit especial de grup amb
permisos d’àmbit local de domini. No es poden crear ni eliminar, només
modificar.
• Grups globals: s’utilitzen per definir conjunts d’usuaris o equips del mateix
domini amb característiques molt semblants. Un exemple d’ús de grup
global seria utilitzar-lo per donar permís d’accés a un recurs, ja que només
caldria fer membre del grup local de domini al grup global.
• Grups universals: són grups que s’utilitzen per definir conjunts d’usuaris
o equips que haurien de tenir permisos aplicables a tot un domini o bosc.
4.12.4 Comptes predeterminats d’usuari i de grup
La instal·lació del Microsoft Windows Server 2008 instal·la usuaris i grups prede-
terminats. Mitjançant aquests comptes predeterminats el sistema pot construir la
xarxa.
Els tipus de comptes predeterminats són els següents:
• Integrat: comptes d’usuari i grup instal·lats en el sistema operatiu, en les

aplicacions i en els serveis.
• Predefinit: comptes d’usuari i de grup instal·lats en el sistema operatiu.
• Implícit: grups creats implícitament en accedir a recursos de xarxa.
Comptes d’usuari integrats
En el sistema operatiu Microsoft Windows Server 2008, els comptes d’usuari

integrats tenen una sèrie de capacitats especials:
• LocalSystem: l’ús rau en l’execució de processos i la gestió de tasques de

sistema. Si configureu aplicacions o serveis perquè utilitzin aquest compte,
els processos tindran accés complet al servidor.
• LocalService: aquest compte té privilegis limitats. Només permet accedir

al sistema local. És recomanable utilitzar-lo en aplicacions i serveis que no
necessitin accedir a altres servidors.
• NetworkService: aquest compte s’utilitza per executar serveis que necessi-

ten privilegis addicionals i drets d’inici de sessió en un sistema local i en la
xarxa.
Comptes d’usuari predefinits
Amb la instal·lació del Microsoft Windows Server 2008 s’instal·len els comptes
següents:
• Administrador: proporciona accés complet a arxius, carpetes, serveis i

altres recursos. Aquest compte té privilegis i accés a escala de domini en
• Convidat: aquest compte té privilegis de sistema limitats. És membre

d’Invitados de dominio i Invitados. Té accés a una sèrie d’arxius i carpetes
de manera predeterminada.
4.12.5 Capacitats dels comptes
Un compte pot tenir diverses capacitats. Les assigna el sistema operatiu. El

Microsoft Windows Server 2008 pot assignar les capacitats següents:
• Privilegis: permeten als usuaris fer determinades tasques.
• Drets d’inici de sessió: permet als usuaris iniciar una sessió.
• Capacitats integrades: estan predefinides i no es poden modificar. S’as-

signen als administradors i als operadors de compte. Per exemple, permeten
crear, eliminar i administrar comptes d’usuari.
• Permisos d’accés: defineixen les operacions que es poden fer en els

recursos de xarxa.
4.12.6 Ús d’usuaris i grups locals
Per crear un compte d’usuari local cal seguir aquestes indicacions:
1. Obriu Administración de equipos.
2. Cliqueu a Herramientas del sistema.
3. Cliqueu a Usuarios y grupos locales.
4. Cliqueu a Usuarios.
5. Dins el menú Acción premeu Usuario nuevo.
6. Empleneu el quadre de diàleg amb la informació necessària.
7. Activeu els quadres en funció de la configuració que voleu fer.
8. Tanqueu les finestres amb Crear.
Per restablir la contrasenya d’un usuari local cal fer el següent:
5. Cliqueu amb el botó dret al damunt del compte d’usuari que necessiteu i
premeu Establecer contraseña.
6. Premeu Continuar.
7. Empleneu els camps Contraseña nueva i Confirmar contraseña nueva amb

la contrasenya nova.
Normes a seguir en l’establiment de la contrasenya:
• S’ha d’exigir l’historial de contrasenyes per tal de no deixar utilitzar sempre el mateix grup de
contrasenyes.
• La vigència màxima de la contrasenya no pot excedir els trenta dies.
• La vigència mínima de la contrasenya ha d’oscil·lar entre els tres i els set dies.
• La contrasenya ha de tenir com a mínim vuit caràcters, o catorze com a mínim si necessiteu
més seguretat.
• La contrasenya no ha de contenir el nom de l’usuari.
• La contrasenya ha de contenir minúscules, majúscules, números i símbols.
Per deshabilitar o activar un compte d’usuari local heu de seguir els passos
següents:
premeu Propiedades.
6. Aquí podeu activar o deshabilitar el compte.
Per eliminar un compte d’usuari local heu de seguir aquestes indicacions:
premeu Eliminar.
Eviteu problemes amb els
comptes
Abans d’eliminar un compte Per canviar el nom d’un compte d’usuari local cal que feu el següent:
d’usuari és recomanable
deshabilitar-lo. No es poden
recuperar comptes d’usuari
eliminats. Tampoc no es poden 1. Obriu Administración de equipos.
eliminar els comptes
Administrador i Convidat.
premeu Cambiar nombre.
6. Escriviu el nou nom i feu clic a Enter.
Per assignar una carpeta principal a un compte d’usuari local heu de fer el següent:

cliqueu a Propiedades.
6. Accediu a la fitxa Perfil.
7. Especifiqueu la ruta de la carpeta a Ruta de acceso local.
8. Si la carpeta és en un recurs compartit, indiqueu l’adreça a Conectar.
Per crear un grup local cal que seguiu aquestes indicacions:
4. Cliqueu a Grupos.
5. Dins el menú Acción cliqueu a Grupo nuevo.
6. Escriviu el nom del grup nou a Nombre de grupo.
7. Escriviu una descripció del grup a Descripción.
8. Agregueu els usuaris al grup mitjançant Agregar.
9. Apareix el quadre de diàleg Seleccionar usuarios, equipos o grupos.
10. Per agregar al grup un compte d’usuari indiqueu-lo a Escriba los nombres
de objeto que desea seleccionar i premeu Aceptar.
11. Si voleu agregar un compte d’equip al grup cliqueu a Tipos de objetos,

activeu Equipos, premeu Aceptar i feu el pas anterior.
Per identificar els membres d’un grup local heu de seguir aquests passos:
5. Cliqueu amb el botó dret al damunt del grup que necessiteu i cliqueu a Eliminació de grups
Els grups eliminats no es poden
Propiedades. recuperar. Quan s’elimina només
el grup no s’eliminen els
comptes d’usuari, els comptes
d’equip ni els comptes de grup
Per eliminar un grup local heu de fer el següent: que eren membres del grup. Si
s’elimina un grup i se’n crea un
de nou amb el mateix nom,
aquest grup nou no hereta els
1. Obriu Administración de equipos. permisos del grup anterior.
5. Cliqueu amb el botó dret al damunt del grup que necessiteu i premeu
Eliminar.
Instal·lació i configuració de
sistemes operatius lliures
Juan José López Zamorano

Sistemes operatius en xarxa Instal·lació i configuració de sistemes operatius lliures
Índex
Introducció 5
1 Sistemes operatius lliures. Instal·lació de sistemes GNU/Linux 9

1.1 Orígens del programari lliure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 GNU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3 GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.4 Distribucions GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.5 Documentació i recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.6 Instal·lació de sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.6.1 Consideracions prèvies per a la instal·lació de sistemes GNU/Linux . . . . . . . . . . 15
1.6.2 Gestió de les particions de disc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.6.3 Tipus d’instal·lacions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.6.4 Instal·lació Ubuntu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2 Configuració i monitoratge en sistemes GNU/Linux 45

2.1 Ordres i fitxers bàsics de configuració GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . 45
2.1.1 L’intèrpret d’ordres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.1.2 Sintaxi de les ordres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2.1.3 Fitxers de configuració més utilitzats en el GNU/Linux . . . . . . . . . . . . . . . . . 47
2.2 Gestió de paquets en el GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.2.1 Gestió de paquets DEB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
2.2.2 Gestió de paquets RPM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
2.3 Actualització del sistema operatiu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2.3.1 Actualització de l’Ubuntu Desktop Edition . . . . . . . . . . . . . . . . . . . . . . . 60
2.3.2 Actualització de l’Ubuntu Server Edition . . . . . . . . . . . . . . . . . . . . . . . . 61
2.4 Interpretació dels processos d’arrencada i aturada als sistemes GNU/Linux . . . . . . . . . . 62
2.4.1 Procés d’arrencada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
2.4.2 Gestors d’arrencada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2.4.3 El procés init . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
2.4.4 Systemd a les noves distribucions . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
2.4.5 Procés d’aturada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2.5 Configuració dels paràmetres de xarxa als sistemes GNU/Linux . . . . . . . . . . . . . . . . 69
2.5.1 Detecció i configuració del maquinari de xarxa . . . . . . . . . . . . . . . . . . . . . 69
2.5.2 Assignació de paràmetres de xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
2.5.3 Eines de xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2.6 Automatització de tasques als sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . 77
2.7 Connexió remota als sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
2.8 Monitoratge i manteniment de sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . 81
2.8.1 Monitoratge de la CPU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
2.8.2 Monitoratge de la memòria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
2.8.3 Monitoratge de l’emmagatzematge . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Sistemes operatius en xarxa Instal·lació i configuració de sistemes operatius lliures
2.8.4 Monitoratge de la xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

2.8.5 Eines i ordres de monitoratge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
2.9 Documentació del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
3 Serveis de directori 97
3.1 Què és un directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
3.2 Que és un servei de directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.2.1 Què no és un servei de directori? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
3.2.2 Utilitats d’un servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
3.2.3 Arquitectura del servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.2.4 Serveis de directori distribuïts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
3.2.5 Seguretat del servei de directori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
3.3 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
3.3.1 Ús de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
3.3.2 Orígens de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
3.3.3 Funcionament de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3.3.4 Avantatges en l’ús de l’LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
3.3.5 Estructura del directori LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
3.3.6 El format d’intercanvi de dades LDIF . . . . . . . . . . . . . . . . . . . . . . . . . . 112
3.3.7 Operacions de l’LDAP en el directori . . . . . . . . . . . . . . . . . . . . . . . . . . 112
3.4 Instal·lació i configuració d’un servei de directori als sistemes GNU/Linux . . . . . . . . . . . 115
3.4.1 Introducció a l’OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.2 Instal·lació OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
3.4.3 Instal·lació del servidor OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.4.4 Configuració del servidor OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . 119
3.4.5 Gestió del servei OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
4 Autenticació d’usuaris en xarxes GNU/Linux 135

4.1 Què és un domini? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
4.2 Autenticació en els sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
4.2.1 Mecanisme general d’autenticació . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
4.2.2 Gestió d’usuaris en els sistemes GNU/Linux . . . . . . . . . . . . . . . . . . . . . . 138
4.2.3 L’arxiu /etc/passwd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
4.2.4 L’arxiu /etc/group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
4.2.5 L’arxiu /etc/shadow . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
4.2.6 Eines de gestió d’usuaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
4.2.7 Perfils d’usuari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
4.2.8 Altres mecanismes d’autenticació en els sistemes GNU/Linux . . . . . . . . . . . . . 147
4.3 Configuració LDAP al client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
4.3.1 Instal·lació i configuració del client . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
4.3.2 Configuració del PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Sistemes operatius en xarxa 5 Instal·lació i configuració de sistemes operatius lliures
Introducció
Els sistemes operatius constitueixen una part fonamental de qualsevol sistema

informàtic. S’encarreguen de comunicar els usuaris amb el maquinari del sistema
i així permeten aprofitar tota la potència i tots els avantatges que proporcionen els
ordinadors.
Els sistemes operatius lliures i tot el programari de codi obert ofereixen una alter-
nativa de negoci dins el mercat informàtic que cada vegada està més consolidada.
Els sistemes operatius lliures es caracteritzen per ser robustos, fiables, adaptables
i potents, propietats que fan que moltes vegades superin els sistemes operatius de
propietat. Aquest també és el motiu pel qual els sistemes lliures cada vegada són
més presents en les organitzacions i les institucions, en què implementen una gran
varietat d’escenaris i solucions juntament amb altres tipus de sistemes o no.
Al llarg de la unitat “Instal·lació i configuració de sistemes operatius lliures”

introduirem l’alumnat en l’ús i la filosofia dels sistemes operatius lliures perquè
pugui assolir els coneixements necessaris sobre el temes que es tracten des
d’aquest punt de vista. D’aquesta manera, podrà conèixer millor el funcionament
dels sistemes operatius lliures i les propietats que tenen. Això li proporcionarà la
capacitat per escollir, com a tècnic, dins l’ampli ventall de possibilitats que ofereix
el mercat del sistemes operatius.
En l’apartat “Sistemes operatius lliures. Instal·lació de sistemes GNU/Linux” es

fa un repàs de la història dels sistemes operatius lliures i del programari lliure.
S’expliquen la filosofia i les característiques que el determinen i es fa referència a
les distribucions de sistemes operatius lliures més utilitzades en l’actualitat. Per
altra banda, també s’ensenya el procés d’instal·lació d’un sistema operatiu lliure
en la versió servidor, i els passos que s’han de seguir o tenir en compte abans de
la instal·lació del sistema operatiu en un equip que estigui connectat en xarxa amb
altres màquines.
En l’apartat “Configuració i monitoratge en sistemes GNU/Linux” s’expliquen

ordres, fitxers i aplicacions útils per fer la configuració, l’actualització i el
monitoratge d’un sistema operatiu lliure una vegada instal·lat. També es mostra
amb detall el procés d’arrencada i aturada del sistema i la configuració dels
paràmetres de xarxa de l’equip. A més, s’explica el procés d’automatització de
tasques i es tracten els conceptes i la importància del monitoratge i el manteniment
dels sistemes operatius en xarxa. Finalment, es repassa el procés de documentació
que es porta a terme durant el monitoratge i el manteniment del sistema.
En l’apartat “Serveis de directori” es defineixen els conceptes de servei de

directori. A més, es fa una comparativa entre un servei de directori i altres
serveis que poden semblar similars i que es fan servir en l’àmbit dels sistemes
operatius connectats en xarxa, com serveis web, SGBD, sistemes de fitxers, etc.
Una vegada introduïts els conceptes, s’expliquen els orígens, les característiques,
l’arquitectura i el funcionament d’un dels protocols de servei de directori més

utilitzat, l’LDAP. Per tal d’introduir totalment l’alumnat en la utilització dels
conceptes i els protocols exposats anteriorment, s’explica el procés d’instal·lació,
configuració i utilització d’una de les implementacions de codi obert del protocol
LDAP més utilitzades, l’OpenLDAP. Finalment, es mostra l’ús d’eines gràfiques
per a la implementació d’un directori sobre l’OpenLDAP.
En l’apartat “Autenticació d’usuaris en xarxes GNU/Linux” es mostra el concepte

de domini entès des del punt de vista dels sistemes operatius lliures. A continuació,
es repassa el procés de gestió d’usuaris i grups, i també les ordres i els fitxers que
hi estan relacionats. Després es descriuen els diversos mecanismes d’autenticació
d’usuaris i grups en els sistemes lliures. Finalment, es mostra el procés d’imple-
mentació d’un sistema d’autenticació en xarxa de màquines GNU/Linux per mitjà
d’un servei de directori.
Per treballar els continguts d’aquesta unitat, és convenient anar fent les activitats
i els exercicis d’autoavaluació. És possible que l’alumnat ja conegui alguns dels
conceptes, ordres o eines que apareixen en la unitat formativa. Es tracta, però, de
contextualitzar al màxim possible l’ús d’aquests conceptes amb els temes tractats.
En finalitzar aquesta unitat l’alumne/a:
1. Instal·la i monitoritza sistemes operatius en xarxa lliures, descrivint ca-

racterístiques, eines utilitzades. Realitza tasques de gestió sobre dominis
utilitzant eines d’administració de dominis i interpretant la documentació
tècnica.
• Realitza l’estudi de compatibilitat del sistema informàtic. Planifica

el particionament del disc. Selecciona i aplica els sistemes d’arxius
i components a instal·lar. Instal·la i actualitza el sistema .Comprova
el correcte funcionament i la connectivitat dels sistemes operatius i
programari instal·lats.
• Diferencia els modes d’instal·lació. Automatització d’instal·lacions i
tasques.
• Interpreta la informació de configuració del sistema operatiu en xarxa i
realitza tasques de manteniment del programari instal·lat en el sistema
i de configuració de l’entorn.
• Instal·la, configura i descriu les característiques de programes de
monitorització. Identifica problemes de rendiment en el sistema a
partir de les traces generades pel propi sistema.
• Documenta adequadament els processos realitzats d’instal·lació i mo-
nitorització, les incidències aparegudes i les solucions aportades.
• Identifica la funció de servei de directori i domini, l’estructura, els
seus elements i nomenclatura. Realitza la instal·lació i configuració
bàsica del servei de directori i estableix relacions de confiança.
• Utilitza eines gràfiques d’administració de domini i consoles d’admi-
nistració.
• Utilitza agrupacions d’elements per a la creació de models adminis-
tratius. Crea, configura i gestiona comptes d’usuari, grups, equips i
diferents tipus de perfils.
• Especifica el propòsit dels grups, els seus tipus i àmbits i gestiona la
pertinença d’usuaris a grups. Identifica les característiques d’usuaris
i grups predeterminats i especials. Utilitza eines per a l’administració
d’usuaris i grups, incloses en el sistema operatiu en xarxa.
• Aplica directives a la gestió del domini. Identifica tipus de directives.
• Verifica la correcció de les tasques realitzades i documenta adequada-
ment les tasques de gestió i administració de dominis realitzades .
• Cerca i interpreta documentació tècnica en les llengües oficials i en
les de més ús al sector.
1. Sistemes operatius lliures. Instal·lació de sistemes GNU/Linux
La situació en els orígens dels sistemes operatius era totalment diferent de

l’actual. Inicialment les empreses d’informàtica no donaven cap valor als sistemes
operatius, actitud que va canviar quan es van adonar de la possibilitat de negoci
que hi havia en la comercialització dels sistemes.
Aquest canvi va impulsar l’aparició de projectes i moviments que promovien la

llibertat del programari, d’entre els més destacats es troba GNU/Linux. Sota
les premisses i els estàndards del projecte GNU/Linux existeixen moltíssimes
distribucions que proporcionen sistemes operatius robustos i de qualitat alternatius
als sistemes operatius de propietat. Els sistemes GNU/Linux estan basats en el
sistema operatiu Unix, però a diferència d’aquest, són sistemes lliures i oberts.
Abans de procedir a la instal·lació de qualsevol sistema operatiu de la família

GNU/Linux, heu de tenir en compte una sèrie de consideracions que determi-
naran, entre altres coses, la distribució que s’ha d’instal·lar, el tipus de sistema
operatiu, client o servidor, els mecanismes o les infraestructures emprats per a la
instal·lació, el tipus de sistema de fitxers utilitzats en el suport d’emmagatzematge
on instal·lem el sistema, etc.
Una vegada considerats tots els factors previs a la instal·lació, heu de seguir una
sèrie de passos per instal·lar un sistema operatiu Ubuntu Server Edition.
1.1 Orígens del programari lliure
A finals de la dècada dels anys seixanta i durant els inicis de la dels setanta, el
panorama en el món de la informàtica era totalment diferent a l’actual.
Les grans empreses informàtiques no donaven la importància que actualment es

dóna al programari. Els fabricants d’ordinadors mateixos incorporaven a les seves
màquines algun tipus de sistema operatiu i aplicacions sense donar-hi cap valor.
Les persones que feien ús de la informàtica en àmbits universitaris i empresarials
creaven i compartien el programari sense restriccions. Programari propietari
El terme programari propietari
A la dècada dels anys setanta els Bell Labs (AT&T) van desenvolupar les primeres fa referència a qualsevol
programa informàtic en què els
versions d’UNIX en aquest entorn. Les característiques principals de l’UNIX eren usuaris tenen limitades les
possibilitats d’usar-lo,
les següents: modificar-lo o redistribuir-lo
(amb modificacions o sense).
També es considera de propietat
si el codi font del programa no
• Sistema multitasca i multiusuari. està disponible o si és d’accés
restringit.
• Gran capacitat per a la gestió de xarxes.
• Compatibilitat amb maquinari de diferents fabricants.
• Robustesa i estabilitat.
Totes aquestes característiques van fer que l’UNIX obtingués una popularitat
extraordinària.
A la dècada dels anys vuitanta aquesta situació va canviar. Les màquines

utilitzaven majoritàriament programari propietari, cosa que impedia als usuaris
conèixer, modificar o redistribuir el codi dels programes.
En aquesta nova situació, a Richard Stallman, programador que aleshores treballa-

va al MIT (Massachussets Institute of Technology), no li va agradar gens veure que
cada vegada era més difícil aconseguir el codi font dels programes que utilitzava
per adaptar-los a les seves necessitats.
Així doncs, Stallman va decidir iniciar un gran projecte per intentar obrir una altra
vegada el codi font dels programes. Conscient que no podria aconseguir que les
companyies tornessin a obrir el codi dels programes, es va proposar crear un nou
sistema operatiu que no tingués les restriccions que tenien els sistemes que hi havia
en aquell moment. D’aquesta manera, va començar un projecte anomenat GNU.
1.2 GNU
GNU és un acrònim recursiu
que significa ‘GNU no és
UNIX’ (GNU’s not UNIX ).
GNU és un projecte iniciat a la dècada dels anys vuitanta per Richard Stallman
amb la finalitat de crear un sistema operatiu totalment lliure. La idea inicial va ser
crear una alternativa lliure al sistema operatiu UNIX, el qual és propietari. Així
doncs, GNU es va dissenyar per ser totalment compatible amb el sistema UNIX.
En el projecte GNU es descriu el concepte de programari lliure i la necessitat de

col·laboració entre programadors i desenvolupadors d’arreu del món.
Entenem que són de programari lliure els programes que ens permeten
El logotip de GNU és el cap d’un nyu. obtenir-ne el codi font i també estudiar-los, modificar-los i redistribuir-los
sense que ens obliguin a pagar per fer-ho.
FSF
La Free Software Foundation
(Fundació per al Programari
El projecte GNU compta amb el suport de la Free Software Foundation, que el
Lliure) és una organització dota de cobertura econòmica, legal i logística.
creada a l’octubre de 1985 per
Richard Stallman i altres
entusiastes del programari lliure
amb el propòsit de difondre
La filosofia que la Free Software Foundation té del programari es defineix a partir
aquest moviment. de les quatre llibertats següents:
• Llibertat de poder usar el programa amb qualsevol propòsit. No és possible

obligar a executar-lo només en un determinat nombre de màquines o sota
unes condicions específiques.
• Llibertat per estudiar com funciona el programa i adaptar-lo a les necessitats

pròpies. L’accés al codi font és una condició necessària per garantir aquesta
llibertat. Si fos d’una altra manera, s’hauria d’aplicar enginyeria inversa.
• Llibertat per distribuir lliurement còpies del programari.

• Llibertat per millorar el programa i fer públiques les pròpies millores en

benefici de tota la comunitat. L’accés al codi font, per tant, és un requisit
imprescindible per assegurar aquesta llibertat.
Llicències GNU
Per donar totes aquestes llibertats al programari que es desenvolupa en el projecte La GPL no és l’única llicència
que hi ha en el projecte GNU
GNU i als usuaris finals, es va escriure la llicència GPL (general public license), (n’hi ha d’altres com l’LGPL,
l’MGPL o la GFDL) ni tampoc
amb la qual s’ha protegit tot aquest tipus de codi. Aquesta llicència posa per escrit és l’única que regula els terminis
d’utilització del programari
les idees comentades anteriorment. lliure (BSD, OpenSSL, MIT
License). Tanmateix, sí que
podem dir que és la més
Val a dir que no hem de confondre el terme lliure amb el terme gratuït. Atès que important i que és la llicència en
què es basen algunes de la resta
totes dues paraules equivalen a free en anglès, hi pot haver confusió. El programari de les llicències utilitzades en el
món del programari lliure.
lliure no ha de ser gratuït. Podem demanar els diners que vulguem pels programes
i el codi font, el suport que podem oferir als usuaris, els llibres que venguem o
el material que proporcionem, tal com fan moltes companyies que distribueixen
GNU/Linux.
1.3 GNU/Linux
A finals de la dècada dels anys vuitanta, el projecte GNU disposava d’una sèrie
d’elements que li donaven certa robustesa. Tenia unes pretensions ben definides
quant a finalitat i funcionament. A més, GNU també comptava amb una fundació
que li donava suport, una llicència que li aportava un marc legal i filosòfic i una
sèrie d’aplicacions de codi obert, com l’editor de textos Emacs, el compilador
GCC o l’intèrpret d’ordres Bash. No obstant això, no disposava del component El Tux i el nyu són els logotip de
clau: el nucli (kernel). Linux i GNU.
El 1991, un estudiant de la Universitat d’Hèlsinki, Linus Torvalds, va decidir crear Nucli (kernel)
En informàtica, el nucli (també
el seu propi nucli per a un sistema operatiu nou, que va anomenar Linux. El Linux conegut amb l’anglicisme
kernel) és la part fonamental
intentava millorar el sistema operatiu MINIX, un sistema amb finalitats docents d’un sistema operatiu. És el
basat en l’UNIX, creat uns anys enrere pel professor de la Universitat d’Holanda programari responsable de
facilitar accés segur al maquinari
Andrew Tanenbaum. de l’ordinador als diferents
programes. És a dir, és
l’encarregat de gestionar
La idea de Linus Torvalds era crear un UNIX per a PC, amb la finalitat que tothom recursos per mitjà de serveis de
crida al sistema.
el pogués utilitzar en el seu ordinador. Linus va donar a conèixer el seu projecte en
un fòrum de debat de MINIX i poc després va aportar la seva part del codi del nucli
del Linux. Aquesta iniciativa va obtenir una resposta ràpida i massiva d’experts
informàtics d’arreu del món, que hi van aportar coneixements i treball per tal
de continuar el desenvolupament del nucli del Linux. El projecte ràpidament va
adoptar la llicència GNU i es va convertir, així, en el nucli del sistema operatiu
del projecte GNU. Es va formar el que ara es coneix com a GNU/Linux. Només el 2% del codi del
nucli Linux actual està escrit
per Linus Torvalds.
Tanmateix, es considera
que Torvalds és el pare del
GNU/Linux és un dels termes emprats per referir-se al sistema operatiu lliure nucli.
similar a l’UNIX que utilitza el nucli Linux i eines de sistema GNU.
A banda del projecte GNU/Linux també es van desenvolupar altres projectes

relacionats amb el programari lliure, com el BSD o l’Open Source Initiative, que
també es fan servir actualment.
1.4 Distribucions GNU/Linux
S’ha de tenir en compte que els sistemes GNU/Linux estan formats per tres grans
grups d’aplicacions:
1. El sistema o nucli del sistema. És l’herència de Linus Torvalds i actualment

és la versió 4.6.X (la versió estable va ser llençada el 24 de juny del
2016). Podem trobar la darrera versió del nucli a Internet i descarregar-
la lliurement. Aquest nucli, però, no incorpora cap eina que es pugui fer
servir. Constitueix un sistema base per arrencar i comunicar-se amb el
maquinari de l’ordinador (aproximadament un 3% del total del codi GNU
del sistema). Podeu consultar la última versió del kernel i descarregar-la
des de https://kernel.org.
2. El conjunt d’aplicacions de distribució lliure que completen el sistema base.

Són editors, compiladors i utilitats diverses del sistema que en permeten
l’explotació. Representen la major part del sistema base i, en concret, un
total d’un 30% del codi d’una distribució GNU/Linux estàndard. La majoria
d’aquestes aplicacions deriven directament del projecte GNU de la Free
Software Foundation.
3. Tota la resta d’aplicacions que no formen part del sistema base. Aquí hi
ha la major part de les aplicacions i els serveis d’explotació del sistema:
Apache, Samba, SQUID, SSH, NAMED, KDE, GNOME, etc. Segons el
tipus de distribució GNU/Linux, qualsevol aplicació d’aquest gran paquet
(el més nombrós) ha de complir estrictament l’estàndard GNU (llicència
GPL o similar).
Totes les aplicacions estan disponibles gratuïtament a Internet. Tanmateix, per

evitar la tasca de cerca i descàrrega, algunes distribucions presenten paquets
de col·leccions d’aplicacions que juntament amb el nucli completen el sistema
operatiu. Actualment, hi ha moltes distribucions diferents basades en GNU/Linux.
Per tal que un sistema operatiu compleixi l’estàndard GNU/Linux cal, principal-
ment, estar sota les llicències promogudes per l’FSF de tal manera que es respectin
Filesystem hierarchy els preceptes de la filosofia del programari lliure; també ha de complir que el seu
standard o FHS
nucli estigui basat en el nucli Linux i a més el sistema ha de fer servir l’estàndard
FHS és una norma que defineix
els directoris principals i els seus jeràrquic en l’estructura de directoris principals i els seus continguts, és a dir, que
continguts en el sistema operatiu
GNU/Linux i altres sistemes de les distribucions respecten el filesystem hierarchy standard o FHS.
la família Unix. Es va dissenyar
originalment el 1994 per a
estandarditzar el sistema Les diferències que hi ha entre aquestes distribucions les determinen, sobretot,
d’arxius de les distribucions de
Linux, basant-se en la ubicació dels arxius en el sistema, la gestió de recursos o la utilització d’a-
l’organització de directoris
tradicional dels sistemes Unix. plicacions determinades (per exemple, sistemes d’instal·lació de paquets, entorn
Sobre el sistema gestor
d’escriptori, etc.).
de paquets podeu veure
l’apartat “Configuració i
monitoratge en sistemes A continuació, descriurem algunes de les distribucions GNU/Linux més conegu-
GNU/Linux”. des o utilitzades (figura 1.1):
Figur a 1. 1
De dalt a baix i d’esquerra a dreta, els logotips de: Fedora, Suse, Red Hat, Linkat, Ubuntu, Debian
Red Hat Linux: és una de les distribucions més populars i també una de les més
antigues. Està desenvolupada per una empresa nord-americana que inicialment
la va comercialitzar com un sistema operatiu per a servidors. Va ser la creadora
de l’eina RPM per a l’administració de paquets, que posteriorment han incorporat
altres distribucions. També va ser la primera distribució que la va utilitzar. En
l’actualitat, la Red Hat Linux se centra en la versió empresarial de la distribució
Red Hat Enterprise Linux. No obstant això, hi ha una versió lliure del projecte
que manté una comunitat anomenada Fedora Core. Tot i que és independent de la
Red Hat Linux, l’empresa hi dóna suport. Actualment, el sistema operatiu Fedora
és un dels sistemes més utilitzats pels usuaris de la comunitat GNU/Linux.
Suse Linux: és una de les distribucions més conegudes que hi ha a escala

mundial. La distribució Suse la va desenvolupar una empresa alemanya i després
la va adquirir la multinacional nord-americana Novell. Novell va impulsar el
projecte OpenSuse per tal de fer el codi més obert i obtenir el suport de més
desenvolupadors i usuaris de la comunitat GNU/Linux. La virtut principal
d’aquesta distribució és que és una de les més senzilles d’instal·lar i administrar,
ja que disposa de múltiples assistents gràfics que permeten completar diverses
tasques. En destaca l’eina d’instal·lació i configuració d’aplicacions YasT. La Suse
utilitza el sistema de paquets RPM originari de la Red Hat.
Debian: és una de les distribucions que fa més temps que és en el mercat i s’hi
basen moltes altres distribucions. La desenvolupen i la mantenen col·laboradors
d’arreu del món i, quant a infraestructura, només rep suport d’alguna empresa.
El sistema de gestió de paquets de la Debian permet diferenciar clarament el
programari lliure del que no ho és. D’aquesta manera, ofereix la possibilitat de
crear tot el sistema només amb programes de programari lliure. La Debian i les
distribucions derivades utilitzen el format de paquet .deb i incorporen les eines
adequades per fer anar aquest tipus de paquet, com ara dpkg, apt o aptitude. La
Debian és una de les distribucions més estables i segures que hi ha.
Ubuntu: actualment, és la distribució més utilitzada. També és la que farem servir

per fer les pràctiques d’aquesta unitat. La Ubuntu és una distribució basada en la
Debian i està patrocinada per l’empresa Canonical, que en manté la distribució
lliure i gratuïta. La Ubuntu allibera una versió nova cada sis mesos (abril i
octubre) que rep el suport de Canonical durant un determinat temps. A més,
disposa de tot el suport de la comunitat de programari lliure. En la Ubuntu
podem trobar diverses derivacions o sabors dependent de l’entorn d’escriptori que
utilitzen. Entre d’altres, hi ha la Ubuntu Desktop, que utilitza l’entorn d’escriptori
GNOME; Kubuntu, que utilitza l’entorn KDE; Xubuntu, que utilitza l’entorn
XFCE; Edubunu, orientada a àmbits educatius, i Ubuntu Server, sense entorn
gràfic i orientada a la utilització en servidors.
Entorn d’escriptori
Qualsevol sistema GNU/Linux pot funcionar tant en entorn gràfic com en mode terminal. El
mode terminal és més comú en distribucions per a servidors, mentre que la interfície gràfica
està més orientada a l’usuari final. Un escriptori és un conjunt d’elements conformat per
finestres, icones i similars que faciliten la utilització del computador. Els escriptoris més
populars en Linux són: Cinnamon, GNOME, KDE, LXDE (o LXQt), XFCE.
Linkat: és la distribució GNU/Linux del Departament d’Ensenyament de la

Generalitat de Catalunya. Està basada en la distribució Ubuntu Desktop. El
sistema gestor de paquets, com el de Debian, està basat APT (.deb). Linkat segueix
les versions LTS (Long Term Support o Suport de Llarg Termini) de Ubuntu
Desktop, per tant evoluciona a la vegada. L’escriptori és el Gnome clàssic, però
es pot canviar per LXDE o XFCE per exemple.
1.5 Documentació i recursos
Des de l’inici del projecte GNU/Linux, els desenvolupadors i els usuaris del
programari lliure s’han comunicat mitjançant Internet. Per això a la xarxa
sempre s’ha pogut trobar molta informació sobre el projecte, les aplicacions i les
distribucions implicades. La majoria de programes estan disponibles a Internet,
empaquetats en algun dels sistemes que hi ha o bé directament per mitjà del
seu codi font. Moltes de les distribucions que hi ha també es poden baixar
d’Internet lliurement. Tot i així, si volem disposar del suport que ofereixen
Ordre man algunes companyies, la millor manera és comprar el material que proporcionen
Linux proporciona un sistema
d’ajuda basat en text al qual
(CD, manuals, etc.) i registrar-s’hi.
s’accedeix mitjançant l’ordre
man. L’ordre és l’abreviatura de
manual. En l’àmbit del programari lliure, una de les capacitats clau per moure-s’hi amb
soltesa és saber trobar la informació que necessitem. Saber buscar i trobar la
L’ordre man ens proporciona
ajuda sobre les ordres, els fitxers documentació o els recursos que s’adaptin als problemes que tenim ens ajudarà
de configuració, les funcions i
altres ítems del sistema. La a estalviar temps i esforç. Les fonts principals en què podem trobar informació
sintaxi general de l’ordre man és
;$man <element a per resoldre problemes i aprofundir en diversos temes són les següents: la
consultar>
documentació generada per la comunitat de programari lliure, que ens podem
D’una manera recursiva, podem
utilitzar la mateixa ordre man per
descarregar gratuïtament de la xarxa; els fòrums, les llistes de correu, els grups de
consultar el manual de l’ordre notícies relacionades amb el programari lliure, els com-es-fa (how-to manuals),
man ;$man man Els manuals de
Linux estan organitzats en nou les pàgines de les diverses distribucions, la documentació incorporada en el
categories, les quals es poden
consultar en el manual de man. sistema, per exemple mitjançant l’ordre man, etc.
1.6 Instal·lació de sistemes GNU/Linux
Abans d’iniciar el procés d’instal·lació d’un sistema operatiu lliure GNU/Linux ,

cal tenir en compte un seguit de consideracions: quina serà la utilització del sis-
tema operatiu, quin maquinari tenim, els diferents tipus d’instal·lació que podem
fer i les possibilitats que tenim per fer particions en el suport d’emmagatzematge
en què residirà el sistema.
1.6.1 Consideracions prèvies per a la instal·lació de sistemes

GNU/Linux
Abans d’iniciar la instal·lació del sistema operatiu en un equip, us heu de fer una
sèrie de preguntes:
1. Quina serà la utilització del sistema operatiu? Heu de respondre quin

és el propòsit general per al qual voleu el sistema o quin és el paper de
la màquina en la xarxa. Us heu de formular, entre altres, les preguntes
següents:
• Si és un servidor (Server) o una estació de treball (Desktop).

• Si és un servidor, quins tipus de serveis oferirà.
• Les aplicacions necessàries.
• La càrrega de dades que suportarà.
• La quantitat i el tipus de trànsit de xarxa (local o extern).
• El nombre d’usuaris del sistema.
2. Quin maquinari teniu? Heu de tenir molt clar el maquinari de què

disposeu.
• Processador.
• Memòria RAM.
• Disc dur.
• Targeta gràfica.
• Lector de CD/DVD.
• Targeta de xarxa.
3. Quin tipus d’instal·lació fareu? Heu de saber quins suports, quines eines
i quines infraestructures teniu per fer la instal·lació del sistema operatiu.
• Fitxer d’una imatge ISO descarregat d’internet.

• CD/DVD.
• Utilitzar el sistema de xarxa, mitjançant FTP o HTTP.
• Restaurar una imatge del sistema o clonar un disc dur.
• Altres formes: USB, LiveCD personalitzat, etc.
4. Quantes particions necessiteu i de quin tipus? Heu de determinar el

nombre de particions necessàries per al sistema i el tipus de sistema de
fitxers de cadascuna.
• Nombre de particions primàries i tipus.

• Nombre de particions lògiques i tipus.
Podeu veure els
conceptes de particions
primàries i lògiques en Una vegada aclarides aquestes qüestions, podeu decidir quina és la distribució i
l’apartat “Tipus de
particions”. la versió que més us interessa instal·lar. Per exemple, podeu escollir distribucions
orientades a l’àmbit empresarial, com la Red Hat o la Suse, o distribucions que
Elecció de la distribució
tenen un ampli suport de la comunitat, com la Debian i la Ubuntu. Decidireu si
Moltes vegades, l’elecció d’una
distribució depèn de l’empresa voleu utilitzar versions Desktop, en cas que instal·leu el sistema en una estació de
en què instal·leu el sistema o del
sabor que més us agradi. Moltes treball, o Server, en cas que sigui per a un servidor de la xarxa. També haureu de
distribucions s’adaptaran
correctament a les tenir en compte les necessitats de maquinari específiques, com ara 64 o 32 bits,
característiques d’ús que
busqueu. etc.
1.6.2 Gestió de les particions de disc
Abans d’instal·lar el sistema operatiu, us heu de plantejar el nombre, el tipus i la

grandària de les particions que necessiteu en el disc dur de la màquina. Les podreu
crear amb alguna eina específica abans de començar amb la instal·lació, o durant
aquesta. Una vegada hagueu distribuït l’espai en el suport d’emmagatzematge, es
podrà instal·lar el sistema operatiu.
Ús de les particions de disc
Podríem definir partició de la manera següent:
Una partició de disc és el nom genèric que rep cadascuna de les divisions
que hi ha en una sola unitat física d’emmagatzematge de dades.
Cada partició representa una unitat lògica dins d’una unitat física. La funció
principal de les particions és organitzar les dades en el suport d’emmagatzematge.
Els motius principals pels quals es recomana utilitzar particions en els discos durs
són els següents:
• Seguretat: la informació la podeu tenir emmagatzemada en diferents parti-

cions. D’aquesta manera, si una partició es fa malbé, hi ha la possibilitat de
recuperar la informació que hi ha emmagatzemada en les altres.
• Coexistència de sistemes operatius: si voleu tenir diferents sistemes

operatius instal·lats en el mateix equip, és recomanable instal·lar cada
sistema en un partició diferent, sobretot si tenen sistemes de fitxers distints.
• Memòria virtual: en els sistemes operatius GNU/Linux és recomanable

utilitzar una partició del disc dur anomenada swap, que es fa servir per
descarregar la memòria RAM.
Gràcies a elements com les
màquines virtuals, les
ordres com dd i les imatges
Tota partició té un sistema propi d’arxius o format. Qualsevol sistema operatiu de disc, també podeu tenir
múltiples sistemes operatius
interpreta, utilitza i manipula cada partició com un disc físic independent, tot i en una mateixa partició.
que totes les particions siguin en un únic disc físic.
Abans d’explicar el procés de partició, cal fer una consideració important sobre
el tipus de sistema que voleu instal·lar. És a dir, cal que tingueu en compte els
diferents escenaris, per als quals ens calen solucions diversificades.
Per exemple, en un servidor real serà pràcticament imprescindible una disposició

de discos en RAID 1 (mirall) com a mínim que ens asseguri una recuperació del
sistema en el cas que una de les unitats de disc falli. RAID
Sistema d’emmagatzematge que
En altres casos, com en servidors de prova, estacions de treball o instal·lacions utilitza múltiples discos durs,
entre els quals distribueix o
duals, el procés de partició no té tanta importància. replica les dades. Aquest sistema
comporta tota una sèrie de
beneficis per al sistema
Tot i que hi ha consells que indiquen la mida aconsellada per a cada partició del informàtic: més integritat, més
tolerància quant a errades, més
sistema, aquest procés depèn molt de la utilitat que es dóna al sistema GNU/Linux velocitat de transferència de
dades (throughput) i més
i de les aplicacions que s’hi instal·lin. Per tant, queda a la vostra discreció una capacitat.
vegada hàgiu valorat els principis bàsics del sistema.
En la majoria de sistemes GNU/Linux es requereixen almenys dues particions:
• /: conté el sistema arrel i, si no hi ha cap altre punt de muntatge, tot el

sistema i tot el programari.
• swap: és necessària per paginar la memòria RAM en el disc dur quan la

RAM disponible s’acaba. També es pot crear una swap (àrea d’intercanvi)
que sigui un fitxer, tot i que no és una solució tan eficient. Vegeu a la figura
1.2 un exemple del que passa quan la memòria RAM s’esgota i entra en
funcionament l’espai swap.
Fig ur a 1 . 2 . Figura 1.2. Exemple de com l’àrea swap

augmenta a mesura que s’acaba la memòria RAM.
Cal tenir en compte que les mides proposades poden variar molt segons l’ús que
vulgueu fer del sistema. Hi ha tantes possibilitats que és impossible proposar
solucions que siguin universalment acceptables. La taula 1.1 mostra un exemple

de directoris que es poden muntar en particions separades.
Taul a 1. 1. Directoris susceptibles de ser muntats en diferents particions.
Partició (punt de muntatge) Mida típica Descripció
swap (no es munta) 1,5 a 2 vegades la RAM És una memòria secundària a la

RAM. És més lenta, però és
necessària quan la RAM s’acaba.
Es pot treballar sense àrea
d’intercanvi, però quan el sistema
es quedi sense RAM no paginarà
correctament (és un error difícil de
detectar, ja que sembla que
l’ordinador simplement es pengi).
/home Mínim 200 MB En distribucions modernes és

necessari un mínim de 200 MB
per guardar els fitxers de
configuració d’usuari de les
aplicacions. A partir d’aquí, el
valor màxim depèn de l’ús que
cada usuari faci de l’ordinador.
/boot 20 - 200 MB Guarda els fitxers d’arrencada del

sistema (el nucli del sistema i els
seus fitxers de suport). Heu de
tenir en compte que les
distribucions modernes van
guardant els diferents nuclis que
s’instal·len, cosa que fa que
l’espai del boot augmenti amb el
temps.
/usr 500 MB - 20 G Conté la majoria de fitxers

d’aplicacions GNU/Linux.
/opt 100 MB - ? Carpeta de calaix de sastre on es

col·loquen totes les aplicacions de
tercers, és a dir, les aplicacions
que no estan incloses en la
distribució. Els paquets
comercials s’acostumen a posar
en aquesta carpeta.
/var 100 MB - ? Conté les dades variables del

sistema (bases de dades, cues,
fitxers d’aplicacions, etc.). Depèn
molt del tipus de sistema, però en
una màquina que fa de servidor la
partició pot ser més gran i la que
té la informació més rellevant.
/tmp 100 MB - ? Conté els fitxers temporals dels

usuaris ordinaris. En sistemes
amb molts usuaris pot ser una
carpeta força gran.
/mnt — S’utilitza com a lloc per crear els

punts de muntatge de dispositius
removibles, com ara
CD/DVD-ROM, memòries flaix,
etc.
/media — Equivalent a /mnt.
Hi ha carpetes, com les següents, que mai no es posen en particions diferents.

El directori /dev, a partir de
la versió 2.4 del nucli, es
Totes se situaran en la partició en què es munti l’arrel /:
gestiona amb udev
mitjançant un sistema de
fitxers especial.
• /etc
• /bin i /sbin
• /lib
• /dev
Tipus de particions de disc
Disc formatat
Hi ha tres tipus diferents de particions: Un disc físic completament
formatat consisteix, en realitat,
en una partició primària que
Partició primària: és la primera divisió que es fa en el suport d’emmagatzematge. ocupa tot l’espai del disc i
posseeix un sistema d’arxius.
És obligatori que hi hagi, almenys, una partició primària. En un suport d’emma- Pràcticament qualsevol sistema
operatiu que reconegui el format
gatzematge hi pot haver quatre particions primàries o tres particions primàries i d’aquest tipus de particions les
una d’estesa (en el GNU/Linux es numeren de l’1 al 4). Han d’estar inscrites en pot detectar i els pot assignar una
unitat.
la taula de particions que és en el primer sector del disc dur, en què n’hi ha de
figurar alguna com a activa. Que la partició estigui activa vol dir que el programa
d’inicialització li cedirà el control en el moment de l’arrencada (si no hi ha cap
gestor d’arrencada instal·lat com GRUB o LILO).
Partició estesa: és un altre tipus de partició que actua com una partició primària.
Serveix per contenir-hi unitats lògiques. Va ser ideada per trencar la limitació de
quatre particions primàries en un sol disc físic. Només hi pot haver una partició
d’aquest tipus per disc i només serveix per contenir particions lògiques. Per tant,
és l’únic tipus de partició que no suporta un sistema d’arxius directament.
Partició lògica: ocupa una porció d’una partició estesa o la seva totalitat. Cada
partició lògica es pot formatar amb un tipus específic de sistema d’arxius i se li
pot assignar un directori del sistema. Les particions lògiques també es numeren.
Així, en els sistemes GNU/Linux, sempre es comencen a numerar a partir del 5.
No tots els sistemes operatius es poden instal·lar en una partició lògica. En funció
de les capacitats del nucli i del maquinari, hi pot haver des de particions lògiques
il·limitades fins a una partició estesa.
Vegeu a la figura 1.3 un disc dur on hi tenim instal·lat la distribució Zorin OS 9.

Hi tenim una partició primària amb el punt de muntatge de l’arrel (/) i una partició
estesa que conté dues particions lògiques: la primera pel punt de muntatge /home
i la segona per l’àrea d’intercanvi swap. Reviseu també que la numeració per
les particions primàries van del 1 al 4, i la numeració per les particions lògiques
comencen al 5.
Fig ur a 1. 3 . Exemple d’un disc dur particionat per utilitzar
la distribució Zorin Os 9, amb separació de la partició lògica
/home i swap.
Alguns sistemes operatius,

com el DOS o el Windows,
necessiten carregar el
sistema des d’una partició
primària (no lògica). En el
GNU/Linux aquesta
restricció no hi és. No
consumir totes les
particions primàries és, per
tant, necessari a l’hora
d’instal·lar més d’un sistema
operatiu a un disc dur
Sistema de fitxers
Un dels elements fonamentals que hem de tenir en compte a l’hora d’instal·lar un

sistema operatiu determinat en una màquina és el sistema de fitxers que volem o
podem utilitzar en el suport d’emmagatzematge en què instal·larem el sistema.
Els sistemes de fitxers indiquen la manera de gestionar els fitxers dins de les
particions del suport d’emmagatzematge en què resideix el sistema operatiu.
Els sistemes de fitxers poden presentar diferents característiques segons la com-

plexitat que tinguin. Alguns exemples d’aquestes característiques poden ser
els següents: la previsió d’apagades, la indexació per a recerques ràpides, la
possibilitat de recuperar dades o la reducció de la fragmentació per agilitzar la
lectura de les dades.
Hi ha diversos tipus de sistemes de fitxers, normalment lligats a sistemes operatius

concrets. Entre els més representatius hi ha els següents:
FAT32 o VFAT: és el sistema de fitxers tradicional de l’MS-DOS i de les primeres

Journaling versions del Windows. Per aquesta raó, es considera un sistema universal, encara
El journaling és un mecanisme
mitjançant el qual un sistema
que té una gran fragmentació i és un mica inestable.
informàtic pot implementar
transaccions. També es coneix
com a registre per diari. Es basa NTFS: actualment és el sistema d’arxius utilitzat per la instal·lació de Windows.
a portar un diari (journal) en què
s’emmagatzema la informació
Existent des de les versions 2000 i XP. És molt estable. El problema és que és
necessària per restablir les dades
afectades per la transacció en cas
de propietari, i per tant altres sistemes operatius no hi poden accedir de manera
que falli. transparent o poden mostrar-hi menys estabilitat.
ext3: és un sistema d’arxius amb registre per diari. El registre per diari soluciona
el problema de les inconsistències implementant transaccions (similar a les bases
de dades). És la versió millorada de l’ext2, amb previsió de pèrdua de dades
Es poden veure el sistemes
de fitxers suportats per la per errades del disc dur o apagades. En contraprestació, és totalment impossible
Ubuntu a /usr/src/
/linux-headers-x.x.xx-xx/fs recuperar dades esborrades.
ext4: és una millora compatible de l’ext3. La novetat principal de l’ext4 és la

possibilitat de fer “extent”, és a dir, la possibilitat de reservar una àrea contigua
per a un arxiu. Això pot reduir, i fins i tot eliminar completament, la fragmentació
d’arxius. Algunes millores són el suport de sistemes de fitxers fins a 1024 PiB,
millor ús de la CPU i millores en les operacions de lectura i escriptura. L’ext4 és
el sistema d’arxius per defecte de la Ubuntu des de la Ubuntu 9.04.
Btrfs: és el sistema d’arxius per defecte d’algunes distribucions com la Suse.

Ofereix una alta tolerància a fallades, i avançada recuperació i reparació .
XFS: és el sistemea d’arxius recomanat per instal·lar la distribució Red Hat

Enterprise Linux o Fedora. Ofereix journaling que permet la ràpida recuperació
davant una fallada.
swap: és el sistema d’arxius per a la partició d’intercanvi del GNU/Linux. És

recomanable que els sistemes GNU/Linux tinguin una partició d’aquest tipus per
carregar els programes i no saturar la memòria RAM.
Haureu de valorar l’ús que fareu de l’equip per configurar la mida de la swap,
i augmentar-la si utilitzeu la hibernació. Com a guia, si disposeu de menys
de 2GB de RAM, configurareu el doble o triple de swap. Si disposeu de 2GB
o més de RAM, configurarem la swap amb la mateixa quantitat o el doble.
Estructura de directoris GNU/Linux
Abans d’instal·lar un sistema operatiu GNU/Linux, és necessari conèixer o repas-

sar l’estructura de directoris bàsica que conforma el sistema.
Podem definir l’estructura de directoris com una estructura de dades que

utilitza un sistema operatiu per emmagatzemar i organitzar els fitxers en un
suport d’emmagatzematge.
L’arrel de l’estructura d’un sistema de tipus GNU/Linux s’identifica amb una /

i d’aquesta arrel en pengen diferents directoris que, a la vegada, contenen altres
directoris i/o fitxers.
En la taula 1.2 es pot veure l’FHS (filesystem hierarchy standard) o jerarquia

estàndard de fitxers, general del sistemes GNU/Linux, i una breu descripció del
que podem trobar en cada directori. Segons les distribucions GNU/Linux que
utilitzeu hi pot haver alguns canvis.
Una de les característiques dels sistemes UNIX i dels seus derivats és la manera
de tractar a escala de sistema els dispositius de maquinari.
Tots els dispositius de maquinari estan identificats a escala de sistema per un

dispositiu lògic que en GNU/Linux s’identifica amb un fitxer “especial” dins de
l’arbre del sistema principal.
Taul a 1. 2. Directoris GNU/Linux

Directori Descripció
/ Directori arrel del qual pengen tots els directoris del

sistema.
/dev Dispositius físics del sistema, és a dir, el maquinari.
/etc Arxius de configuració del sistema.
/sbin Programes dels quals només pot llançar l’execució el

superusuari.
/bin Programes que poden ser llançats per tots els

usuaris del sistema. Els programes d’aquest directori
i de l’anterior es poden invocar introduint directament
el nom a la consola.
/lib Biblioteques necessàries perquè s’executin els

programes que teniu a /sbin i /bin.
/proc Arxius que envien o reben informació del nucli sobre

els processos. És un directori virtual, és a dir,
s’emmagatzema en memòria RAM. Cal anar en
compte abans de modificar-ne el contingut.
Directori Descripció
/usr Programes d’ús general per a tots els usuaris.
/tmp Fitxers temporals.
/var Informació variable com registres (logs) del sistema i

fitxers de dades dels serveis del sistema.
/boot Arxius de configuració de l’arrancada del sistema.
/media Unitats físiques externes que hi hagi muntades:

discos durs, memòries USB, CD, DVD, etc.
/mnt És un directori semblant a /media, però es fa servir

majoritàriament pels usuaris. Serveix per muntar
discos durs i particions de manera temporal en el
sistema.
/opt Directori en què instal·lem les aplicacions no

estàndard del sistema.
/srv Dades que serveix el sistema.
/home Directoris personals de tots els membres del sistema.
Dispositius en el GNU/Linux
En els sistemes GNU/Linux hi ha dues possibilitats a l’hora de determinar els

noms dels dispositius:
• Sistemes amb la llibreria libata: tots els dispositius segueixen la forma

/dev/sd*. Totes les distribucions actuals treballen amb aquesta llibreria.
• Sistemes sense la llibreria libata: es diferencia entre dispositius SATA o

SCSI (/dev/sd*) i dispositius IDE o PATA (/dev/hd*). Les versions més
antigues dels sistemes operatius utilitzen aquest sistema.
Com ja sabem, en els sistemes GNU/Linux es permet un màxim de quatre

particions primàries per dispositiu. Si voleu fer anar més de quatre particions,
us caldrà crear particions lògiques. Cada partició es distingirà per un fitxer
de dispositiu associat. La regla per fer la distinció és senzilla: les particions
s’identifiquen amb el sufix del dispositiu lògic i un número, afegit al final, que
indica l’ordre que ocupa la partició dins del disc, segons sigui primària o lògica.
Per exemple, a la figura 1.3 podeu veure com totes les particions estan configurades
dins el primer disc dur SATA (sda). La primera partició primària comença per
sda1, i la primera lògica comença per sda5.
Eines per a la gestió de particions. GParted
Les aplicacions utilitzades per a la gestió de les particions en els suports d’em-
magatzematge són conegudes com a gestors o editors de particions. Aquestes
aplicacions us permetran, entre altres tasques, crear particions, esborrar-les,
redimensionar-les, copiar-les i donar-los format.
Hi ha moltes aplicacions en el mercat. Són molt variades. Algunes són lliures i

d’altres són de propietat.
A continuació, us explicarem el funcionament del gestor de particions GParted,

una aplicació que porta incorporat el LiveCD/ImatgeISO de la Ubuntu.
GParted
El GParted és el gestor de particions de la majoria de distribucions GNU/Linux,

i acostuma a estar pre-instal·lat. Utilitzem aquest programa per crear, esborrar,
formatar, copiar i redimensionar particions. Aquestes funcions permeten crear
fàcilment espai per a nous sistemes operatius, a més d’estructurar i reorganitzar
l’ús del disc dur.
A continuació veureu el funcionament del GParted amb l’exemple de particionat

d’un disc dur. Podeu seguir l’exemple fent servir el programa de virtualització de
sistemes operatius Virtualbox i inseriu-hi la imatge ISO de qualsevol distribució
com per exemple Ubuntu, tal i com mostra la figura 1.4
Fig ur a 1. 4. Configuració bàsica del VirtualBox amb una

màquina virtual nova i la ISO de Ubuntu.
A continuació, apareixerà un menú que us permetrà escollir l’idioma de la

interfície. Una vegada tingueu la interfície en el vostre idioma, seleccioneu l’opció
Vull provar l’Ubuntu o Try Ubuntu tal i com mostra la figura 1.5
Fig ur a 1 . 5. Configuració de l’idioma i tipus d’arrancada.

Un cop l’escriptori s’ha carregat amb la imatgeISO/LiveCD, aneu al menú

superior i cerqueu GParted, tal i com mostra la figura 1.6.
F i g ura 1 . 6 . Cerca del programa GParted.
Una vegada seleccionada l’opció GParted, se us obrirà l’aplicació i podreu veure

la distribució de les particions del vostre disc dur. Vegeu la figura 1.7 de l’exemple
sense particionar.
F i g ura 1 . 7 . Visió del GParted amb un Disc dur sense

particionar
Abans de crear cap partició, heu de crear la taula de particions. Aquesta taula és
un índex del disc dur i indica quines particions hi ha, tipus i inici / final de cada
una. Per fer-ho, anireu a Device > Create Partition Table > Apply (podeu deixar
marcada la opció habitual msdos com a tipus de taula de particions).
Creant una nova taula de particions prepareu un disc per fer-lo servir, però
també eliminareu l’accés a qualsevol dada que hi hagués anteriorment.
Un cop creada la taula de particions, ja podeu crear particions en l’espai sense

partir del disc dur, seleccioneu la partició -en aquest cas unallocated-, i amb el
botó dret del ratolí premeu el botó New. Us apareixerà el quadre que podeu veure
en la figura 1.8.
Fig ur a 1 . 8 . Vista del GParted amb la creació d’una nova

partició
En prémer el botó New, se us obrirà el quadre de diàleg per a la creació de la nova

partició. En aquest quadre podreu seleccionar, entre d’altres opcions: l’espai
buit precedent a la partició, l’espai que ocuparà la partició i l’espai buit
posterior a la partició que heu de crear. A més, podreu escollir el tipus de
la nova partició, primària o estesa. Si seleccioneu la partició estesa, podreu crear
a continuació particions lògiques a dins.
En seleccionar una partició primària o lògica també podeu escollir el format

d’arxius que voleu donar a aquesta partició. En el menú apareix una llista
desplegable dels tipus suportats per GParted. L’opció Label indica el nom de
l’etiqueta del volum. Finalment, la opció d’arrodonir en MiB (Mebibyte) és la
opció correcte per sistemes operatius posteriors al 2000 o per unitats d’estat sòlid
(SSD) o memòries USB.
A la figura 1.9 veureu la configuració feta per crear una nova partició de 10GB
(10240MB), del tipus primària, amb sistema de fitxers ext4 i amb etiqueta usuari.
Com podeu veure, per definir la mida d’una partició farem servir el camp espai
que ocuparà la partició o New Size.
Una vegada especificats els paràmetres de configuració, premeu el botó Add.
Fig ur a 1 . 9 . Vista del GParted amb una partició configu-

rada.
Per acabar l’exercici, creareu una nova partició estesa de 20GB. Posteriorment hi
creareu dins una de lògica (també de 20GB, de tipus NTFS i d’etiqueta dades).
Us ha de quedar com a la figura 1.10
F i g ura 1. 1 0 . Vista del GParted amb les particions

configurades.
En prémer el botó Add no es creen directament les particions en el disc dur, sinó
que encara podeu modificar o esborrar les particions i continuar fent-ne de noves
(fixeu-vos en la part inferior del GParted que ens indica que hi ha operacions
pendents). Els canvis no tindran efecte en el disc dur fins que no premeu el botó
Feu sempre les pràctiques Apply (marca de verificació o tick verd superior).
en màquines virtuals o en
equips no susceptibles de
perdre informació important. Les opcions d’esborrar, redimensionar i copiar particions es poden aplicar si se
selecciona la partició implicada i es fa clic amb el botó dret del ratolí o es clica en
el menú Partition. Tingueu sempre en compte que si una partició està muntada
-té un cadenat al costat-, l’haureu de desmuntar per poder-hi fer les accions que
vulgueu. Per modificar la partició d’intercanvi també l’haureu de desactivar.
1.6.3 Tipus d’instal·lacions
Els diferents tipus d’instal·lacions depenen dels sistemes d’instal·lació de què

disposem.
El sistema d’instal·lació constitueix el conjunt de recursos o dispositius que

s’utilitzaran per fer la instal·lació del sistema.
A l’hora d’escollir un sistema i un tipus d’instal·lació, heu de considerar diversos

factors, com ara quantes instal·lacions fareu, quantes instal·lacions diferents fareu
i de quina infraestructura disposeu.
Actualment, gairebé totes les distribucions ofereixen diverses possibilitats per

instal·lar-les. A més, és possible, en general, combinar diferents sistemes d’ins-
tal·lació.
Instal·lació mitjançant CD/DVD
La instal·lació mitjançant un USB Bootable amb una imatge ISO és la més comuna
i la que utilitzarem si volem instal·lar el sistema operatiu en un nombre reduït
d’equips.
L’element necessari per fer aquest tipus d’instal·lació és el fitxer d’imatge

ISO de la distribució GNU/Linux que volem instal·lar. Us podeu descarregar
les imatges ISO des de les pàgines de les diferents distribucions.
Per veure el procés
d’instal·lació d’un sistema
Cada distribució us proporciona una sèrie d’imatges ISO (fitxer .iso) amb unes operatiu amb una imatge
ISO aneu directament a
característiques concretes. Per exemple, ISOs d’instal·lació de diferents versions l’apartat “Instal·lació
Ubuntu”.
(server, desktop), LiveCD, ISO per a la configuració de la instal·lació en xarxa,
ISO de rescat o ISO de dipòsits, entre altres.
També podeu aconseguir CD i DVD amb les distribucions per altres vies, com ara
revistes d’informàtica, botigues d’ordinadors o distribuïdors. Si no voleu fer servir
un USB Bootable també podeu descarregar la imatge ISO d’Internet i copiar-la en
un suport CD/DVD. En algunes distribucions, com en el cas de la Ubuntu, fins i
tot les podeu demanar per correu en la pàgina web de la distribució.
Una vegada tingueu el USB Bootable o el CD o DVD, haureu de seguir una sèrie
de passos per instal·lar el sistema operatiu a l’equip. Els passos a seguir són els
següents: L’entrada al BIOS i a la
configuració d’aquest
sistema depèn del tipus de
màquina.
1. Configurar l’arrencada de l’ordinador des del USB o des del lector de
CD/DVD en el BIOS de l’equip.
2. Inserir el USB o el CD/DVD al lector i engegar l’equip per tal que

l’arrencada del sistema operatiu comenci des del USB o CD/DVD.
3. Seguir l’assistent de configuració en cada cas.
Instal·lació per mitjà de la xarxa
La instal·lació per mitjà de la xarxa és la que fareu servir si voleu instal·lar

un sistema operatiu en un nombre elevat d’equips. Aquest tipus d’instal·lació
requereix una determinada infraestructura.
Primer de tot, heu de disposar d’una targeta de xarxa PXE per poder arrencar
i instal·lar el sistema operatiu des de la xarxa. A més, heu de tenir el BIOS
configurat per iniciar l’arrencada en xarxa. També necessiteu un servidor en la
xarxa des del qual es pugui carregar el sistema.
Targeta PXE
Una targeta PXE és aquella que permet funcionar amb preboot execution environment
o entorn d’execució de prearrencada, un entorn per arrencar i instal·lar sistemes
operatius en ordinadors mitjançant una xarxa, de manera independent dels dispositius
d’emmagatzematge de dades disponibles o dels sistemes operatius instal·lats.
En parlar de xarxa, heu de considerar dues possibilitats:
1. Internet: teniu la possibilitat d’instal·lar el sistema operatiu directament des

Dipòsit
d’Internet.
Un dipòsit és una base de dades
centralitzada en què La majoria de sistemes GNU/Linux estan preparats per descarregar i actualitzar
s’emmagatzema i es manté
informació digital, habitualment els seus paquets, fins i tot el sistema operatiu, per mitjà dels dipòsits que podem
bases de dades o arxius
informàtics. trobar a Internet. No és tan comú instal·lar la totalitat del sistema operatiu per mitjà
d’Internet. Encara que aquesta opció no és gaire recomanable, si no es disposa
d’una connexió amb una taxa de transferència elevada, comporta molts avantatges
respecte a una instal·lació que es faci mitjançant USB o CD, ja que permet instal·lar
les últimes versions disponibles dels paquets.
Algunes distribucions, com la Ubuntu, la Fedora o la Suse, proporcionen CD

(MinimalCD) que instal·len els paquets necessaris per descarregar el sistema base
des dels dipòsits.
2. Xarxa local: la instal·lació del sistema operatiu es fa per mitjà dels dipòsits o
les imatges que hi ha en la LAN.
La instal·lació del sistema per la xarxa local es pot fer de maneres diferents. Una de
les més comunes és utilitzar un servidor NFS, com DRBL juntament amb eines
com Clonezilla o Fog que ens permeten generar i gestionar les imatges que cal
instal·lar, encara que també es poden utilitzar CD/DVD d’instal·lació o rèpliques
(mirrors) de dipòsits disponibles a partir de la xarxa local.
Per tal de fer la instal·lació d’aquesta manera, haureu de configurar el servidor,

tenir una imatge del sistema operatiu allotjada en els recursos que comparteix i
configurar el client perquè comenci la instal·lació des de la xarxa.
Instal·lació mitjançant la clonació d’un disc dur
La instal·lació d’un o diversos sistemes mitjançant la clonació d’un disc dur és

un bon mecanisme per fer còpies de seguretat o instal·lacions massives. Aquesta
instal·lació us permet copiar un sistema operatiu instal·lat en un disc dur o en una
partició del disc a un altre disc dur. Si els discos durs estan ubicats en diferents
màquines, convé que totes dues tinguin un maquinari similar perquè la instal·lació
funcioni correctament, sobretot en el Windows.
Per fer la clonació o la partició del disc dur que teniu instal·lat en el sistema
operatiu, haureu de fer servir programari específic. Podeu utilitzar diversos
programes de codi obert, com ara Clonezilla i Partimatge. Com a recurs dels
sistemes operatius GNU/Linux, és important mencionar l’ordre de sistema dd.
La clonació es pot fer amb els discos connectats en el mateix equip o per mitjà de
la xarxa.
Un mètode que ens permet combinar la instal·lació per mitjà de xarxa i la clonació,
i crear un sistema d’instal·lació remota és la utilització conjunta d’eines com
Clonezilla i un servidor DRBL o l’eina fog. Podeu veure la pantalla inicial del
DRBL a la figura 1.11
Fig ur a 1. 11 . Vista del programa DRBL per configurar el

servidor de xarxa.
Altres instal·lacions
A part de les instal·lacions tradicionals via USB Bootable o CD/DVD, podeu

instal·lar un sistema operatiu des d’altres mitjans o suports informàtics com, per
exemple, els següents:
• Live CD/DVD personalitzat: hi ha eines com Remastersys, Ubuntu

Customization Kit o Reconstructor que permeten a qualsevol usuari crear
fàcilment un Live CD/DVD personalitzat d’una instal·lació existent, que
podeu utilitzar com a còpia de seguretat o per fer la instal·lació en una altra
màquina.
• Màquines virtuals: una màquina virtual és un programari que emula un

ordinador dins d’un altre ordinador. L’ús més estès de les màquines virtuals
és la prova de sistemes operatius i la interacció entre ells per mitjà de
la xarxa. Tot i que la instal·lació del sistema operatiu en una màquina
virtual es farà d’alguna de les maneres que hem comentat abans, hem
cregut convenient destacar el concepte de màquina virtual i esmentar-ne la
importància. Entre les aplicacions de virtualització que hi ha, cal destacar
VMware, Quemu i l’aplicació de codi obert VirtualBox.
Com a resum de l’apartat, cal dir que el grau d’interacció de l’usuari que requereix
una instal·lació depèn del sistema i del tipus d’instal·lació que es faci. Cada
sistema té avantatges i inconvenients. Una instal·lació estàndard ens permet
anar pas a pas, cosa que és extremadament útil per adequar el sistema a les
nostres necessitats i possibilitats, mentre que un sistema d’instal·lació totalment
automàtic requereix unes infraestructures i uns coneixements més avançats. Per
tant, constitueix una inversió, tant de temps com d’infraestructura, que només es
justifica si el nombre de sistemes a instal·lar és molt gran.
Per exemple, es podria plantejar la implementació d’aquest tipus d’instal·lació en

un departament en què hi hagués ordinadors destinats a ús personal i ordinadors
destinats a servidors que es dediquessin a fer còpies de seguretat (backups), i on
el nombre d’ordinadors augmentés sovint.
1.6.4 Instal·lació Ubuntu

Les versions Server de
Ubuntu s’instal·len, per
defecte, sense entorn gràfic.
Aquest fet la dota de més
seguretat, ja que com Un cop assolits els coneixements sobre el procés d’instal·lació d’alguna versió
menys serveis carregats hi
hagi, menys possibilitats hi orientada a estacions de treball o equips client d’algun sistema operatiu GNU/Li-
haurà que es produeixin
errades.
nux, podeu iniciar el procés d’instal·lació de la versió Server del sistema operatiu
GNU/Linux Ubuntu.
L’Ubuntu Server està orientat i optimitzat per treballar en servidors dedicats, sense
entorn gràfic. Les diferències principals que hi ha entre les versions Desktop i
Server se centren en algunes funcionalitats del nucli del sistema i en els serveis
que tenen instal·lats. Totes dues versions, però, poden fer de servidor o d’estació
de treball indistintament.
Instal·lació de la Ubuntu Server Edition
La instal·lació que segueix a continuació és la del Ubuntu 16.04 Server Edition.

La podeu descarregar des la pàgina oficial per seguir els passos. Des de la pàgina
d’Ubuntu també s’expliquen totes les maneres que hi ha d’aconseguir un CD/DVD
de la distribució.
Tot i que a continuació hi trobareu una descripció pas a pas de com fer la
instal·lació, també podeu visualitzar el procés en aquest video: https://vimeo.
com/181773917
El primer pas que haureu de fer és configurar el BIOS de l’equip en què instal·lareu
el sistema perquè arrenqui des del USB o lector de CD. Una vegada configurat, cal
que inseriu el USB o CD en el lector i arrenqueu el sistema. La primera tasca és
escollir l’idioma de la interfície tal i com mostra la figura 1.12
F i g ura 1 . 1 2. Pantalla d’idioma del Ubuntu Server
Un cop escollit l’idioma, ens mostra la pantalla d’opcions de la distribució tal i

com mostra la figura 1.13
Fig ur a 1 . 13 . Menú d’opcions de la distribució
Per instal·lar el sistema operatiu, seleccioneu l’opció Instal·la l’Ubuntu per a un

servidor. A continuació, apareixerà un menú de text que us guiarà durant tota la
instal·lació del sistema servidor. L’ús d’aquest menú és molt senzill: per moure-
us per les opcions utilitzareu les tecles del cursor o la tabulació i per escollir una
opció premereu el botó Enter.
Si heu triat l’idioma català, és possible que vegeu una pantalla informant que la
traducció al català no és completa i potser trobeu text en anglès. Podeu continuar
si hi esteu d’acord o tornar enrera per triar un altre idioma. Aquesta pantalla és la
de la figura 1.14
Fig ur a 1 . 1 4. Pantalla de informació sobre la traducció al

català.
La següent pantalla que veureu és la que permet escollir el país en què es troba
l’equip, important per configurar la data, hora i teclat. Aleshores seleccionareu el
país corresponent i continuareu la instal·lació. Podeu veure aquesta pantalla a la
figura 1.15
F i g ura 1 . 1 5. Pantalla amb les opcions de país.
El pas següent us dóna dues opcions: permetre que el sistema detecti la configura-
ció del vostre teclat o bé triar una configuració de la llista que hi ha. Escolliu
la opció de No, que és la més senzilla. En la llista, cal que escolliu el país
corresponent i, dins el país, la configuració correcta del teclat. Podeu veure aquests
configuracions a la Figura 1.16., Figura 1.17. i Figura 1.18.
F i g ura 1 . 1 6 . Pantalla de configuració del teclat
F i g ura 1 . 1 7 . Pantalla de configuració del teclat

Fig ur a 1 . 18 . Pantalla de configuració del teclat
Si en qualsevol moment de
la instal·lació voleu tornar
enrere, ho fareu amb la
Després d’escollir la configuració del teclat, apareixerà la pantalla on cal que opció Vés enrere, i podreu
escollir el pas al qual voleu
especifiqueu el nom de la vostra màquina en la xarxa (vegeu la figura 1.19). accedir a partir d’una llista.
Fig ur a 1 . 19 . Pantalla de tria de nom de la màquina
A continuació, establireu el nom complet de l’usuari que farà servir l’ordinador

(quan no sigui usuari administrador root). Haureu de pensar si aquest ordinador
el farà servir només una persona i hi podeu posar el seu nom, o hi treballarà més
d’un tècnic i hi podeu posar un nom genèric com per exemple administrador.Ho
podeu veure a la Figura 1.20.
Fig ur a 1 . 20 . Pantalla de tria de nom complet
Un cop escrit el nom complet de l’usuari, caldrà donar-li un nom d’usuari. El

sistema d’instal·lació us proposarà el nom de pila, tal i com mostra la figura 1.21
F i g ura 1 . 2 1. Pantalla de tria de nom d’usuari
A l’usuari creat li faltarà un password que haureu d’entrar a la següant pantalla.

És convenient recordar la necessitat de fer servir passwords molt segurs tal i com
us indica la figura 1.22
F ig ura 1 . 2 2. Pantalla de tria de la contrasenya
Un cop entrada la contrasenya, us demanarà que la torneu a entrar. El següent

pas serà indicar si voleu xifrar el vostre directori. És un mètode molt segur de
mantenir les dades privades, encara que us robin el disc dur o l’ordinador, però
augmenta el temps d’accés a les dades. En aquesta guia triareu que no, tal i com
mostra la figura 1.23
F i g ura 1 . 2 3 . Pantalla de tria del xifratge.

A la següent pantalla (figura 1.24) caldrà acabar de definir el fus horari.
Fig ur a 1 . 24 . Pantalla de tria del fus horari
A la següent pantalla podeu seleccionar el mètode de partició que voleu utilitzar

(figura 1.25).
Fig ur a 1 . 25 . Pantalla de tria del configurador de discs
Podeu escollir entre quatre mètodes.
Manual: us permet crear i formatar les particions en els discos durs del sistema.
La podeu triar si teniu un disc dur buit o si ja teniu particions creades en el
suport d’emmagatzematge, haureu d’escollir aquesta opció i muntar els diferents
directoris del sistema en les particions que vulgueu. Així, en seleccionar aquesta
opció, apareixerà una pantalla similar a la de la figura 1.26
Fig ur a 1 . 26 . Pantalla de configuració manual del disc

Heu de seleccionar la partició en què voleu muntar cada directori prement la tecla
Intro. En aquest exemple configurareu una partició primària per l’arrel del sistema,
una partició lògica per muntar la /home, i una partició lògica per la swap. Així
doncs, comenceu triant el disc dur pricipal i prement Intro. Veureu un menú com
el següent on us demanarà si voleu crear una taula de particions, i triarem sí (vegeu
la figura 1.27).
F i g ura 1 . 2 7. Pantalla per crear la taula de particions del

disc
Un cop teniu el disc amb una taula de particions, ja teniu disponible l’ESPAI
LLIURE per afegir-hi particions. Comenceu sel·leccionant l’espai lliure per crear
la partició arrel (/). Vegeu la figura 1.28
F ig ura 1 . 2 8. Pantalla amb l’espai lliure disponible
A la següent pantalla us demana què voleu fer amb aquest espai lliure. Trieu Crear
una nova partició per començar a configurar el disc dur. Veure figura 1.29
Fig ur a 1 . 29 . Pantalla amb la tria d’ús de l’espai lliure
La primera configuració serà la relativa a la mida de la partició nova. A l’exemple

de la figura 1.30 ho teniu configurat a 20GB per la partició arrel del sistema (/).
Fig ur a 1. 30 . Pantalla amb la configuració de la mida de

la partició
La segona configuració de la partició és relativa a la seva tipologia: Primària o

Lògica. Per instal·lar l’arrel trieu Primària tal i com mostra la figura 1.31.
Fig ur a 1 . 3 1. Pantalla de tria de la tipologia de la partició

nova
La tercera configuraió és relativa a on voleu que comenci aquesta partició: al

principi de l’espai lliure o al final. A l’exemple, i a la majoria de casos, trieu
Principi tal i com es mostra a la figura 1.32
F i g ura 1 .3 2 . Pantalla de tria de la ubicació de la partició

nova
La quarta configuració és relativa al sistema de fitxers i al punt de muntatge. Per

la partició arrel (/) de Ubuntu Server trieu ext4 pel sistema de fitxers i (/) pel punt
de muntatge, tal i com mostra la figura 1.33 Finalment, trieu S’ha finalitzat la
configuració de la partició per preparar la següent partició.
F i g ura 1 . 3 3 . Pantalla de tria del sistema de fitxers i el

punt de muntatge
Un cop acceptada la configuració de la partició, tornareu a la pantalla amb la vista

de les particions i l’espai lliure. Ara ja tindreu preparada la primera partició, tal i
com mostra la figura 1.34, i ja podreu clicar a Espai Lliure per començar a preparar
la següent.
F i g ura 1 . 3 4 . Pantalla amb la vista de les particions

realitzades
La següent partició serà pel punt de muntatge /home (on es guarden els fitxers de
l’usuari). Serà una partició nova, Lògica i creada al principi de l’espai lliure.
El sistema de fitxers serà ext4 i el punt de muntatge /home. Us ha de quedar com
a la figura 1.35
Fig ur a 1 . 3 5 . Pantalla amb la configuració de la partició

/home
En algunes distribucions no haureu de crear particions esteses quan instal·leu

el sistema operatiu, ja que al sel·leccionar una nova partició lògica, el sistema
ja crea l’estesa directament.
La última partició a configurar serà l’àrea d’intercanvi o swap. Serà una nova
partició, lògica, i el sistema de fitxers és àrea d’intercanvi o swap. Comproveu
a la figura 1.36 que us ha quedat igual.
Fig ur a 1 . 3 6. Pantalla amb la vista de la configuració

swap
Un cop acceptada la nova partició, ja tindreu a la vista el resum de tota la

configuració del disc dur (figura 1.37). En ella podeu comprovar el número de
partició (1-4 per primàries, i 5 en endavant per lògiques), el tipus de partició
(primària o lògica), la mida en GB, el sistema de fitxers (ext4 per exemple), i
el punt de muntatge.
Si esteu segurs de la configuració que heu fet, triareu Finalitza la partició i escriu
els canvis al disc. Amb això es modificarà la taula de particions del disc, i no
es podrà tornar enrera ni modificar-ho, a no ser que torneu a començar el procés
d’instal·lació i crear una nova taula de particions.
F i g ura 1 .3 7 . Pantalla amb el resum de les configuraci-

ons
Com que la configuració modifica el disc dur, veureu una pantalla de resum i
confirmació com la figura 1.38 Si heu fet bé les particions, podeu tirar endavant.
F i g ura 1 . 3 8 . Pantalla de confirmació
Els altres mètodes d’instal·lació que podem utilitzar són els següents:
• Guiat – utilitza el disc sencer, instal·larà el sistema en tot el disc en una

única partició sense respectar les particions que ja hi ha. També crearà una
partició lògic per l’àrea d’intercanvi o swap.
• Guiat – utilitza el disc sencer i configura l’LVM xifrat, instal·larà el

sistema en tot el disc en una única partició sense respectar les particions
que ja hi ha i ens configurarà el gestor de volums lògics xifrat, que xifrarà
la informació i ens demanarà una contrasenya d’accés.
• Guiat – utilitza el disc sencer i configura l’LVM, instal·larà el sistema en

tot el disc en una única partició sense respectar les particions que ja hi ha i
ens configurarà el gestor de volums lògics.
Si voleu triar aquesta última opció (configuració LVM), el primer que us dema-
narà és el disc dur on voleu treballar, i us anunciarà que prepararà el disc dur per
treballar amb volums lògics (no físics com al mètode manual) tal i com mostra la
figura 1.39
El gestor o administrador de volums lògics LVM permet, entre altres, crear

unitats lògiques a partir d’un o més discos durs, redimensionar particions
en calent i assignar els noms que vulguem als volums per a gestionar-los.
Aquests comportaments resulten molt útils a un servidor en explotació.
Fig ur a 1 . 39 . Pantalla de configuració LVM
En el següent pas podeu establiu la grandària del volum que volem gestionar amb
l’LVM. Si la grandària és petita us permetrà modificar-la mitjançant les eines de
l’LVM i us oferirà més flexibilitat. Ho podeu veure a la figura 1.40
Fig ur a 1 . 4 0. Pantalla amb la configuració de la mida del

LVM
Per defecte, us crearà una partició primària en format ext4 i una partició d’in-
tercanvi. Les dues particions ocuparan la grandària que heu determinat en la
pantalla anterior. En la partició ext4 es muntarà l’arrel del sistema. En un
partició lògica formatada en ext2 fora del volum, ens muntarà el directori /boot.
La partició que contingui /boot no podrà formar part d’un volum lògic, ja que
els carregadors d’arrancada no solen suportar aquest sistema de fitxers (aquesta
configuració la podeu modificar posteriorment). Podeu veure el resum de tota
aquesta configuració a la figura 1.41
F i g ura 1 . 41 . Pantalla amb el resum de configuració del

LVM
Tant si heu triat la opció de configuració manual com la instal·lació amb LVM,
la instal·lació continuarà fins que el sistema necessiti accedir a internet per fer
comprovacions i descarregar actualitzacions (veieu figura 1.42). En aquest punt
us demanarà si esteu rera un proxy o servidor intermediari. Si en teniu un, haureu
d’especificar la IP d’aquest. Si no en teniu cap, tirareu endavant.
F ig ura 1 . 42 . Pantalla amb la configuració del servidor

intermediari o proxy
La instal·lació continuarà i us preguntarà com voleu gestionar les actualitzacions

del sistema operatiu, tal i com mostra la figura 1.43 De forma predeterminada
el sistema no s’actualitza i ho heu de fer manualment, però també ho podeu
configurar de forma automàtica. També podeu fer servir l’eina Landscape de
Canonical, la qual permet gestionar (també via web) cada actualització de forma
independent, i eliminar-la si desestabilitza el sistema.
Fig ur a 1 . 4 3 . Pantalla amb la configuració de les actualit-

zacions
La següent pantalla és relativa al programari de servidor que voleu instal·lar junt

amb el sistema operatiu, ho podeu veure a la figura 1.44 Si ja sabeu que fareu
servir el programari Samba o OpenSSH, els podeu marcar per instal·lar. Podeu no
marcar res i fer-ho després manualment.
Fig ur a 1. 44 . Pantalla amb la configuració del programari

servidor
La instal·lació seguirà fins que us pregunti si voleu instal·lar el carregador GRUB,

tal i com mostra la figura 1.45 El GRUB és el gestor que permet arrencar un sistema
operatiu instal·lat al disc dur de la màquina. Com que aquesta màquina no tenia
cap sistema operatiu instal·lat, us avisa que serà necessari de configurar el GRUP,
i així ho fareu.
Fig ur a 1. 45 . Pantalla amb la configuració del gestor
GRUB
Aquesta haurà estat la última configuració. El sistema es reiniciarà i ja tindreu

accés a la pantalla de login del sistema, on haureu d’entrar el nom d’usuari i
constrasenya configurada durant la instal·lació. Ho podeu veure a la figura 1.46
Recordeu que la versió Server d’Ubuntu no té escriptori i només tindreu disponible
la línia de comandes. Podeu instal·lar manualment l’escriptori si ho desitgeu.
F i g ura 1 . 4 6. Pantalla de login

2. Configuració i monitoratge en sistemes GNU/Linux
Una vegada instal·lat el sistema operatiu, l’heu de poder configurar i actualitzar

segons les vostres necessitats. En el procés de configuració del sistema heu de
saber instal·lar i desinstal·lar els paquets de les aplicacions, els serveis i les utilitats
que calguin. També heu de saber com configurar els paràmetres de xarxa perquè
l’equip tingui accés a l’exterior. Per altra banda, és interessant conèixer el procés
d’aturada i arrencada del sistema i les eines per configurar tasques automatitzades.
Per tal de poder configurar el sistema operatiu, heu d’aprendre a comunicar-vos-

hi mitjançant les ordres bàsiques relacionades amb les diverses parts del sistema.
Heu de conèixer, entendre i modificar els fitxers de configuració del sistema més
utilitzats, els quals us permeten determinar els paràmetres que especificaran el
funcionament del sistema operatiu.
2.1 Ordres i fitxers bàsics de configuració GNU/Linux
En un sistema operatiu GNU/Linux amb entorn gràfic, com ara l’Ubuntu Desktop
Edition, moltes de les ordres que transmeteu al sistema es poden fer mitjançant
l’entorn d’escriptori amb botons, finestres, quadres de diàleg i editors sofisticats
de text. Les eines gràfiques (GUI) ofereixen una estètica millorada i una major
simplificació. Per això consumeixen més recursos computacionals i, en general,
redueixen la funcionalitat assolible. Tanmateix, no sempre us trobareu amb
sistemes amb l’entorn gràfic instal·lat, com en el cas dels servidors dedicats.
També pot ser que l’entorn gràfic no funcioni per diversos motius. En qualsevol
d’aquests casos us heu de poder comunicar amb el sistema per mitjà de l’intèrpret
d’ordres (shell).
Com a tècnics, heu de poder configurar el sistema operatiu en qualsevol situació.

La configuració per ordres és més seriosa, robusta i fiable que la configuració
gràfica. Al cap i a la fi, les eines gràfiques fan servir scripts que interpreta algun
intèrpret d’ordres.
2.1.1 L’intèrpret d’ordres
Per tal de poder treure el màxim partit al sistema, gestionar-lo, configurar-lo i

fer guions (scripts) que us permetin automatitzar tasques, heu de tenir clar en
què consisteix i com s’utilitza una de les eines més potents que us proporciona
el sistema operatiu, l’intèrpret d’ordres. Així doncs, podríeu definir l’intèrpret
d’ordres o shell (embolcall) de la manera següent:
L’intèrpret d’ordres és un programa informàtic que actua d’interfície entre

l’usuari i el sistema operatiu. Té la finalitat d’establir la comunicació entre
tots dos. Per fer-ho, interpreta i executa les ordres que l’usuari escriu des del
teclat i, a continuació, torna la resposta per pantalla.
L’intèrpret d’ordres estàndard és el Bash, però n’hi ha molts més, com sh, csh, ksh,
Prompt
dash.
Es diu prompt al caràcter o
conjunt de caràcters que es Per indicar que espera una instrucció, l’intèrpret d’ordres presenta un prompt
mostren en una línia de
comandes per indicar que el al començament de la línia. Segons la configuració predefinida per l’editor de
sistema està a l’espera d’ordres.
El prompt pot variar depenent de la distribució del GNU/Linux que utilitzem, aquest prompt pot tenir diferents
l’intèrpret de comandes i sol ser
configurable. aspectes.
El caràcter final d’aquests prompts indica el tipus d’usuari connectat:
• $: usuari sense drets especials.
• #: administrador amb tots els drets necessaris per a la configuració i el

manteniment del sistema.
Per defecte, la versió Ubuntu Server Edition treballa sense entorn gràfic i, una
vegada carregat el sistema, us hi haureu de comunicar mitjançant la línia d’ordres.
En la versió Ubuntu Desktop Edition hi ha un emulador de terminal amb la línia
d’ordres en la ubicació: Per obrir-la entreu a Aplicacions > Accessoris > Terminal
o el cercareu prement el botó de Ubuntu i entrant Terminal. També podeu obrir
el Terminal amb la combinació de tecles Ctrl + Alt + t. Per accedir-hi i obrir
diferents sessions de terminal també podeu polsar la combinació de tecles Ctrl +
Alt + F1 fins a F6, amb les quals desapareixerà l’entorn gràfic. Per tal de carregar
L’arxiu /etc/shells mostra els
intèrprets d’ordres coneguts
la sessió en què funciona l’entorn gràfic polseu Ctrl + Alt + F7.
en un sistema Linux.
Sense cap mena de dubte, una de les ajudes més utilitzades i que més facilita l’ús
del terminal és l’ajuda en l’acabament d’ordres. La majoria d’intèrprets d’ordres
moderns proporciona aquesta ajuda que consisteix a finalitzar ordres que estan
escrites d’una manera parcial.
És important tenir clara la diferència entre l’intèrpret d’ordres i els terminals.

Sovint s’utilitzen els termes línia d’ordres, terminal, shell, intèrpret de línia
d’ordres, consola com si fossin la mateixa cosa. El terminal és el component de
maquinari (antics teletips) o el programa que executa l’intèrpret d’ordres o shell.
Podem dir que hi ha tres tipus de terminals:
• Teletips o teleimpressores: són el antecessors del concepte de terminal

modern. Van aparèixer en la dècada de 1920 i els primers sistemes
eren sistemes completament mecànics formats per una màquina d’escriure
connectada directament a una impressora.
• Terminals virtuals: són els terminals als quals podem accedir amb la
combinació de tecles Ctrl+Alt+Fx en què x és el número de terminal. La
principal diferència amb els emuladors de terminal és que els terminals

virtuals no s’executen dins d’un entorn gràfic X Window.
• Emuladors de terminal: són aplicacions que emulen un terminal. Normal-

ment són aplicacions que s’executen en un entorn gràfic X Window i emulen
un terminal dins de la finestra de l’aplicació.
Els emuladors de terminal són aplicacions de les quals es poden executar múltiples
instàncies, cadascuna d’elles completament independent de les altres.
2.1.2 Sintaxi de les ordres
És important conèixer la sintaxi de les ordres per evitar que hi hagi gaires errors
d’escriptura.
En l’expressió més simple, sense opcions ni arguments, una ordre es transmet al

sistema quan se n’escriu el nom en la línia d’ordres.
1 [prompt]$ ordre
Si s’han d’especificar arguments, s’afegeixen a continuació de l’ordre en la

mateixa línia, separats per un espai.
1 [prompt]$ ordre arg1 arg2

Si no teniu clar quines
opcions té cada ordre,
Els tractaments o la sortida d’una ordre GNU/Linux sovint es poden modificar podeu consultar la
documentació del sistema o
mitjançant una opció. Hi pot haver diverses desenes d’opcions amb diferents utilitzar l’ordre man. Per
exemple, l’ordre man ls us
sintaxis per a una mateixa ordre. ofereix el manual de l’ordre
ls. Per sortir del manual
premereu la lletra q.
Principalment, hi ha dos tipus d’opcions: les opcions monocaràcter, heretades
de l’UNIX, precedides pel caràcter -, i les opcions llargues, afegides pel projecte
GNU, precedides pels caràcters - -. Totes dues s’han d’escriure separades per un
caràcter d’espai després de l’ordre i abans dels eventuals arguments.
2.1.3 Fitxers de configuració més utilitzats en el GNU/Linux
Dins dels sistemes operatius GNU/Linux hi ha moltíssims fitxers de configuració.

Tenen la finalitat d’establir els paràmetres de funcionament de les aplicacions o
els processos que configuren. Podeu trobar, entre altres, els fitxers de configuració
següents:
• Arrencada del sistema.
• Cadascun dels serveis i aplicacions disponibles en l’equip.
• Xarxa.
• Entorn gràfic.
• Diferents dispositius de maquinari.
• Usuaris.
• Gestió de paquets i dipòsits.
En general, n’hi ha un per a cada aspecte susceptible de configuració en el sistema

operatiu.
La majoria d’arxius de configuració els podeu trobar en el directori /etc.
A continuació, es mostren alguns dels fitxers de configuració més utilitzats o més

importants per la funció que fan:
• /etc/fstab Aquest arxiu conté informació sobre els dispositius que es mun-
taran automàticament durant l’arrencada del sistema.
• /etc/apt/sources.list Aquest arxiu conté informació sobre els dipòsits del

sistema operatiu.
• /etc/passwd Aquest arxiu controla l’ús d’usuaris, en contrasenyes, amb

permisos i grups que pertanyen a cada usuari.
• /boot/grub/menu.lst Aquí hi ha la configuració del GRUB (gestor d’arren-

cada).
• /etc/X11/xorg.conf Aquest arxiu conté la configuració de l’entorn gràfic

(pantalla, teclat, ratolí, targeta gràfica, etc.).
• /etc/network/interfaces Aquest arxiu conté les dades de configuració de la

xarxa.
• /etc/init.d/ Aquest directori conté scripts d’inici, arrencada i recàrrega de

la majoria de serveis del sistema.
Per editar aquests arxius podeu utilitzar els editors de text que hi ha en el sistema.
Entre els més utilitzats i que no depenen de l’entorn gràfic hi ha, per exemple, el
Vi, el nano, el JOE, etc.
Abans de modificar un arxiu de configuració és important fer-ne una còpia de

seguretat per tal de poder tornar enrere i resoldre possibles errors de configuració.
2.2 Gestió de paquets en el GNU/Linux
En els sistemes GNU/Linux els programes que instal·leu són conjunts de paquets.
En instal·lar una aplicació en aquests sistemes, en realitat s’instal·len paquets de
programari en el sistema operatiu.
Un paquet de programari és un arxiu que conté una sèrie de fitxers que es

distribueixen conjuntament i permeten la instal·lació d’un programa. La raó
principal de la distribució conjunta és que el funcionament de cada fitxer en
complementa o en requereix uns altres.
Això pot semblar un desavantatge en principi, però el sistema de paqueteria

confereix molta potència i sostenibilitat a aquests sistemes. Hi ha moltes aplica-
cions que simplifiquen la tasca d’instal·lació, cosa que el converteix en el sistema
d’instal·lació de programari més simple i segur que hi ha actualment.
Hi ha diferents tipus de paquets en funció de si estan compilats per a una

determinada distribució GNU/Linux o no. Els paquets compilats per a una
distribució es coneixen com a paquets binaris. Els més comuns són els .rpm,
que utilitzen Red Hat, Suse i derivats, i els .deb, que utilitzen Debian, Ubuntu i
derivats. Els paquets no compilats es coneixen com a paquets font. Habitualment
els trobem empaquetats i comprimits amb formats com .tar.gz o tar.bz2.
Els paquets binaris són paquets construïts específicament per a algun tipus
d’ordinador o arquitectura.
Els paquets font són senzillament paquets que inclouen codi font, i
generalment els pot utilitzar qualsevol tipus de màquina si el codi es compila
de manera correcta.
Un paquet deb/rpm també
es pot convertit en un altre
També podeu trobar els anomenats paquets virtuals (tonto o dummy). Són paquets format de paquet i viceversa
utilitzant l’aplicació Alien.
buits de contingut amb un nom genèric que proveeixen altres paquets mitjançant
dependències. El paquet Apache2 n’és un exemple.
Normalment tots els paquets per a una determinada distribució els podeu trobar
en els dipòsits.
Un dipòsit és un lloc centralitzat on s’emmagatzema i es manté informació

digital, habitualment bases de dades o arxius informàtics.
Els dipòsits estan preparats per distribuir-se habitualment mitjançant una xarxa
informàtica com Internet. Tanmateix, també els podem trobar en servidors de
xarxa LAN (intranet) o en un mitjà físic, com un CD o un DVD. Els dipòsits
poden ser d’accés públic o poden estar protegits, de manera que es necessita una
autenticació prèvia per accedir-hi. Dipòsits Ubuntu
A banda dels dipòsits en línia,
És molt més aconsellable instal·lar paquets des dels dipòsits en línia amb els Ubuntu proporciona una URL en
què podeu descarregar tots els
gestors de paquets. Una de les raons és que els paquets dels dipòsits en línia estan paquets oficials disponibles per a
una determinada versió.
actualitzats i permeten satisfer les dependències entre paquets, cosa que fa que el
procés d’instal·lació sigui més senzill.
La dependència d’un paquet consisteix en el fet que un altre paquet s’ha

d’instal·lar prèviament perquè el primer paquet funcioni correctament.
Els gestors de paquets són aplicacions que permeten gestionar paquets. Són
eines que faciliten les tasques més habituals relacionades amb la gestió de
paquets (instal·lació, cerques, eliminacions, etc.)
A continuació veurem un resum de la instal·lació dels diferents tipus de paquets

binaris principals des de la línia d’ordres i amb entorn gràfic.
2.2.1 Gestió de paquets DEB
El sistema de paquets DEB és el sistema de paquets de programari que utilitza

la distribució Debian i distribucions derivades. La seva estabilitat, el seu grau
d’actualització, la seva robustesa i rapidesa a l’hora de buscar dependències han fet
que sigui un dels tipus de paquets més utilitzats actualment. Altres distribucions
importants que han adoptat aquest sistema de paquets són Ubuntu, Knoppix, eBox.
Els paquets deb són arxius ar estàndard de l’UNIX que inclouen dos arxius
tar, en format gzip, bzip2 o lzma. L’un conté la informació de control
(scripts de manteniment i metadades) i l’altre els fitxers que s’instal·laran
en el sistema.
Normalment també inclouen un fitxer sense comprimir anomenat debian-binary,

que conté la versió del format dels paquets Debian. Aquest tipus de paquets són
originaris del sistema Debian i han estat adoptats pels seus derivats, com Ubuntu.
Entre les característiques principals hi ha les següents:
• Polítiques de qualitat estrictes abans d’alliberar versions de paquets noves.
• Faciliten l’aplicació d’actualitzacions sense necessitat de reiniciar la màqui-

na.
• Permeten configurar l’aplicació en el moment de la instal·lació (debconf).
• Permeten tasques prèvies a l’eliminació, la instal·lació i/o configuració d’un

paquet.
• Són utilitzats en totes les distribucions de la família Debian.
El programa principal utilitzat per gestionar aquest tipus de fitxers és el dpkg, tot
i que sovint s’utilitza mitjançant els frontals (front ends) apt i aptitude. També
podeu utilitzar interfícies gràfiques com el Synaptic, el PackageKit o el Gdebi.
Heu de diferenciar entre el nom del paquet i el nom del fitxer .deb que el conté.
Vegeu els exemple següents:
• Nom del paquet: nmap
• Nom del fitxer: nmap_4.76-0ubuntu4_i386.deb
Aleshores, per instal·lar el paquet de l’exemple fareu el següent:
1 $sudo apt−get install nmap
Els fitxers .deb dels paquets instal·lats els podem trobar en la carpeta /var/cac-
he/apt/archives
A continuació, veureu les diferents aplicacions o ordres per gestionar paquets .deb.
DPKG
Dpkg és l’abreviatura de Debian package i es tracta d’un equipament lògic per a la

gestió dels paquets en Debian i altres distribucions GNU/Linux basades en Debian
com Ubuntu. Així doncs, la seva definició seria la següent:
El programa dpkg és la base del sistema de gestió de paquets del sistema

operatiu Debian GNU/Linux. S’utilitza per instal·lar i desinstal·lar els
paquets .deb i també per proporcionar-ne informació sobre aquests paquets.
El dpkg és en si mateix una eina de baix nivell. Cal un frontal d’alt nivell per portar
els paquets des de llocs remots o resoldre conflictes complexos en les dependències
de paquets. Normalment com a usuaris utilitzarem aquestes eines d’alt nivell. El
sistema Debian compta amb l’APT per fer aquesta tasca.
Entre les opcions més interessants de l’eina dpkg hi ha les següents:
Accions de consulta:
• Llista els paquets que compleixen un determinat patró: dpkg -l | –list

nom_paquet_patró
• Mostra l’estatus actual d’un paquet i la metainformació del paquet: dpkg

-s | –status paquet
• Mostra la llista de fitxers instal·lats: dpkg -L | –listfiles paquet
• Busca un fitxer concret dins dels paquets instal·lats: dpkg -S | –search

nom_fitxer_patró
• Mostra detalls sobre un paquet instal·lat: dpkg -p | –print-avail

paquet
• Mostra informació sobre un paquet desinstal·lat: dpkg -I | –info

paquet
Accions de modificació del sistema (cal ser superusuari):
• Instal·la un paquet a partir d’un fitxer .deb.: dpkg -i | –install

fitxer_del_paquet
• Torna a configurar un paquet ja instal·lat. Executa l’script de postins-

tal·lació: dpkg –configure paquet
• Elimina un paquet però deixa els fitxers de configuració de sistema: dpkg

-r | –remove paquet
• Elimina un paquet i també els fitxers de configuració: dpkg -P | –purge

paquet
• Busca fitxers instal·lats parcialment en el sistema i suggereix què fer-ne:

dpkg -C | –audit
APT
APT és el sistema gestor de paquets d’alt nivell o front-end utilitzat per dpkg i,
concretament, pels sistemes Debian i derivats; així doncs, podem dir de l’APT
que:
L’APT no és un programa en si mateix, sinó una llibreria de funcions C++

utilitzada per altres programes de línia d’ordres, com ara apt-get o apt-cache,
entre altres.
Per veure les ordres que us proporciona l’APT podeu utilitzar la instrucció següent:
$dpkg -L apt | grep bin
El resultat de la qual seria el següent:
1 /usr/bin
2 /usr/bin/apt−cache
3 /usr/bin/apt−cdrom
4 /usr/bin/apt−config
5 /usr/bin/apt−get
6 /usr/bin/apt
7 /usr/bin/apt−key
8 /usr/bin/apt−mark
Abans de veure les ordres que s’utilitzen per gestionar paquets, heu de mencionar
l’arxiu /etc/apt/sources.list. Aquest arxiu és imprescindible per al funcionament
de l’APT, ja que conté la informació dels dipòsits de programari des dels quals es
descarregaran els paquets .deb que volem instal·lar en el sistema.
Per defecte, està configurat per descarregar els paquets de la xarxa, però el podeu
editar i canviar per descarregar-los des de CD o DVD o per modificar els dipòsits
que hi ha i afegir-n’hi de nous.
Per veure tots els arxius de configuració emprareu la instrucció dpkg –L apt |
grep etc
Per instal·lar paquets .deb utilitzarem l’ordre sudo apt-get install nom_paquet.
Vegeu aquest exemple:
1 $sudo apt−get install nmap
Per desinstal·lar paquets .deb utilitzarem l’ordre apt-get remove [–purge]

nom_paquet. Vegeu-ne l’exemple:
1 $sudo apt−get remove nmap
L’opció purge també elimina qualsevol fitxer de configuració del paquet desins-
tal·lat.
Les ordres següents són igualment interessants:
• Actualitza els dipòsits. Cada cop que feu un canvi en els dipòsits o vulgueu
comprovar si teniu les últimes versions dels paquets en els dipòsits, heu
d’executar una actualització (update) abans: apt-get update
• Actualitza tots els paquets instal·lats en les últimes versions que hi ha en els
dipòsits: apt-get upgrade
• Esborra paquets del sistema que ja no s’utilitzen, és a dir, paquets marcats

com a instal·lats automàticament i que ja no es fan servir: apt-get
autoremove
• Esborra paquets descarregats. Mitjançant aquesta ordre es guanya espai en

el disc dur: apt-get clean
També és interessant conèixer l’ordre apt-cache. L’ordre apt-cache no mani-

pula el sistema, però ofereix operacions per buscar i generar sortides interessants
en els paquets. Les opcions més utilitzades són les següents:
• Busca algun paquet amb el patró: apt-cache search patró
• Mostra la informació detallada d’un paquet: apt-cache show

nom_paquet
• Mostra les dependències d’un paquet: apt-cache depends nom_paquet
APTITUDE
Aptitude és una altra de les eines més utilitzades per a la gestió de paquets .deb,
utilitza com la resta d’eines la llibreria d’APT. Podeu definir Aptitude com:
L’aptitude és una interfície gràfica en mode text (ncurses) per a l’APT. També
es pot utilitzar com a ordre en la línia d’ordres. A les últimes versions
de Ubuntu cal instal·lar-la previament, amb l’ordre sudo apt-get install
aptitude.
La sintaxi i els resultats són molt semblants als de l’apt-get i l’apt-cache tot i
que no funcionen ben bé igual, sobretot pel que fa al maneig de les dependències
i a les opcions i la formatació de la sortida per pantalla. L’aptitude elimina
les dependències que queden orfes en desinstal·lar un paquet. L’APT no ho fa
automàticament, sinó que heu d’utilitzar l’ordre clean.
Per instal·lar paquets .deb amb l’aptitude utilitzareu l’ordre aptitude install
nompaquet. Vegeu l’exemple següent: $aptitude install traceroute
Per desinstal·lar paquets .deb amb l’aptitude utilitzareu l’ordre aptitu-

de remove/purge nompaquet. Vegeu-ne l’exemple: $aptitude remove
mysql-server-5.1
L’opció purge també elimina qualsevol fitxer de configuració del paquet desins-
tal·lat.
Les ordres següents també són interessants:
• Actualitza els dipòsits: aptitude update
• Actualitza tots els paquets instal·lats en les últimes versions que hi ha en els
dipòsits: aptitude upgrade
• Cerca algun paquet amb el patró: aptitude search patró
Si executeu l’aptitude en mode gràfic us apareix una pantalla com la següent

(vegeu figura 2.1).
F i g ura 2 . 1 . Eina Aptitude
Per fer servir la interfície gràfica haureu d’utilitzar les tecles següents, cadascuna
de les quals té la seva funció:
• Actualitza els dipòsits: u. Fa el mateix que l’ordre $sudo aptitude update.
• Actualitza tots els paquets instal·lats: U. Fa el mateix que l’ordre $sudo

aptitude upgrade.
• Quit, surt del programa: q
• Marca un paquet per instal·lar: +

• Marca un paquet per desinstal·lar. -
• La primera g mostra les tasques pendents i la segona g les aplica: gg
• Ajuda: ?
• Cerca un paquet per nom: /nom
Per tal d’instal·lar un paquet amb la interfície gràfica de l’aptitude seguirem els
passos següents:
1. Localitzeu el paquet en la categoria Paquets no instal·lats, mitjançant les

tecles del cursor i la tecla INTRO.
2. Seleccioneu el paquet que volem instal·lar i premem la tecla +. El paquet es

posarà en verd.
3. Premeu la tecla g i us presentarà un resum de les accions que es faran a

continuació.
4. Premeu g altra vegada i començarà la descàrrega i la posterior instal·lació

del paquet.
La primera columna reflecteix l’estat actual de cada paquet. S’usa la llegenda

següent:
• Paquet instal·lat: i
• Paquet no instal·lat, però la configuració del paquet encara és en el sistema:

c
• Paquet eliminat del sistema: p
• Paquet virtual: v
• Paquet trencat: B
• Arxius desempaquetats, però el paquet està sense configurar: o
• A mig configurar, la configuració va fallar i s’ha de reparar: C
• A mig configurar, va fallar l’eliminació i s’ha de reparar: H
Instal·lació i actualització de paquets en mode gràfic
Gairebé tots els sistemes GNU/Linux, en les versions amb interfície gràfica,
incorporen gestors de paquets en mode gràfic per facilitar les tasques d’instal·lació,
desinstal·lació, recerca i configuració de paquets.
El funcionament dels diferents gestors de paquets gràfics de cada distribució és

molt semblant. Nosaltres analitzarem el funcionament del Synaptic, un dels gestor
de paquets gràfic que incorpora l’Ubuntu Desktop Edition.
Synaptic
Synaptic és una altra de les eines més utilitzades, sobretot en entorns d’escriptori
GNOME, per a la gestió de paquets .deb. També utilitza la llibreria APT; el podem
definir com a:
El Synaptic és un programa que implementa una interfície gràfica per al

gestor de paquets APT en l’entorn d’escriptori GNOME. A les ultimes
versions d’Ubuntu cal instal·lar-lo amb l’ordre sudo apt-get install synaptic.
Normalment el Synaptic s’utilitza per a sistemes basats en paquets .deb, encara

que també es pot fer servir en sistemes basats en paquets .rpm.
El funcionament del Synaptic és fàcil i intuïtiu, de manera que qualsevol persona

sense coneixements específics sobre el funcionament del sistema el pot utilitzar.
Per accedir-hi anirem al menú Sistema > Administració > Gestor de paquets
Synaptic o cercareu synaptic.
Se’us obrirà el quadre de diàleg de l’aplicació. A la dreta del quadre de diàleg hi

ha la llista de paquets disponibles i la descripció del paquet que seleccioneu. A
l’esquerra hi ha diferents opcions per buscar els paquets que necessiteu. En la part
superior hi ha diversos botons i menús, com l’eina per cercar un paquet amb un
nom o descripció concreta.
La casella del costat del nom de cada paquet en determina l’estat: blanc si no està
instal·lat, verd si està instal·lat i amb un vist si està marcat per ser instal·lat. A la
següent figura 2.2 es mostra el Synaptic amb el navegador web Chromium marcat
per ser instal·lat.
F i g ura 2 . 2 . Eina Synaptic
Per instal·lar paquets amb el Synaptic els heu de buscar. Seguidament, hi heu de
fer doble clic al damunt. També podeu fer servir el botó dret del ratolí i seleccionar
l’opció Marcar-los per instal·lar. Una vegada marcats tots els paquets que voleu
instal·lar, cliqueu a Aplica. Si els paquets tenen dependències d’altres paquets,
us preguntarà si també les voleu instal·lar. Vegeu-ne l’exemple en la figura 2.2,
on hi ha marcats en verd dos paquets que s’instal·laran com a dependències del
navegador Chromium.
Per desinstal·lar un paquet (ha de tenir la casella verda al costat), hi heu de clicar al
damunt amb el botó dret del ratolí i seleccionar Marca per eliminar o Marca per
eliminar completament segons calgui. A continuació, heu de fer clic a Aplica.
Ho veieu a la següent figura figura 2.3
Fig ur a 2 . 3. Desinstal·lació d’un paquet instal·lat
Quan un paquet instal·lat té una estrelleta en la casella d’estat vol dir que hi ha
actualitzacions disponibles d’aquest paquet i el podem Marcar per actualitzar. Execució de gestors
Mai no hi pot haver més d’una
Des del Synaptic, entre altres coses, també podem actualitzar tots els paquets aplicació de gestió de paquets
oberta al mateix temps. Si una
instal·lats i modificar la configuració de les llistes de dipòsits de paquets de l’APT. aplicació de gestió de paquets es
penja pot deixar bloquejat
l’accés al dipòsit.
Tasksel
En els sistemes basats en Debian també hi podeu trobar l’aplicació Tasksel:
El Tasksel és un sistema d’instal·lació que us permet instal·lar de manera

senzilla tasques o agrupacions de paquets que instal·lats conjuntament
proveeixin una funcionalitat comuna.
Per exemple, hi ha tasques per instal·lar un sistema LAMP o entorns d’escriptori

com el GNOME o el KDE. Aneu en compte, si
deseleccioneu algunes de
les aplicacions marquades
Per tal d’iniciar el sistema d’instal·lació, heu d’executar l’ordre tasksel, que inicia amb * es desinstal·laran
una interfície gràfica en mode text que us permet seleccionar l’agrupació de

paquets que volem instal·lar, generalment serveis. Per altra banda, l’aplicació
tasksel s’executa per defecte en instal·lar el sistema Ubuntu Server Edition.
D’aquesta manera, permet instal·lar el sistema operatiu amb els serveis o les
funcionalitats que necessitem. En podeu veure l’aspecte en la figura 2.4.
Fig ur a 2 . 4. Eina Tasksel

2.2.2 Gestió de paquets RPM
El sistema de paquets RPM el va crear la companyia Red Hat. Per això es diu
RPM (Red Hat package manager). Amb el temps, d’altres distribucions han anat
adoptant aquest sistema d’empaquetatge de fitxers. Les distribucions principals
que l’han adoptat són Fedora, Suse i Mandrake.
Un paquet de programari construït amb RPM constitueix un conjunt de

fitxers i informació que hi està associada com un nom, una versió i una
descripció que acaben amb l’extensió rpm.
RPM
Els paquets amb format rpm utilitzen principalment l’ordre rpm per a la ins-
tal·lació. La sintaxi general d’una ordre d’instal·lació rpm és aquesta:
1 rpm -i [opcions] [paquets]
Les opcions poden ser algunes de les següents:
• - -test: efectua el procés d’instal·lació d’un paquet, però no l’instal·la

realment. S’utilitza més aviat per detectar problemes que puguin sorgir en
la instal·lació.
• - -nodeps: no s’efectuen verificacions de dependències abans de la ins-

tal·lació d’un paquet.
• - -force: força la instal·lació d’un paquet encara que sorgeixin problemes.
Vegeu l’exemple següent:

1 rpm -i −− nodeps vim−4.5−2.i386.rpm
La manera d’actualització de l’rpm proporciona un mètode senzill per renovar

paquets ja instal·lats en versions més modernes. El seu ús és similar al de la
instal·lació:
1 rpm −U [opcions] [paquets]

1 rpm −U vim−4.5−2.i386.rpm
La manera de desinstal·lar l’RPM proporciona un mètode net per eliminar els

arxius que pertanyen a un determinat paquet i que són en diferents llocs. Molts
paquets instal·len fitxers en /etc, /usr i /lib, cosa que fa que eliminar-los pugui ser
complicat. Amb l’RPM, però, un paquet complet es pot desinstal·lar mitjançant
l’ordre següent:
1 rpm −e [opcions] [paquets]
1 rpm −e vim−4.5−2.i386.rpm
YUM
L’aplicació YUM també és una eina important per administrar paquets RPM.
S’utilitza en distribucions importants com Fedora o CentOS. A més, el sistema
de dipòsits yum s’ha convertit en un estàndard per als dipòsits basats en l’RPM.
Sistemes com l’openSUSE basen els seus dipòsits en yum. Podem fer l’analogia
amb apt en els paquets Debian. Es pot considerar, doncs, que yum és el el frontal
de l’rpm. La sintaxi és similar a la de l’rpm:
1 yum [opcions] [comandes ] [paquet ...]
Les ordres, entre altres, poden ser les següents:
• Per instal·lar paquets: install. Vegeu l’exemple següent: yum install

tsclient
• Per actualitzar paquets: update.

L’ordre update actualitza els paquets que troba a continuació. Si no li
especifiquem un paquet, actualitza tots els paquets amb l’última versió.
Vegeu-ne un exemple: yum update
• Per esborrar paquets: remove o erase. Per exemple: yum remove

tsclient o yum erase tsclient
Els dipòsits des dels quals l’eina yum descarrega els paquets es configuren a la
carpeta /etc/yum.repos.d. L’estructura del dipòsit és diferent a la de Debian, però
la funcionalitat és la mateixa.
L’eina yum també disposa de molts entorns gràfics, com ara pirut o packagekit.
2.3 Actualització del sistema operatiu
Els sistemes GNU/Linux, per la filosofia que segueixen, s’actualitzen constant-

ment. Cada cert temps les distribucions GNU/Linux ofereixen versions noves
dels seus sistemes amb noves utilitats, aplicacions, llibreries, mòduls, millores
de seguretat i optimització de recursos, entre altres.
En algunes darreres versions, la versió del nucli del sistema també pot canviar
respecte a la versió anterior. Així, s’afegeix, per exemple, suport a dispositius o
eines que abans no tenien.
Durant el cicle de vida de cadascuna de les versions de les distintes distribucions

GNU/Linux, apareixen actualitzacions de paquets, mòduls i aplicacions que es
poden actualitzar individualment mitjançant els gestors de paquets o els gestors
d’actualitzacions de cada distribució. Tanmateix, arriba un moment en què per
qüestions de seguretat, rendiment, compatibilitat i obsolescència convé actualitzar
el sistema operatiu sencer.
Actualitzar el sistema operatiu consisteix a migrar a una versió nova i

actualitzada del mateix sistema sense perdre les dades que hi ha.
Abans d’actualitzar el sistema haureu de comprovar que l’equip compleixi el

requisits de maquinari del sistema nou. També haureu de fer còpies de seguretat,
sobretot dels fitxers de configuració del sistema (/etc) i de les dades dels usuaris
(/home).
L’actualització del sistema la podeu fer de diferents maneres. Les principals són
des d’un suport físic (CD/DVD o USB) o des de la xarxa. Aquesta última és la
més recomanada, ja que els paquets estaran actualitzats.
2.3.1 Actualització de l’Ubuntu Desktop Edition
A continuació veureu com actualitzar la versió Desktop mitjançant les eines

gràfiques que proporciona la distribució.
Per actualitzar el sistema, si teniu accés a la xarxa, haureu de fer el següent:
Anar al menú Sistema > Administració > Gestor d’actualitzacions o cercar-lo des
del botó de Ubuntu.
Tot seguit s’obrirà el Gestor d’actualitzacions, en què es veuen, entre altres, els
paquets que el sistema us recomana actualitzar. Per actualitzar tot el sistema ha
d’aparèixer la disponibilitat d’una versió nova. Si cliqueu a Actualitza, tal com es
veu en la figura 2.5, el sistema es començarà a actualitzar amb la darrera versió.
F i g ura 2 . 5 . Actualització de la versió d’Ubuntu

Des del Gestor d’actualitzacions d’Ubuntu també podreu actualitzar eines i

programari del sistema operatiu, tal i com mostra la figura 2.6.
Fig ur a 2 . 6. Actualització de programmari
Si no teniu accés a la xarxa, haureu d’utilitzar el CD o ISO d’instal·lació alternativa

de l’Ubuntu per actualitzar el sistema.
2.3.2 Actualització de l’Ubuntu Server Edition
Per tal d’actualitzar el sistema operatiu amb la versió Server de l’Ubuntu, heu
d’instal·lar (pot ser que ja estigui instal·lat) el paquet update-manager-core:
1 $sudo apt−get install update−manager−core
Executeu l’ordre d’actualització:

1 $sudo do−release−upgrade
A la següent figura (figura 2.7) es pot observar les ordres a realitzar, tot i que en
aquest exemple el servidor ja està actualitzat.
Fig ur a 2 . 7. Actualització del Ubuntu Server
En el cas que hi hagi una nova versió, confirmeu que voleu actualitzar el sistema
operatiu i començarà l’actualització des de xarxa. Al final del procés el sistema
us preguntarà si voleu eliminar els paquets obsolets. Li heu de dir que sí. Després
de l’actualització el sistema s’haurà de reiniciar. Una vegada reiniciat, ja tindreu
l’Ubuntu Server Edition actualitzat.
Si no teniu accés a la xarxa haureu d’utilitzar el CD o ISO d’instal·lació alternativa

de l’Ubuntu per tal d’actualitzar el sistema.
2.4 Interpretació dels processos d’arrencada i aturada als sistemes

GNU/Linux
Es coneix com a procés d’arrencada tot allò que succeeix en el vostre

ordinador des que l’engegueu fins que el sistema està operatiu al cent per
cent.
El procés d’arrencada comença amb el BIOS. En iniciar l’ordinador, el BIOS

passa a buscar el sistema o sistemes operatius que hi ha instal·lats en l’equip.
Cada vegada és més habitual fer que coexisteixin diversos sistemes operatius en
un mateix ordinador. Així doncs, cal que durant l’arrencada pugueu triar quin
d’aquests sistemes voleu executar. Aquesta tasca la fa un programa anomenat
gestor d’arrencada, que normalment resideix en el disc dur. El gestor d’arrencada
és el primer programa que s’executa i dóna pas a un menú per escollir el sistema
que es vol arrencar. Posteriorment, en el cas del GNU/Linux, es carrega el nucli i
s’executa el procés init.
D’altra banda, el procés que fa l’apagada d’una màquina l’anomenem procés

d’aturada.
Es coneix com a procés d’aturada tot allò què succeeix en el vostre ordinador
des que donem l’ordre d’aturada fins que el sistema deixa d’estar operatiu.
El procés d’aturada ofereix a l’administrador del sistema una sèrie d’opcions
com ara apagar o reiniciar el sistema.
2.4.1 Procés d’arrencada
A continuació veurem els passos que executa seqüencialment un sistema operatiu

GNU/Linux per iniciar-se; aquesta seqüència s’anomena procés d’arrencada.
Per ordre d’execució els passos del procés d’arrencada són els següents:
1. L’ordinador s’engega i s’executa el BIOS.
2. El BIOS verifica el maquinari bàsic (procés POST), inicia altres dispositius

(targeta gràfica, controladors de discs, etc.) i, finalment, cerca dispositius

d’arrencada: USB, CD, disc dur, etc.
3. Un cop el maquinari és reconegut i executat correctament, el BIOS carrega

i executa el programa Initial Program Loader (IPL), també conegut com a
fase 1 (stage 1) del gestor d’arrencada. Aquest programa és en el master boot
record (sector 0) del dispositiu seleccionat com a dispositiu d’arrencada.
4. Després de la fase 1 del carregador de l’arrencada (bootloader) s’executa la

fase 2. Alguns gestors d’arrencada (com grub), entremig d’aquestes fases,
executen la fase 1.5, fase opcional i que permet tenir accés a més sistemes
de fitxers.
5. El gestor d’arrencada sovint ofereix a l’usuari un menú amb diferents opci-

ons de càrrega. Un cop seleccionada una opció, s’executa el sistema operatiu
mitjançant la càrrega en memòria del nucli del sistema. A continuació,
les primeres tasques del nucli consisteixen a configurar funcions bàsiques
d’accés al maquinari.
6. El nucli executa la funció start_kernel(), que efectua la majoria de la

configuració del sistema (interrupcions, gestió de memòria, inicialització
de dispositius, controladors, etc.).
7. El nucli executa dos processos, el procés scheduler i el procés init de

manera separada.
8. El procés scheduler pren el control del sistema i és l’encarregat de gestionar

els processos i la multitasca del sistema. El nucli queda inactiu (idle) i
espera peticions d’accés a l’espai del nucli.
9. El procés init s’executa en espai d’usuari i executa els scripts d’inicialització

del sistema. Aquests scripts configuren serveis que no són per defecte del
sistema operatiu amb l’objectiu de crear un entorn d’usuari.
(a) Execució de /etc/init/rc-sysinit.conf (execució d’scrips d’inicialitza-

ció i entrada al nivell d’execució).
(b) Execució de guions de crida a processos dimoni.
(c) Activació de terminals de consola.
(d) Activació de l’entorn gràfic.
10. Finalment, es proporciona a l’usuari una pàgina d’inici de sessió que pot ser
per línia d’ordres o per entorn gràfic. També és possible configurar l’entorn
per tal que l’usuari entri sense necessitat de fer login.
En la figura 2.8 podeu veure de manera esquemàtica aquest procés.
F igu r a 2. 8 . Esquema del procés d’arrencada.
2.4.2 Gestors d’arrencada
Un gestor d’arrencada és el primer programari que s’executa quan s’arrenca

un ordinador. És el responsable de carregar i transferir el control a un altre
programari: el nucli del sistema operatiu, per exemple, el del GNU/Linux.
El nucli, al seu torn, inicia la resta del sistema operatiu. Els gestor d’arrencada més
conegut i utilitzat és el GRUB (grand unified bootloader). El gestor d’arrencada
és un programa mínim que s’instal·la en un dispositiu arrencable. El lloc més
habitual és l’MBR del primer disc dur o el sector d’arrencada d’un disquet.
2.4.3 El procés init
El procés init és el primer procés que executa el nucli en iniciar-se. És un procés

dimoni i, com que és el primer, té el PID número 1. L’arrencada que fa el procés
init en el GNU/Linux està basada en l’init de la versió System V de l’UNIX
(davant de l’arrencada basada en BSD). El procés init coordina la resta del procés
d’arrencada i es configura amb els fitxers de configuració dels fitxers del directori
/etc/init, que permeten definir diversos paràmetres de funcionament.
Procés dimoni
Un dimoni o daemon (disk and execution monitor ), és un tipus especial de procés informàtic
que s’executa d’una manera contínua en segon terme, en comptes de ser controlat
directament per l’usuari, és a dir, és un procés no interactiu. Generalment, els dimonis
no disposen d’una “interfície” directa amb l’usuari, ja sigui gràfica o textual i no fan ús de
les entrades i sortides estàndard per comunicar errors o registrar-ne el funcionament, sinó
que usen arxius del sistema en zones especials com /var/log/ o utilitzen altres dimonis
especialitzats en aquest registre com el syslogd.
La cronologia d’execució del procés init és la següent:
• A la carpeta /etc/init es troben els arxius de configuració d’inici on s’indica

els serveis bàsics: activar l’swap, carregar els mòduls necessaris del nucli,
inicialitzar la xarxa, revisar tots els sistemes de fitxers indicats en el fitxer
/etc/fstab i muntar-los, etc.
• El guió encarregat d’arrencar el sistema, acaba invocant un altre script

(normalment l’/etc/init.d/rc.local), que serà el que s’haurà de modificar en
el cas que es necessiti que el procés init faci alguna tasca addicional durant
l’arrencada.
• Una vegada finalitzada l’execució d’aquest script, el control torna al procés

init, que llegeix el paràmetre initdefault del fitxer de configuració.
Aquest paràmetre indica el runlevel en el qual s’ha d’arrencar el sistema. El procés

init executarà l’script /etc/init.d/rc per portar el sistema al runlevel configurat.
Aquest script també s’utilitza quan es fa un canvi de runlevel.
Els runlevels especifiquen com funciona un sistema en un moment determinat, és

a dir, els serveis que es vol que ofereixi (i els que no) en cada moment.
En cadascun dels nivells el sistema GNU/Linux arrenca o atura una sèrie de

processos que determinen les característiques del nivell i què s’hi pot fer:
• Un sistema pot estar configurat perquè en un nivell d’execució determinat

s’ofereixin serveis externs (per exemple, serveis web i DNS), però no
interns.
• El mateix sistema pot estar configurat perquè en un altre nivell d’execució

s’ofereixin serveis interns (per exemple, serveis DHCP i NFS), però no
externs.
• Canviant un runlevel per un altre s’aconsegueix que el sistema funcioni

d’una manera o d’una altra (per exemple, aturant els serveis externs i
arrencant els interns o a l’inrevés).
Nivells d’execució (runlevels)
A continuació veureu una taula (taula 2.1) que mostra els nivells d’execució o
runlevels que hi ha en els sistemes GNU/Linux i la descripció de cadascun.
Taul a 2. 1. Nivells d’execució.

Nivell d’execució Descripció
0 Atura el sistema. És un nivell especial que permet a

l’administrador aturar el sistema de manera ràpida.
1,s,S Single user mode (mode d’usuari únic, a vegades

anomenat mode de manteniment). En aquest nivell,
només funcionen els serveis bàsics del sistema (per
exemple, no funciona ni el cron ni el syslog). S’utilitza
per fer tasques de manteniment del sistema de
fitxers.
2 Multiusuari sense compartició de fitxers NFS.
3 Mode multiusuari complet. Habitualment aquest nivell

s’utilitza com a nivell per defecte per al procés init.
4 Normalment no s’utilitza.
Nivell d’execució Descripció
5 Mode multiusuari complet amb login mitjançant

interfície gràfica. En aquest nivell es llança el sistema
X Window. També pot ser el nivell per defecte, però hi
pot haver problemes si les X no arrenquen
correctament.
6 Rastreja el sistema. És un nivell especial que permet

a l’administrador reiniciar el sistema.
Mode monousuari
El mode monousuari (single user) es pot fer servir per corregir problemes amb
sistemes de fitxers corruptes que el sistema no pot resoldre automàticament.
També s’utilitza per instal·lar programari i altres tasques de configuració del
sistema que s’han de fer sense que hi hagi cap usuari connectat, com ara les còpies
de seguretat del sistema. En aquest mode l’únic procés d’usuari que es llança és el
sulogin, que només permet la validació com a arrel (root). Per tant, l’únic usuari
que pot treballar en aquest mode serà el superusuari.
Scripts de control dels serveis
Els serveis que estan instal·lats en el sistema creen un script situat en el directori
/etc/init.d, que permet controlar el servei (arrencar-lo, aturar-lo, reiniciar-lo, etc.).
Quan l’argument stop es passa al nom de l’script, el dimoni s’atura. Amb el
paràmetre start, en canvi, s’arrenca. Hi ha altres opcions, com ara restart, reload
o status.
Arrencada automàtica de serveis
El fet que un servei estigui instal·lat no vol dir que estigui configurat per arrencar-
se automàticament en iniciar el sistema. Per això s’ha d’activar.
Un servei que estigui activat s’arrencarà automàticament.
Per veure tots els serveis instal·lats i l’estat en què es troben (activat/desactivat)
s’ha d’usar l’ordre service –status-all per distribucions Ubuntu a partir de la 15.04
o initctl list per qualsevol distribució.
Configuració dels serveis per runlevel
Quan s’activa un servei, el que realment es fa és configurar certs runlevels perquè

arrenquin o aturin els serveis en entrar-hi. Mitjançant un fitxer de configuració
s’indicaran els runlevels en què es configura un servei activat. Aquest fitxer és
el mateix que permet controlar els serveis (els fitxers de control del directori
/etc/init.d).
Amb el paràmetre Default-Start i Default-Stop es defineixen els runlevels en què

un servei s’arrenca o s’atura quan està funcionant. Quan el servei està desactivat
no s’arrenca ni s’atura en cap runlevel.
Per modificar la configuració s’haurà de desactivar el servei, modificar el paràme-

tre i tornar a activar el servei.
Configuració dels runlevels
Durant el procés d’arrencada l’script /etc/init.d/rc és l’ que efectua els passos

necessaris per entrar en un runlevel o passar d’un runlevel a un altre.
Per configurar els runlevels heu d’accedir al directori /etc/, on trobem una sèrie
de directoris, un per a cada nivell d’execució:rc0.d – rc6.d.
Aquest directori conté scripts individuals d’aturada i arrencada per a cada servei
en el sistema. En cadascun dels directoris dels runlevels (des de /etc/rc0.d fins
/etc/rc6.d) hi ha enllaços simbòlics que apunten als scripts del directori /etc/init.d.
Aquests enllaços tenen la sintaxi següent:
[K|S][número_seqüència][descripció]
• K|S: La K significa ‘kill’ i la S significa ‘start’. Així doncs, la S indica els

serveis que s’han d’estar executant en el nivell i la K els que deuen estar
aturats.
• número_seqüència: indica l’ordre en què els serveis s’han d’arrencar o

aturar. Primer s’executen els de seqüència més baixa. Si són iguals, s’escull
per ordre alfabètic.
• descripció: normalment el nom de l’script que està enllaçat. El procés

init no utilitza aquest nom, però serveix per facilitar-ne la identificació a
l’administrador.
Quan el procés init entra en un nivell d’execució examina els enllaços del directori
associat, els llista alfabèticament i els executa amb un paràmetre: start si comença
per S i stop si comença per K.
Durant l’arrencada, per tal de seleccionar el nivell d’execució per defecte, el

procés init llegeix el fitxer de configuració /etc/init/rcsysinit.conf i cerca una
línia amb la paraula env DEFAULT_RUNLEVEL . Aquest número indica el
nivell d’execució o runlevel que carregarà el sistema per defecte. Heu d’anar amb
compte i no posar mai el nivell 0 o el nivell 6, ja que provocaríeu que el sistema
no es pogués arrencar.
Per conèixer el nivell d’execució en què us trobeu una vegada arrencat el sistema
podem utilitzar l’ordre runlevel, la qual mostra el nivell d’execució actual i
l’anterior mitjançant un número. Si no s’ha efectuat cap canvi de nivell, el nivell
anterior apareixerà com a N.
Per tal de canviar el nivell d’execució podeu utilitzar l’ordre init o telinit. Aquesta
última és un enllaç a init. Així doncs, el nivell es pot indicar amb el número de
nivell corresponent o si voleu canviar al mode monousuari amb les lletres S o s.
Per exemple, l’ordre següent us passaria del runlevel actual al runlevel 3: $sudo
init 3
2.4.4 Systemd a les noves distribucions
Systemd és el nou sistema i gestió de serveis de Linux, disponible a les noves

distribucions GNU/Linux com Ubuntu o Fedora des de les versions 15 i 16. És
compatible amb les existents SystemV i LSB, però incorporen nous sistemes de
nivells d’execució i de gestió de serveis.
Runlevels amb Systemd
Systemd fa servir el concepte de target enlloc de runlevel, quedant de la següent

manera (taula 2.2):
Taul a 2. 2. Targets.
Nivell d’execució SystemV Target Systemd Descripció
0 poweroff.target Atura el sistema.
1 rescue.target Entrar en mode manteniment.
2,3,4 multi-user.target Multiusuari, interfície no gràfica.
5 graphical.target Usuari, interfície gràfica. target

per defecte.
6 reboot.target Rastreja el sistema.
Per canviar de target haureu d’entrar, per exemple: systemctl isolate graphi-
cal.target. Amb aquesta última comanda entrareu a l’antic nivell d’execució 5.
Per definir un target predeterminat haureu d’entrar: systemctl set-default

<nom_del_target>.target .
Per saber el target actual haureu d’entrar: systemctl get-default.
Systemd també afegeix noves opcions per gestionar els serveix. Així doncs, per
veure els serveis en funcionament entrareu systemctl.
Per aturar un servei entrareu: systemctl stop nom_servei.
Per iniciar un servei entrareu: systemctl start nom_servei.
I per conèixer l’estat d’un servei: systemctl status nom_servei.
Systemd continua sent compatible amb les ordres anteriors per gestionar serveis,
com service nom_servei status.
2.4.5 Procés d’aturada
En els sistemes GNU/Linux hi ha una ordre per aturar el sistema, l’ordre shut-
down.
L’ordre shutdown és la responsable de l’aturada del sistema. L’administrador

té els privilegis necessaris per executar-la directament. Amb aquesta ordre
el sistema es pot aturar, apagar o reiniciar. Pot enviar un missatge a tots els
terminals del sistema perquè els usuaris sàpiguen que hi hauria una apagada
imminent.
Les ordres que pot executar shutdown són reboot, halt i poweroff. Són les que
realment reinicien, aturen o apaguen el sistema, respectivament. L’ordre poweroff
és equivalent a halt -p.
Per conèixer totes les opcions de l’ordre shutdown podeu consultar el manual del
sistema amb l’ordre man shutdown.
2.5 Configuració dels paràmetres de xarxa als sistemes GNU/Linux
Heu de considerar la importància del procés de configuració dels paràmetres de

xarxa en els sistemes operatius GNU/Linux.
Qualsevol sistema operatiu GNU/Linux està preparat per treballar en xarxa, ja

que incorpora suport natiu per a TCP/IP. En alguns sistemes GNU i, en concret,
en l’Ubuntu, la configuració de xarxa s’efectua per defecte durant la instal·lació.
Tanmateix, hi ha diverses ordres que permeten comprovar i modificar aquesta
configuració. Els passos que heu de seguir per configurar-la correctament són:
• Detecció i configuració del maquinari de xarxa.
• Assignació dels paràmetres de xarxa, adreça IP, màscara de xarxa, porta

d’enllaç, nom de la màquina a la xarxa, servidor DNS.
2.5.1 Detecció i configuració del maquinari de xarxa

L’ordre lspci proporciona
informació sobre el bus PCI
El primer pas per poder configurar el maquinari de xarxa del vostre equip, una i altres dispositius del
sistema, grep filtra els
vegada arrencat, és confirmar que el sistema operatiu n’ha detectat els dispositius resultats pel patró que
segueix.
de xarxa. Heu d’assegurar-vos que el sistema ha detectat i reconegut la targeta o
targetes de xarxa que teniu instal·lades. Si no les ha detectat, haureu de determinar
si el nucli del sistema suporta els controladors de les targetes. En aquest cas haureu
de tenir o descarregar els mòduls adequats per tal de modificar-los i compilar-hi
el nucli.
Per tal de saber si la targeta de xarxa que teniu instal·lada en l’equip s’ha detectat
i mostrar-ne alguns dels paràmetres, podeu utilitzar l’ordre següent:
1 lspci | grep Ethernet
2.5.2 Assignació de paràmetres de xarxa
Una vegada us hàgiu assegurat que els dispositius físics de xarxa de l’equip
funcionen correctament, heu de determinar si la configuració dels paràmetres
de xarxa assignats per defecte a la instal·lació del sistema és correcta o l’heu de
modificar.
Els paràmetres que heu de tenir en compte són els següents:
• Adreça IP
• Màscara de xarxa
• Porta d’enllaç
• Nom de l’equip en la xarxa
• Servidor de DNS
També és interessant tenir en compte les taules de rutes del vostre equip, sobretot
si actua com un encaminador a la xarxa.
Els paràmetres anteriors es poden establir automàticament de manera dinàmica si

disposeu d’un servidor DHCP a la xarxa. En aquest cas només haureu d’indicar
en el fitxer corresponent que la configuració s’establirà mitjançant DHCP. Si els
paràmetres de xarxa anteriors no els determina un servidor DHCP, és a dir, són
estàtics, els haureu d’establir manualment.
En l’Ubuntu 9.04 Desktop Edition aquestes configuracions les podem fer gràfica-
ment o mitjançant la línia d’ordres. Aquesta última opció és la mateixa per a la
versió Server.
Per tal d’establir els paràmetres de xarxa gràficament, feu clic amb el botó dret del
ratolí al damunt de la icona de xarxa de la part superior esquerra de la pantalla i
seleccioneu l’opció Edita les connexions.
Depenent del tipus de configuració que tingueu (amb fil o sense, dsl, etc.),
seleccioneu la interfície que voleu configurar i polseu el botó Edite. A continuació
apareixerà un quadre en què heu de seleccionar la pestanya Parametres IPv4. Tal
com podeu veure en la figura 2.9, hi heu d’establir els paràmetres de configuració
que vulgueu mitjançant les diverses opcions que ofereix.
Fig ur a 2 . 9. Configuració de la xarxa
Per fer la configuració mitjançant la línia d’ordres heu d’editar el fitxer /etc/-
network/interfaces. Per exemple:
1 $sudo nano /etc/network/interfaces
En el fitxer hi ha d’haver les línies següents per configurar dinàmicament els

paràmetres de xarxa amb un servidor DHCP:
1 auto ethx
2 iface ethx inet dhcp
La x és el número de la interfície de xarxa (les noves distribucions fan servir altres

codis per les interfícies, com enp0s3, però es configuren de la mateixa manera) .
Hi haurà tantes repeticions d’aquestes línies en el fitxer com targetes de xarxa
necessiteu configurar.
Per configurar estàticament els paràmetres de xarxa, afegiu en el fitxer les línies
que apareixen en l’exemple següent:
1 auto eth0
2 iface eth0 inet static
3 address 192.168.3.90
4 netmask 255.255.255.0
5 gateway 192.168.3.1
6 dns−nameservers 8.8.8.8
Address especifica l’adreça IP de l’equip, netmask, la màscara de xarxa utilitzada,

i gateway, la porta d’enllaç de la xarxa. L’Ubuntu configura el DNS i els noms de
màquines de la mateixa manera que altres distribucions.
Utilitza dos fitxers:
• /etc/hosts: Per a la resolució estàtica de noms.
• /etc/resolv.conf: Per a la resolució de noms mitjançant DNS.
El fitxer /etc/hosts és el fitxer que el sistema llegirà per defecte si la vostra màquina
no utilitza un servidor DNS. Si l’editeu, $sudo nano /etc/hosts, veureu el següent:
1 127.0.0.1 localhost
2 192.168.0.1 nomdomini
Podeu establir manualment el nom i l’adreça de les màquines que voleu resoldre.
Per establir manualment el servidor DNS de la xarxa, afegiu l’entrada dns-

nameservers a la configuració IP que heu fet al fitxer interfaces, ja que no heu
d’editar manualment el fitxer /etc/resolv.conf. Per consultar els DNS que heu
entrat:
1 $sudo nano /etc/resolv.conf
A continuació, veurem el següent:
1 domain local.lan
2 search local.lan
3 nameserver 8.8.8.8
Els paràmetres domain i search indiquen el domini a què pertany la màquina i el

paràmetre nameserver indica els servidors de DNS als quals l’equip consultarà
per a la resolució de noms. L’ordre de línia de DNS determina quin servidor es
consultarà primer.
Després de fer els canvis en els diversos fitxers de configuració dels paràmetres de
xarxa, heu de reiniciar els serveis de xarxa perquè els canvis tinguin efecte amb
l’ordre:
1 /etc/init.d/networking restart
2.5.3 Eines de xarxa
Una vegada configurats els paràmetres de xarxa del sistema, heu de comprovar
que funcionin correctament. Per fer-ho podeu utilitzar una sèrie d’ordres o eines
que hi ha en tots els sistemes operatius GNU/Linux. Aquestes ordres serveixen
per fer el monitoratge del funcionament de la xarxa. Les ordres principals són les
següents:
Ordre ping
L’ordre ping és una de les ordres més utilitzades per diagnosticar el funcionament
dels diferents elements d’interconnexió o nodes d’una xarxa.
L’ordre ping és molt útil per comprovar si una màquina concreta és

accessible per mitjà de la xarxa IP. Aquesta ordre utilitza el protocol ICMP
i més concretament el paquet echo request.
ICMP és un subprotocol de
control i notificació d’errors
del protocol IP. L’origen del nom constitueix una analogia amb el ping-pong (envies un “ping”
i reps una confirmació, “pong”). L’ordre ping estima el temps en mil·lisegons
que tarda un paquet a fer el trajecte d’anada i tornada. Aquesta ordre és útil per
comprovar si la connexió a Internet funciona o si una màquina és a la xarxa. Vegeu
l’exemple següent:
Per comprovar que el servidor web de Google està funcionant, executaríeu l’ordre
següent: El paràmetre -c 4 us
determina el nombre de
sol·licituds de resposta o
1 $ping −c 4 google.com ECHO_REQUEST paquets.
2 Pinging www.l.google.com [64.233.183.103] with 32 bytes of data:
3 Reply from 64.233.183.103: bytes=32 time=12ms TTL=244
7 Ping statistics for 64.233.183.103:
8 Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
9 Approximate round trip times in milli−seconds:
10 Minimum = 12ms, Maximum = 12ms, Average = 12ms
Si el servidor respon com en aquest exemple, l’ordre ping us retorna la IP del

servidor, els bytes del paquet, el temps que ha trigat a respondre i el time to live o
nombre de salts possibles de cada paquet fins al servidor. A més, al final mostra
un resum de les estadístiques de l’ordre ping.
Ordre traceroute
L’ordre traceroute permet seguir la pista dels paquets que van d’un node de
xarxa a un altre i especificar el camí que han recorregut.
Aquesta ordre no ha d’estar instal·lada per defecte en el sistema. La podeu instal·lar

a l’Ubuntu amb l’ordre següent:
1 $sudo apt−get install traceroute
Per fer ús de traceroute cal escriure, després de l’ordre, l’adreça de xarxa o el nom
del domini al qual voleu arribar. Vegeu l’exemple següent:
Voleu conèixer el camí, és a dir, els nodes pels quals passaran els paquets, en
establir una comunicació amb el servidor de Google. Així executeu l’ordre
següent:
1 $traceroute www.google.com
2 traceroute to www.l.google.com (64.233.169.99), 64 hops max, 40 byte packets
3 1 1 ms 1 ms 1 ms 192.168.1.1
4 2 * 53 ms 116 ms 192.168.153.1
5 3 48 ms 48 ms 45 ms 66.Red−80−58−123.staticIP.rima−tde.n 3.66]
6 4 48 ms 48 ms 46 ms So−3−0−0−0−grtbcnes1.red.telefonica−t
[84.16.9.253]
7 5 68 ms 67 ms 88 ms Xe11−0−0−0−grtpartv1.red.telefonica−t
[84.16.13.142]
8 6 65 ms 64 ms 64 ms GOOGLE−xe−9−0−0−0−grtpartv1.red.tele sale.net
9 \[84.16.6.106]
10 7 66 ms 67 ms 68 ms 209.85.251.40
11 8 140 ms 74 ms 74 ms 209.85.243.111
12 9 72 ms 75 ms 72 ms 72.14.236.191
13 10 78 ms 72 ms 84 ms 209.85.243.93
14 11 72 ms 74 ms 75 ms wy−in−f99.1e100.net [209.85.227.99]
L’ordre us retorna la IP del servidor Google, el nombre de salts (nodes) pels quals
passen els nostres paquets, la IP o el nom de màquina de cada node i el temps
d’anada i tornada de les tres proves que fa l’ordre traceroute per a cada salt.
Ordre ifconfig
L’ordre ifconfig és una eina GNU/Linux per configurar i consultar els

paràmetres de les interfícies de xarxa del sistema.
L’ordre ifconfig és una eina bàsica per conèixer i configurar els paràmetres de
xarxa d’un equip, en permet conèixer i configurar les IP de les interfícies de xarxa,
les MAC, els errors i les estadístiques de transmissió, entre altres informacions.
L’ordre ifconfig potser no Així doncs:
mostra totes les interfícies
de xarxa d’un equip
depenent de si són sense fil,
etc.
Si executem l’ordre sense paràmetres us mostra la informació de cadascuna de les
interfícies de xarxa configurades a l’equip.
1 $ifconfig
2 eth0 Link encap:Ethernet HWaddr 00:0A:E6:C6:07:85
3 inet addr:132.18.0.16 Bcast:132.18.0.255 Mask:255.255.255.0
4 inet6 addr: fe80::20a:e6ff:fec6:785/64 Scope:Link
5 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
6 RX packets:18458 errors:0 dropped:0 overruns:0 frame:0
7 TX packets:8982 errors:0 dropped:0 overruns:0 carrier:0
8 collisions:0 txqueuelen:1000
9 RX bytes:4015093 (3.8 MiB) TX bytes:1449812 (1.3 MiB)
10 Interrupt:10 Base address:0xd400
En la primera línia podem veure el nom de la interfície, eth0, l’adreça IP, l’adreça
de broadcast i la MAC; en la línia següent us mostra, entre altres dades, l’adreça
ipv6 corresponent. La línia següent us proporciona la grandària màxima (MTU)
dels paquets transmesos per aquesta interfície i la mètrica; la resta de línies us
mostren estadístiques sobre els paquets rebuts i enviats per la interfície i dades
referents al maquinari com el nombre d’interrupció de la targeta de xarxa i l’adreça
de memòria relacionada.
Ordre netstat
L’ordre netstat és una eina per veure les connexions actives d’un ordinador, tant
d’entrada com de sortida.
La informació que es retorna inclou el protocol en ús, les adreces IP (tant locals
com remotes), els ports locals i remots utilitzats i l’estat de la connexió. Vegeu
l’exemple següent:
1 $netstat −nr
• -n: significa que retorni diverses ip en comptes de noms dns.
• -r: significa que mostri la taula de rutes.
Per veure tots els ports oberts, cal fer el següent:
1 $netstat −a
Per consultar els ports en escolta, cal fer el següent:
1 $netstat −l
Ordre nmap
L’ordre nmap us serveix per rastrejar els ports d’una màquina i mostrar-ne
l’estat. S’utilitza sobretot per avaluar la seguretat del sistema i per veure els
serveis que ofereix.
Ho heu de tenir en compte, ja que també pot ser utilitzada en contra vostra amb
finalitats malicioses.
Per comprovar quins ports estan oberts en el nostre equip, podeu executar des del
mateix l’ordre següent:
1 $sudo nmap localhost

2 Starting Nmap 4.76 ( http://nmap.org ) at 2010−03−30 20:11 CEST
3 Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
4 Warning: RateMeter::update: negative time delta; now=1269972704.235719;
5 \last_update_tv=1269972704.235809
6 Interesting ports on localhost (127.0.0.1):
7 Not shown: 989 closed ports
8 PORT STATE SERVICE
9 22/tcp open ssh
10 80/tcp open http
11 139/tcp open netbios−ssn
12 389/tcp open ldap
13 445/tcp open microsoft−ds
14 631/tcp open ipp
15 2049/tcp open nfs
16 Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds
Aquesta ordre us mostra per defecte tots els ports tcp, especificant-ne el número i
el protocol al qual correspon, que tenim oberts.
Ordre route
L’ordre route permet veure i manipular la taula de rutes del sistema operatiu. La
taula de rutes emmagatzema les rutes en els diferents nodes de la xarxa.
Aquesta opció és molt interessant si el vostre equip s’encarrega d’encaminar el

trànsit de la vostra xarxa. Vegeu l’exemple que es mostra a continuació:
Per consultar la taula de rutes de l’equip en el qual us trobeu utilitzeu la comanda

següent:
1 $route
2 Kernel IP routing table
3 Destination Gateway Genmask Flags Metric Ref Use Iface
4 10.0.2.0 * 255.255.255.0 U 1 0 0 eth0
5 link−local * 255.255.0.0 U 1000 0 0 eth0
6 default 10.0.2.2 0.0.0.0 UG 0 0 0 eth0
Aquesta ordre us mostra les rutes configurades en el nostre sistema, és a dir,

ens apareixen les IP de les xarxes cap on el vostre sistema enviarà directament
els paquets que hi vagin destinats, sempre que hi hagi una ruta per defecte, que
normalment coincideix amb la passarel·la (gateway) de la xarxa.
Ordre ip
L’ordre ip és dins del paquet iproute2.
El paquet iproute2 és un conjunt d’eines molt potents per administrar

interfícies de xarxa i connexions en sistemes GNU/Linux. Aquest paquet
reemplaça completament les funcionalitats presents en les ordres ifconfig,
route i arp. Les amplia i arriba a tenir característiques similars a les que
proveeixen dispositius que estan exclusivament dedicats a l’encaminament i
al control de trànsit.
Aquest paquet el podem trobar inclòs en el Debian i el Red Hat amb versions del
nucli a partir de la 2.2.
La sintaxi i la descripció de l’ordre ip es detalla a continuació:
1 ip [ opcions ] objecte [ ordre[ arguments]]
L’objecte pot tenir els valors següents:
• Utilitzat per configurar els objectes físics o lògics de la xarxa: link
• Serveix per manejar adreces associades als diferents dispositius. Cada

dispositiu ha de tenir, almenys, una adreça associada: address
• Permet als usuaris veure els enllaços de veïnatge, afegir entrades de veïnatge
noves i esborrar les antigues: neighbour
• Permet als usuaris veure les polítiques d’encaminament i canviar-les: rule
• Permet als usuaris veure les taules d’encaminament i canviar-ne les regles:
route
• Permet als usuaris veure els túnels IP i les propietats que tenen, i canviar-los:
tunnel
• Permet als usuaris veure les adreces multienllaç i les propietats que tenen, i
canviar-les: maddr
• Permet als usuaris establir, canviar o esborrar l’encaminament multienllaç:

mroute
• Permet als usuaris monitoritzar contínuament l’estat dels dispositius, les

adreces i les rutes: monitor
2.6 Automatització de tasques als sistemes GNU/Linux
L’automatització de tasques és uns dels mètodes de treball que més faciliten

la feina dels tècnics, ja que eviten la interacció directa amb el sistema per fer
qualsevol conjunt de tasques. Així doncs, podem definir l’automatització de
tasques de la manera següent:
L’automatització de tasques és el conjunt de mètodes que serveixen per fer

tasques repetitives en un ordinador. El principi bàsic d’automatitzar és que
l’usuari del sistema no intervingui en un procés sistemàtic real. Si hi intervé,
aquesta intervenció ha de ser mínima.
El procés d’automatitzar depèn de certes activitats metòdiques prèviament pro-

gramades ordenadament i que poden ser repetitives mitjançant cicles, com ara
l’execució de determinats scripts.
Per mantenir el funcionament correcte d’un sistema complex com el GNU/Linux

s’ha de fer molta feina.
Moltes de les tasques que s’han d’efectuar són rutinàries: rotació dels fitxers de
registre, neteja de fitxers i directoris temporals, reconstrucció de bases de dades
del sistema, còpies de seguretat, etc. A continuació, veureu algunes de les eines
que us ofereix el GNU/Linux per automatitzar diverses tasques.
Cron
Una de les eines més utilitzades en els sistemes GNU/Linux per automatitzar
tasques és l’eina cron.
Cron és un servei de planificació de tasques basat en temps que s’utilitza

molt en sistemes operatius basats en l’UNIX.
El Cron és el nom del programa que permet als usuaris de sistemes GNU/Linux
executar ordres o guions d’intèrpret d’ordres de manera automàtica en una
data i un temps específics. Sovint els administradors de sistemes fan servir aquest
programa com a eina per automatitzar tasques d’administració.
Per fer-lo servir utilitzem l’ordre crontab:
• Per editar el fitxer de planificació de l’usuari: -e
• Per visualitzar el fitxer de planificació de l’usuari: -l
• Per esborrar el fitxer crontab: -r
• Operarà amb el fitxer crontab de l’usuari indicat: -u user
Només l’usuari primari pot editar o eliminar el fitxer crontab d’altres usuaris.
Mitjançant les ordres anteriors programarem les tasques per a l’usuari logejat en
el sistema en aquell moment.
Per tal de programar tasques per a tot el sistema, editeu el fitxer /etc/crontab i
afegiu-hi les tasques que voleu programar amb el format específic que dóna el
fitxer. El podem veure en la figura 2.10.
F i g ura 2 . 1 0. crontab
La sintaxi del fitxer /etc/crontab és la següent:
• La columna m fa referència als minuts i va de 0 a 59.
• La columna h fa referència a l’hora i va de 0 a 23.
• La columna dom determina el dia d’1 a 31.
• La columna mon estableix el mes d’1 (gener) a 12 (desembre).
• La columna dow marca el dia de la setmana de 0 (diumenge) a 6 (dissabte).
• User determina l’usuari que ha programat la tasca i command la tasca o el

programa a efectuar.
Es poden escriure comentaris començant la línia amb #. També es pot substituir

qualsevol paràmetre per *, que indica que tindrà qualsevol valor en el camp
corresponent.
Per exemple, per executar un programa una vegada al dia a les 6.15 h, introduirem
la línia següent en el fitxer /etc/crontab:
1 15 6 * * * programa
Es poden indicar diversos valors per a un camp separant-los per comes (1,3,6) o
especificar un rang de valors (3-7).
Ordre at
L’ordre at és un altra de les eines que us proporcionen els sistemes GNU/Linux

per executar tasques de manera automàtica i programada.
L’ordre at permet programar treballs que s’executaran a una hora

determinada una sola vegada.
La sintaxi és la següent:
1 at -f fitxer temps
temps: Pot indicar una hora (HH:MM) o una data (amb el format MMDDYY,
MM/DD/YY o MM.DD.YY).
Hi ha molts formats disponibles per indicar el moment de l’execució:

1 now midnight tomorrow teatime
També es pot indicar temps de la manera següent:
• now + 5 minutes, és a dir, ‘d’aquí a 5 minuts’.
• 6:15pm tomorrow, és a dir, ‘demà a les 6.15 de la tarda’.
• 9pm + 2 days, és a dir, ‘a les 9 de la tarda d’aquí a dos dies’.
Quan es programa una at i

Per exemple, executar una tasca d’aquí a deu minuts: dóna un error “atd is not
runnig”, llavors s’ha
1 $at -f tasca.sh now + 10 minutes d’executar l’ordre rcatd
restart.
Quan es programa una tasca amb l’ordre at es genera un job amb un número que
permet gestionar-lo. La sortida d’at és fa enviant un correu electrònic a l’usuari
que ha programat la tasca. També podeu utilitzar altres opcions:
• at –l o atq: Per veure les tasques pendents.
• at –c num_job: Per veure el contingut d’una feina.
• at –d num_job o atrm num_job: Per esborrar una feina.
2.7 Connexió remota als sistemes GNU/Linux
La possibilitat de poder-se connectar remotament per mitjà de xarxa des d’un equip
a una determinada màquina o node, per manejar-la com si la tinguéssiu al davant,
és una tasca imprescindible per a l’administració de qualsevol sistema informàtic.
En els sistemes GNU/Linux teniu dues possibilitats per fer aquesta connexió de
manera senzilla mitjançant l’arquitectura client/servidor. Es pot fer via Telnet o
via SSH (secure shell).
La connexió mitjançant el protocol Telnet és una connexió poc segura, ja que

totes les dades, inclosos els noms d’usuari i les contrasenyes, viatgen per la
xarxa en text pla, sense xifrar.
El fet que la informació viatgi sense xifrar permetria a algú que espiés el tràfic
de la xarxa capturar les dades i accedir a la xarxa il·lícitament. Una altra falta
de seguretat per la qual no es recomana utilitzar aquest protocol és la manca
d’un esquema d’autenticació que permeti assegurar que la comunicació s’estableix
entre les màquines adequades i que, per tant, no ha estat interceptada. El protocol
Telnet s’utilitza sobretot per a la configuració local d’encaminadors (routers).
El protocol SSH treballa de manera similar al protocol Telnet. La diferència

principal és que el protocol SSH fa servir tècniques de xifratge que fan que
la informació que viatja pel mitjà de comunicació no sigui llegible i que,
per tant, cap tercera persona pugui descobrir l’usuari i la contrasenya de la
connexió ni tampoc el que s’escriu durant tota la sessió.
El protocol SSH us permet efectuar múltiples tasques de manera segura, com ara
còpies i transferències segures de fitxers mitjançant les ordres scp i sftp. Qualsevol
aplicació que utilitzi el protocol TCP es pot fer servir per mitjà d’un túnel segur
amb protocol SSH, cosa que proporciona una alternativa potent per crear sistemes
VPN. La versió lliure i oberta del protocol SSH, que és de propietat, és l’OpenSSH.
En tots dos casos, Telnet i SSH, la comunicació s’estableix entre servidors i clients.
Les màquines a les quals us voleu connectar hauran de tenir instal·lada l’aplicació
servidor i les màquines des de les quals ens volem connectar, l’aplicació client.
Vegeu el procés d’instal·lació i configuració d’un servei SSH en un equip amb
l’Ubuntu 16.04 Server Edition.
Per tal d’instal·lar el servei en una màquina, executeu el següent:

1 $sudo apt−get install openssh−server
Si només voleu instal·lar el client, feu el següent:

1 $sudo apt−get install openssh−client
Si els voleu instal·lar tot dos, feu el següent:

1 $sudo apt−get install ssh
Quan el servei SSH s’instal·la es creen un parell de claus, una de pública i una altra
de privada, que s’utilitzen per autenticar, en intercanviar-se, tant el client com el
servidor.
Abans de connectar-vos a una màquina en producció, hauríeu de fer certes

modificacions de seguretat en els fitxers de configuració del servei. En el cas
de l’OpenSSH, aquests fitxers són a /etc/ssh/sshd_config.
Les modificacions principals per fer més robusta la seguretat de la connexió han
de ser les següents:
• Canviar el port de connexió, normalment el 22, per un altre port que no

es faci servir (habitualment qualsevol superior al 1024). D’aquesta manera
s’evitaran atacs a aquest port comú (paràmetre Port).
• Assegurar-se que la versió del protocol utilitzat és la 2 (paràmetre Protocol).
• Modificar el temps de què disposa l’usuari remot per establir la comunicació,

que ha de ser tan curt com sigui possible, per tal d’evitar scripts que aprofitin
aquest temps (paràmetre LoginGraceTime).
• No permetre la connexió de l’usuari primari per evitar scripts que

utilitzin aquest usuari per esbrinar-ne la contrasenya (paràmetre
PermitRootLogin).
• Restringir al màxim el nombre d’usuaris connectats (paràmetre MaxStar-

tups).
• Establir, si és possible, una llista per restringir els usuaris amb permisos per
connectar-se remotament (paràmetre AllowUsers).
Per tal que els canvis en el fitxer de configuració tinguin efecte, cal reiniciar el
servei:
1 $sudo /etc/init.d/ssh restart
Una vegada configurat el servidor, per poder connectar-vos remotament des d’una
màquina client heu d’utilitzar bàsicament l’ordre següent:
1 $ssh −p port usuari@ip_del_ordinador_remot
A continuació se us demanarà la contrasenya de l’usuari, que ha d’estar donat

d’alta en el sistema remot. Una vegada validats en el sistema, podeu treballar-hi
com si fóssiu al davant de la màquina remota.
2.8 Monitoratge i manteniment de sistemes GNU/Linux Coll d’ampolla

Coll d’ampolla fa referència a la
situació en la qual la capacitat de
processament d’un dispositiu és
El monitoratge i el manteniment són els dos processos més importants i necessaris més gran que la capacitat de
transmissió d’informació del bus
en qualsevol sistema operatiu, sobretot si es tracta de sistemes operatius connectats o de la xarxa als quals es troba
connectat el dispositiu.
en xarxa i en producció, per tal de garantir que el sistema funcioni correctament.
Els processos de monitoratge i manteniment són complementaris. Per fer-ne
un bon manteniment, abans cal fer un monitoratge del sistema per tal de trobar
possibles punts febles o colls d’ampolla i solucionar-los.
En moltes situacions es tendeix a no donar la importància que cal al monitoratge

dels sistemes, de manera que es produeixen en molts d’aquestos casos errors
inesperats o pèrdues de dades i de temps irreparables. Heu de tenir clar que el
monitoratge del sistema us permet conèixer les causes i evitar el mal funcionament
del sistema, i també implementar les mesures necessàries per millorar-ne el
rendiment.
El monitoratge és un procés constant que fa referència a la supervisió

necessària per a l’execució i la consecució dels objectius del sistema
informàtic. És el procés per mitjà del qual us assegurareu que la configuració
del vostre sistema és adequada i eficaç per a les tasques que se li han assignat.
D’aquesta manera s’evita que hi hagi possibles desviacions.
El monitoratge pot detectar les interferències que hi pugui haver en el funcio-

nament del sistema. Gràcies a aquest procés, l’estructuració o les polítiques de
seguretat, de manteniment i de configuració del sistema es poden corregir.
Abans de poder fer el monitoratge del sistema, heu de saber de quins recursos
disposeu per tal de poder-los controlar. Tots els sistemes operatius connectats a la
xarxa disposen dels recursos següents:
• CPU, capacitat de processament de dades, depèn en gran manera del tipus i

de la quantitat de processadors de la màquina.
• Memòria, quantitat de dades que es poden emmagatzemar en la memòria

volàtil (RAM o swap) per ser processades.
• Emmagatzematge, capacitat d’emmagatzematge de dades permanents del

sistema; es pot tractar de discos durs o de dispositius removibles.
• Amplada de banda, quantitat de dades que es poden enviar a través d’una

connexió de xarxa del sistema, generalment la targeta de xarxa, en un
moment determinat.
Podeu simplificar el concepte de monitoratge del sistema de manera que només

obtingueu informació relativa a la utilització d’un o més recursos d’aquest sistema.
No obstant això, rarament el procés de monitoratge és tan simple. Heu de tenir en
compte la informació de manera conjunta per tal de fer una anàlisi general del
funcionament del sistema.
Cal examinar en cada cas la situació del sistema que voleu monitorar. En general,
podeu trobar dos escenaris:
• El sistema experimenta problemes de rendiment i el voleu millorar.
• El sistema funciona bé i voleu que continuï així.
En ambdues opcions haureu d’analitzar les dades extretes del procés de monito-
ratge per tal d’aconseguir el vostre objectiu. Heu de tenir en compte que per a
cadascun dels recursos anteriors podeu obtenir una gran quantitat de dades.
El monitoratge del rendiment del sistema sovint és un procés iteratiu. Aquests

passos es repeteixen diverses vegades fins que s’aconsegueix el millor rendiment
possible. La raó principal és que els recursos del sistema i la utilització d’aquests
recursos tendeixen a estar molt relacionats, cosa que significa que sovint l’elimi-
nació d’un coll d’ampolla en descobreix un altre.
2.8.1 Monitoratge de la CPU
Fer el monitoratge de la CPU significa determinar el percentatge d’utilització

d’aquesta unitat per les diferents tasques efectuades.
El moment idoni per examinar detalladament les dades d’ús de la CPU i començar
a determinar en quin punt es consumeix la major part de la capacitat de processa-
ment és quan el percentatge d’ús de la unitat arriba al 100%.
Algunes de les estadístiques més populars d’utilització de la CPU són les següents:
Usuari contra Sistema
Es té en compte el percentatge de temps que la CPU dedica a processar tasques a

escala d’usuari en oposició a les tasques a escala de sistema. L’anàlisi d’aquests
percentatges d’ocupació de la CPU pot indicar si la càrrega d’un sistema es deu
principalment a les aplicacions que s’estan executant o a la sobrecàrrega del
sistema operatiu. Que hi hagi percentatges de processament alts a escala d’usuari
tendeix a ser bo (voldrà dir que els usuaris experimenten un rendiment satisfactori).
En canvi, que hi hagi percentatges de processament alts a escala de sistema tendeix
a apuntar problemes que poden ser generats per diverses causes, i per trobar la o
les causes reals de saturació de la CPU cal investigar el funcionament del sistema
més a fons.
Canvis de context
Un canvi de context ocorre quan la CPU atura l’execució d’un procés i comença
a executar-ne un altre. Com que cada context requereix que el sistema operatiu
prengui el control de la CPU, els canvis de context excessius i els nivells alts de
consum de la CPU a escala de sistema tendeixen a estar molt relacionats.
Interrupcions
Les interrupcions són situacions en què el processament que fa la CPU canvia

de cop i volta. Generalment, les interrupcions ocorren a causa de l’activitat del
maquinari, com ara un dispositiu d’entrada i sortida que acaba una operació, o del
programari, com ara interrupcions de programari que controlen el processament
d’una aplicació. Un excés d’interrupcions per part d’un dispositiu o una aplicació
podria determinar que funcionessin incorrectament.
Processos executables
Un procés pot tenir diferents estats. Quan l’estat d’un procés es torna executable
vol dir que aquest procés necessitarà temps de CPU per fer la seva tasca. Com que
només hi pot haver un procés en execució en cada moment en la CPU, la resta de
processos executables estaran en estat d’espera. D’aquesta manera, mitjançant el
monitoratge del nombre de processos executables és possible determinar com de
compromesa està la CPU del sistema.
2.8.2 Monitoratge de la memòria
La memòria del sistema és una àrea en què hi ha una gran quantitat d’estadístiques
de rendiment.
Les estadístiques següents representen una descripció de les estadístiques d’admi-

nistració de memòria més utilitzades:
Pàgines dintre/fora
Aquestes estadístiques fan possible mesurar el flux de pàgines des de la memòria

del sistema als dispositius d’emmagatzematge massiu (normalment, unitats de
disc). Altes taxes d’aquestes estadístiques poden representar que el sistema no
disposa de gaire memòria física i que està consumint més recursos del sistema en
moure les pàgines dintre i fora de memòria que no pas en executar aplicacions.
Pàgines actives/inactives
Aquestes estadístiques mostren que les pàgines residents en memòria s’estan

utilitzant. Una falta de pàgines inactives pot apuntar una mancança de memòria
física.
Pàgines lliures, compartides, en memòria intermèdia o en memòria cau
Aquestes estadístiques proporcionen detalls addicionals sobre les estadístiques

més simples de pàgines actives/inactives. Mitjançant aquestes estadístiques és
possible determinar la barreja general d’utilització de memòria.
Intercanvi dintre/fora
Aquestes estadístiques mostren el comportament general de la memòria d’intercan-

vi del sistema (swap). Taxes excessives poden indiciar que no hi ha gaire memòria
física.
2.8.3 Monitoratge de l’emmagatzematge
El monitoratge de l’emmagatzematge normalment té lloc en dos nivells diferents:
• Monitorar l’espai en disc.
• Monitorar els problemes de rendiment relacionats amb l’emmagatzematge.
Podeu tenir en compte les estadístiques següents a l’hora de monitorar l’emmagat-

zematge:
Espai lliure
Probablement, l’espai lliure és el recurs que heu de vigilar més de prop. Heu de
procurar que el vostre sistema sempre disposi d’una quantitat adequada d’emma-
gatzematge per tal de cobrir-ne les necessitats.
Estadístiques relacionades amb el sistema d’arxius
Aquestes estadístiques subministren detalls addicionals sobre el percentatge d’es-

pai lliure. Tindrem en consideració, per exemple, el nombre d’arxius i directoris,
la grandària mitjana dels arxius, etc. Aquestes estadístiques fan possible configu-
rar el sistema perquè tingui el millor rendiment, ja que, per exemple, la càrrega
d’E/S imposada per un sistema d’arxius ple de molts petits arxius no és la mateixa
que la càrrega imposada per un sistema d’arxius ple amb un únic arxiu enorme.
Transferències per segon
Aquesta estadística constitueix una bona manera de determinar si s’estan arribant

a les limitacions de transferència de senyals d’un dispositiu en particular.
Lectures/escriptures per segon
Són estadístiques amb un desglossament més detallat de les transferències per

segon. Aquestes estadístiques us permeten entendre millor la naturalesa de les
càrregues d’E/S que està experimentant un dispositiu d’emmagatzematge. Això
pot ser crític, ja que algunes tecnologies d’emmagatzematge tenen característiques
de funcionament molt diferents entre operacions de lectura i escriptura.
2.8.4 Monitoratge de la xarxa
El monitoratge de la xarxa s’ha de centrar en dos aspectes importants:
• Monitorar el rendiment de la xarxa, taxa de transferència, col·lisions, etc.
• Monitorar la seguretat de la xarxa, accessos indeguts, atacs al sistema, etc.
De vegades aquests dos aspectes van lligats, ja que pot ser que un atac al sistema
afecti el rendiment. Tant si teniu una LAN sense accés des d’Internet com si oferiu
qualsevol tipus de servei a l’exterior, heu de controlar que tant els paràmetres de
rendiment com els de seguretat estiguin dins dels límits establerts per la política
del sistema.
Podeu tenir en compte les estadístiques següents per fer el monitoratge de la xarxa:
Bytes rebuts/enviats
Les estadístiques de la interfície de xarxa proporcionen un indicatiu de la utilitza-
ció de l’amplada de banda de la xarxa.
Comptes i taxes d’interfície

Aquestes estadístiques donen indicacions de col·lisions excessives, errors de trans-
missió/recepció i altres. Amb l’ús d’aquestes estadístiques és possible resoldre
problemes de la xarxa abans d’utilitzar les eines de diagnòstic de la xarxa més
comunes.
És aconsellable utilitzar diverses eines de diagnòstic de xarxa que és complemen-

tin mútuament. La gran majoria de les eines actuals generen informes, gràfics
i/o registres. L’anàlisi i la interpretació d’aquests elements us proporcionarà la
informació necessària per gestionar correctament el sistema en xarxa. És a dir, les
anàlisis de la informació obtinguda us ajudaran a prendre decisions sobre possibles
canvis, modificacions o rectificacions de la topologia de xarxa i dels sistemes
operatius que hi hagi.
A tall de resum de l’apartat de monitoratge, cal dir que heu de ser conscients que
les estadístiques d’utilització de la CPU poden acabar apuntant un problema en el
subsistema d’E/S o que les estadístiques d’utilització de memòria poden indicar
que hi ha un defecte en una aplicació.
Per tant, quan se supervisa el funcionament del sistema, no és possible examinar

una estadística de manera totalment aïllada. Només és possible extreure informa-
ció significativa de qualsevol característica de rendiment mitjançant l’examen del
quadre complet.
2.8.5 Eines i ordres de monitoratge
El GNU/Linux incorpora nombroses ordres de monitoratge en el sistema. A

més, en el mercat també hi ha moltes aplicacions de codi lliure que permeten
fer el monitoratge dels sistemes.
A continuació, veurem algunes de les ordres i les eines lliures més utilitzades en
el monitoratge de sistemes:
Ordres de monitoratge
Els sistemes GNU/Linux incorporen moltes ordres que tenen la funció de propor-
cionar dades pràctiques per al monitoratge del sistema. A continuació, en veurem
algunes de les més utilitzades.
Ordre top
L’ordre top mostra una llista dels processos del sistema. Aquesta llista s’actualitza
freqüentment, de manera que proporciona informació en temps real sobre el fun-
cionament del sistema. Els processos s’ordenen per l’ús de CPU i mostren el PID,
l’usuari, el tant per cent de CPU consumit o el tant per cent de memòria utilitzada,
entre altres dades dels processos. L’ordre top és molt útil per als administradors
de sistema, ja que mostra els usuaris que consumeixen una quantitat específica de
CPU en un moment determinat en temps real. En la figura 2.11 veiem un exemple

de les dades que es mostren en executar aquesta ordre.
Fig ur a 2 . 11 . Ordre top
Ordre free i vmstat
Amb free veureu informació sobre la memòria i l’espai d’intercanvi (swap).
Amb vmstat és possible obtenir una vista general dels processos, la memòria,
l’espai d’intercanvi, les entrades i les sortides i l’activitat de la CPU mitjançant
línies, tal com podem veure a la figura 2.12.
Fig ur a 2 . 12 . Ordre free i vmstat
La informació que proporciona l’ordre vmstat és la següent:
1. Informació sobre els processos Procs:
• r: Indica el nombre de processos en espera per temps d’execució en

la CPU.
• b: Indica el nombre de processos adormits que esperen un recurs.
2. Informació sobre la memòria Memory:
• swpd: Indica la quantitat de memòria virtual utilitzada.

• free: Mostra la quantitat de memòria sense utilitzar.
• buff: Mostra la quantitat de memòria utilitzada com a memòria
intermèdia (buffer).
• cache: Indica la quantitat de memòria utilitzada com a memòria cau
(cache).
• inact: Fa referència a la quantitat de memòria inactiva (amb l’opció

–a).
• active: Mostra la quantitat de memòria activa (amb l’opció –a).
3. Informació sobre l’àrea d’intercanvi Swap:
• si: Mostra la quantitat de memòria d’intercanvi utilitzada des del disc

dur o d’entrada (/s).
• so: Mostra la quantitat de memòria d’intercanvi utilitzada cap al disc
dur o de sortida (/s).
4. Informació sobre els dispositius d’entrada i sortida IO:
• bi: Blocs rebuts des d’un dispositiu (blocks/s).

• bo: Blocs enviats a un dispositiu (blocks/s).
5. Informació sobre el sistema System:
• in: Mostra el nombre d’interrupcions per segon, incloent-hi el rellotge

del sistema.
• cs: Indica el nombre de canvis de context per segon.
6. Informació sobre la CPU, són percentatges sobre el temps total de CPU:
• us: Temps consumit executant codi que no pertany al nucli del sistema
(temps d’usuari).
• sy: Temps consumit executant codi que pertany al nucli del sistema
(temps de sistema).
• id: Temps consumit funcionant en buit.
• wa: Temps consumit esperant operacions d’E/S.
Ordre tcpdump
La utilitat principal de l’eina tcpdump és analitzar el trànsit que circula per

la xarxa. Aquesta eina us permet capturar i mostrar en temps real els paquets
transmesos i rebuts per mitjà de la interfície de xarxa de l’equip en el qual s’està
executant. El tcpdump és un detector (sniffer) i funciona en la majoria dels
Ús de l’ordre tcpdump sistemes operatius UNIX: GNU/Linux, Solaris, BSD, Mac US X, HP-UX i AIX,
Alguns protocols com Telnet i entre altres. En aquests sistemes, el tcpdump utilitza la biblioteca libpcap per
HTTP no xifren les dades que
envien en la xarxa. Un usuari capturar els paquets que circulen per la xarxa.
que tingués el control d’un
encaminador per mitjà del qual
circulés trànsit no xifrat podria Les utilitats principals són les següents:
utilitzar el tcpdump per
aconseguir contrasenyes o altres
informacions.
• Depurar aplicacions que utilitzen la xarxa per comunicar-se.
• Depurar la xarxa mateixa.
• Capturar i llegir dades enviades per altres usuaris o ordinadors.

Normalment, el tcpdump s’utilitza amb filtres que determinen les dades que s’han
de capturar. Per exemple:
Capturar trànsit amb l’adreça 192.168.1.1 d’origen

1 $sudo tcpdump src host 192.168.1.1
Capturar trànsit amb l’adreça 192.168.1.2 de destinació

1 $sudo tcpdump host 192.168.1.2
Capturar trànsit amb destinació a l’adreça MAC 20:60:A1:AB:70:22

1 $sudo tcpdump ether dst 20:60:A1:AB:70:22
Aplicacions de monitoratge
Hi ha moltes aplicacions per als sistemes GNU/Linux que tenen la funció de

mostrar gràficament dades útils per al monitoratge del sistema. A continuació,
en veurem algunes de les més utilitzades.
Monitor del sistema
L’Ubuntu Desktop Edition incorpora per a l’escriptori GNOME una aplicació de

monitoratge coneguda com a monitor del sistema. El monitor del sistema el podem
trobar en el menú Sistema > Administració > Monitor del sistema o cercant
Monitor del sistema (vegeu figura 2.13).
Fi gu ra 2 . 1 3
Tal com mostra la imatge anterior, aquesta aplicació us permet controlar l’ús que
s’està fent dels recursos del sistema, la CPU, la memòria, el disc dur o el trànsit
d’interfície de xarxa, entre altres, de manera gràfica.
Baobab o Analitzador de l’ús del disc
És una altra eina molt interessant i que permet visualitzar de manera gràfica l’espai
ocupat en el disc dur. Amb el baobab podeu veure fàcilment quines carpetes
ocupen més espai i desplegar l’arbre de directoris per veure la grandària exacta de
cadascun dels subdirectoris. L’eina també disposa d’un cercador d’arxius i detecta
en temps real els canvis que es fan en el sistema de fitxers, també el muntatge i el
desmuntatge d’unitats.
El Baobab és molt útil per veure l’espai que ocupa cada usuari en la màquina o
determinar quines carpetes s’haurien de netejar primer per fer espai en el disc dur.
En podeu veure l’aspecte en la figura 2.14.
F igu r a 2 . 1 4. Analitzador de l’ús del disc
Detectors (sniffers)
Un packet sniffer és un programa de captura de trames de xarxa. És habitual

que, per qüestions de topologia de xarxa i de material, diversos ordinadors
i dispositius de xarxa comparteixin el mitjà de transmissió (cable coaxial,
UTP, fibra òptica, etc.). Això possibilita que un ordinador capturi les trames
d’informació que no van destinades a aquesta màquina.
Per aconseguir capturar la informació no destinada a l’ordinador en què s’executa,

el detector posa la targeta de xarxa en un estat conegut, com ara en “mode
promiscu”. D’aquesta manera, en la capa d’enllaç de dades, les trames no
destinades al MAC de la targeta no es descarten i es pot capturar tot el trànsit
que viatja per la xarxa. Els packet sniffers tenen diversos usos, com fer el
monitoratge de xarxes per detectar i analitzar fallades o fer enginyeria inversa de
protocols de xarxa. També és habitual fer-los servir amb fins maliciosos, com
furtar contrasenyes, interceptar missatges de correu electrònic, espiar converses
de xat, etc.
Els usos principals que pot tenir són els següents:
• Captura automàtica de contrasenyes enviades en clar i noms d’usuari de

la xarxa. Moltes vegades els pirates utilitzen aquesta capacitat per atacar
sistemes a posteriori.
• Conversió del trànsit de xarxa en un format intel·ligible pels humans.
• Anàlisi de fallades per descobrir problemes en la xarxa, com ara per quina
raó l’ordinador A no pot establir una comunicació amb l’ordinador B.
• Mesurament del trànsit, mitjançant el qual és possible descobrir colls

d’ampolla en algun lloc de la xarxa.
• Detecció d’intrusos, tot i que hi ha programes específics anomenats IDS

(intrusion detection system, sistema de detecció d’intrusos). Aquests pro-
grames són pràcticament detectors amb funcionalitats específiques.
• Creació de registres de xarxa, de manera que els intrusos no puguin detectar

que són investigats.
• Als desenvolupadors, en aplicacions client-servidor, els permet analitzar la

informació real que es transmet per la xarxa.
Hi ha una gran quantitat de packet sniffers per a Ethernet/LAN. Alguns dels més
coneguts són el Wireshark (Ethereal), l’Ettercap i el Tcpdump. També n’hi ha
molts per a xarxes sense fil, com el Kismet o el Network Stumbler. En la figura
2.15 es mostra l’aspecte de l’eina Wireshark:
F igur a 2. 15 . Exemple de Wireshark
Per instal·lar el Wireshark entrareu l’ordre sudo apt-get install wireshark, accep-
tant la pregunta sobre si els usuaris no administradors poden capturar trànsit.
Posteriorment podeu llençar el programa amb l’ordre sudo wireshark.
Ntop
L’Ntop (Network top) permet el monitoratge en temps real dels usuaris i les
aplicacions que consumeixen recursos de xarxa en un moment concret. També
possibilita la detecció de configuracions incorrectes d’algun equip o servei.
L’Ntop està desenvolupat dins del projecte GNU i disposa d’un microservidor
web que permet veure la sortida de manera remota amb qualsevol navegador.
Ho podem veure en la figura 2.16. Els protocols que l’Ntop pot monitorar
són els següents: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk,
Netbios. Dins del TCP/UDP, és capaç d’agrupar-los per FTP, HTTP, DNS,
Telnet, SMTP/POP/IMAP, SNMP, NFS i X11. El programari d’aquesta eina està
desenvolupat per a plataformes GNU/Linux i Windows.
El podeu instal·lar amb la comanda sudo apt-get install ntop, i executar des des
d’un navegador web entrant la URL localhost:3000.
F igu ra 2 .1 6 . Exemple d’Ntop
Nagios
El Nagios és un sistema de codi obert de monitoratge de xarxes àmpliament utilit-

zat que vigila els equips (maquinari) i els serveis (programari) que s’especifiquen
en la configuració. Avisa si el comportament d’aquests elements no és adequat.
Entre les característiques principals d’aquest sistema hi ha les següents:
• Monitoratge de serveis de xarxa (SMTP, POP3, HTTP, SNMP, etc.).
• Monitoratge dels recursos de sistemes maquinari (càrrega del processador,

ús dels discos i memòria, estat dels ports, etc.).
• Independència dels sistemes operatius.
• Possibilitat de monitoratge remot mitjançant túnels SSL xifrats o SSH.
• Possibilitat de programar plugins específics per a sistemes nous.
Es tracta d’un programari que proporciona una gran versatilitat per consultar
pràcticament qualsevol paràmetre d’interès d’un sistema i genera alertes quan
aquests paràmetres excedeixen dels marges definits. Els administradors poden
rebre aquestes alertes mitjançant correu electrònic i missatges SMS.
A més, permet la visualització de l’estat de la xarxa en temps real per mitjà

d’interfície web, amb la possibilitat de generar informes i gràfics de comportament
dels sistemes que són objecte de monitoratge. Es mostra en la figura 2.17. A més,
el Nagios permet la visualització del llistat de notificacions enviades, l’historial
de problemes, els arxius de registres, etc.
El Nagios va ser originalment dissenyat per ser executat en el GNU/Linux, però

també funciona correctament en altres sistemes derivats de l’UNIX. L’únic aspecte
negatiu pot ser la complexitat a l’hora d’establir els paràmetres de configuració i
donar d’alta tots els equips que es volen monitorar.
El Nagios està llicenciat sota la GNU General Public License Version.
Figur a 2. 17. Exemple de Nagios
Munin
El Munin és una aplicació de monitoratge del sistema i de la xarxa que presenta

les dades de manera gràfica per mitjà d’una interfície web. El Munin és en els
dipòsits del Debian, cosa que fa que sigui molt senzill instal·lar-lo en els derivats
d’aquest sistema.
Amb Munin es pot fer fàcilment el monitoratge del rendiment dels ordinadors,
les xarxes i els serveis. A més, un gran nombre de connectors de control estan
disponibles a Munin.
El Munin utilitza l’eina RRDtool, està escrit en Perl i funciona amb l’arquitectura
client/servidor, de manera que el servidor es connecta a tots els clients en intervals
regulars i els demana les dades. A continuació, emmagatzema les dades en els
arxius RRD i si cal actualitza els gràfics. En la figura 2.18 veiem un exemple de
les dades que ofereix.
F igu r a 2. 1 8 . Exemple de Munin
2.9 Documentació del sistema
La documentació de sistemes és el conjunt d’informació que us diu què fan

els sistemes, com ho fan i per a qui ho fan. La documentació consisteix en
el material que explica les característiques tècniques i les operacions d’un
sistema.
També considerem que és documentació el registre físic, generalment per

escrit, que conté els elements següents: polítiques i normes referents al
desenvolupament, la implantació, l’operació i el manteniment del sistema.
Documentar els processos i les incidències que sorgeixen durant la instal·lació, la

configuració, el manteniment i el monitoratge del sistema és una tasca fonamental
en qualsevol sistema. La documentació és essencial per proporcionar informació
d’un sistema a qui l’hagi d’utilitzar o mantenir. La documentació també és
necessària per permetre l’auditoria del sistema i per ensenyar als usuaris com
interactuar-hi i als operadors com fer-lo funcionar. La documentació ha de ser
una tasca contínua per a qualsevol tècnic que treballi amb sistemes informàtics.
Heu de documentar, principalment, els elements següents:
Polítiques
Les polítiques s’escriuen per formalitzar i aclarir els criteris a l’hora de gestionar el
sistema. Aquestes polítiques estableixen la manera com es manegen les sol·licituds
de recursos o d’assistència. La naturalesa, l’estil i el mètode de les polítiques
varien segons l’organització.
Procediments
Els procediments són seqüències de passos sobre accions que s’han de fer per
arribar a una tasca determinada. Els procediments a documentar inclouen
procediments de còpies de seguretat, procediments d’administració de comptes
d’usuaris, procediments d’informes de problemes, etc.
Modificacions
Les modificacions d’alguns aspectes del sistema constitueixen un element fona-

mental i constant en el manteniment dels sistemes. Per exemple, configurar el
sistema per a un màxim rendiment, ajustar scripts, modificar arxius de configura-
ció, etc. Tots aquests canvis haurien d’estar documentats d’alguna manera. En
cas contrari, podem trobar molta confusió sobre els canvis que es van fer uns
mesos enrere. Algunes organitzacions utilitzen mètodes més complexos per fer un
seguiment dels canvis, però en molts casos només cal una simple revisió històrica
al començament de l’arxiu que s’està modificant. Com a mínim, cada entrada en
la revisió històrica hauria de contenir el següent:
• El nom o les inicials de la persona que executa el canvi.
• La data en què es va fer el canvi.
• La raó del canvi.
A l’hora d’elaborar la documentació del sistema informàtic, podeu utilitzar diver-

sos mètodes o suports com documents de textos, documents gràfics, diagrames,
wikis (també es poden combinar). Sempre que sigui possible utilitzarem captures
de pantalla, informes i registres dels sistemes o de les eines emprades.
3. Serveis de directori
Per assolir els coneixements adequats necessiteu conèixer els conceptes de directo-
ri i servei de directori. A més, convé saber en què consisteix, per a què s’utilitza i
com funciona el protocol de servei de directori més utilitzat en els sistemes lliures,
l’LDAP. Per poder desenvolupar tots els coneixements adquirits cal instal·lar,
configurar i administrar l’OpenLDAP, el projecte de codi obert que proporciona
tant el servidor com el client del protocol LDAP. Convé conèixer diverses eines
gràfiques per administrar el servei de directori i veure un exemple d’instal·lació i
funcionament d’una d’aquestes eines, concretament la phpLDAPadmin.
3.1 Què és un directori?

Directori enfront de
directori de sistema
Per entendre bé què és un directori en l’àmbit dels sistemes operatius, s’agafa No heu de confondre aquest tipus
com a exemple un directori clàssic, com ara la llista de contactes d’un mòbil. En de directori amb el directori del
sistema d’arxius, que serveix per
una llista de contactes s’emmagatzema de manera organitzada diversa informació agrupar arxius dins d’un suport
d’emmagatzematge.
sobre les persones que interessen: nom, cognoms, adreça, número de telèfon,
empresa, e-mail, etc.
Aquesta informació s’estructura en diversos camps que estan relacionats. Així,

per exemple, si es busca el cognom d’una persona, s’obté un o uns telèfons que hi
estan associats, com en el cas dels registres d’una base de dades.
La finalitat dels directoris clàssics és, per tant, emmagatzemar físicament la infor-
mació de manera estructurada per tal de facilitar l’accés a les dades necessàries i
l’actualització.
Per simplificar, es pot dir que la finalitat dels directoris electrònics és la mateixa
que la dels clàssics, tot i que el tipus d’informació que s’hi emmagatzema, la
manera de treballar-hi i el suport físic que tenen és diferent. Aquest tipus de
directoris estan orientats a emmagatzemar, en algun suport informàtic, informació
relativa a una o diverses xarxes d’ordinadors.
Un directori és una base de dades especialitzada que emmagatzema

informació sobre els recursos o les entitats que hi ha en una xarxa, com ara
usuaris, ordinadors o impressores, i la posa a disposició dels usuaris de la
xarxa.
Així doncs, la informació que s’emmagatzema en els directoris està relacionada

amb la ubicació i les propietats dels objectes que hi ha en una xarxa informàtica.
La funció principal d’un directori electrònic és tenir la informació organitzada de

manera estructurada perquè des dels diferents llocs de la xarxa que disposen d’un
servi de directori es pugui accedir a les dades que s’hi emmagatzemen i actualitzar-
les. El directori permet que aquestes accions es facin de manera ràpida, eficient i
segura.
Hi ha diferents tipus de directoris en funció de la informació que s’hi emmagatze-

ma, de l’àmbit en què s’implementa i del servei de directori que s’utilitza.
3.2 Que és un servei de directori?

Directori enfront de servei
de directori
Podeu tenir dubtes sobre la
diferència que hi ha entre un
Una vegada explicat el concepte de directori, queda més clar en què consisteix un
directori i un servei de directori, servei de directori.
tot i que moltes publicacions no
fan cap distinció entre l’un i
l’altre. Convé separar aquests
dos conceptes per entendre’ls
millor. Un servei de directori constitueix un conjunt d’elements, format per
programari i maquinari, que treballen plegats per emmagatzemar, organitzar
i gestionar la informació referent als usuaris i els recursos d’una xarxa. Els
serveis de directori actuen com una capa d’abstracció entre els usuaris i
els recursos compartits i permeten als administradors gestionar l’accés dels
usuaris als recursos de la xarxa.
Per tant, el directori constitueix la base de dades en què s’emmagatzema la

informació, mentre que el servei de directori és la infraestructura física i lògica
que permet gestionar les dades del directori.
3.2.1 Què no és un servei de directori?
Encara que coneguem en què consisteix un servei de directori, és necessari tenir

clar quin tipus de programes o aplicacions són un servei de directori i quins
no. Per evitar confusions cal saber les diferències que hi ha entre un servei de
directori i altres programes o serveis. Aquestes diferències no sols rauen en el
tipus de programes o serveis, sinó també en la seva estructura i el seu mode
de funcionament. Comparem, doncs, alguns d’aquests programes o serveis que
sovint es confonen amb un servei de directori.
Serveis de directori enfront de sistemes gestors de bases de dades
S’ha dit que un directori és una base de dades. Cal recordar, però, que és
especialitzada i que, per tant, les característiques que té són diferents a les d’una
base de dades relacional de propòsit general. Les diferències principals que hi ha
són les següents:
• Els serveis de directori estan optimitzats per a operacions de lectura,

mentre que les bases de dades convencionals estan optimitzades per a
operacions de lectura i escriptura.
• Els serveis de directori estan optimitzats per emmagatzemar informació

relativament estàtica, de manera que no és recomanable emmagatzemar-hi
informació que es modifiqui freqüentment.
• Les dades que hi ha en els serveis de directori segueixen una estructura

totalment jeràrquica. A vegades aquest tipus d’estructura és més proble-
màtica que l’estructura relacional, ja que fa que sigui més complicat establir
relacions entre objectes de la base de dades. Normalment, les relacions s’hi
han d’establir de manera explícita mitjançant llistes d’objectes. Actualment,
però, tot i que predominen les bases de dades relacionals, cada vegada hi ha
més dissenys de bases de dades jeràrquiques (bases de dades orientades a
objectes, XML, etc.).
• Els directoris no suporten transaccions. Les transaccions són operacions

implementades generalment en els sistemes gestors de les bases de dades
que permeten controlar l’execució d’una operació complexa, de manera que
aquesta operació es completa totalment o no s’executa. Normalment, el
tipus d’informació que s’emmagatzema en un directori no requereix una
consistència tan estricta com la informació que s’emmagatzema en les bases
de dades convencionals. Per exemple, es considera acceptable que l’adreça
d’una persona no estigui actualitzada de manera temporal.
• A diferència de les bases de dades comunes, en els directoris hi pot haver

atributs multivalorats. És a dir, que dins d’un mateix camp s’emmagat-
zemin múltiples valors vàlids. Per exemple, múltiples números de telèfon
emmagatzemats en el camp telèfon.
• La majoria de les bases de dades convencionals utilitzen el llenguatge de

consulta SQL, que permet desenvolupar funcions de consulta i actualitza-
ció complexes a costa de la grandària i la complexitat de l’aplicació. Els
serveis de directori basats en l’LDAP, per exemple, utilitzen un protocol
simplificat i optimitzat que es pot utilitzar per construir aplicacions simples
i petites.
En general, els patrons de disseny de les bases de dades relacionals no són

aplicables als serveis de directori.
Serveis de directori enfront de sistemes de fitxers
Les diferències fonamentals entre els serveis de directori i els sistemes de fitxers
són les següents:
• Els directoris estan optimitzats per emmagatzemar petits fragments

d’informació que es poden estructurar com a entrades amb diferents
atributs. En canvi, els sistemes de fitxers contenen arxius de diverses
grandàries.
• Els sistemes de fitxers permeten accedir a un fitxer i, una vegada a

dins, posicionar-se en un determinat punt. En canvi, els directoris només
permeten accedir a un atribut i, una vegada a dins, no hi ha manera de
posicionar-se en cap punt. Per tant, s’ha de llegir completament.
Serveis de directoris enfront de serveis web
Hi ha moltes aplicacions basades en el servei web, però aquest servei està centrat
a proporcionar una interfície d’usuari agradable. El servei web en cap moment
posseeix les capacitats de cerca que té el servei de directori.
Si voleu que els usuaris accedeixin a la informació que hi ha en una base de dades,
segurament el servei web és la millor elecció. Tanmateix, si voleu que una gran
varietat d’aplicacions puguin accedir a la informació, haureu d’utilitzar un
servei de directori.
Serveis de directoris enfront de serveis DNS
El servei DNS s’encarrega de traduir noms de domini a adreces IP, i a l’inrevés.

Aquest servei té una lleugera similitud amb el servei de directori, ja que tots dos
proporcionen una interfície d’accés a una base de dades jeràrquica. Tanmateix,
difereixen en altres aspectes, com ara els següents:
• Els serveis DNS estan optimitzats per a la transformació de noms d’ordina-

dors a adreces IP, mentre que els serveis de directori estan optimitzats de
manera més general.
• La informació emmagatzemada en el servei DNS té una estructura fixa, men-

tre que el servei de directori sol permetre l’extensió d’aquesta estructura.
• Els serveis DNS operen amb protocols no orientats a connexió (UDP),

mentre que els serveis de directori solen utilitzar protocols orientats a
connexió (TCP).
3.2.2 Utilitats d’un servei de directori
Algunes de les utilitats principals dels serveis de directori són la recerca i gestió
d’informació dins d’una xarxa i el fet de garantir la seguretat d’accés a la xarxa
mitjançant el seu ús per a l’autenticació d’usuaris. De les seves utilitats principals
gairebé la més utilitzada o implementada és la del manteniment de la seguretat de
xarxes locals.
Trobar informació
Una de les utilitats principals d’un servei de directori és buscar la informació

emmagatzemada dels objectes que hi ha en la xarxa.
El directori emmagatzema informació sobre algunes propietats dels objectes que

podeu trobar en la xarxa i el servei de directori proporciona als usuaris facilitats
per gestionar la informació sobre aquests objectes.
Per exemple, mitjançant la utilització d’un servei de directori, els objectes es

referencien pel nom i no pas per l’adreça física. D’aquesta manera, d’una banda
s’aconsegueix ocultar a l’usuari la complexitat de l’organització i, de l’altra, se
l’aïlla dels canvis que s’hi produeixen.
Gestionar informació
De vegades no és suficient tenir la informació emmagatzemada en un directori. És

molt important poder accedir al directori des de totes les aplicacions que són
susceptibles d’utilitzar-lo.
El fet d’utilitzar un servei de directori per centralitzar la informació necessària

per al funcionament de diverses aplicacions ens estalvia molt d’esforç a l’hora
d’implementar les estructures de dades per a cada aplicació i a l’hora de mantenir
el sincronisme i la consistència entre les dades emmagatzemades. Per exemple, si
teniu en la vostra xarxa un servidor web en què s’autentiquen usuaris, la solució
més senzilla pot ser implementar una base de dades amb els usuaris en el servidor
i gestionar-la des del mateix servidor.
Tanmateix, si afegiu més servidors web, o d’un altre tipus, en la xarxa i també
necessiteu autenticar-hi usuaris, haureu d’implementar una base de dades per a
cada servidor amb els mateixos usuaris, possiblement, a més de mantenir les dades
sincronitzades per evitar inconsistències.
En aquest cas, la millor solució seria implementar un servei de directori en què

les dades estiguessin centralitzades i tots els servidors poguessin accedir a un únic
directori comú. Això comportaria un estalvi de temps i d’esforç en la creació de
les bases de dades i en el treball d’inserció i sincronització de les dades. IPA
Una IPA (en anglès, API,
La idea és que aquest directori comú proporcioni les funcionalitats que reclamen application program interface) o
interfície de programa
les aplicacions i que, a més, sigui multiplataforma, s’hi pugui accedir per mitjà d’aplicació constitueix el conjunt
de funcions i procediments o
d’un protocol estàndard i ofereixi una IPA estàndard. mètodes, en la programació
orientada a objecte, que ofereix
una biblioteca d’una aplicació
Un dels avantatges principals és que quan es disposa d’una infraestructura de direc- perquè un altre programari
l’utilitzi com una capa
tori d’aquest tipus, els programadors aprofiten el temps que tenen per desenvolupar d’abstracció. Una IPA representa
una interfície de comunicació
aplicacions i no pas serveis de directori específics. Per tant, la utilització del servei entre elements de programari.
de directori en les aplicacions pot facilitar-ne el desenvolupament i ampliar-ne la
funcionalitat.
Implementació d’un servei de directori
Òbviament, heu de tenir en compte els avantatges que té un servei de directori. Tanmateix,
també heu de considerar que a vegades la implementació i la gestió d’un servei de directori
pot ser complicada. Quan el volum de dades a tractar sigui petit, pot ser que no compensi
generar tota la infraestructura d’un servei de directori.
Podem dir que un servei de directori a què poden accedir multitud d’aplicacions
es converteix en una part vital del sistema en proporcionar un accés uniforme a
les persones, els recursos i altres objectes del sistema. És a dir, el directori es veu
com un tot uniforme i no pas com un conjunt de parts independents.
Quan les aplicacions utilitzen un servei de directori comú, dissenyat de manera

adequada, és més fàcil controlar els riscos de fallada i concentrar els esforços a
millorar l’administració d’aquest servei i la tolerància a fallades.
Seguretat
Els serveis de directori poden fer funcions d’autenticació d’usuari mitjançant dos
tipus de mecanismes:
1. Autenticació simple, en què el directori manté emmagatzemada la contrasenya

de cada usuari. Quan l’usuari accedeix al directori, fa una comparació amb el valor
emmagatzemat. Si ho comparem amb una carta, equivaldria al servei que ofereix
la signatura que hi ha a peu de pàgina.
2. Autenticació forta, en què el directori manté emmagatzemades claus de

xifratge per autenticar l’usuari. Seguint amb la comparació, el xifratge de
missatges equivaldria a tancar el sobre i afegir-hi un lacre digital per impedir que
terceres persones l’obrissin.
Per altra banda, el servei de directori és el suport ideal per a la distribució dels
certificats electrònics personals. Concretament, el directori resol dos problemes
principals:
La gestió de la infraestructura de clau pública, ja que permet fer el següent:
• Crear certificats: permet incorporar al certificat les dades contingudes en

el servidor en què s’implementa el servei de directori.
• Distribuir certificats: permet tenir accessibles mitjançant un protocol

estàndard els certificats electrònics.
• Destruir certificats: permet implementar la revocació d’un certificat amb

la simple operació d’esborrar el certificat del servidor en què tenim el servei
de directori.
El problema de la ubicació dels certificats. El directori és el lloc natural en què

els usuaris poden accedir als certificats de la resta d’usuaris d’una manera còmoda
i fàcil d’integrar amb la resta d’aplicacions.
3.2.3 Arquitectura del servei de directori
És convenient tenir clara l’arquitectura del servei de directori per entendre’n millor
el funcionament i la raó d’ésser.
Cal conèixer que els serveis de directori se solen implementar seguint

el model client-servidor, de manera que una aplicació que vol accedir al
directori no accedeix directament a la base de dades, sinó que crida una
funció de la IPA que envia un missatge a un procés en el servidor. Aquest
procés accedeix al directori i retorna el resultat de l’operació.
Algunes vegades el servidor es pot convertir en el client de l’altre servidor a fi

d’aconseguir la informació necessària per processar la petició que se li ha fet.
Seguint aquesta arquitectura (figura 3.1), el client no depèn de l’arquitectura del

servidor i el servidor pot implementar el directori de la manera més convenient.
Fi gu ra 3 . 1 . Esquema de l’arquitectura del servei de directori
3.2.4 Serveis de directori distribuïts
Resulta interessant saber en què consisteix un servei de directori distribuït a

diferència d’un servei de directori centralitzat.
El servei de directori pot estar centralitzat o distribuït. En cas d’estar

centralitzat, un únic servidor subministra tot el servei de directori i respon
totes les consultes dels clients. Si el directori està distribuït, hi ha diversos
servidors que proporcionen el servei de directori.
Quan el servei de directori està distribuït, les dades poden estar fraccionades
o replicades. Quan la informació està fraccionada, cada servidor del servei de
directori emmagatzema un subconjunt únic de la informació. És a dir, una entrada
només s’emmagatzema en un servidor. Quan la informació està replicada, una
entrada es pot emmagatzemar en diversos servidors. Generalment, quan el servei
de directori està distribuït, una part de la informació està fraccionada i una altra
part està replicada.
3.2.5 Seguretat del servei de directori
La seguretat de la informació emmagatzemada en el directori és un dels aspectes

fonamentals a tenir en compte en els serveis de directori. Alguns directoris han de
permetre l’accés públic, però qualsevol usuari no ha de poder efectuar qualsevol
operació. Per exemple, qualsevol usuari pot buscar l’adreça de correu d’un
empleat, però només l’empleat o l’administrador pot tenir permís per modificar-la.
La política de seguretat defineix quin usuari té quin tipus d’accés sobre quina
informació.
Els serveis de directori han de permetre les capacitats bàsiques per implementar
una política de seguretat. Encara que els serveis mateixos puguin no incorporar
aquestes capacitats, han d’estar integrats amb un servei de xarxa fiable que
ACL és un concepte de proporcioni aquests serveis bàsics de seguretat.
seguretat utilitzat per donar
o no privilegis a un objecte
determinat que està fent
una consulta.
Inicialment es necessita un mètode per autenticar l’usuari. Una vegada s’ha
verificat la identitat del client, es pot determinar si està autoritzat a portar a terme
l’operació sol·licitada o no. Generalment les autoritzacions estan basades en l’ACL
(access control list). Aquestes llistes es poden unir als objectes o als atributs que
hi ha en el directori. Per facilitar l’administració d’aquestes llistes, els usuaris amb
els mateixos permisos s’agrupen en grups de seguretat.
3.3 LDAP
Cal que conegueu la definició, l’origen, el funcionament i les diverses utilitats d’u-
na de les especificacions més utilitzades en el món de les xarxes per implementar
serveis de directoris, el protocol LDAP.
LDAP és la sigla de lightweight directory access protocol o protocol d’accés a

directoris lleugers. El podeu definir de la manera següent:
L’LDAP és un protocol obert a escala d’aplicació, del tipus client-servidor,

que s’utilitza per accedir a un servei de directori.
Hi ha moltes implementacions “comercials” que utilitzen l’LDAP o que hi estan

basades. Entre les més importants, hi ha les següents:
• Microsoft Active Directory
• Red Hat Directory Server / Fedora Directory Server
• Oracle Directory Server Enterprise Edition
• OpenLdap
L’OpenLdap es farà servir per veure el procés d’instal·lació i configuració d’un

servei de directori amb l’LDAP.
3.3.1 Ús de l’LDAP
Típicament, l’LDAP s’utilitza per emmagatzemar la informació dels usuaris i

els recursos d’un domini. Sovint també es fa servir per inventariar recursos de
xarxa (màquines, impressores, servidors, etc.) o directoris de recursos humans.
L’objectiu principal és permetre l’autenticació en xarxa. Amb aquesta finalitat
es pot utilitzar de manera conjunta amb una gran quantitat d’aplicacions que
disposen de suport per a l’LDAP, com ara les següents:
• Sistemes d’autenticació per a pàgines web: alguns dels gestors de continguts

més coneguts disposen de sistemes d’autenticació per mitjà de l’LDAP.
• Sistemes de control d’entrades a edificis, oficines, etc.
• Sistemes de correu electrònic. Grans sistemes formats per més d’un

servidor que accedeixen a un dipòsit de dades comú.
• Sistemes d’allotjament de pàgines web i FTP, amb el dipòsit de dades

d’usuari compartit.
• Grans sistemes d’autenticació basats en el RADIUS per controlar els

accessos dels usuaris a una xarxa de connexió o un proveïdor d’Internet.
• Servidors de certificats públics i claus de seguretat.
• Autenticació única per a la personalització d’aplicacions.
• Perfils d’usuaris centralitzats per permetre itinerància (roaming).
• Llibretes d’adreces compartides.
Per entendre millor la utilitat del protocol, cal que imagineu que en la vostra xarxa
disposeu d’un servidor LDAP. Si configureu tots els PC i tots els serveis de la
xarxa perquè s’hi autentiquin, n’hi haurà prou de crear els comptes d’usuari i els
grups d’usuaris en el vostre servidor LDAP per tal que els usuaris puguin fer ús del
sistema i dels serveis que ofereix des de qualsevol lloc de la xarxa. És un sistema
ideal per centralitzar l’administració d’usuaris en un únic lloc.
En general, l’LDAP s’utilitza quan es vol accedir a una base de dades des de
diferents plataformes i des de múltiples ordinadors o aplicacions ubicats en una
xarxa i quan els registres de la base de dades canvien poc (poques vegades al dia o
menys). En la figura 3.2 podeu veure un exemple d’un servei de directori en línia.
F igu r a 3. 2 . Exemple d’un servei de directori en línia
3.3.2 Orígens de l’LDAP
Hi ha diferents estàndards que especifiquen les característiques dels serveis de

Escalabilitat directori. L’estàndard X.500 potser és el més conegut i utilitzat.
L’escalabilitat és la propietat
desitjable d’un sistema, una
xarxa o un procés, que indica la
seva habilitat per a estendre el
marge d’operacions sense perdre L’estàndard X.500 organitza les entrades en el directori de manera jeràrquica.
qualitat, a més de manejar el
creixement continu de treball de A més, entre les característiques que té destaca la capacitat d’emmagatzemar
manera fluida i estar preparat per
a fer-se més gran sense perdre una gran quantitat de dades, la fàcil escalabilitat i la gran capacitat de cerca.
qualitat en els serveis oferts.
L’estàndard X.500 defineix un protocol que permet l’accés a les dades del servei
de directori denominat DAP (directory access protocol). El protocol DAP resulta
molt complex i pesat a l’hora d’implementar aplicacions que hi treballen, ja que
les aplicacions requereixen molts recursos i temps d’implementació perquè el
protocol està definit sobre la pila completa de nivells OSI, és a dir, perquè s’ha
Actualment s’utilitzen els
de tenir en compte en implementar cadascun dels set nivell teòrics del model OSI,
certificats X.509 en en comptes dels quatre del nivell pràctic TCP/IP.
criptografia de clau pública.
Així doncs, com a alternativa més lleugera al protocol DAP apareix el protocol
LDAP.
L’LDAP sorgeix com una alternativa al DAP per accedir a directoris del
tipus X.500. L’LDAP ofereix un protocol lleuger gairebé equivalent, però
molt més senzill i eficient, dissenyat per operar directament sobre el model
TCP/IP.
3.3.3 Funcionament de l’LDAP
El servei de directori LDAP, com gairebé tots els serveis de directori, té una
arquitectura client-servidor.
En aquest model un o més servidors LDAP contenen les dades que

conformen l’arbre de directori LDAP o base de dades jeràrquica. L’aplicació
que fa de client LDAP es connecta amb el servidor LDAP (normalment
utilitza el port 389) i li fa una consulta. El servidor contesta amb la resposta
corresponent o bé indica el lloc on el client pot trobar més informació.
Normalment aquest lloc serà un altre servidor LDAP.
No importa amb quin servidor LDAP es connecti el client, ja que sempre observarà
la mateixa vista del directori. És a dir, el nom amb el qual es fa la consulta a un
servidor LDAP fa referència a la mateixa entrada a què faria referència en un altre
servidor LDAP.
3.3.4 Avantatges en l’ús de l’LDAP
L’ús de directoris LDAP s’ha popularitzat cada vegada més a l’hora de fer servir
serveis de directori, ja que té molts avantatges sobre altres tipus de sistemes
d’emmagatzematge i recuperació de dades. Els directoris LDAP són compatibles
o utilitzats per a la implementació de molts sistemes, organitzacions i aplicacions
tant lliures com propietàries al món de la informàtica com, per exemple, OpenL-
DAP, Windows , MySQL, SAMBA, etc.
Així doncs, el directori LDAP destaca sobre els altres tipus de bases de dades per
les característiques següents:
• És molt ràpid en la lectura de registres.
• Permet replicar el servidor de manera molt senzilla i econòmica.
• Moltes aplicacions de tot tipus tenen interfícies de connexió amb LDAP i

s’hi poden integrar fàcilment.
• Disposa d’un model de noms globals que assegura que totes les entrades
són úniques.
• Permet múltiples directoris independents.
• Funciona sobre TCP/IP i SSL/TLS.
• La majoria de servidors LDAP són fàcils d’instal·lar, mantenir i optimitzar,

encara que la configuració és una mica tediosa.
3.3.5 Estructura del directori LDAP
Com que l’LDAP va néixer com a alternativa lleugera al DAP per a l’accés a
servidors X.500, segueix el model d’estructura de l’estàndard X.500, tot i que és
una mica restringit. A continuació, veureu cadascun dels elements que componen
l’estructura del directori LDAP i les relacions que hi ha entre ells.
1. Entrada
Un dels conceptes fonamentals dels directoris LDAP és el concepte d’entrada.

Així doncs:
Les entrades són les estructures de dades en què el directori emmagatzema i

organitza la informació. La unitat bàsica d’informació emmagatzemada en
el directori LDAP és l’entrada.
2. Objecte
Els elements als quals fan referència les entrades del directori, i per tant són els
elements que conformen lògicament el directori, són els objectes:
Cada entrada del directori descriu un objecte, com ara una persona, un grup,
una organització, una impressora, un servidor, etc. Per tant, els objectes són
els elements del món real als quals representen les entrades del directori.
3. Atribut
Les propietats o els valors que identifiquen els objectes del directori són determi-
nats pels atributs.
Cadascun dels objectes o entrades té un conjunt d’atributs. Tots els atributs

que pertanyen a un objecte s’identifiquen mitjançant un nom o acrònim
significatiu, són d’un cert tipus i poden tenir un o diversos valors associats.
El tipus defineix la classe d’informació que els atributs emmagatzemen i
els valors són la informació en si. La sintaxi dels atributs depèn del tipus
d’atribut.
Per exemple, un atribut del tipus cn (common name) pot contenir el valor
“Pere Pérez López”. Un atribut del tipus email pot contenir un valor “pperez-
lop@exemple.com”. Hi ha dos tipus d’atributs especials:
• Nom distingit. Cada entrada té un atribut especial anomenat distinguished

name o nom distingit (DN), que la identifica unívocament en la base de
dades del directori. Per tant, podeu dir que el DN s’utilitza per referir-se a
una entrada sense ambigüitats.
• Nom distingit relatiu. Els noms distingits relatius o relatives distinguished

names (RDN) són les seqüències més petites que componen un nom
distingit (DN). Els RDN són parells de valors formats per un atribut de
l’entrada més el seu valor amb la forma.
1 <nom_atribut>=<valor>
Per entendre millor els conceptes de DN i RDN, els podeu comparar amb un
sistema de fitxers de qualsevol sistema operatiu en què el DN és el camí absolut
al fitxer i el RDN és el camí relatiu.
La resta d’atributs de l’entrada depenen de l’objecte que descrigui aquesta

entrada. Per exemple, les entrades que descriuen persones solen tenir, entre altres,
atributs com cn (common name) per descriure el nom comú, sn (surname) per al
cognom, mail per a l’adreça de correu electrònic, etc.
4. Arbre d’informació del directori
L’estructura de les diferents entrades del directori és formada per l’arbre d’infor-
mació del directori.
Les entrades estan organitzades en forma d’arbre basant-se en els DN.

L’arbre d’entrades de directori es coneix com a directory information tree
o arbre d’informació del directori (DIT).
Se suposa que un directori emmagatzema informació sobre els objectes que hi

ha en una certa organització. Cada directori posseeix com a arrel (o base, en
terminologia LDAP) la ubicació d’aquesta organització, de manera que la base
es converteix de manera natural en el sufix dels noms distingits de totes les
entrades que manté el directori.
A partir d’aquesta base, l’arbre se subdivideix en els nodes i subnodes necessaris

per tal d’estructurar de manera adequada els objectes de l’organització, objectes
que se situen finalment com les fulles de l’arbre.
Cada RDN es correspon amb una branca de l’arbre d’informació del directori
(DIT). Cada branca parteix de l’arrel (base) i acaba en les fulles en què se situen els
objectes del directori. No hi pot haver entrades soltes, és a dir, que no depenguin
d’un RDN o pare. Només l’entrada arrel pot no tenir entrada pare. En cas
d’afegir una entrada en un punt inexistent en el directori, el servidor retornarà
un missatge d’error i no efectuarà l’operació. Aquesta estructura permet que el
directori emmagatzemi la informació de la manera més convenient. Per exemple,
es pot crear un grup que contingui totes les persones de l’organització i un altre
que en contingui tots els grups.
El nom distingit (DN) de cada entrada del directori, per tant, és una cadena de
caràcters formada per parells
1 <tipus_atribut>=<valor>
(RDN) separats per comes, que representen la ruta invertida que duu des de la
posició lògica de l’entrada en l’arbre (fulla) fins a l’arrel (base). D’aquesta
manera, el nom distingit (DN) de cada entrada en descriu la posició que ocupa
en l’arbre de l’organització, i viceversa.
Hi ha dues maneres de nomenar o estructurar l’arbre d’un directori LDAP:
• Estructura “tradicional”: formada pel país i l’estat on se situa l’organit-

zació i, a continuació, el nom d’aquesta organització. Per exemple, l’arrel
o base de l’Institut Obert de Catalunya podria ser alguna cosa així: o=ioc
st=catalunya, c=cat.
Utilitzarem el nomenament
basat en DNS, ja que és la • Estructura basada en noms de domini d’Internet, és a dir, en DNS:
nomenclatura més utilitzada
i permet localitzar servidors aquesta estructura utilitza els dominis DNS per nomenar l’arrel de l’organit-
LDAP mitjançant cerques
DNS.
zació. En aquest cas, la base de l’IOC seria la següent: dc=ioc, dc=cat.
En la figura 3.3 vegem un exemple de l’estructura d’un directori.
Figu r a 3 . 3 . Exemple d’arbre del directori ioc.cat utilitzant el model DNS
D’acord amb aquesta figura, l’entrada corresponent a l’objecte professor “joan”

tindria com a nom distingit “cn=joan, ou=professor, dc=ioc, dc=cat”. La base del
directori o arrel de l’arbre d’informació es correspondria amb “dc:ioc,dc=cat”.
Cadascuna de la resta de caixes per separat es correspondrien amb els RDN de

l’arbre.
5. Esquema
Cada entrada o objecte en el directori pot tenir, com s’ha dit, un conjunt d’atributs
tan descriptius com es vulgui.
La definició dels possibles tipus d’objectes i dels atributs que els componen
(incloent-hi el nom, el tipus, el valor o valors admesos i les restriccions),
que el directori d’un servidor LDAP pot utilitzar, la fa el servidor mateix
mitjançant el denominat esquema (schema) del directori. Per tant, l’esquema
conté les definicions dels objectes que es poden donar d’alta en el directori.
La definició de cada atribut que pertany a un objecte en els distints esquemes

del servei determina si és opcional o obligatori (ordres MAY o MUST). També
és possible que els objectes heretin atributs d’altres objectes. Per exemple, en
l’esquema, l’opció SUP defineix l’objecte pare de l’objecte en qüestió.
Atès que cada servidor pot definir el seu propi esquema, per permetre la interope-
rabilitat entre diferents servidors de directori, els atributs i les classes d’objectes
estan estandarditzats per la IANA i tenen un número d’identificació de l’objecte
(object ID).
Vegeu un exemple de fragments d’un esquema:
1 attributetype **( 2.5.4.42 NAME ( ’givenName’ ’gn’ )**

2 DESC ’RFC2256: first name(s) for which the entity is known by’
3 SUP name )
4
5 objectclass ( **2.5.6.6 NAME ’person’** SUP top STRUCTURAL
6 MUST ( sn $ cn )
7 MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
6. Classes d’objecte
Cada objecte és definit per la classe a la qual pertany.
La classe de l’objecte és una descripció general d’un tipus d’objecte i, per

tant, especifica implícitament la resta d’atributs d’aquest objecte, d’acord
amb la definició establerta en l’esquema.
Cada objecte necessita, a més del nom distingit que l’identifica, la seva classe
d’objecte, que s’especifica mitjançant l’atribut objectClass. La classe de l’objecte
ha de constar en l’esquema o esquemes actius en el servidor LDAP. Un mateix
objecte pot pertànyer a diferents classes simultàniament, de manera que hi pot
haver molts objectClass per a un mateix objecte en el directori.
A més de les classes bàsiques d’objectes definides en els esquemes, l’adminis-

trador del servei LDAP pot definir dins dels esquemes els seus propis objectes o
especificar en el servidor LDAP els esquemes que necessiti.
3.3.6 El format d’intercanvi de dades LDIF
El format LDIF (LDAP data tnterchange format) és l’estàndard per representar les
entrades del directori LDAP en format text.
Resulta molt útil conèixer aquest tipus de representació perquè és el format que
els servidors LDAP (l’OpenLDAP, entre altres) utilitzen per defecte per inserir
informació en el directori i extreure’n. Així, segons el format LDIF, una entrada
del directori consisteix en dues parts:
1. El DN o nom distingit, que ha de figurar en la primera línia de l’entrada i que

es compon de la cadena dn seguida del DN complet de l’entrada.
2. Els atributs de l’entrada. Cada atribut es compon d’un nom d’atribut, seguit
del caràcter dos punts i el valor de l’atribut. Si hi ha atributs multivalorats, han de
posar-se seguits.
No hi ha cap ordre preestablert per a la col·locació dels atributs, però és convenient

llistar primer l’atribut objectClass per millorar la llegibilitat de l’entrada.
Seguint amb l’exemple anterior, a continuació es mostra un subconjunt dels

atributs de l’alumne Pere:
dn: cn=joan, ou=professors, dc=ioc, dc=cat objectClass: person cn: joan sn:
Perez description: professor mail: joan@ioc.cat
Cal tenir en compte que una entrada pot canviar de posició dins de l’arbre
i modificar el seu DN. Per això tots els objectes tenen un universally unique
identifier (UUID) que els identifica de manera única.
3.3.7 Operacions de l’LDAP en el directori
L’estàndard LDAP proporciona un model que permet controlar l’accés a les dades
que hi ha en el directori. Aquest model defineix un conjunt d’operacions dividides
en tres grups:
• Operacions de consulta, permeten fer cerques en el directori i recuperar

dades.
• Operacions d’actualització, permeten afegir, esborrar, reanomenar i mo-

dificar entrades del directori.
• Operacions d’autenticació i control, permeten la identificació dels clients

i del directori i el control de certs aspectes d’una sessió.
Operacions de consulta
Les operacions de consulta permeten buscar i obtenir informació emmagatzemada

en el directori.
L’operació search permet buscar en el directori les entrades que compleixen

les especificacions indicades. Aquestes especificacions permeten indicar el punt
d’inici de la cerca, la profunditat, els valors que han de tenir determinats atributs i
els atributs que es retornaran. Per fer la recerca, s’han d’especificar els paràmetres
següents: Referral
Referral és el procés pel qual un
servidor LDAP, en comptes de
• Base: especifica el DN en què s’indica el punt de partida per a la cerca. tornar un resultat, torna una
referència a un altre servidor
LDAP que pot contenir la
• Scope: àmbit en què es farà la cerca, pot tenir diferents valors: informació que es vol.
– Base, només es cerca en l’entrada base.

– One, es cerca en el nivell immediatament inferior a l’entrada base.
– Subtree, es cerca en tot el subarbre sota l’entrada base.
• Filtre de cerca: indica el criteri que s’aplicarà a la cerca.
• Atributs a retornar: es pot indicar quins atributs es retornen i si es retorna

el valor de l’atribut o el tipus de dada que conté.
• Alias derreferencing: indica si el servidor ha de seguir les entrades referral

o, per contra, la petició s’ha d’enviar al servidor referenciat.
• Límit: indica el nombre màxim d’entrades que es retornaran o el temps que

es farà servir per fer aquesta cerca. Els servidors poden imposar límits més
estrictes que els que indiquin els clients.
També hi ha l’operació compare, que és similar a l’operació de cerca i utilitza

un filtre d’equiparació. La diferència rau en el fet que quan hi ha una entrada que
compleix les especificacions, però no té l’atribut que es vol retornar, el directori
retorna un valor especial a fi d’indicar que aquesta entrada, tot i complir els
requisits, no disposa de l’atribut.
Operacions d’actualització
Hi ha quatre operacions que permeten afegir, esborrar, reanomenar (modificar el

DN) i modificar el contingut de les entrades del directori. Aquestes operacions
són les següents:
1. Operació add
Aquesta operació permet afegir entrades noves en el directori. Com a paràmetres,

rep el DN de l’entrada que cal crear i també els atributs i els valors que hi
estan associats. Per poder fer aquesta operació, s’han de complir les condicions
següents:
• El node pare de l’entrada ha de ser en el directori.
• No hi ha d’haver cap altra entrada amb el mateix DN.
• L’entrada ha de complir els requisits especificats en l’esquema.
• El control d’accessos ha de permetre aquesta operació.
2. Operació delete
Aquesta operació permet eliminar entrades del directori. Com a paràmetres, rep
el DN de l’entrada a esborrar. Per poder fer aquesta operació, s’han de complir les
condicions següents:
• L’entrada a esborrar ha de ser en el directori.
• Aquesta entrada no pot tenir cap fill.
3. Operació rename
Aquesta operació permet modificar el DN d’una entrada. Per poder reanomenar

una entrada, s’han de complir les condicions següents:
• L’entrada a reanomenar ha d’existir.
• No hi pot haver una entrada amb el DN nou.
4. Operació modify
Permet modificar els atributs d’una entrada. Per poder executar aquesta operació,
s’han de complir les condicions següents:
• L’entrada a modificar ha d’existir.
• L’entrada resultant s’ha d’ajustar a l’esquema.
• El control d’accessos ha de permetre l’actualització.
Aquest punt indica que les operacions en LDAP són atòmiques. Si alguna de les
modificacions falla, tota l’operació d’actualització falla.
Operacions d’autenticació i control
L’LDAP incorpora dues operacions d’autenticació (bind i unbind) i una de control

(abandon):
• Operació bind: aquesta operació permet autenticar el client en el directori.

Hi ha diversos tipus d’autenticació en funció de les operacions que volem
fer en el directori. Entre els diferents tipus d’autenticació, hi podeu trobar
els següents:
– Sessions anònimes. Les sessions anònimes, en què no s’ha especificat

l’usuari ni la contrasenya, solament tenen sentit per a operacions de
cerca, ja que no s’ha fet cap tipus de comprovació de la identitat del
client.
– Sessions autenticades. L’autenticació bàsica consisteix a enviar al
servidor el nom distingit i la contrasenya de l’usuari en text clar
per establir la connexió. El servidor considera que el client s’ha
autenticat si la contrasenya coincideix amb l’emmagatzemada en el
camp userPassword. Aquesta informació s’envia en text clar des del
client al servidor, cosa que implica un risc de seguretat molt alt.
– Sessions xifrades. L’LDAP també té en compte l’establiment de
sessions xifrades. En aquest tipus de sessions, el client envia el
nom distingit de l’usuari, el mètode d’autenticació que farà servir i
les credencials necessàries per autenticar-se. El mecanisme SASL
estableix els mètodes d’autenticació estàndard. L’avantatge principal
d’aquest disseny rau en el fet que permet l’ampliació a mètodes
d’autenticació nous mitjançant el mètode external. De fet, l’SSL (i
el seu successor, TSL) utilitzen aquest mètode.
• Operació unbind: aquesta operació tanca la connexió amb el servidor

LDAP.
• Operació abandon: aquesta operació permet indicar al servidor LDAP que

el client abandona l’operació en curs.
3.4 Instal·lació i configuració d’un servei de directori als sistemes

GNU/Linux
Resulta fonamental conèixer els processos d’instal·lació i configuració bàsica d’un

servei de directori en un sistema GNU/Linux, concretament l’OpenLDAP. Abans,
però, per conèixer millor el programari utilitzat, heu de saber en què consisteix el
projecte OpenLDAP.
3.4.1 Introducció a l’OpenLDAP
L’OpenLDAP és una implementació de codi obert i gratuïta de l’estàndard

LDAP desenvolupada pel projecte OpenLDAP.
L’any 1998 Kurt Zeilenga va iniciar el projecte OpenLDAP. L’OpenLDAP va

començar com un clon de la implementació LDAP de la Universitat de Michigan,
entitat en què es va desenvolupar originalment l’LDAP i que actualment també
treballa en l’evolució d’aquest protocol.
Bàsicament, l’OpenLDAP posseeix tres components principals:

Logotipus del projecte OpenLDAP
• slapd: Format per al servidor LDAP i algunes eines de gestió.
• ldap-utils: Paquet que agrupa alguns programes client com l’ldapsearch,

l’ldapadd, l’ldapdelete o l’ldapcat, entre d’altres.
• Biblioteques que implementen el protocol LDAP, com liblber i libldap.
3.4.2 Instal·lació OpenLDAP
La primera qüestió que heu de tenir en compte abans d’instal·lar un servei de

directori mitjançant l’OpenLDAP és escollir bé el maquinari i el programari que
fareu servir.
Per instal·lar el servidor OpenLDAP en què emmagatzemareu la base de dades

del directori i en què recaurà la major part del processament de les consultes al
sistema, heu de tenir en compte les recomanacions següents:
• Processador: si és possible, és millor que utilitzeu servidors amb multipro-

cessador.
• Suport d’emmagatzemament: és convenient utilitzar un disc dur per

al sistema operatiu i un altre per emmagatzemar la base de dades de
l’OpenLDAP. Si no és possible, almenys hauríeu d’utilitzar dues particions
separades. Aquesta és l’optimització més important.
• Grandària de la memòria: dependrà del nombre d’entrades que tingui

el directori i del nombre d’atributs que usi cada entrada. Normalment
No és imprescindible
disposar d’aquests recursos
necessitareu entre 2 GB i 4 GB de memòria.
de maquinari o programari
per poder utilitzar
l’OpenLDAP, només són
recomanacions. Una vegada tingueu el maquinari necessari per instal·lar el servidor OpenLDAP,
haureu de tenir en compte les recomanacions següents a l’hora d’instal·lar el
sistema operatiu:
• Triar una instal·lació simple, només amb els complements imprescindibles.
• Actualitzar el sistema operatiu amb els últims components de programari.
• Triar un sistema d’arxius adequat, normalment l’ext4 per a GNU/Linux.
• Aturar tots els serveis i dimonis que no s’hagin de fer servir.
• Monitorar el servidor.
• Optimitzar els paràmetres del sistema operatiu. Cal que us assegureu que
la memòria, el processador i els suports d’emmagatzematge funcionen
correctament.
Una vegada tingueu el maquinari i el sistema operatiu que necessiteu enllestits,

passeu al pas següent: la instal·lació del servidor OpenLDAP.
3.4.3 Instal·lació del servidor OpenLDAP
En aquest material veureu la instal·lació LDAP a un Ubuntu Server 16.04.1 LTS,

però el procediment és el mateix en un Ubuntu Desktop.
Abans, però, assegureu-vos que teniu configurada correctament la configuració

IP de la vostra màquina que convertireu en servidor LDAP, especialment que heu
triat una IP estàtica. Una possible configuració seria la que mostra la figura 3.4:
Fig ur a 3 . 4 . Configuració IP
També podeu editar el fitxer /etc/hosts de la màquina servidor i deixar-lo com

mostra la figura 3.5. En l’exemple d’aquests materials, el domini LDAP que es
crearà s’anomenarà IOC-domini.cat.
F i g ura 3 . 5 . Configuració host
Ara sí que podeu procedir amb la instal·lació. El paquet necessari per instal·lar
el servidor OpenLDAP el podeu trobar en els dipòsits de l’Ubuntu: és el paquet
slapd. També és convenient instal·lar el paquet ldap-utils, ja que proporciona
diverses eines per manipular bases de dades com ldapadd per afegir una entrada
nova a la base de dades. Caldrà escollir-la durant la configuració del servidor.
Per instal·lar aquests dos paquets executareu l’ordre següent, la qual també podeu
consultar a la figura 3.6:
1 sudo apt−get install slapd ldap−utils
F ig ura 3 . 6 . Instal·lació openLDAP
Durant la instal·lació haureu de configurar la contrasenya que voldreu per l’admi-

nistrador del directori LDAP. Ho podeu consultar a la figura 3.7, i haureu de repetir
l’entrada de la contrasenya una segona vegada.
F ig ura 3 . 7 . Contrasenya administador

Una vegada instal·lat el servidor OpenLDAP, podeu consultar els diferents tipus
de fitxers que s’han afegit al sistema.
• Amb la següent ordre llisteu els fitxers executables o les ordres instal·lades.
Aquestes ordres són necessàries per gestionar el servidor i la base de dades.
1 dpkg -L slapd | grep bin
• Per consultar els manuals i la documentació sobre el servidor feu servir les
ordres:
1 dpkg -L slapd | grep man
1 dpkg -L slapd | grep doc
• L’ordre següent us ajudarà a conèixer quins són els fitxers de configuració

del servidor OpenLDAP:
1 dpkg -L slapd | grep etc
• Finalment, l’ordre següent us mostrarà els esquemes LDAP que el servidor

OpenLDAP utilitza per defecte:
1 dpkg -L slapd | grep schema
Amb això haureu acabat la instal·lació, passareu ara a la configuració.
3.4.4 Configuració del servidor OpenLDAP
La configuració del servidor LDAP es realitza fent servir l’assistent de configura-

ció que ens proporciona el paquet slapd per configurar el servidor.
Per iniciar la configuració, heu d’executar l’ordre següent:
1 sudo dpkg−reconfigure slapd
La primera pregunta de l’assistent serà si voleu ometre la configuració del slapd.

Lògicament triarem que no. Veieu-ho a la figura 3.8
F i g ura 3 . 8 . Configuració slapd
Seguireu amb l’entrada del nom del domini. En aquest exemple IOC-domini.cat.
L’OpenLDAP utilitzarà aquest nom per crear tots els noms distingits de les
entrades del directori, és a dir, el nom identificatiu de la base del vostre directori
OpenLDAP. Veieu-ho a la figura 3.9
F i g ura 3 . 9 . Nom del domini
El següent pas serà entrar el nom de la organització, seguint l’exemple anterior,

entrareu IOC-domini. Veieu-ho a la figura 3.10
F i g ura 3 . 1 0 . Nom de la organització
Us demanarà (dues vegades) la contrasenya que voleu definir per l’accés d’admi-
nistrador. Ho veieu a la figura 3.11
Fig ur a 3 . 11 . Contrasenya administrador
La següent pregunta es refereix al motor de base de dades que voleu utilitzar. Us

deixa triar entre BDB, HDB i MDB. Aquest últim (MDB) és el substitut dels dos
anteriors (basats en base de dades Berkeley), i és el recomanat. El trieu tal i com
podeu veure a la figura 3.12
Fig ur a 3 . 12 . Motor de la base de dades
Us preguntarà, a continuació, si voleu eliminar la base dades actual un cop acabada

la eliminació del paquet slapd amb l’eina purge. Aquesta opció és útil si teniu una
base de dades i la voleu eliminar. En aquest exemple, triareu no per mantenir-la
en cas de purgat. Ho veieu a la figura 3.13
Fig ur a 3 . 13 . Purgat de la base de dades

Al triar que no voleu purgar, ara ens avisa que hi ha fitxers anteriors, i els ha de
moure per crear la nova base de dades. Accepteu l’acció tal i com mostra la figura
3.14
F i g ura 3 . 1 4. Nova base de dades
Actualment LDAP fa servir la versió 3. En aquesta pantalla us deixa triar si voleu

acceptar la compatibilitat per sistemes antics que fan servir la versió 2. Des del
2003 no es recomana seguir fent servir la versió 2, així que triareu que no, tal i
com mostra la figura 3.15. Al missatge per pantalla també ens indica què fer en
cas de mantenir equips antics que fan servir la versió 2.
F ig ura 3 . 1 5. Versió 3 LDAP
Una vegada acabat el procés de configuració, cal comprovar que no hi hagi cap
error i que generi l’usuari openldap al fitxer /etc/passwd . Si és així, ja tindreu
el vostre servidor OpenLDAP preparat per poder-hi treballar. És interessant
saber que el procés d’arrencada i aturada manual del servidor LDAP es fa de la
mateixa manera que en tots els serveis en l’Ubuntu. El servei disposa d’un script
d’arrancada i aturada en la carpeta /etc/init.d.
Per tal d’arrencar o reiniciar el servidor LDAP, executeu l’ordre següent:
1 sudo /etc/init.d/slapd restart

Instal
Sistemes operatius en xarxa 123 / · lació i configuració de sistemes operatius lliures
3.4.5 Gestió del servei OpenLDAP
Una vegada instal·lat i configurat el servidor OpenLDAP, cal gestionar el servei

per obtenir els resultats esperats. Principalment, la gestió del servei consistirà a
dissenyar l’estructura del directori, introduir-hi les dades i, després, consultar-les.
Per tal d’accedir al directori OpenLDAP i poder crear-hi, modificar-hi i consultar-

hi elements, hi ha dues opcions. La primera opció és fer servir les ordres que
proporcionen tant el servidor com el client mitjançant la línia d’ordres. La segona
opció és utilitzar un explorador de directoris LDAP gràfic. Totes dues opcions
acompleixen els estàndards de les operacions LDAP en el directori que s’han
explicat anteriorment.
Gestió del directori mitjançant la línia d’ordres
Primer veureu quines ordres ens proporciona l’OpenLDAP i perquè serveixen.

Mitjançant l’ordre dpkg –L slapd | grep bin, llisteu cadascuna de les ordres
instal·lades per al servidor:
1 $dpkg −L slap | grep bin
2 /usr/sbin
3 /usr/sbin/slapd
4 /usr/sbin/slapadd
5 /usr/sbin/slapcat
6 /usr/sbin/slapdn
7 /usr/sbin/slapindex
8 /usr/sbin/slappasswd
9 /usr/sbin/slaptest
Vegeu quina utilitat té cadascuna de les ordres instal·lades:
• slapd, és el servidor OpenLDAP independent.
• slapadd, s’utilitza per afegir entrades especificades en el format d’intercan-

vi de directori LDAP (LDIF) en una base de dades slapd.
• slapcat, s’utilitza per passar tota la base de dades de l’OpenLDAP a format

LDIF.
• slapdn, s’utilitza per comprovar la conformitat dels DN amb els esquemes

que es defineixen en el servidor OpenLDAP (slapd).
• slapindex, s’utilitza per regenerar índexs slapd basats en el contingut actual

d’una base de dades.
• slappasswd, és una utilitat de contrasenyes OpenLDAP.
• slaptest, s’utilitza per comprovar que la sintaxi de l’arxiu de configuració

sladp.conf sigui correcta.
Amb l’ordre dpkg –L ldap-utils | grep bin podeu consultar les ordres que instal·la
el paquet ldap-utils, és a dir, el client OpenLDAP:
1 $sudo dpkg −L ldap−utils | grep bin

2 /usr/bin/ldapdelete /usr/bin/ldapmodrdn
3 /usr/bin/ldapsearch
4 /usr/bin/ldapcompare
5 /usr/bin/ldapmodify
6 /usr/bin/ldappasswd
7 /usr/bin/ldapwhoami
8 /usr/bin/ldapexop
9 /usr/bin/ldapadd
Vegeu quina utilitat té cada ordre o programa instal·lat:
• ldapdelete, s’utilitza per esborrar una o més entrades del directori.
• ldapmodrdn, serveix per modificar els RDN de les entrades.
• ldapsearch, s’utilitza per fer una cerca mitjançant els paràmetres especifi-
cats, possiblement és l’ordre més utilitzada.
• ldapcompare, fa una comparança mitjançant els paràmetres especificats.
• ldapmodify, serveix per modificar les entrades del directori.
• ldappasswd, és una eina que s’utilitza per establir la contrasenya d’un

usuari LDAP.
• ldapwhoami, la funció és fer una operació whoami i determinar amb quin

usuari heu fet un bind o login.
• ldapexop, permet executar operacions esteses, definides per una organit-

zació d’estandardització o un venedor de directori particular, per exemple
PAM.
• ldapadd, s’usa per afegir entrades, és igual que l’ordre ldapmodify -a.
Totes aquestes ordres han d’obrir una connexió amb el servidor LDAP, és a dir,
s’han d’autenticar per portar a terme la seva tasca.
Per defecte, l’OpenLdap permet operacions de lectura anònimes i operacions

d’escriptura només a l’usuari admin. Tot i que aquest comportament es pot
modificar en la configuració, no és recomanable si no es tenen en compte
totes les conseqüències que pot comportar en el servei de directori.
En totes les ordres serà necessari especificar l’usuari, la paraula de pas, la màquina
en què us voleu autenticar i alguna altra opció. Així, les opcions comunes a totes
les ordres són les següents:
• -D binddn : Determina el nom distintiu de l’usuari amb el qual us voleu

connectar al servidor. El binddn es correspon amb la identificació única del
node en què es troba l’usuari dins l’arbre LDAP.
• -W : Us pregunta per línia de comandes la paraula de pas. També es pot

especificar mitjançant -w password. (Cal anar amb compte perquè d’aquesta
manera la contrasenya aniria en text clar.)
• -H ldapurl: Especifica la URL (s) de referència del servidor OpenLDAP

(s) en què el client es vol autenticar. En la sintaxi només estan permesos els
camps protocol / host / port i s’espera una o diverses URL, separades per
espais en blanc o comes.
• h –ldaphost : Especifica el nom de màquina del servidor en comptes de la

URL de l’opció anterior.
• -x : Determina que s’utilitzarà l’autenticació simple en lloc de SASL.
Vegeu els exemples següents:
• Connectar amb el servidor local amb autenticació simple amb l’usuari

admin per tal d’afegir les entrades que hi ha en un fitxer amb format .ldif i
que abans ens demani la contrasenya:
1 sudo ldapadd −x −D cn=admin,dc=IOC−domini,dc=cat −W −f base.ldif
• Connectar amb el servidor local amb autenticació simple i buscar la infor-

mació disponible sobre la base del directori dc=ioc, dc=xtec,dc=cat.
1 ldapsearch -x -h localhost -b dc=IOC−domini,dc=cat
Recordem que les operacions de lectura són anònimes per defecte. La resta
d’opcions de cadascuna de les ordres es poden consultar mitjançant l’ordre
següent:
1 man nom_comanda
Exemples
A continuació afegireu a la base de dades LDAP que acabeu de crear un nou grup
i un usuari. Ho fareu via terminal, amb la ordre ldapadd i els fitxers LDIF.
1- Creareu un fitxer anomenat grups.ldif i hi escriureu el següent codi per crear

un nou grup anomenat alumnes que formarà part d’una unitat organitzativa
anomenada grups (també ho podeu veure a la figura 3.16).
Només cal crear una vegada la unitat organitzativa grups.
1 dn: ou=grups,dc=IOC−domini,dc=cat
2 objectClass: organizationalUnit
3 objectClass: top
4 ou: grups
5
6 dn: cn=alumnes,ou=grups,dc=IOC−domini,dc=cat
7 objectClass: posixGroup
8 objectClass: top
9 cn: alumnes
10 gidNumber: 1002
F i g ura 3 . 1 6. Configuració grup
2- Afegireu el contingut del fitxer grup.ldif a la base de dades LDAP amb la

següent entrada (també ho podeu consultar a la figura 3.17).
1 sudo ldapadd −x −D cn=admin,dc=IOC−domini,dc=cat −W −f grups.ldif
F i g ura 3 . 1 7 . Afegit del grup a la base de dades
3- Creareu ara un nou usuari, seguint el procediment anterior: redacció del fitxer
ldif i inserció amb la comanda ldapadd. Comenceu per la redacció del fitxer
usuaris.ldif amb el codi per crear l’usuari Luke que formarà part de la unitat
organitzativa usuaris.
Només cal crear una vegada la unitat organitzativa usuaris.
1 dn: ou=usuaris,dc=IOC−domini,dc=cat
2 objectclass: organizationalUnit
3 objectclass: top
4 ou: usuaris
5
6 dn: cn=Luke Skywalker,ou=usuaris,dc=IOC−domini,dc=cat
7 cn: Luke Skywalker
8 gidnumber: 1002
9 homedirectory: /home/lukes
10 loginshell: /bin/bash
11 objectclass: inetOrgPerson
12 objectclass: organizationalPerson
13 objectclass: person
14 objectclass: posixAccount
15 objectclass: top
16 sn: Skywalker
17 uid: lukes
18 uidnumber: 1100
Instal
Sistemes operatius en xarxa 127 s u d o · lació i configuració de sistemes operatius lliures
Fig ur a 3 . 18 . Configuració usuaris
4- Afegireu el contingut del fitxer usuaris.ldif a la base de dades LDAP amb la

següent entrada (també ho podeu consultar a la figura 3.19).
1 sudo ldapadd −x −D cn=admin,dc=IOC−domini,dc=cat −W −f usuaris.ldif
Fig ur a 3 . 19 . Configuració usuaris
Podeu afegir o canviar manualment de grup un usuari creant un nou fitxer de tipus
ldif amb el següent codi:
1 dn: cn=alumnes,o=grups,dc=IOC−domini,dc=cat
2 changetype: modify
3 add: memberuid
4 memberuid: lukes
Aquest fitxer l’haureu d’entrar a la base de dades amb la següent ordre:

1 ldapmodify −x −W −D cn=admin,dc=IOC−domini,dc=cat −f grup.ldif
5- Com podeu comprovar, a l’entrada de l’usuari anterior no s’ha especificat cap

contrasenya. Ho podeu fer afegint la següent línia de codi al fitxer usuaris.ldif:
1 userPassword: contrasenya
Però aprofitareu que al vostre fitxer usuaris.ldif no hi ha la contrasenya per afegir-la

posteriorment fent ús de l’ordre ldappasswd de la següent manera (també podeu
consultar-ho a la figura 3.20:
1 sudo ldappasswd −s contrasenya −W −D "cn=admin,dc=IOC−domini,dc=cat" −x "cn=

Luke Skywalker,ou=usuaris,dc=IOC−domini,dc=cat"
F i g ura 3 . 2 0. Afegir o canviar contrasenya
Deixem que l’alumne explori el significat i el funcionament de la resta d’ordres i

opcions. A continuació, i atès el funcionament intuïtiu d’un explorador de direc-
toris gràfic, hi treballareu per coneixer els processos d’instal·lació, configuració i
utilització de l’explorador.
Gestió del directori mitjançant exploradors gràfics
Hi ha molts exploradors de directori LDAP, tant de pagament com lliures. Entre

les aplicacions lliures, destaquem l’Apache Directory Studio, el LAM (LDAP
Front end Account Manager) i les aplicacions web Gosa i phpLDAPadmin.
Els exploradors gràfics de
directori només són un frontal En aquest material utilitzarem l’aplicació phpLDAPadmin per exemplificar el
(front end) per facilitar la tasca
als usuaris. Realment aquests
exploradors, per fer les seves
funcionament d’una eina gràfica d’administració de l’OpenLDAP.
tasques, fan servir les ordres del
sistema que s’han explicat
anteriorment.
PhpLDAPadmin
Aclariment
L’administració del servidor
LDAP es pot fer des de la línia
d’ordres en qualsevol sistema
que no tingui entorn gràfic (pot
ser el nostre cas), ja que heu
El PhpLDAPadmin és una eina per a l’administració gràfica de servidors
instal·lat un Ubuntu Server LDAP, escrita en php i accessible per mitjà d’una interfície web.
Edition. També es poden utilitzar
eines gràfiques instal·lades en
altres màquines que, mitjançat la
connexió via web, us permeten El PhpLDAPadmin proporciona una vista jeràrquica basada en l’arbre d’infor-
gestionar el servei OpenLDAP.
mació del directori amb la qual es pot navegar per tota l’estructura de directori.
Permet veure els esquemes LDAP, fer cerques, crear, esborrar, copiar i editar
entrades LDAP i, fins i tot, copiar entrades entre servidors LDAP.
Instal·lació del phpLDAPadmin
Per instal·lar l’aplicació, executeu l’ordre següent a la màquina on hi teniu el

servidor LDAP:
1 sudo apt−get install phpldapadmin

Configuració del phpLDAPadmin
Un cop instal·lat, heu de configurar el nom del domini que haurà de fer servir. Per
fer-ho, editareu el fitxer /usr/share/phpldapadmin/config/config.php , i cercareu
les següents tres entrades dins l’apartat Define your LDAP servers in this section
(podeu consultar-ho també a la figura 3.21 i figura 3.22:
• Nom del servidor (canvi opcional):
L’entrada:
1 $servers−>setValue(’server’,’name’,’My LDAP Server’);
La canviareu per:
1 $servers−>setValue(’server’,’name’,’Servidor LDAP del IOC’);
• Domini del servidor:
L’entrada:
1 $servers−>setValue(’server’,’base’,array(’dc=example,dc=com’));
La canviareu per:
1 $servers−>setValue(’server’,’base’,array(’dc=IOC−domini,dc=cat’));
• Nom de l’administrador:
L’entrada:
1 $servers−>setValue(’login’,’bind_id’,’cn=admin,dc=example,dc=com’);
La canviareu per:
1 $servers−>setValue(’login’,’bind_id’,’cn=admin,dc=IOC−domini,dc=cat’);
Fig ur a 3 . 21 . Configuració phpLDAPadmin

F i g ura 3 . 2 2. Configuració phpLDAPadmin
Un cop guardats els canvis i tancat l’editor, podeu obrir una sessió de qualsevol
navegador web d’un ordinador connectat a la mateixa xarxa que l’equip servidor,
i accedir a la interfície gràfica. Per fer-ho, caldrà introduir el següent en la línia
d’adreces:
1 http://IP_del_servidor/phpldapadmin
Us apareixerà la finestra que veieu en la figura 3.23 on haureu de clicar a login i

seguidament entrar el password d’administració de LDAP.
F i g ura 3 . 2 3 . Web de phpLDAPadmin
Finalment, un cop entrat el password de l’administrador LDAP, entrareu al domini

LDAP. Veieu-ho a la figura 3.24.
F i g ura 3 . 2 4 . Web de phpLDAPadmin
Com podreu comprovar, ja us apareix la informació entrada des del servidor.

Qualsevol canvi que feu al terminal es reflectirà immediatament a la interfíce web,
i viceversa. Per actualitzar la base de dades, podreu clicar a Refresh en qualsevol
moment.
Així doncs, com veieu, teniu disponible el grup alumnes i l’usuari Luke Skywalker.
Si cliqueu a l’usuari, en veureu la seva informació, com per exemple el grup al que
pertany (alumnes).
Aquesta és una interfície molt agradable per gestionar la base de dades, i podeu fer-
hi qualsevol canvi als usuaris ja creats o crear-ne de nou. Això ho feu a continuació.
Creació i gestió del directori amb el phpLDAPadmin
Per introduir les dades del directori amb el phpLDAPadmin, teniu dues opcions:
importar un fitxer en format LDIF o bé utilitzar la interfície gràfica que ens
proporciona l’aplicació per crear-les. Veureu totes dues opcions.
La importació de dades des d’un fitxer LDIF requereix que el fitxer tingui el format
correcte perquè l’aplicació ho interpreti adequadament. Un exemple de fitxer per
crear un nou grup (professors) seria el següent:
1 dn: cn=professors,ou=grups,dc=IOC−domini,dc=cat
2 objectClass: posixGroup
3 objectClass: top
4 cn: professors
5 gidNumber: 1003
Un exemple d’un fitxer per crear un nou usuari dins el grup professors seria el
següent:
1 dn: cn=Leia Amidala,ou=usuaris,dc=IOC−domini,dc=cat

2 cn: Leia Amidala
3 gidnumber: 1003
4 homedirectory: /home/leia
5 loginshell: /bin/bash
6 objectclass: inetOrgPerson
7 objectclass: organizationalPerson
8 objectclass: person
9 objectclass: posixAccount
10 objectclass: top
11 sn: Amidala
12 uid: leia
13 uidnumber: 1101
De moment el creareu sense password, per afegir-lo posteriorment amb més

seguretat.
Una vegada tingueu el fitxer amb el format correcte, seleccionareu l’opció import,
que apareix al damunt de l’arbre de directori i ens permetrà seleccionar el fitxer
d’importació que volem (o copiant el contingut del fitxer i enganxant-lo al quadre
disponible). Després de seleccionar-lo, cal que cliqueu a Proceed. Si no hi ha cap
error, ens afegirà les entrades corresponents a l’arbre del directori.
Podeu veure les dues maneres d’entrar la informació a la figura 3.25, on entreu
la informació del nou grup, i a la figura 3.26, on entreu la informació d’un nou
usuari.
F i g ura 3 . 2 5. Entrada d’un nou grup
F i g ura 3 . 2 6 . Entrada d’un nou usuari
Com veieu a la següent figura 3.27, ja teniu creat els dos grups de la organització,
i un usuari per cada un. També podeu comprovar que l’usuari Leia Amidala forma
part del nou grup professors. Us faltarà, però, crear-li una contrasenya.
Podeu afegir camps a una entrada clicant sobre Add new attribute. Trieu el camp
Password i afegiu-li, tal i com podeu observar a la figura 3.27.
F ig ura 3 . 2 7. Entrada d’una contrasenya
Finalment, cliqueu sobre Update Object per acceptar els canvis.
Si voleu introduir manualment les dades d’un nou objecte (usuari o grup), haureu
de seleccionar Create new entry here allà on el voleu crear. A continuació,
apareixerà la pantalla de la figura 3.28, en què podreu escollir el tipus d’entrada
que voleu afegir a l’arbre del directori.
Fig ur a 3 . 28 . Tria de l’entrada
Per posar-hi un exemple, creareu un nou usuari fent clic a Generic User Account
i entrant els detalls del vostre nou usuari. En podeu veure un exemple a la figura
3.29.
Fig ur a 3 . 29 . Exemple de creació d’un nou usuari
Un cop creat l’usuari, podeu comprovar que les dades s’han entrat correctament.
Especialment comproveu si el homeDirectory s’ha desat bé. També podreu
escriure manualment el loginShell per posar-lo en /bin/bash , ja que és l’habitual.
Finalment, actualitzeu els canvis amb un UpdateObject.
Altres opcions imprescindibles, definides en el model estàndard de l’LDAP, que

ens proporciona el phpLDAPadmin són la cerca de dades dins del directori (ldapse-
arch) i l’exportació del directori en un fitxer (ldapcat). La cerca d’informació en el
directori s’efectua mitjançant una sèrie de paràmetres que ens permeten delimitar
el rang de cerca i determinar el format de sortida de les dades. Per fer la cerca
premem el botó search. A continuació, ens apareixerà la pantalla de la figura 3.30
on cercarem els usuaris que tenen el cognom (sn) igual a Skywalker.
Fig ur a 3 . 30 . Cerca d’informació

El significat dels paràmetres o els camps que podeu especificar per a la cerca són
els següents:
• Base DN: especifica el DN en què s’indica el punt de partida per a la cerca.
• Search Scope: àmbit de la recerca, pot ser:
– Base: només es cerca en l’entrada base.

– One: es cerca en el nivell immediatament inferior a l’entrada base.
– Subtree: es cerca en tot el subarbre sota l’entrada base.
• Search Filter: filtre de cerca, indica el criteri de cerca.
• Show attributtes: atributs a mostrar, es pot indicar quins atributs es

retornen i si es retorna el valor de l’atribut o el tipus de dada que conté.
• Order by: determina l’ordre de les dades retornades.
Per exportar les dades del directori a un fitxer de text, cal que seleccioneu l’opció
export, que apareix al damunt de l’arbre del directori. Apareixerà la pantalla que
es mostra en la figura 3.31, en què podreu escollir els paràmetres que determinaran
les dades que voleu i amb quin format les voleu exportar. Després de seleccionar
les dades, clicareu a Proceed. Si marqueu la casella Save as file, ens generarà el
fitxer amb les dades corresponents i el format especificat.
F i g ura 3 . 3 1. Exportar una cerca
Es poden fer més operacions amb aquest o altres exploradors gràfics. Deixarem
que els alumnes explorin la resta d’opcions i d’altres eines gràfiques per gestionar
el directori.
4. Autenticació d’usuaris en xarxes GNU/Linux
Per entendre el funcionament de l’autenticació d’usuaris en xarxes GNU/Linux

és necessari conèixer el significat del concepte domini i quina és la traducció
d’aquest concepte en sistemes GNU/Linux. També és imprescindible saber com
funciona el sistema de gestió d’usuaris i grups en els sistemes GNU/Linux i el
procés de configuració de l’autenticació d’usuaris en una xarxa formada per xarxes
GNU/Linux.
Finalment, en el tercer apartat (4.3. Configuració LDAP al client) es detalla la

configuració pràctica per unir un client a un domini.
4.1 Què és un domini?
Quan parlem de domini podem referir-nos a dos conceptes:
• Domini d’Internet
• Domini d’administració de sistemes
Un domini d’Internet és una estructura jeràrquica de noms separats per punts

que, per mitjà dels servidors de noms de domini, permet determinar la
ubicació (adreça IP) d’un equip connectat a Internet.
Cada nom de l’estructura determina un servidor DNS que coneix l’adreça IP de

l’equip amb el nom anterior en l’estructura (excepte el primer nom que determina
el node en qüestió).
També podeu utilitzar el
servei de noms de domini
L’objectiu, juntament amb el servei de noms de domini, és traduir les adreces IP en la vostra xarxa local per
identificar les màquines de
dels nodes actius de la xarxa en paraules més fàcils de recordar per a les persones. la xarxa amb noms.
Domini Windows
Des del punt de vista de l’administració de sistemes, un domini constitueix El concepte de domini en
l’administració de sistemes és
un conjunt d’equips interconnectats en una xarxa local que comparteixen pròpiament un concepte
Windows. En aquest àmbit, un
informació administrativa centralitzada (usuaris, grups, contrasenyes, etc.). domini fa referència a un conjunt
de recursos de xarxes, controlats
Aquesta informació es fa servir per poder autenticar-se i crear un entorn per servidors NT, als quals un
usuari pot accedir mitjançant un
inicial de treball per als usuaris que, segons els seus permisos, podran accedir únic usuari i contrasenya. Quan
parlem de domini en sistemes
als recursos que proporciona el sistema. GNU/Linux fem referència a
l’autenticació d’usuaris en xarxa,
és a dir, a un grup de màquines
L’autenticació per mitjà de la xarxa en sistemes GNU/Linux requereix fonamen- que s’autentiquen per mitjà d’un
o diversos servidors en què hi ha
talment la disponibilitat d’almenys un o diversos ordinadors que emmagatzemin la base de dades dels usuaris amb
els seus atributs o, dit d’una altra
físicament aquesta informació i que la comuniquin a la resta de màquines connec- manera, el directori d’usuaris.
tades en xarxa, quan sigui necessari, mitjançant un esquema client-servidor.

Per exemple, quan un usuari vol iniciar una sessió en qualsevol ordinador client
del grup d’autenticació (domini), aquest ordinador haurà de validar les dades de
l’usuari en el servidor i obtenir del mateix servidor tota la informació necessària
per poder crear el context inicial de treball per a l’usuari.
En el món GNU/Linux, l’autenticació per mitjà de la xarxa se solia implementar

mitjançant els NIS (network information services), que tenia moltes variants.
No obstant això, la integració de serveis de directori en GNU/Linux, com
l’LDAP, ha possibilitat la incorporació d’aquesta tecnologia, molt més potent
i escalable que el NIS, en la implementació de dominis.
Per exemple, en el Windows Server la implementació del concepte de domini es fa

mitjançant el denominat directori actiu (active directory), un servei de directori
Els serveis NFS i Samba basat en diferents estàndards, com l’LDAP i el DNS.
els veurem en la unitat
“Compartir recursos en
xarxa i seguretat en En GNU/Linux s’aconsegueix un efecte similar al del directori actiu en combinar
sistemes lliures i
propietaris”. El muntatge, un servei que actua com a servidor de comptes i grups i un altre servei que permet
la configuració i la gestió
d’un domini amb el Samba exportar directoris a màquines remotes. En concret, aquests serveis són l’LDAP,
i l’LDAP, en la unitat
“Integració de sistemes el Samba o l’NFS, respectivament.
lliures i propietaris”.
Aquest tipus de sistemes normalment s’utilitzen en empreses i organitzacions
mitjanes i grans.
Avantatges:
• Administració centralitzada: el domini sencer es pot administrar des d’una

sola base de dades.
• Procés d’autenticació únic (single logon process): el control d’accés als

recursos es pot fer amb un sol login.
• Escalabilitat: és un sistema més escalable, és a dir, el sistema té una habilitat

més gran per estendre el marge d’operacions sense perdre qualitat, a més de
compaginar un creixement continu de treball d’una manera fluida.
Inconvenients:
• Els inconvenients típics dels sistemes centralitzats: si cau el servidor, cau

tota la xarxa. D’aquesta manera, és molt important la seguretat del sistema
i utilitzar recursos com ara la replicació del sistema, la redundància, les
còpies de seguretat, etc.
Redundància i replicació
Redundància fa referència a l’emmagatzematge de les mateixes dades diverses vegades

en diferents llocs, normalment dins del mateix sistema.
Replicació fa referència a la còpia i al transport de dades entre dos o més servidors, per tal
d’augmentar la disponibilitat de les dades.
• La complexitat de configuració i manteniment potser no compensa si es

tracta d’un nombre reduït de màquines.
4.2 Autenticació en els sistemes GNU/Linux
Cal conèixer com es gestiona l’autenticació tradicional en els sistemes GNU/-

Linux. Per entendre millor el funcionament de l’autenticació en els sistemes
GNU/Linux, és necessari saber quins arxius i eines utilitzen els sistemes per
gestionar els comptes d’usuaris i grups, i els perfils que tenen.
L’autenticació és l’acte d’establiment o confirmació d’alguna cosa o persona

com a autèntica. L’autenticació d’un objecte pot significar la confirmació
de la seva procedència, mentre que l’autenticació d’una persona sovint
consisteix a verificar-ne la identitat.
L’autenticació es pot considerar un dels tres passos fonamentals en termes de

seguretat de xarxes. Aquests passos són els següents:
1. Autenticació, és el procés de verificar la identitat digital del remitent d’una

comunicació, com una petició per connectar-se. El remitent que és autenticat pot
ser una persona que usa un ordinador, un ordinador o un programa de l’ordinador.
Per exemple, en un servei de directori l’autenticació és una manera d’assegurar que

els usuaris són qui diuen que són, és a dir, que l’usuari que intenta fer funcions en
el sistema és, de fet, l’usuari que té l’autorització per fer-les.
2. Autorització, és el procés pel qual la xarxa autoritza l’usuari identificat a

accedir a determinats recursos d’aquesta xarxa.
3. Auditoria, mitjançant la qual la xarxa o els sistemes associats registren tots els
accessos als recursos que fan els usuaris autoritzats o no.
4.2.1 Mecanisme general d’autenticació
La major part dels sistemes informàtics i de xarxes mantenen d’una manera o

altra una relació d’usuaris associats normalment amb un perfil de seguretat, amb
privilegis i permisos.
L’autenticació dels usuaris permet que aquests sistemes assumeixin amb una
seguretat raonable que qui s’hi connecta és qui diu ser. D’aquesta manera, les
accions que s’executen en el sistema després es poden referir a l’usuari i el sistema
pot aplicar els mecanismes d’autorització i auditoria oportuns. Per tant, el primer
element necessari per a l’autenticació és que hi hagi identitats amb un identificador
únic o login.
El procés general d’autenticació consta dels passos següents:
1. L’usuari sol·licita accés a un sistema.

2. El sistema sol·licita a l’usuari que s’autentiqui.
3. L’usuari aporta les credencials que l’identifiquen i permeten verificar l’autenti-

citat de la identificació.
4. El sistema valida segons les seves regles si les credencials aportades són
suficients per donar accés a l’usuari o no.
4.2.2 Gestió d’usuaris en els sistemes GNU/Linux
Per entendre millor la gestió d’usuaris en els sistemes GNU/Linux, cal que tingueu
presents els conceptes següents:
Els comptes d’usuari permeten la identificació d’accés al sistema o a la xarxa.

Són estructures de dades administratives que permeten reunir totes les dades
associades a un mateix usuari. En un sistema GNU/Linux, els comptes
d’usuaris poden estar lligats a usuaris reals, és a dir, persones físiques que
utilitzen el sistema. També els poden utilitzar aplicacions específiques per
fer servir els permisos i els drets del sistema. Els comptes d’usuari engloben
el conjunt d’atributs que caracteritzen l’usuari i també tots els fitxers i els
directoris associats a l’usuari. Cal una base de dades per emmagatzemar
els usuaris. Tradicionalment, els sistemes GNU/Linux emmagatzemen la
informació dels comptes d’usuaris en l’arxiu /etc/passwd.
Els grups són estructures lògiques que es fan servir per organitzar els usuaris
amb un propòsit i unes característiques comuns. Quan es concedeix la
pertinença a un grup a un usuari, se li assignen automàticament totes les
propietats, drets, característiques, permisos i privilegis d’aquest grup. Els
sistemes GNU/Linux emmagatzemen la informació dels distints grups en
l’arxiu /etc/group.
Cada usuari i grup del sistema té un identificador únic anomenat userid (UID)
i groupid (GID), respectivament. El sistema utilitza aquest identificador, en
El login s’utilitza per la
comoditat de les persones,
comptes de noms, per diferenciar unívocament entre els usuaris i els grups.
ja que resulta més fàcil
recordar-se d’un nom que
no pas d’un identificador La funció principal de l’existència dels usuaris i els grups en els sistemes
numèric. GNU/Linux és la d’autenticació, que permet accedir al sistema. Cada usuari
disposa d’un nom d’usuari o login i una contrasenya que haurà d’utilitzar per
iniciar una sessió en el sistema. El sistema, mitjançant el procés d’autenticació,
comprovarà que l’usuari existeix i que la paraula de pas que fa servir coincideix
amb la contrasenya emmagatzemada de manera encriptada. Una vegada dins del
sistema, cada usuari disposarà dels permisos i els drets que determini el grup al
El perfil, per defecte, pot ser
determinat per
qual pertany i d’un perfil establert per defecte.
l’administrador del sistema.
A més de l’autenticació en el sistema, una de les utilitats principals dels usuaris i
els grups és la gestió dels recursos del sistema. Per exemple, quan es crea un fitxer
en el sistema, se li assigna automàticament un usuari i un grup. De la mateixa

manera, al fitxer se li assignen els permisos d’escriptura, lectura i execució per a
l’usuari propietari del fitxer, per al grup al qual pertany el propietari i per a la resta
d’usuaris del sistema.
umask
El paràmetre que determina quins permisos s’apliquen a un arxiu o un directori nou

és l’umask. Els sistemes GNU/Linux permeten especificar les màscares de dues
maneres, mitjançant un permís per defecte, també anomenat màscara simbòlica, per
exemple, u=rwx,g=rwx,o=, o mitjançant un nombre en octal que controla quins permisos
s’emmascararan, no s’establiran, per a qualsevol arxiu nou, per exemple, 007. Així doncs,
tradicionalment, el valor d’umask es configura en mode octal a 022, que només permet tots
els permisos a l’usuari que crea l’arxiu o el directori. A la resta d’usuaris, inclosos els del
seu grup, només els dóna permisos de lectura. Podeu aconseguir més informació entrant
al manual del umask amb l’ordre man umask.
Quan instal·leu un sistema GNU/Linux, per defecte es creen una sèrie d’usuaris i
grups necessaris perquè el sistema i algunes aplicacions funcionin correctament.
Podeu distingir tres tipus de comptes d’usuari i tres tipus de comptes de grup.
Entre els comptes d’usuari, hi ha els següents:
• root: aquest compte correspon a l’administrador del sistema que s’encar-

rega de les tasques administratives del sistema. No està afectat pels drets
d’accés als arxius i pot efectuar més o menys qualsevol tasca en el sistema.
Per tant, aquest compte és imprescindible per a l’administració del sistema.
El seu UID és 0.
• Usuaris de sistema: hi ha una sèrie de comptes que no s’assignen a

persones físiques. Aquests comptes serveixen per facilitar l’administració
dels drets d’accés de certes aplicacions i dimonis. Solen tenir com a UID
un número entre l’l i el 499. Ordres com useradd o groupadd tenen una
opció (-r, –system) que permet crear usuaris o grups de sistema, com ara
bin, daemon, sync, apache, etc.
• Usuaris: aquests usuaris es corresponen amb la resta de comptes d’usuari

del sistema. Aquest tipus de comptes s’associen a persones reals i una de
les funcions principals que fan és permetre als usuaris estàndards connectar-
se i utilitzar els recursos de l’equip. Normalment, l’UID d’un usuari és un
número superior a 999, encara que aquests rangs es poden configurar.
Quant als diferents tipus de grups en el GNU/Linux, hi ha els següents:
• root: el seu GID és 0. Es correspon amb el grup principal de l’administra-

dor.
• Grups de sistema: tenen la mateixa funció que els comptes del mateix nom
i permeten donar els mateixos drets d’accés a una sèrie d’aplicacions.
• Grups d’usuaris: representen una sèrie de persones reals que han d’accedir
als mateixos arxius. Normalment tenen un GID superior o igual a 500 o
1000, en funció de com estigui configurat el sistema.
Quan creem un usuari, per facilitar la gestió dels permisos i els drets, el sistema
crea un grup d’usuari nou amb el nom de l’usuari mateix. L’usuari és l’únic
membre d’aquest grup.
Els arxius de configuració en què s’emmagatzema la informació dels usuaris,

els grups i les contrasenyes, i mitjançant els quals es gestiona l’autenticació i la
seguretat d’accés als sistemes GNU/Linux, són els arxius /etc/passwd, /etc/group
i /etc/shadow. El contingut i el funcionament d’aquests arxius s’explica a
continuació.
4.2.3 L’arxiu /etc/passwd
L’arxiu /etc/passwd és el que utilitzen els sistemes GNU/Linux per emmagatze-

mar la informació dels usuaris del sistema. Tots els usuaris han de tenir una entrada
en aquest arxiu per poder accedir al sistema.
Per defecte, l’arxiu /etc/passwd és propietat de l’usuari root i proporciona tot

els permisos. La resta d’usuaris del sistema només poden llegir l’arxiu. L’arxiu
/etc/passwd està format per una sèrie de línies que contenen un conjunt de camps
separats per dos punts. Cadascuna d’aquestes línies emmagatzema informació
d’un usuari. El format és el següent:
1 nom_us:clau:UID:GID:coment:dir_us:prog_inici
• nom_us: Aquest camp és el nom d’usuari (login) que s’utilitza per accedir
al sistema, és un camp obligatori.
• clau: Aquest camp correspon a la clau que l’usuari utilitza per accedir al
sistema. El camp clau està encriptat i realment no s’emmagatzema en aquest
arxiu, sinó en l’arxiu /etc/shadow. La raó per la qual la clau s’emmagatzema
en un arxiu distint és la seguretat, ja que tots els usuaris del sistema tenen
permisos de lectura sobre l’arxiu /etc/passwd i es podrien utilitzar tècniques
de cracking per desencriptar les claus d’altres usuaris. Normalment apareix
una x en el camp.
• UID: És el número que identifica unívocament l’usuari i, per tant, no es pot

repetir. També és un camp obligatori per a cada usuari. Per defecte, l’usuari
root té el valor 0.
• GID: Aquest camp és el número que identifica el grup de l’usuari i està

associat a una línia en l’arxiu /etc/group. Cada usuari ha de pertànyer, com
a mínim, a un grup.
• coment: En aquest camp s’emmagatzemen dades de l’usuari, com ara el

telèfon, l’adreça, etc. Aquestes dades se separen per comes i són opcionals.
• dir_us: Aquest camp determina el camí (path) complet del directori. En

funció de l’ordre que utilitzem per crear l’usuari, aquest directori es generarà
automàticament en crear l’usuari o no.
• prog_inici: Aquest camp especifica el programa que s’ha d’executar cada

vegada que l’usuari accedeix al sistema. Normalment, aquest programa es
correspon amb l’embolcall (shell) amb què l’usuari ha de treballar.
4.2.4 L’arxiu /etc/group
L’arxiu /etc/group és el que utilitzen els sistemes GNU/Linux per emmagatzemar

la informació dels grups que hi ha en el sistema. Tots els grups han de tenir una
entrada en aquest arxiu i tots els usuaris han de pertànyer a algun grup.
L’arxiu /etc/group és propietat de l’usuari root. La resta d’usuaris del sistema

només el poden llegir. L’arxiu /etc/group està format per una sèrie de línies que
contenen un conjunt de camps separats per dos punts. Cadascuna d’aquestes línies
emmagatzema informació d’un grup. El format és el següent:
1 nom_grup:clau:GID:lista_components
• nom_grup: Aquest camp correspon al nom amb el qual s’identifica el grup.
• clau: Correspon a la clau xifrada assignada al grup. Actualment no s’uti-

litza. Aquesta clau, si hi és, s’emmagatzema en l’arxiu /etc/gshadow, que
té la mateixa funcionalitat que l’arxiu /etc/shadow, és a dir, emmagatzemar
les claus encriptades. En aquest cas, però, per als grups.
• GID: aquest camp determina el número identificador del grup, que ha de

ser igual al dels usuaris que pertanyen a aquest grup i que apareix en l’arxiu
/etc/passwd.
• lista_components: és una llista dels usuaris, separats per comes, que

pertanyen al grup.
4.2.5 L’arxiu /etc/shadow
L’arxiu /etc/shadow és l’arxiu en què els sistemes GNU/Linux emmagatzemen les

contrasenyes xifrades dels usuaris per garantir l’accés al sistema. Per motius de
seguretat, aquest arxiu només el pot editar el superusuari i només el poden llegir
els usuaris que pertanyen al grup del superusuari.
L’arxiu /etc/shadow emmagatzema la informació en files que contenen les dades

següents:
1 nom_us:clau:ult_canvi:pue_canvi:ha_de_canvi:avís:cad:desha:reservat
• nom_us: és el nom que l’usuari utilitza per identificar-se en el sistema.

• clau: aquest camp correspon a la contrasenya xifrada de l’usuari anterior.
• ult_canvi: són els dies que han transcorregut des de l’1 de gener de 1970
fins el dia que es va canviar la contrasenya per última vegada. Serveix per
calcular quant de temps fa que no es canvia la contrasenya.
• ha_de_canvi: són els dies que han de passar perquè un usuari pugui canviar
la seva contrasenya.
• avís: aquest camp determina el nombre de dies d’antelació amb els quals
s’avisarà un usuari perquè canviï la contrasenya abans que caduqui.
• cad: aquest camp especifica el nombre de dies que han de transcórrer des
que la contrasenya ha expirat fins que es deshabilita.
• desha: nombre de dies, des de l’1 de gener de 1970, que fa que el compte
està deshabilitat.
• reservat: camp reservat per al sistema.
Per tal d’ingressar en el

4.2.6 Eines de gestió d’usuaris
sistema amb un usuari,
podeu utilitzar les ordres
amb nom_usuari o login
nom_usuari.
Els sistemes GNU/Linux incorporen una sèrie d’eines, tant per línia d’ordres com
gràfiques, per gestionar els usuraris i els grups del sistema. Entre les ordres que
proporciona el sistema, hi ha les següents:
• useradd, adduser, groupadd, addgroup: aquestes ordres permeten al

superusuari crear usuaris i grups nous en el sistema. Depenent de la
distribució amb la qual treballem, aquestes ordres funcionen igual o no. En
l’Ubuntu hi ha diferències entre aquestes ordres. Les ordres adduser i add-
group són més completes, ja que realment són scripts de Perl que utilitzen
les ordres useradd i groupadd per crear usuaris i grups. De fet, les ordres
adduser i addgroup ens permeten crear tots els paràmetres (la contrasenya,
el directori de l’usuari, etc.) dels usuaris i els grups alhora. L’ordre useradd
posseeix un fitxer de configuració anomenat /etc/default/useradd, en què
podem configurar els paràmetres per defecte que es fan servir per crear
usuaris nous. Per exemple, podem especificar un directori distint a /etc/skel
per crear els directoris dels usuaris a partir d’aquest.
• usermod, groupmod: són ordres que es fan servir per modificar la

informació sobre els usuaris i els grups respectivament. Només les pot
utilitzar l’usuari root.
• userdel, deluser, groupdel, delgroup: permeten al superusuari esborrar

usuaris i grups del sistema. El funcionament també depèn de cada distribu-
ció, com en el cas de les ordres de creació.
• passwd: ordre que es fa servir per establir o actualitzar la contrasenya dels

usuaris que hi ha en el sistema.
• users: aquesta ordre s’utilitza per imprimir els noms dels usuaris que
actualment estan connectats a la màquina.
• groups: ordre que es fa servir per veure els usuaris que hi ha en el sistema.
• id: ordre que mostra l’usuari amb el qual s’ha ingressat en el sistema i els
grups als quals pertany aquest usuari.
• pwck: ordre que permet comprovar la integritat dels fitxers d’autenticació,

tant /etc/passwd com /etc/shadow.
• chage: ordre que permet modificar les dades d’expiració de les paraules de
pas dels usuaris.
L’Ubuntu també proveeix una interfície gràfica senzilla per gestionar els usuaris.
Hi podeu accedir mitjançant la cerca de Comptes d’Usuaris (o dins el menú
Paràmetres del Sistema). Si, a més, voleu gestionar grups, haureu d’instal·lar el
paquet gnome-system-tools amb la següent ordre:
1 sudo apt−get install gnome−system−tools
Un cop instal·lat, ja hi podreu treballar tal i com veieu a la següent figura 4.1. Per
obrir el gestor haureu de cercar Usuaris i grups.
Fig ur a 4 . 1. Gestió d’usuaris i grups
Fig ur a 4 . 2. Creació d’un nou usuari

F i g ura 4 . 3 . Gestió d’un grup
4.2.7 Perfils d’usuari
En la majoria de sistemes en xarxa interessa que els usuaris es puguin presentar

en més d’una estació de treball i que aquesta connexió sigui independent del lloc,
de manera que el treball en una estació o una altra sigui transparent. A més,
pot interessar a l’administrador tenir la possibilitat de forçar l’ús de determinats
programes o restringir els canvis en l’aparença de la interfície gràfica a certs
grups d’usuaris. D’aquesta manera, els sistemes operatius GNU/Linux incorporen
utilitats que associen a cada compte d’usuari o grup un perfil concret.
Els perfils d’usuari permeten configurar l’entorn de treball personalitzat

de cada usuari. Permeten definir elements com l’entorn d’escriptori, la
configuració de xarxa, les impressores, etc.
Hi ha diferents tipus de perfils d’usuari:
• Perfil d’usuari local, es crea la primera vegada que un usuari inicia

una sessió a la màquina i s’emmagatzema en el disc dur local. Totes
les modificacions efectuades en aquest tipus de perfil són específiques de
l’equip concret en què s’han efectuat.
• Perfil d’usuari mòbil, està orientat a l’autenticació en xarxa mitjançant

servidors. Aquest tipus de perfil el crea l’administrador del sistema i
s’emmagatzema en un servidor. El perfil es descarrega a l’equip local quan
l’usuari inicia la sessió.
Per entendre millor com funcionen els perfils d’usuaris i els fitxers implicats en la
configuració, cal veure primer els tipus d’intèrprets d’ordres que podeu trobar en
els sistemes GNU/Linux i els fitxers que s’executen per a cada tipus. Generalment,
la majoria de distribucions GNU/Linux utilitzen per defecte l’intèrpret d’ordres
bash. Durant el procés d’arrencada del sistema, s’executa una sèrie d’scripts amb
l’objectiu de crear un entorn d’usuari. Entre aquests scripts hi ha els que activen
els terminals de consola i l’entorn gràfic. En activar aquests serveis s’invoca un
intèrpret d’ordres (shell). Cal diferenciar, però, dos tipus d’intèrprets d’ordres en
funció de la manera com s’executen.
• Interactive shell o intèrpret d’ordres interactiu. Per invocar aquest

tipus d’intèrpret d’ordres no s’indica cap paràmetre. També es pot indicar
implícitament amb -i.
• Non-interactive shells o intèrpret d’ordres no interactiu. Per invo-

car aquest tipus d’intèrpret s’utilitza l’opció -c. Aquest intèrpret no
llegeix ni executa cap dels fitxers de configuració. Per exemple: -c
/path_fins_la_comanda, bash -c /path_fins_la_comanda
Configuració distribucions
Els intèrprets d’ordres interactius poden ser, a la vegada, de dos tipus: Cal tenir en compte que els
sistemes GNU/Linux són
altament configurables (el fet de
disposar del codi font permet una
• Login shell o intèrpret d’ordres de login: és l’intèrpret d’ordres que configuració/adaptació a mida
sense límits) i que, per tant, és
s’executa amb els paràmetres - (cap paràmetre) o –login. Normalment possible que hi hagi sistemes que
tinguin els directoris home dels
només s’executa durant el procés de login al sistema. Per exemple, en iniciar usuaris en altres carpetes del
sistema.
un intèrpret d’ordres des d’una consola virtual, en polsar la combinació de
tecles Ctrl + Alt + F1, en iniciar una sessió gràfica amb un gestor de pantalla
(display manager), en iniciar una connexió SSH, és a dir, en executar, per
exemple, les ordres bash –, bash –login, ssh user@host.
• Non-login shells o intèrpret d’ordres de no login: constitueix la resta

d’execucions d’intèrprets d’ordres. És el tipus d’intèrpret d’ordre que
s’executa una eina de terminal, com xterm o gnome-terminal. Es carregaria
un intèrpret d’ordres no login, per exemple, en executar les ordres bash,
xterm.
Configuració de sistema (per-system basis)
FHS és una norma que

Segons l’estàndard FHS (Filesystem Hierachy Standard), els fitxers de configura- defineix els directoris
principals i els seus
ció que afecten tot el sistema (per-system basis) han de ser en la carpeta /etc. Passa continguts en el sistema
operatiu GNU/Linux i altres
el mateix amb els perfils. Aquests fitxers de configuració globals contenen les sistemes de la família Unix.
configuracions per defecte per a tots els usuaris del sistema. Cal tenir en compte,
però, que les configuracions de cada usuari poden sobreescriure les configuracions
globals.
El més habitual és que els fitxers de configuració globals només els puguin editar
l’administrador del sistema (usuari root) o els usuaris que tinguin permisos per
administrar el sistema. Els fitxers són els següents:
1. /etc/profile: fitxer de configuració de la bash a escala de sistema. Només

s’utilitza amb les bash que siguin de login. Per tant, aquest script només
s’interpreta en la connexió de l’usuari. Així, durant l’execució d’aquest script
es pot efectuar una sèrie d’operacions d’interès general per als usuaris, com ara
les següents:
• Executar l’ordre umask per modificar els permisos per defecte a l’hora de
crear arxius nous.
• Analitzar si hi ha l’arxiu /etc/motd, que permet especificar un missatge de

benvinguda a cada usuari. Si hi és, se’n llista el contingut.
• Establir els paràmetres per defecte per al terminal.
• Analitzar si l’usuari que s’acaba d’identificar té correu en la seva bústia. Si

és així, es visualitza un missatge d’avís.
2. /etc/bash.bashrc o /etc/bashrc: fitxer de configuració de la bash a escala de

sistema. Només s’utilitza amb les bash que no siguin de login.
En definitiva, aquests fitxers permeten configurar diverses opcions de la bash,

com ara les variables d’entorn, executar ordres cada cop que s’executi l’intèrpret
d’ordres, etc. Bàsicament, com que s’executen abans de començar a utilitzar
l’intèrpret d’ordres, permeten configurar l’entorn de treball d’aquest intèrpret per
a tots els usuaris.
Configuració d’usuari (per-user basis)
També segons l’estàndard FHS, els fitxers que són propietat dels usuaris del
sistema són en la carpeta /home. Dins d’aquesta carpeta cada usuari sol ser
el propietari de la carpeta /home/nom_usuari. Per exemple, l’usuari Pere és
propietari de la carpeta següent:
/home/pere
Com que els fitxers de la carpeta home d’un usuari són propietat seva, l’usuari
els pot llegir, modificar i, fins i tot, eliminar. Per raons de seguretat, els fitxers de
configuració solen ser fitxers ocults, és a dir, comencen per ”.” (punt). Per veure
aquests fitxers cal utilitzar el paràmetre -a de l’ordre ls.
Els fitxers de configuració de la bash a escala d’usuari (per-user basis) són els
següents:
• .bashrc: s’executa només en iniciar una bash de no login.
• .bash_profile, o .bash_login o .profile: s’executa un només en iniciar una

bash de login.
• .bash_logout: S’executa en finalitzar una bash. Inclou, per exemple, les

ordres de neteja automàtica (esborrar arxius de treball temporals) i la còpia
de dades personals.
La home sovint es referencia amb el símbol ˜ i, per tant, sovint parlem dels fitxers
˜ /.bashrc, ˜/.bash_logout, etc.
Fitxers ocults
Utilitzar fitxers ocults té dos Cal tenir en compte que els usuaris poden modificar els fitxers de la seva home.
objectius. En primer lloc,
amagar fitxers que normalment Així doncs, no podeu fer “configuracions obligatòries” mitjançant aquests fitxers.
l’usuari no modifica directament,
ja que ho fan les aplicacions. En També cal pensar que aquests fitxers normalment s’executen després dels fitxers
segon lloc, fa més difícil que
l’usuari modifiqui aquests fitxers
de configuració de sistema i que, per tant, poden sobreescriure les configuracions
per error. Se suposa que només
l’usuari que sap què fa pot
de sistema.
modificar directament aquests
fitxers.
L’ordre d’execució dels fitxers per als distints tipus d’intèrprets d’ordres són els
següents:
Login SHELL
Els fitxers es llegeixen i s’executen en l’ordre següent en el cas de la bash:
1. /etc/profile, és el primer que s’executa si hi és. Si no, es passa al fitxer següent.
2. ˜/.bash_profile, ˜/.bash_login o ˜/.profile, després de llegir l’arxiu /etc/profile,

si hi és, el procés bash busca els arxius ˜/.bash_profile, ˜/.bash_login o ˜/.profile en
aquest ordre. Executa les ordres que hi ha en el primer script que troba i que es pot
llegir. Els arxius anteriors només s’interpreten en la connexió amb login. Per tant,
les modificacions aportades només es tenen en compte després d’una connexió
nova de l’usuari.
3. ˜/.bashrc, encara que es tracta d’un fitxer de no login s’executa perquè és cridat
implícitament als fitxers de configuració de login.
Es pot evitar que s’executin aquests fitxers si s’utilitza el paràmetre - - noprofile

en invocar l’intèrpret d’ordres.
No login SHELL
Quan s’executa un intèrpret d’ordres interactiu que no és de login, la bash llegeix

i executa les ordres dels fitxers:
1. /etc/bashrc
2. ˜/.bashrc
Es pot evitar que s’executin aquests fitxers si s’utilitza el paràmetre - - norc en

invocar l’intèrpret d’ordres. Si qualsevol dels fitxers de
configuració hi és, però
l’usuari no el pot llegir, la
Si voleu establir un perfil comú d’usuari per defecte, podeu emmagatzemar els bash mostra un error.
arxius ˜/.profile, ˜/.bashrc, ˜/.bash_logout en el directori /etc/skel. En el moment

de crear un usuari nou, el contingut es copiarà al directori home de l’usuari nou.
Cal tenir en compte que els canvis fets en els fitxers de la carpeta /etc/skel només
s’apliquen als usuaris nous, no als usuaris que ja hi són.
Per exemple, si creem un usuari nou anomenat ioc, en crear el seu compte es crearà
un directori nou anomenat /home/ioc, que serà una còpia del directori /etc/skel.
4.2.8 Altres mecanismes d’autenticació en els sistemes GNU/Linux
A banda de l’autenticació tradicional, els sistemes GNU/Linux permeten utilitzar

altres mecanismes d’autenticació. De la gestió i la configuració dels mecanismes
d’autenticació diferents al mecanisme tradicional per a les aplicacions en els
sistemes GNU/Linux, se n’encarrega el sistema Linux PAM.
PAM (pluggable autentication module)
El mecanisme més utilitzat per les aplicacions per a l’autenticació d’usuaris es diu
PAM (pluggable autentication module) i el podem definir com a:
El PAM és un mecanisme que les aplicacions fan servir per a l’autenticació

d’usuaris. No és un model d’autenticació en si, sinó un mecanisme que
proporciona una interfície entre les aplicacions d’usuari i els diferents
mètodes d’autenticació. D’aquesta manera, intenta solucionar un dels
problemes clàssics de l’autenticació d’usuaris: el fet que una vegada que
s’ha definit i implantat un mecanisme d’autenticació determinat en un entorn,
sigui difícil canviar-lo.
El PAM està compost per un paquet de llibreries compartides que permeten

especificar la manera com les diverses aplicacions autenticaran els usuaris.
La utilització del PAM comporta una sèrie d’avantatges. Per exemple, permet
utilitzar sistemes d’autenticació diferents del mecanisme tradicional d’autentica-
ció dels sistemes GNU/Linux, fitxer /etc/passwords, sense necessitat de canviar el
disseny de les aplicacions. És a dir, podem comunicar les nostres aplicacions amb
els mètodes d’autenticació que volem d’una manera transparent. També permet
Un esquema d’autenticació desenvolupar programes amb independència de l’esquema d’autenticació. Utilitza
defineix la manera com un
usuari determinarà la seva
mòduls d’autenticació en temps d’execució i així no ha de tornar a compilar per
identitat. canviar l’esquema d’autenticació.
El PAM és un producte de SUN i hi ha diverses implementacions que depenen del

sistema que es faci servir. La implementació del PAM en el GNU/Linux es coneix
amb el nom de Linux PAM.
La majoria de sistemes GNU/Linux incorporen l’aplicació Linux PAM en

instal·lar-los. Això fa que s’incorporin una sèrie de mòduls bàsics per treballar
amb l’autenticació bàsica (paquet libpam-modules). També s’hi poden afegir
mòduls addicionals per treballar amb altres autenticacions, com ara l’LDAP.
La gran majoria de les aplicacions dels sistemes GNU/Linux estan preparades per
utilitzar el Linux PAM. És a dir, són PAM-aware i utilitzen els diversos mòduls o
llibreries que proporciona el PAM per autenticar-se en el sistema.
La configuració del funcionament del Linux PAM es fa per mitjà del fitxer
/etc/pam.conf, en què hi ha totes les dades de configuració juntes, o bé per mitjà
IPA
de diversos arxius dins del directori /etc/pam.d, cosa que facilita el maneig i la
Una IPA (en anglès, API,
application program interface) o comprensió de la configuració.
interfície de programa
d’aplicació constitueix el conjunt
de funcions i procediments o Quan s’inicia una aplicació preparada per autenticar-se mitjançant el PAM, s’ac-
mètodes, en la programació
orientada a objecte, que ofereix tiva la seva comunicació amb la IPA del PAM. Entre altres coses, això força la
una biblioteca d’una aplicació
perquè un altre programari lectura de l’arxiu de configuració /etc/pam.conf o dels arxius de configuració sota
l’utilitzi com una capa
d’abstracció. el directori /etc/pam.d (quan hi ha un arxiu de configuració correcte sota aquest
directori, s’ignora l’arxiu /etc/pam.conf).
Com mostra l’esquema de la figura 4.4, els fitxers de configuració del Linux PAM
especifiquen quin serà el mecanisme d’autenticació per a cada servei o aplicació
del sistema. Per tant, no cal modificar el codi del sistema ni de cap aplicació.
F ig ur a 4 . 4 . Esquema PAM
Dins el directori /etc/pam.d podeu configurar la manera com cada element s’haurà
d’autenticar, els serveis o les aplicacions que requereixen autenticació en el
sistema. Per no haver de repetir la configuració per a cada servei, hi ha una
sèrie d’arxius comuns, el nom dels quals comença per common. Els arxius de
configuració de cada servei fan referència a aquests arxius comuns mitjançant
una línia @include amb el nom de l’arxiu. Utilitzar aquesta línia té el mateix
resultat que copiar el text de l’arxiu al qual fan referència en el fitxer que la conté.
Els arxius comuns són common-auth, common-account, common-session i
common-password.
A continuació s’explica la funcionalitat i la sintaxi d’aquests arxius.
Tots quatre arxius estan formats per línies que determinen una sèrie de regles
d’actuació. Cada línia executarà un mòdul que s’encarregarà de l’autenticació.
Aquestes regles estan formades per un conjunt de camps amb el format següent:
1 type control module−path module−arguments
1. Camp type
El camp type especifica l’àmbit al qual afectarà la regla. Els possibles valors són
el següents:
• account: permet determinar qüestions que no són purament d’autenticació,

sinó que estan més relacionades amb la verificació dels comptes d’usuaris.
Per exemple, comprovar si la contrasenya ha expirat, comprovar si un
compte d’usuari té permès accedir a un servei, etc. Les regles d’aquest
tipus les trobem en el fitxer common-account.
• auth: proporciona el mecanisme d’autenticació, és a dir, com determinem

que l’usuari és qui diu que és. Normalment aquesta comprovació es fa
amb un login i una paraula de pas, però no totes les autenticacions han
Instal
Sistemes operatius en xarxa 150 a u t h · lació i configuració de sistemes operatius lliures
de ser d’aquest tipus. Per exemple, es poden fer autenticacions basades

en maquinari, com targetes intel·ligents o dispositius biomètrics. Només
caldria afegir els mòduls adequats per a cada dispositiu.
També s’encarrega de l’assignació de grups. Les regles d’aquest tipus les trobem
en el fitxer common-auth.
• password: proveeix els mecanismes necessaris per actualitzar la contrase-

nya de l’usuari. Per exemple, especifica el tipus de xifratge que s’aplicarà
a la paraula de pas, sha512, md5, etc. Les regles d’aquest tipus les
trobem en el fitxer common-password i depenen en gran mesura de les
que s’especifiquen en el fitxer common-auth.
• session: ofereix la possibilitat de fer tasques abans i després que l’usuari

s’autentiqui. Per exemple, muntar un directori, activar logins, etc. Les
regles d’aquest tipus les trobem en el fitxer common-session.
2. Camp control
Determina què cal fer un cop l’execució sigui correcta o incorrecta. Hi ha dues
sintaxis per a aquest camp: una de senzilla d’un camp i una altra que especifica
més d’un camp dins de claudàtors [ ]. Per a la sintaxi bàsica, els possibles valors
que pot tenir aquest camp són els següents:
• requisite: si el mòdul falla, es denega l’accés a l’usuari immediatament.
• required: si el mòdul falla, es denega l’autenticació, però es continua

l’execució de la resta de mòduls abans de tornar el control a l’aplicació.
• sufficient: el resultat del mòdul s’ignora si falla. Si és un èxit només serà

un èxit de tota la pila, és a dir, si cap mòdul required ha fallat.
• optional: s’ignora el resultat del mòdul. Només és necessari per tal que
l’autenticació sigui un èxit.
3. Camp module-path
Especifica el nom del mòdul que és en el directori /lib/security o el camí

absolut, és a dir, el nom del directori més el del mòdul, com, per exemple,
/lib/security/pam_unix.so.
4. Camp module-arguments
Permet determinar els arguments que es passaran al mòdul. Els arguments varien
segons el mòdul.
Així doncs, veiem com a mostra la sintaxi del fitxer common-auth. Per exemple:
1 $cat /etc/pam.d/common−auth
2 # here are the per−package modules (the "Primary" block)
3 auth [success=1 default=ignore] pam_unix.so nullok_secure
4 # here’s the fallback if no module succeeds
5 auth requisite pam_deny.so

6 # prime the stack with a positive return value if there isn’t one already;
7 # this avoids us returning an error just because nothing sets a success code
8 # since the modules above will each just jump around
9 auth required pam_permit.so # and here are more per−package modules (
the "Additional" block)
10 auth optional pam_smbpass.so migrate
11 # end of pam−auth−update config
Autenticació LDAP
Una vegada conegut el concepte i el funcionament dels serveis de directori i

els mètodes d’autenticació en els sistemes GNU/Linux, veurem com podem
implementar un mecanisme d’autenticació per mitjà de xarxa en aquests sistemes
(domini), en què un conjunt d’equips interconnectats s’autentiquen per mitjà d’un
servidor LDAP. Aquesta autenticació permetrà iniciar una sessió de treball en cada
màquina i que les aplicacions i els serveis de cada equip es pugin validar de manera
transparent mitjançant usuaris i grups que hi hagi en un servidor LDAP.
El procés de configuració per autenticar una estació de treball GNU/Linux en un

servidor OpenLDAP el podeu dividir en quatre fases:
1. Crear o importar els usuaris que es vulgui amb el format adequat al servidor
OpenLDAP per poder fer l’autenticació satisfactòriament.
2. Substituir les bases de dades d’usuaris locals dels fitxers /etc/passwd, /etc/-
groups, /etc/shadow per una base de dades centralitzada amb l’OpenLDAP. Per
aconseguir-ho, heu de configurar l’NSS (name service switch) per mitjà del fitxer
de configuració /etc/nsswitch.conf.
3. Configurar les aplicacions per autenticar-se amb l’OpenLDAP. S’aconsegueix

mitjançant el PAM i les aplicacions PAM-aware.
4. Fase de refinament. Aquesta fase no és necessària, però és útil per millorar el

funcionament de l’autenticació. Utilitzeu programes com l’NSCD, que proporci-
ona un memòria cau (cache) de noms i, d’aquesta manera, permet augmentar el
rendiment de les consultes al directori OpenLDAP.
Creació dels usuaris adequats en el servidor OpenLDAP

La finalitat del servidor LDAP és que serveixi de magatzem d’usuaris i grups per
autenticar sistemes GNU/Linux i diversos serveis. En primer lloc, hauríeu de
crear una estructura que parteixi de la base del nostre directori per emmagatzemar
aquesta informació.
L’OpenLDAP proporciona, per mitjà de l’esquema NIS (/etc/ldap/schema/-

nis.schema), les classes d’objectes (objectClass), PosixAccount i PosixGroup,
que permeten crear comptes d’usuaris i grups compatibles amb els sistemes
GNU/Linux. És a dir, proporcionen usuaris i grups amb la mateixa estructura
i els mateixos atributs que utilitzen per defecte els sistemes GNU/Linux i que ens
permetran autenticar-nos en el sistema.
Per exemple, com es pot veure en la figura 4.5, un objecte PosixAccount ha

de tenir una sèrie d’atributs obligatoris, com ara uid, uidNumber, gidNumber i
homeDirectory, que es corresponen amb els atributs emmagatzemats en l’arxiu
/etc/passwd per als usuaris GNU/Linux.
F i g ura 4 . 5 . Gestió d’usuaris i grups
Migració d’usuaris
Si teniu usuaris creats en els sistemes locals i voleu que siguin en el servidor
d’autenticació, no us caldrà tornar a crear-los manualment en el servidor, ja que
hi ha la possibilitat de migrar automàticament els usuaris locals al directori LDAP.
Per fer aquesta migració, haureu d’utilitzar les eines que us proporciona el paquet
migrationtools. Per instal·lar aquest paquet, feu servir l’ordre següent:
1 $sudo apt−get install migrationtools
Aquest paquet us instal·larà una sèrie d’scripts en el directori /usr/share/migrati-

ontools que us han de permetre migrar informació del sistema GNU/Linux a un
servidor LDAP amb el format correcte. Per fer la migració al servidor LDAP dels
usuaris que vulgueu del vostre sistema GNU/Linux, heu de fer una sèrie d’accions
que es descriuen a continuació:
1. Aneu al directori /usr/share/migrationtools:

1 $cd /usr/share/migrationtools
2. Executeu l’script migrate_passw.pl i feu servir com a paràmetres el fitxer

origen, /etc/passwd (en què hi ha els usuaris) i el fitxer destinació (en què voleu
emmagatzemar la informació a migrar). Per exemple, /home/ioc/usuaris.ldif. Us
heu d’assegurar que el fitxer de sortida té el format .ldif. L’ordre seria la següent:
1 $sudo ./migrate_passw.pl /etc/passwd /home/ioc/usuaris.ldif
3. Una vegada tingueu el fitxer destinació creat (en aquest exemple, usuaris.ldif),
l’heu d’editar. Assegureu-vos que els camps dn de l’inici de cada objecte són
correctes i elimineu els comptes d’usuaris que no vulgueu migrar (per exemple,
els usuaris del sistema).
4. Després de modificar i desar el fitxer, haureu d’importar-ne les dades al servidor

LDAP. Ho podeu fer, per exemple, mitjançant l’opció import del gestor de directori
phpLDAPadmin, com es veu en la figura 4.6. D’aquesta manera, afegiu els usuaris
del vostre sistema al directori del servidor LDAP.
Fig ur a 4 . 6. Importació d’usuari locals a LDAP
Migrationtools
Fixeu-vos en el contingut del
Una vegada creats o migrats els usuaris corresponents al servidor OpenLDAP, directori
usr/share/migrationtools. Es
només caldrà configurar les estacions de treball per tal d’utilitzar aquests usuaris. tracta de tota una sèrie d’scripts
que us permetran migrar
elements del vostre sistema a
l’LDAP. Com ja heu vist, podeu
migrar usuaris, però també
Configuració de l’NSS (name service switch) grups, hostes, serveis, etc.
El pas següent en el procés de configuració de l’autenticació del sistema és la
configuració de l’NSS. Vegem en què consisteix exactament.
L’NSS proporciona una interfície per configurar diferents bases de

dades en què s’emmagatzemen els comptes d’usuaris i claus, com
/etc/passwd, /etc/group, /etc/shadow, /etc/host o LDAP, i accedir-hi. Per
tant, us permet reemplaçar els fitxers bàsics de configuració d’usuaris
GNU/Linux per altres bases de dades que ja hi ha. La idea és que el sistema
es pugui configurar sense haver de tocar el codi font.
La configuració de l’NSS es fa per mitjà de l’arxiu /etc/nsswitch.conf.

Aquest arxiu està format per una sèrie de línies amb crides a bases de dades.
En cada línia s’indica quina és l’ordre per resoldre una consulta per a una
base de dades específica, en la qual s’emmagatzemen els noms d’usuari,
grups, equips, etc.
Les bases de dades amb les quals treballa l’NSS són les següents:
• passwd: paraules de pas dels usuaris.
• group: grups d’usuaris.
• shadow: paraules de pas al fitxer shadow del usuaris.
• ethers: números Ethernet, interfícies de xarxa.
• hosts: noms de màquina i números.
• netgroup: usuaris i màquines de xarxa.
• networks: noms i números de xarxes.
• protocols: noms i números de protocols.
• rpc: noms i números de crides remotes a procediments.
• services: serveis de xarxes.
• aliases: àlies de correu electrònic, utilitzats per Sendmail.

Les bases de dades que us interessen per a l’autenticació són les de passwd, group
i shadow. En el fitxer /etc/nsswitch.conf trobareu les línies següents:
1 passwd: files
2 group: files
3 shadow: files
En cada línia del fitxer /etc/nsswitch.conf, les paraules que hi ha al costat de cada
base de dades indiquen diferents serveis de bases de dades en què el sistema
buscarà les dades dels usuaris, els grups i les contrasenyes per autenticar l’entrada
en el sistema. D’aquesta manera, podeu indicar, introduint serveis de bases de
dades l’un darrere l’altre, l’ordre de les bases de dades que ha de llegir el sistema
GNU/Linux per fer l’autenticació.
Els serveis suportats per defecte són els següents:
• files: fa referència a fitxers emmagatzemats en el directori /etc del sistema.
• compat: inclou només els fitxers passwd, groups i shadow emmagatzemats

en el directori /etc del sistema, els quals són compatibles amb l’estil de
signes + i – del NIS.
• db: fa referència a bases de dades en format Berkeley.
• dns: s’utilitza per indicar que els hostes utilitzen el DNS.
• hesiod: utilitza hesiod name service. Aquest servei emmagatzema la

informació d’alguns fitxers com /etc/passwd o /etc/groups en servidors
DNS.
• nis: utilitza el mapa NIS.
• nisplus: fa servir la taula NIS plus.
NIS
El NIS és un protocol de servei directori. Segueix una arquitectura client-servidor i el seu

objectiu és distribuir i compartir informació en una xarxa d’ordinadors. S’utilitza per mantenir
informació centralitzada d’usuaris, però també es pot fer servir per a noms de màquina
(DNS), correus electrònics aliats i altres bases de dades basades en text. L’avantatge
principal és que és fàcil i ràpid de configurar. D’altra banda, el problema principal del NIS
és que no és un protocol “gaire” segur i és millor utilitzar altres sistemes més segurs com el
Kerberos o l’LDAP. Val a dir, també, que és una solució de gestió d’usuaris de domini que
cada cop s’utilitza menys (a favor d’altres tecnologies com l’Active Directory o l’LDAP) i que
és una solució poc flexible i poc escalable.
4.3 Configuració LDAP al client
Amb tota la informació que heu vist fins ara, ja podeu començar a configurar el
vostre client per tal que sigui capaç d’autenticar-se amb un servidor LDAP com el
que teniu configurat al contingut 3. Serveis de directori.. En aquest manual veureu
la configuració fent servir la distribució LinuxMint 18 Sarah (amb base Ubuntu),

però la configuració és exactament la mateixa que per la distribució Ubuntu 16.04.
Com habitualment, abans de començar qualsevol instal·lació, actualitzeu els

repositoris de la vostra màquina:
1 sudo apt−get update
4.3.1 Instal·lació i configuració del client
Ara sí, la configuració comença fent login amb una sessió com a root en la màquina
virtual que voleu configurar com a client LDAP. En LinuxMint, necessitareu
ajustar el comportament dels serveis NSS i PAM per cada client. Per fer-ho cal
instal·lar els següents paquets:
• libpam-ldap: Que facilitarà l’autenticació amb LDAP als usuaris que

utilitzin PAM.
• libnss-ldap: Permetrà que NSS obtingui d’LDAP informació administra-

tiva dels usuaris (Informació dels comptes, dels grups, informació de la
màquina, els àlies, etc.
• nss-updatedb: Base de dades local amb la informació de l’usuari i grup al

directori LDAP.
• libnss-db: Inclou extensions per utilitzar bases de dades de xarxa.
• nscd: És un dimoni que ofereix una memòria cau per a moltes de les
peticions més freqüents del servei de noms.
• ldap-utils: Facilita la interacció do LDAP des de qualsevol màquina de la

xarxa.
La comanda per instal·lar tots els paquets a la vegada és (també la podeu veure a
la figura 4.7:
1 sudo apt−get install libpam−ldap libnss−ldap nss−updatedb libnss−db nscd ldap−

utils
Fig ur a 4 . 7. Instal·lació LDAP

Quan executeu l’ordre d’instal·lació, us aniran apareixent una sèrie de menús (deb-
conf) en què cal configurar les dades corresponents al vostre servidor OpenLDAP.
El primer menú que us apareix, com el de la figura 4.8, demana el nom o l’adreça
IP del servidor OpenLDAP sobre el qual voleu autenticar-vos.
F i g ura 4 . 8 . Entrada de la IP del servidor LDAP
A continuació, com es veu en la figura 4.9, haureu d’especificar el DN (nom

distingit) de la base (arrel) del servidor OpenLDAP a partir de la qual cercareu
les dades per a la validació.
F ig ura 4 . 9 . Entrada del DN
Continueu i us preguntarà quina versió de l’LDAP voleu utilitzar. Seleccioneu la

versió 3 (la versió 2 ja no és recomanda). Veieu-ho a la figura 4.10
F i g ura 4 . 1 0 . Versió LDAP

El procés de configuració mitjançant els diferents menús també configura el PAM.

Així, en el menú següent us preguntarà si voleu que les aplicacions que canvien les
claus per mitjà del PAM es comportin com si ho fessin de manera local. Contesteu
que sí tal i com mostra la figura 4.11:
Fig ur a 4 . 1 1. Entrada del comportament de les contrase-

nyes
A continuació us preguntarà si voleu autenticar-vos per accedir al directori de

l’OpenLDAP. Contesteu que no tal i com mostra la figura 4.12:
Fig ur a 4 . 12 . Entrada de l’autenticació LDAP
En l’opció següent del menú, com veieu en la figura 4.13, haureu d’introduir el
compte d’administrador del servidor OpenLDAP. Per fer-ho, heu de repetir tot el
DN de la base i afegir-hi el cn (common name) del superusuari o l’administrador.
Aquest compte es farà servir quan es canviï la contrasenya d’administrador.
Assegureu-vos que és el mateix que es va configurar al servidor (habitualment
es fa servir admin).
Fig ur a 4 . 13 . Entrada del compte d’administrador LDAP

La finestra següent, mostrada en la figura 4.14, sol·licita que introduïu la contra-

senya amb la qual l’administrador accedeix al servidor OpenLDAP. Heu d’anar
en compte, perquè la contrasenya que hi introduïu s’emmagatzemarà en text pla,
sense xifrar, en el fitxer /etc/ldap.secret. Encara que aquest fitxer només el pugui
llegir l’usuari root, l’heu de tenir en compte per garantir la seguretat del servidor
OpenLDAP. En cas de reconfigurar el paquet, si no hi introduïm cap contrasenya
s’utilitzarà la contrasenya antiga.
F i g ura 4 . 1 4. Entrada del password de l’administrador
A vegades, mitjançant els menús que van apareixent, els paquets no s’instal·len bé
o no apareixen totes les opcions de configuració. Per solucionar-ho, podeu editar
i modificar directament el fitxer de configuració /etc/ldap.conf, en què hi ha les
dades de configuració per als paquets libnss-ldap i libpam-ldap. També podeu, de
manera més senzilla, tornar a configurar els paquets executant l’ordre següent:
1 $dpkg−reconfigure ldap−auth−config
Una vegada instal·lats i configurats els paquets libnss-ldap i libpam-ldap, us caldrà

modificar el fitxer /etc/nsswitch.conf per tal de finalitzar el primer pas. El fitxer
original es mostra a la figura 4.15, i el fitxer modificat es mostra a la figura 4.16
F i g ura 4 . 1 5 . Fitxer original nsswitch.conf
Hi feu la següent modificació:
1 passwd: files ldap

2 group: files ldap
3 shadow: files ldap
4
5 hosts: files dns
Fig ur a 4 . 16 . Fitxer modificat nsswitch.conf
D’aquesta manera, li esteu indicant l’ordre que el sistema GNU/Linux ha de fer

servir per fer l’autenticació. Aquest ordre determina que primer ha de consultar els
fitxers locals i, si no hi troba la informació que busca, ha de consultar el directori
LDAP. Aquesta és la manera més recomanable de fer l’autenticació. Recomanacions
D’altra banda, és recomanable
El següent apartat de configuració s’encarregarà de resoldre els dos passos finals tenir l’usuari root en els fitxers
locals exclusivament i la resta
per a que el client pugui utilitzar els comptes d’usuari creats en el servidor d’usuaris emmagatzemats en el
directori. D’aquesta manera, el
LDAP. D’una banda, haureu d’actualitzar la memòria cau local amb la informació superusuari sempre hi tindrà
accés i la resta d’usuaris
d’usuaris i grups corresponents a LDAP. Per aconseguir-ho, utilitzareu la següent s’autenticaran per mitjà del
servidor LDAP. No és
ordre, que podeu veure a la figura 4.17 amb la resposta esperada: recomanable tenir l’usuari root
en el servidor LDAP o invertir
l’ordre de l’autenticació, ja que,
en cas de fallada del servidor
1 sudo nss−updatedb ldap LDAP, podeu quedar-vos sense
accés a la màquina.
Fig ur a 4 . 17 . Actualització NSS
Si heu obtingut el resultat done pels usuaris i grups, la cosa haurà anat bé, en cas
contrari, repetiu la configuració assegurant-vos que heu entrat bé totes les dades,
i que la configuració IP és correcte.
Podeu comprovar com els usuaris i grups ja s’han importat del servidor LDAP amb
la comanda getent, la qual us mostrarà els usuaris i grups donats d’alta a la base
de dades LDAP. Fareu servidor les següents comandes, que també podeu veure a
la figura 4.18 i figura 4.19
1 getent passwd
F i g ura 4 . 1 8. Consulta d’usuaris LDAP
1 getent group
F i g ura 4 . 1 9 . Consulta de grups LDAP
L’últim punt de configuració serà actualitzar la configuració de les polítiques

d’autenticació predeterminades de PAM, el que aconseguiu amb la següent
comanda:
1 sudo pam−auth−update
La finestra de configuració que us saltarà us demanarà quins dels mòduls dipo-

nibles voleu instal·lar. Per defecte els marcareu tots, en especial el que apareix
desmarcat i el qual permet crear el directori personal de cada usuari dins de /home.
Veieu-ho a la figura 4.20
F ig ura 4 . 2 0. Autenticació PAM
El sistema ja està preparat per autenticar-se amb un servidor LDAP. Si reinicieu

la màquina podreu comprovar com podeu entrar amb els diferents usuaris donats
d’alta a la base de dades LDAP del servidor. Veure-ho a la figura 4.21
Fig ur a 4 . 21 . Login amb els usuaris LDAP
La primera vegada que entreu amb un usuari LDAP, us crearà la seva carpeta a
/home. Veieu-ho a la figura 4.22
Fig ur a 4 . 22 . Creació carpeta personal
Si a la pantalla de login teniu molts usuaris o preferiu entrar manualment el nom

del usuari, a LinuxMint haureu de prémer primer la tecla ESC, i a continuació
prémer la tecla F1. Veieu-ho a la figura 4.23
Fig ur a 4 . 23 . Entrada manual d’usuari
Si la vostra distribució GNU/Linux no permet entrar noms d’usuaris no creats

anteriorment (com per exemple Ubuntu, on no hi ha la opció de Altres Usuaris),
heu d’editar el vostre gestor de login per habilitar-ho. Cerqueu a internet la forma
de fer-ho segons la distribució. Però per fer-ho a Ubuntu 14.04 LTS (o posteriors),
editeu el fitxer /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf i deixeu-ho de
la següent manera:
1 [SeatDefaults]
2 user−session=ubuntu
3 greeter−show−manual−login=true
També podeu provar els nous usuaris des d’una consola. Per exemple, podeu
provar de canviar, mitjançant l’ordre su (su=switch user - canviar d’usuari),
un usuari que sigui en el directori LDAP. Si tot funciona bé, automàticament

demanarà la contrasenya per validar l’usuari.
1 ioc@SOX−Client−IOC ~ $ su leia
2 Password:
3 leia@SOX−Client−IOC /home/ioc $
A continuació, veureu la configuració que s’ha de fer per establir la manera com
s’autentiquen els serveis i les aplicacions del sistema que ho requereixen.
4.3.2 Configuració del PAM
Per tal de configurar la manera com s’autenticarà cada servei i aplicació que
necessita autenticació en el sistema LDAP, heu d’editar i modificar alguns dels
arxius del directori /etc/pam.d.
Per evitar configurar els arxius de cada servei o aplicació, hi ha una sèrie d’arxius
comuns, que afecten la majoria de serveis i aplicacions, el nom dels quals comença
per common. Els arxius comuns són els següents:
• /etc/pam.d/common-auth, utilitzat per a les aplicacions o els serveis per

autenticar-se.
• /etc/pam.d/common-account , utilitzat per poder disposar d’un compte.
• /etc/pam.d/common-session, utilitzat per iniciar una sessió.
• /etc/pam.d/common-password, utilitzat per poder canviar la contrasenya.
Tots aquests arxius contenen una línia que fa referència a la llibreria pam_unix.so,
utilitzada per a l’autenticació contra els arxius GNU/Linux. En el vostre cas, per
aconseguir que els serveis i les aplicacions del vostre sistema es puguin autenticar
per mitjà d’un servidor LDAP, us interessa que primer s’utilitzi la llibreria
pam_ldap.so, que es fa servir per a l’autenticació contra un servidor LDAP. Per
fer-ho, heu d’afegir la línia corresponent a la llibreria pam_ldap.so per sobre de
la línia corresponent a la llibreria pam_unix.so en els arxius common. Així, les
aplicacions s’autenticaran primer contra el servidor LDAP i, si l’autenticació falla,
provaran d’autenticar-se després amb els arxius GNU/Linux.
1. Configuració de l’arxiu common-auth
Per tal que els serveis i les aplicacions del sistema utilitzin les llibreries pam-ldap
per autenticar l’usuari, heu d’afegir a l’arxiu /etc/pam.d/common-auth la línia
següent:
auth sufficient pam_ldap.so Aquesta línia la ubicarem al damunt de la línia en què

aparegui la llibreria pam_unix.so.
2. Configuració de l’arxiu common-account
Per permetre que els serveis i les aplicacions del sistema comprovin el compte d’u-
suari mitjançant les llibreries pam-ldap, heu d’afegir a l’arxiu /etc/pam.d/common-
account la línia següent, al damunt de la línia de la llibreria pam_unix.so:
1 account sufficient pam_ldap.so
3. Configuració de l’arxiu common-session
Per tal que els serveis i les aplicacions del sistema obtinguin els paràmetres de la
sessió d’usuari de les llibreries pam-ldap, cal que afegiu (o comprovar que ja hi
és) a l’arxiu /etc/pam.d/common-session, al darrere de la línia en què hi hagi la
llibreria pam_unix.so, la línia següent:
1 session optional pam_ldap.so
4. Configuració de l’arxiu common-password
Per tal que els serveis i les aplicacions del sistema pugin modificar la con-
trasenya d’usuari mitjançant les llibreries pam-ldap, cal que afegiu a l’arxiu
/etc/pam.d/common-password la línia següent, al damunt de la línia en què
apareix la llibreria pam_unix.so:
1 password sufficient pam_ldap.so
5. Configuració particular per a cada servei Configuració gràfica PAM

La configuració del PAM per
Si voleu que alguns serveis o aplicacions s’autentiquin de manera diferent, autenticar les aplicacions amb la
llibreria LDAP es pot fer sense
podeu editar l’arxiu corresponent, com ara /etc/pam.d/su, /etc/pam.d/ssh o tocar cap fitxer de configuració
amb eines gràfiques com
/etc/pam.d/ftp, eliminar la línia que comença per @include i introduir-hi la Webmin.
configuració particular que vulgueu.
Compartir recursos en xarxa i
seguretat en sistemes lliures i
de propietat
Jordi Cárdenas Guia i Juan José López Zamorano

Sistemes operatius en xarxa Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Índex
Introducció 5
1 Compartir recursos en xarxa i seguretat en sistemes de propietat 9

1.1 Activació d’unitats compartides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.2 Utilització d’unitats compartides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2.1 Crear carpetes compartides . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.3 Administració de permisos de recursos compartits . . . . . . . . . . . . . . . . . . . . . . . . 12
1.4 Administració dels recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.5 Connexió a unitats de xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.6 Administració d’impressores de xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.7 Seguretat en sistemes de propietat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.7.1 Permisos d’arxiu i carpeta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.7.2 Còpies de seguretat i restauració de dades . . . . . . . . . . . . . . . . . . . . . . . . 22
1.8 Auditoria de recursos en sistemes de propietat . . . . . . . . . . . . . . . . . . . . . . . . . . 32
2 Compartir recursos en xarxa i seguretat en sistemes lliures 37

2.1 Protocol NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.1.1 Usos del protocol NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2.1.2 Funcionament de l’NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2.1.3 Instal·lació i configuració del client NFS . . . . . . . . . . . . . . . . . . . . . . . . 39
2.2 Què és el Samba? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.2.1 Protocol NetBIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
2.2.2 Protocol SMB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
2.2.3 Característiques del Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
2.3 Seguretat en el Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.3.1 Share-level security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.3.2 User-level security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
2.3.3 Domain security mode (user-level security) . . . . . . . . . . . . . . . . . . . . . . . 47
2.3.4 ADS security mode (user-level security) . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.3.5 Server security (user-level security) . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.3.6 Opcions de seguretat en l’apartat GLOBALS del fitxer de configuració . . . . . . . . 49
2.4 Instal·lació del servidor i del client Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2.5 Gestió d’usuaris, grups i permisos del Samba . . . . . . . . . . . . . . . . . . . . . . . . . . 52
2.5.1 Gestió d’usuaris Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
2.5.2 Permisos i drets Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
2.5.3 Gestió de grups i permisos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
2.6 Configuració del servidor Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.6.1 Configuració gràfica del servidor Samba amb el Swat . . . . . . . . . . . . . . . . . . 62
2.7 Utilització del client Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
2.8 Muntar unitats de xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2.9 Accés gràfic als recursos compartits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Sistemes operatius en xarxa Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
2.10 Servidor d’impressió CUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

2.10.1 Funcionament del CUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
2.10.2 Instal·lació i configuració del CUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
2.10.3 Compartir impressores gràficament amb el CUPS . . . . . . . . . . . . . . . . . . . . 74
2.10.4 Samba i CUPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Sistemes operatius en xarxa 5 Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat
Introducció
Un dels motius principals pels quals els equips, en les organitzacions, es connecten
per mitjà d’una xarxa és la compartició de recursos del sistema informàtic. Quan
parlem de recursos compartits ens podem referir a qualsevol entitat, sia programari
o maquinari, susceptible de ser compartit. Els sistemes operatius tenen un paper
fonamental en aquest mecanisme de compartició, ja que proporcionen les eines
necessàries per controlar, gestionar i compartir els recursos que hi ha a la xarxa.
Tant en sistemes operatius lliures com en sistemes de propietat, hem de tenir clar
el procés que cal seguir per tenir un sistema de xarxa que permeti autenticar els
usuaris i proporcionar informació sobre els usuaris i els recursos que hi ha a la
xarxa. Així, doncs, el pas següent serà conèixer i treballar amb els protocols i les
aplicacions que ens permeten compartir els diversos recursos entre els usuaris de
les xarxes Windows i GNU/Linux per separat.
En l’apartat “Compartir recursos en xarxa i seguretat en sistemes de propietat”

es mostraran els mecanismes que es fan servir per compatir recursos en sistemes
Windows. S’explicarà la manera de configurar i administrar els recursos que hi
ha a la xarxa, tant impressores com unitats d’emmagatzematge. A més, es posarà
èmfasi en la seguretat i l’auditoria dels recursos en els sistemes de propietat.
En l’apartat “Compartir recursos en xarxa i seguretat en sistemes lliures” s’expli-

caran les dues eines principals de compartició de recursos en els sistemes GNU/-
Linux: el protocol NFS i el paquet ofimàtic Samba. Es veurà el funcionament
d’aquestes dues eines i també els nivells de seguretat que proporcionen. A més,
es mostrarà amb exemples la configuració necessària per compartir directoris
i impressores mitjançant les interfícies gràfiques que proporcionen l’Swat i el
CUPS.
Per treballar els continguts d’aquesta unitat convé anar fent les activitats i els
exercicis d’autoavaluació.
En finalitzar aquesta unitat, l’alumne/a:
1. Reconeix la diferència entre permís i dret.
2. Identifica i assigna els recursos del sistema que es comparteixen en sistemes

lliures i de propietat.
3. Comparteix impressores en xarxa en sistemes lliures i de propietat.
4. Utilitza l’entorn gràfic per compartir recursos en sistemes lliures i de

propietat.
5. Estableix nivells de seguretat per controlar l’accés del client als recursos
compartits en xarxa en sistemes lliures i de propietat.
6. Gestiona grups d’usuaris i l’accés als recursos compartits dels sistemes

lliures i de propietat.
7. Comprova que les configuracions efectuades funcionen correctament.
8. Documenta les tasques de gestió de recursos que s’han fet, les incidències
que hi ha hagut i les solucions que s’han aportat.
9. Cerca i interpreta documentació tècnica en les llengües oficials i en les que

més s’utilitzen en el sector.
1. Compartir recursos en xarxa i seguretat en sistemes de propietat
La compartició de recursos és un dels pilars bàsics en el sistema operatiu Microsoft

Windows Server 2008. És molt important establir models que permetin accedir
als recursos compartits de manera segura i que facin possible auditar les dades i En l’apartat Annexos del
material web d’aquesta
el sistema. unitat disposeu d’un enllaç
a un document de
Microsoft on es presenta
El sistema operatiu Microsoft Windows Server 2008 inclou dos models de la virtualització de
màquines.
compartició d’arxius:
El model estàndard també

es coneix com a model in
• El model estàndard: permet que els usuaris remots accedeixin a recursos situ.
com arxius, carpetes i unitats. Aquest model fa que totes les carpetes i tots
els arxius continguts en una carpeta compartida, o en una unitat compartida,
siguin accessibles a un conjunt determinat d’usuaris.
• El model públic: consisteix a copiar o modificar els arxius d’una carpeta

pública. Tots els usuaris que iniciïn sessió en local en aquell equip accediran
sense problemes al contingut de la carpeta pública. Així, doncs, els usuaris
que tinguin permís d’accés a l’equip de manera remota podran accedir,
per mitjà de la xarxa, a aquesta carpeta pública, que és a %SystemDri-
ve%\Users\Public.
1.1 Activació d’unitats compartides
Per configurar les opcions bàsiques d’unitats i arxius compartits, cal que utilitzeu
el centre de xarxes i recursos compartits. La figura 1.1 mostra l’aspecte bàsic
d’aquesta utilitat i, com podeu observar, se segueix el concepte d’administració
gràfica dels sistemes del Microsoft. Si seguiu els passos següents, podreu
configurar el funcionament dels recursos compartits:
1. Cliqueu a Inici > Xarxa i accedireu al Centre de xarxes i recursos compar-

tits.
2. L’opció Ús compartit d’arxius controla l’accés als recursos compartits per

mitjà de la xarxa. Per poder compartir arxius d’aquest equip haureu de
seleccionar Activar l’ús compartit de fitxers.
3. L’opció Ús compartit de la carpeta Accés públic controla l’accés a les

carpetes públiques de l’equip.
4. L’opció Ús compartit d’impressores controla l’accés a les impressores

connectades a l’equip.
F igu r a 1. 1 . Centre de xarxes i recursos compartits
1.2 Utilització d’unitats compartides
Per poder treballar amb els recursos compartits podeu utilitzar l’administració d’e-
quips, l’administració d’emmagatzematge i recursos compartits o l’ordre net share
des de la interfície d’ordres. La figura 1.2 mostra l’aspecte que té l’administració
d’equips a Windows Server 2008.
F igu r a 1. 2 . Administració d’emmagatzematge i recursos compartits

Una manera d’examinar els recursos compartits en la màquina local mitjançant

l’administració d’equips seria la següent: Quan assigneu un nom a un
recurs, cal que procureu
que es relacioni el nom amb
el recurs en qüestió.
1. Des d’Administració d’equips expandiu Eines del sistema i Carpetes com-
partides.
2. Cliqueu a Recursos compartits i es mostraran, a la part principal de la

finestra, els recursos que actualment estiguin compartits. S’ofereix aquesta
informació:
• Nom del recurs: és el nom del recurs compartit.

• Ruta de la carpeta: és la ruta sencera en el sistema local.
• Tipus: és el tipus d’ordinador que pot utilitzar el recurs.
• Nre. de connexions de client: és la quantitat de clients que estan
accedint al recurs en aquell precís moment.
• Descripció: és la descripció del recurs.
Una manera d’examinar els recursos compartits en la màquina local mitjançant

l’administració d’emmagatzematge i recursos compartits seria la següent:
Des d’Administració d’emmagatzematge i recursos compartits cliqueu a la fitxa

Recursos compartits. N’obtindreu aquesta informació:
• Nom del recurs compartit: és el nom del recurs compartit.
• Protocol: és el nom del protocol utilitzat per compartir la carpeta.
• Ruta local: és la ruta completa de la carpeta en el sistema local.
• Quota: és el resum de l’estat de les quotes de l’administrador de recursos

sobre la carpeta compartida.
• Filtratge d’arxius: és el resum de l’estat del filtratge d’arxius sobre la

carpeta compartida.
• Instantànies: és el resum de l’estat de les instantànies sobre la carpeta

compartida.
• Espai lliure: és la quantitat d’espai lliure en el disc si no hi ha quotes

establertes.
1.2.1 Crear carpetes compartides Compartir una carpeta

En compartir una carpeta per
mitjà d’una xarxa, Windows,
quan torna a iniciar la sessió,
Hi ha tres camins per crear carpetes compartides en el servidor Microsoft Win- intenta connectar-se una altra
dows Server 2008: utilitzant l’explorador del Windows, utilitzant l’administració vegada, de manera
predeterminada, a totes les
d’equips o utilitzant l’administració d’emmagatzematge i recursos compartits. Per unitats assignades. Si no voleu
que això passi, cal que
compartir carpetes en un servidor Microsoft Windows Server 2008 s’ha de ser desactiveu la casella de
verificació Connectar de nou en
membre del grup d’administradors o operadors del servidor. iniciar sessió.
Mitjançant l’administració d’equips, els passos a seguir per compartir una carpeta
són els següents:
1. Expandiu Eines de sistema i Carpetes compartides.
2. Seleccioneu Recursos compartits.
3. Cliqueu amb el botó dret a Recursos compartits i cliqueu a Recurs compartit

nou. Aquest pas inicia un auxiliar que arrenca de manera automàtica.
4. Cliqueu a Següent.
5. Escriviu la ruta de la carpeta que voleu compartir en el quadre de text Ruta

de la carpeta. Si la carpeta no existeix, l’auxiliar us preguntarà si la voleu
crear respectant la ruta que heu introduït. Si no recordeu la ruta exacta,
podeu navegar pels llocs mitjançant el botó Examinar.
6. Escriviu el nom que vulgueu posar al recurs compartit en el camp Nom del
recurs.
7. Escriviu una descripció del recurs en el quadre Descripció.
8. Si voleu prohibir o habilitar l’accés al recurs per mitjà de la xarxa, cliqueu a

Canviar i seleccioneu l’opció més adequada a Configuració sense connexió.
9. Cliqueu a Següent per establir els permisos.
10. Per acabar, cliqueu a Finalitzar.
Els tallafocs i les carpetes

compartides Els permisos possibles d’accés a un recurs compartit són els següents:
Heu de revisar la configuració
dels tallafocs activats en el
sistema quan treballeu amb • Tots els usuaris tenen accés només de lectura: els arxius es poden veure i
compartició de recursos. És molt
possible que no accediu a una llegir, però no es poden crear, modificar ni eliminar arxius i carpetes.
carpeta compartida a causa de
l’acció d’un tallafoc. No oblideu
mai revisar la configuració dels • Els administradors tenen accés total;els altres usuaris tenen accés només
tallafocs si teniu problemes
d’accés a carpetes compartides. de lectura: els administradors poden veure, crear, modificar o eliminar
continguts, però la resta d’usuaris només poden veure els arxius i llegir-ne
el contingut.
• Els administradors tenen accés total; cap altre usuari hi té accés: els
administradors poden veure, crear, modificar o eliminar continguts, però
la resta d’usuaris no hi tenen accés.
• Personalitzar membres: permet configurar l’accés per a usuaris específics
i per a grups específics.
1.3 Administració de permisos de recursos compartits
La base de l’administració de permisos de recursos compartits en el Microsoft

Windows Server 2008 és el format dels volums. Els volums NTFS permeten
utilitzar els permisos d’arxius i carpetes i també els perfils dels comptes dels
propietaris d’arxius i carpetes per restringir les accions sobre el recurs. Si es
fes servir un volum que utilitza la taula d’assignació de fitxers (en anglès, file
allocation table, FAT), però, només es podria controlar l’accés.
Els permisos dels recursos que es comparteixen indiquen les accions

permeses dins la carpeta. Quan es crea un recurs compartit, tothom que
tingui accés a la xarxa tindrà permisos de lectura.
El sistema disposa de quatre permisos per als recursos compartits:
• Sense accés: no hi ha cap permís sobre el recurs.
• Lectura: aquest permís permet veure el nom dels arxius i de les subcarpetes,
accedir a les subcarpetes, llegir la informació dels arxius i dels atributs que Administració de permisos
tinguin, i executar programes. Heu de comprendre molt bé el
significat real dels permisos i
administrar-los correctament. Si
• Modificar: aquest permís inclou les possibilitats del permís de lectura i no ho feu, tindreu seriosos
problemes de seguretat.
dóna capacitat per crear arxius i subcarpetes, modificar arxius, modificar
atributs d’arxius i subcarpetes, i eliminar arxius i subcarpetes.
• Control total: aquest permís inclou les possibilitats dels permisos de

lectura i de modificar. A més, però, permet canviar els permisos dels arxius
i de les carpetes. També es pot fer seus els arxius i les carpetes.
Per conèixer els permisos que té un recurs, es poden seguir els passos que es
mostren a continuació:
1. Connecteu-vos al recurs dins de l’administració d’equips.
2. Expandiu Eines de sistema, Carpetes compartides i cliqueu a Recursos

compartits.
3. Cliqueu amb el botó dret al recurs que vulgueu examinar i cliqueu a

Propietats.
4. La fitxa Permisos dels recursos compartits us mostrarà l’usuari o grups

d’usuaris que tenen accés al recurs i com és aquest accés. Aquesta fitxa
permet modificar els permisos existents.
1.4 Administració dels recursos
L’administració de recursos del sistema és una tasca molt interessant i important

dins l’administració del sistema. El sistema operatiu crea automàticament una
sèrie de recursos compartits que facilitaran l’administració de recursos.
Els recursos compartits administratius o recursos compartits ocults

són recursos compartits que ajuden en les tasques dels administradors del
sistema.
No és possible assignar permisos sobre els recursos especials; l’encarregat d’a-

questa tasca és el sistema operatiu mateix. Per crear manualment els vostres propis
recursos compartits ocults, només haureu d’afegir el caràcter $ al final del nom
del recurs.
Tot i que els recursos compartits ocults es poden eliminar amb els permisos
d’administrador, cada vegada que es reiniciï el sistema tornaran a crear-se de
manera automàtica. Si voleu desactivar permanentment aquests recursos haureu
de posar a zero dos registres:
1 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer
2
3 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks
En la taula 1.1 es descriuen uns quants recursos compartits ocults:

Taul a 1. 1. Recursos compartits ocults
Nom del recurs compartit ocult Descripció Utilització
ADMIN$ Proporciona accés a la carpeta S’utilitza en estacions de treball i

%SystemRoot% servidors. Els administradors i els
operadors de còpia hi tenen
accés. En controladors de domini
també hi poden accedir els
operadors de servidor.
FAX$ Proporciona suport per a faxos de L’utilitzen els clients de fax per
xarxa. enviar faxos.
IPC$ Proporciona suport per a les L’utilitzen els programes quan fan
comunicacions entre processos. administració remota i quan
examinen recursos compartits.
NETLOGON Proporciona suport per al servei L’utilitza el servei NetLogon quan

NetLogon. processa peticions d’inici de
sessió en el domini. Tots els
usuaris tenen permís de lectura.
PRINT$ Proporciona suport per a les L’utilitzen les impressores

impressores que estiguin compartides. Tots els usuaris
compartides. tenen accés de lectura.
Realment recursos
NETLOGON i SYSVOL no
són recursos compartits PUBLIC Proporciona suport per als S’utilitza per emmagatzemar
ocults, sinó recursos recursos compartits per mitjà de dades públiques.
compartits administratius carpetes públiques.
especials. No es recomana
eliminar-los. SYSVOL Proporciona suport per al directori S’utilitza per emmagatzemar
actiu. dades i objectes del directori
actiu.
LletraUnitat$ Proporciona accés a l’arrel d’una S’utilitza en estacions de treball i

unitat. servidors. Els administradors i
operadors de còpia hi tenen
accés. En controladors de domini
també hi poden accedir els
operadors de servidor.
Per accedir a un recurs compartit ocult heu de seguir els passos següents:
1. Cliqueu a Inici i, tot seguit, a Equip.
2. Cliqueu a Connectar a unitat de xarxa.
3. Seleccioneu la unitat que voleu de la llista Unitat.
4. Escriviu la ruta del recurs al qual voleu accedir.
5. Cliqueu a sobre de Finalitzar.
Per crear un recurs compartit ocult nou, cal que feu el següent:
1. Al Tauler de control, feu doble clic a Eines administratives i, a continuació,

feu doble clic a Administració d’equips.
2. Expandiu Carpetes compartides, cliqueu amb el botó dret a Recursos

compartits i, a continuació, feu clic a Nou recurs compartit d’arxiu.
3. En el quadre Carpeta per compartir, escriviu la ruta d’accés de la carpeta

que voleu compartir o cliqueu a Examinar per buscar-la.
4. Escriviu el nom del recurs compartit que voleu utilitzar seguit del signe de
dòlar i, a continuació, feu clic a Següent.
5. Activeu la casella de verificació Els administradors tenen control total; la

resta d’usuaris no tenen accés per especificar que el recurs compartit només
està disponible per als administradors. A continuació, feu clic a Finalitzar.
Per eliminar un recurs compartit ocult, cal que feu el següent:
1. Al Tauler de control, feu doble clic a Eines administratives i, a continuació,

feu doble clic a Administració d’equips.
2. Expandiu Carpetes compartides i cliqueu amb el botó dret a Recursos

compartits.
3. En la Carpeta compartida, cliqueu amb el botó dret del ratolí al recurs

compartit que voleu suprimir, feu clic a Deixar de compartir i, a continuació,
feu clic a Acceptar. Quan deshabiliteu un recurs
compartit administratiu, cal
que comproveu que tot
funciona correctament, ja
Per comprovar les connexions a recursos compartits, podeu obrir el símbol de que hi ha serveis del
sistema i programes que els
sistema i executar l’ordre net session o bé fer el següent: necessiten.
1. Connecteu-vos a l’equip en què hi ha el recurs compartit des de l’adminis-

tració d’equips.
2. Expandiu Eines del sistema i, tot seguit, Carpetes compartides.
3. Seleccioneu Sessions.
La informació que proporcionen les columnes del node Sessions és la següent:

• Usuari: indica els noms dels usuaris o dels equips connectats al recurs.
Detectareu els noms dels equips perquè van precedits pel caràcter dòlar.
• Equip: és el nom de l’equip que s’està utilitzant.
• Tipus: és el tipus de connexió de xarxa que s’està emprant.
• Nombre d’arxius oberts: és la quantitat de fitxers amb els quals està

treballant l’usuari.
• Connectat: indica el temps que ha passat des que es va establir la connexió.
• Inactiu: indica el temps que ha passat des que es va utilitzar la connexió

per última vegada.
• Convidat: indica si l’usuari que està connectat al recurs correspon a una

sessió de convidat.
A la figura 1.3 es pot observar com es poden administrar els recursos compartits
des de l’administrador d’equips.
F igu r a 1. 3 . Recursos compartits
Per tancar tots els fitxers oberts dels recursos compartits d’un equip, cal que seguiu
els passos següents:
1. Connecteu-vos a l’equip en què hi ha el recurs compartit des de l’adminis-

tració d’equips.
2. Expandiu Eines del sistema i, tot seguit, Carpetes compartides.
3. Seleccioneu Arxius oberts.
4. Cliqueu a Desconnectar tots els arxius oberts i cliqueu a Sí per confirmar.

1.5 Connexió a unitats de xarxa
Per connectar-se a una unitat de xarxa i accedir als recursos que conté, només cal
executar l’ordre net use. Per exemple, si es vol accedir a un recurs amb l’etiqueta
Imatges que s’emmagatzema en una màquina anomenada Multimedia i la lletra de
la unitat és la d, cal escriure el següent: net use d: [[|]].
Per desconnectar-se d’una unitat de xarxa caldrà seguir aquests passos:
1. Executeu l’explorador del Windows mentre l’usuari estigui connectat a

l’equip.
2. Dins del menú Eines, seleccioneu Desconnectar de la unitat de xarxa.
3. Seleccioneu la unitat que voleu desconnectar.
4. Cliqueu a Acceptar.
1.6 Administració d’impressores de xarxa

Si no podeu accedir a la
carpeta d’impressores de
manera remota, proveu de
L’accés als dispositius d’impressió connectats a la xarxa requereixen que hi hagi connectar-vos remotament
al servidor Windows Server
un servidor d’impressió. Aquest servidor d’impressió s’encarregarà de compartir 2008 i, tot seguit, obriu la
carpeta Impressores.
les impressores mitjançant la xarxa.
Per fer una administració correcta de les impressores de xarxa, cal tenir en compte
els punts següents:
• Serveis d’impressió
• Configuració de servidors d’impressió
• Impressió compartida
• Propietats de les impressores
• Mostrar les impressores en el directori actiu
1. Serveis d’impressió. El sistema operatiu Microsoft Windows Server 2008

requereix una configuració específica per poder funcionar com a servidor d’im-
pressió.
Un servidor d’impressió s’encarrega de compartir impressores dins una

xarxa i de gestionar la cua d’impressió.
Els dispositius d’impressió que podeu trobar poden ser locals o de xarxa:
• Dispositius d’impressió local: aquest dispositiu està connectat físicament

a un equip i només el poden utilitzar els usuaris que iniciïn una sessió en
aquest equip.
• Dispositius d’impressió de xarxa: aquest dispositiu està configurat per

poder-hi accedir remotament mitjançant una xarxa. Aquests dispositius
poden connectar-se directament a la xarxa o bé poden utilitzar un servidor
d’impressió per ser accessibles des d’altres equips.
2. Configuració de servidors d’impressió. És necessari afegir la funció Serveis

d’impressió com una funció de servidor de l’Administrador de servidor per poder
configurar un servidor com a servidor d’impressió. Hi ha tres serveis de funció:
• Servidor d’impressió: aquest servei configurarà el servidor d’impressió.

Instal·la una consola d’administració d’impressió que permet gestionar
diferents impressores i servidors d’impressió. A més, possibilita l’admi-
nistració de treballs d’impressió.
• Servei LPD: aquest servei permet que equips que estiguin funcionant amb
sistema operatiu UNIX o que utilitzin el servei LPR puguin accedir a les
impressores compartides.
• Impressió a Internet: genera un espai web que permet als usuaris autorit-
zats gestionar els treballs que hagin enviat a les impressores compartides.
LPD o LPR
LPD o LPR és un protocol de
xarxa que permet utilitzar
Per afegir la funció de serveis d’impressió, seguiu els passos següents:
impressores de manera remota.
Les sigles volen dir line printer
daemon protocol i line printer
remote protocol, respectivament.
• Obriu l’administrador del servidor.
• Seleccioneu el node Funcions.
• Cliqueu a Afegir funcions.
• S’inicia un auxiliar.
• Seleccioneu Serveis d’impressió i premeu Següent per validar.
• Escolliu tots els serveis que vulgueu a Seleccionar serveis de funció.
• Cliqueu a Instal·lar, després de seguir una sèrie de passos opcionals, per

iniciar el procés d’instal·lació.
3. Impressió compartida. Mitjançant la impressió compartida és possible

controlar l’accés a les impressores que estiguin connectades a un equip. Per
defecte la compartició d’impressores està desactivada en el sistema Microsoft
Windows Server 2008. Per activar aquesta característica haureu de fer el següent:
• Cliqueu a Inici i, tot seguit, a Xarxa.
• Obriu Centre de xarxes i recursos compartits.
• Cliqueu al botó Ús compartit d’impressores.

A partir d’aquí podreu activar o desactivar l’ús d’impressores compartides i

seleccionar l’opció que més us convingui.
4. Propietats de les impressores. Les impressores tenen una sèrie de propietats.

Si es gestionen bé, als usuaris de la xarxa els serà més fàcil utilitzar les impressores.
Per exemple, és important incloure comentaris i informació sobre la ubicació física
de la impressora. Per fer-ho, només cal que empleneu els camps Comentari i
Ubicació que hi ha dins la fitxa General de Propietats.
Per accedir al quadre Propietats de la impressora heu de fer el següent:
• Obriu l’administrador d’impressió.
• Expandiu el node Servidores d’impressió.
• Seleccioneu el node Impressores.
• Cliqueu amb el botó dret a sobre de la impressora que més us interessi i

apareixerà Propietats.
Per publicar impressores
heu de tenir drets
5. Mostrar les impressores al directori actiu. Als usuaris els és molt útil la d’administració de serveis
de directori.
presència de les impressores al directori actiu. Per incloure una impressora al
directori actiu haureu de fer el següent:
• Accediu a Propietats de la impressora que vulgueu incloure al directori

actiu.
• Cliqueu a Compartir.
• Marqueu la casella Compartir impressora.
• Premeu Acceptar per validar.
1.7 Seguretat en sistemes de propietat
Tots els objectes de la xarxa contenen informació sobre el control d’accés.

Aquesta informació s’anomena descriptor de seguretat. El descriptor es genera
automàticament i defineix el tipus d’accés permès a usuaris i grups. Per exemple,
un arxiu és un objecte amb un descriptor de seguretat.
Cada assignació de permisos a un usuari o grup es representa en el sistema com

una entrada de control d’accés (ACE). El conjunt complet d’entrades de permís
d’un descriptor de seguretat s’anomena conjunt de permisos o llista de control
d’accés (ACL).
Jerarquia dels objectes
Hi ha dos tipus de permisos: Els objectes es defineixen
utilitzant l’estructura jeràrquica
pare-fill. L’objecte pare és en el
nivell més alt de jerarquia i el fill,
• Els permisos explícits: s’estableixen de manera predeterminada en objectes en l’inferior.
pare quan es creen, o els que crea l’usuari a objectes que no són fills.
• Els permisos heretats: es propaguen a un objecte des d’un objecte pare.

Els permisos heretats faciliten la tasca d’administrar permisos i asseguren
la coherència d’aquests permisos entre tots els objectes d’un contenidor
determinat.
Per defecte, els objectes d’un contenidor hereten els permisos des d’aquest
contenidor quan es creen els objectes.
El format NTFS del volum és el que possibilita l’establiment de permisos de

seguretat en arxius i carpetes. Per veure els permisos d’un arxiu o d’una carpeta
només heu de fer el següent:
1. Cliqueu amb el botó dret a sobre de l’arxiu i de la carpeta a estudiar.
2. Seleccioneu Propietats.
3. Cliqueu a la fitxa Seguretat.
4. Seleccioneu l’usuari, l’equip o el grup que vulgueu consultar dins la llista

Noms de grups o usuaris.
1.7.1 Permisos d’arxiu i carpeta
Els arxius i les carpetes poden emprar els mateixos permisos, però s’ha de tenir
en compte que el significat del permís canvia segons si s’aplica a un fitxer o a
una carpeta. En la taula 1.2 es resumeixen els permisos d’arxius i carpetes en el
Microsoft Windows Server 2008:
Taul a 1. 2. Permisos de carpeta i fitxer
Permís Significat en una carpeta Significat en un fitxer
Lectura Permet examinar i llistar arxius i Permet examinar o accedir al

subcarpetes. contingut.
Escriptura Permet afegir arxius i Permet escriure dins l’arxiu.

subcarpetes.
Lectura i execució Permet examinar i llistar els arxius Permet examinar l’arxiu, accedir
i les subcarpetes, i també al contingut i executar-lo.
executar arxius.
Mostrar el contingut de la carpeta Permet examinar i llistar arxius i Aquest permís no es pot aplicar
subcarpetes, i també executar sobre els arxius.
arxius.
Modificar Permet llegir i escriure arxius i Permet llegir, escriure i eliminar

subcarpetes, i també eliminar la l’arxiu.
carpeta.
Control total Permet llegir, escriure, modificar i Permet llegir, escriure, modificar i
eliminar arxius i carpetes. eliminar l’arxiu.
Tot i que els permisos Mostrar el contingut de la carpeta i Lectura i execució

semblen tenir els mateixos permisos especials, s’hereten de manera diferent. El
permís Mostrar el contingut de la carpeta l’hereten les carpetes (no l’hereten els
arxius) i només hauria d’aparèixer quan es veuen els permisos de carpeta. El

permís Lectura i execució l’hereten els arxius i les carpetes, i sempre hi és quan
es veuen els permisos d’arxiu o carpeta.
En el Microsoft Windows Server 2008, el grup Tots no inclou el grup Inici de

sessió anònima per omissió, de manera que els permisos que s’apliquen al grup
Tots no afecten el grup Inici de sessió anònima. Control de carpetes
És molt important que no hi hagi
S’ha de tenir en compte que per executar scripts només cal que tingueu permís de gaires usuaris amb control total
sobre les carpetes, ja que aquest
lectura per poder accedir a un accés directe i a la destinació. control els permet eliminar els
continguts de la carpeta
independentment dels permisos
En la taula 1.3 es mostren les limitacions d’accés per a cada conjunt de permisos que l’usuari tingui sobre aquests
continguts.
d’NTFS especials:
Tau l a 1 .3 . Permisos especials
Permisos Control Modificar Llegir i Mostrar el Lectura Escriptura

especials total executar contingut
de la
carpeta*
Recórrer Sí Sí Sí Sí
carpeta /
executar
arxiu
Mostrar Sí Sí Sí Sí Sí
carpeta /
llegir dades
Llegir Sí Sí Sí Sí Sí
atributs
Atributs Sí Sí Sí Sí Sí
estesos de
lectura
Crear arxius Sí Sí Sí
/ escriure
dades
Crear Sí Sí Sí
carpetes /
annexar
dades
Escriure Sí Sí Sí
atributs
Escriure Sí Sí Sí
atributs
estesos
Eliminar Sí
subcarpetes
i arxius
Eliminar Sí Sí
Permisos de Sí Sí Sí Sí Sí Sí
lectura
Canviar Sí
permisos
Prendre Sí
possessió
Sincronitzar Sí Sí Sí Sí Sí Sí
* (només aplicable a carpetes)

1.7.2 Còpies de seguretat i restauració de dades
La protecció de les dades és necessària en qualsevol organització. El sistema

operatiu ha de poder crear còpies de seguretat de les dades per evitar la pèrdua
d’informació a causa d’esborraments accidentals o premeditats, errors del maqui-
nari, corrupció de les bases de dades o qualsevol acció que pugui provocar un dany
Si restaureu una versió més en els arxius emmagatzemats.
antiga d’una base de dades
de carpeta pública en un
servidor alternatiu, es
poden originar problemes
S’ha d’establir un pla de còpies per tal de dissenyar l’estratègia a seguir. Caldrà
de rèplica. fer el següent:
• Establir quan i com s’ha de fer la còpia de seguretat i de quines dades.
• Comprovar el tipus d’informació que contenen les dades i decidir la impor-

tància que tenen.
• Detectar si les dades canvien lentament o no, cosa que determinarà la

freqüència amb què se n’han de fer còpies.
• Decidir si és interessant fer instantànies per complementar les còpies de

seguretat.
• Estudiar si cal que la restauració de les dades es faci pràcticament a l’instant

o no.
• Comprovar, un cop determinades les característiques de les còpies que s’han

de fer, que disposeu de tot el maquinari necessari.
• Assignar a una persona la responsabilitat de revisar el pla de còpies i de fer

les còpies manuals i les restauracions.
• Establir el millor moment per fer les còpies.
• Decidir, tenint en compte el nivell de seguretat, si cal emmagatzemar les

Problemes amb l’Exchange dades en una ubicació diferent a l’entorn de treball.
La còpia de seguretat de servidor
del Windows del Windows
Server 2008, a diferència de
versions anteriors, ja no és La característica Còpies de seguretat del Microsoft Windows Server 2008 consta
compatible amb les restauracions
o les còpies de seguretat de d’un complement Microsoft Management Console (MMC), eines de la línia d’or-
l’Exchange. Ara hauríeu
d’utilitzar alguna aplicació que
dres i cmdlets del Windows PowerShell. Tots aquests elements proporcionen una
hi fos compatible, com el
Microsoft System Center Data
solució completa per a les necessitats diàries de còpia de seguretat i recuperació.
Protection Manager. A més, podeu usar còpies de seguretat del Windows Server per fer una còpia de
seguretat d’un servidor complet, de volums seleccionats, de l’estat del sistema o
d’arxius i carpetes específics. També les podeu utilitzar per crear una còpia de
seguretat amb la finalitat de fer una reconstrucció completa.
Podeu fer servir Còpies de seguretat del Microsoft Windows Server 2008 per crear
i administrar còpies de seguretat de l’equip local o d’un equip remot. També pot
programar còpies de seguretat perquè s’executin de manera automàtica.
Tipus de còpies de seguretat
Hi ha cinc tipus bàsics de còpies de seguretat en el Microsoft Windows Server

2008, cosa que significa que heu d’estudiar quin format és el més adient per
al vostre sistema. Tot seguit s’expliquen breument les diferents formes de que
disposa Microsoft Windows Server 2008 de realitzar còpies de seguretat:
• Normal/Completa: es copien tots els fitxers seleccionats, independentment

de si els arxius o els directoris estan preparats per ser copiats. En cas de
copiar un fitxer no preparat, l’atribut A es desactiva.
• Còpia: es copien tots els fitxers seleccionats, independentment de si els

arxius o els directoris estan preparats per ser copiats. En cas de copiar un
fitxer no preparat, l’atribut A no canvia, cosa que permet fer altres tipus de
còpia de seguretat més tard.
• Diferencial: es copien els arxius modificats després de l’última còpia.
• Incremental: es copien els arxius modificats després de l’última còpia

normal o incremental. Quan es fa la còpia, l’atribut A es desactiva fins
que no es modifica el fitxer.
• Diària: si un arxiu ha estat modificat el mateix dia en què es fa la còpia de

seguretat, s’hi inclou. No afecta l’atribut A.
Atribut
Cal no confondre els conceptes de còpia diferencial i còpia incremental. Les Arxiu llest per arxivar-se és un
atribut (anomenat A) dels fitxers
còpies diferencials inclouen tots els fitxers que s’hagin modificat des de l’última i les carpetes. Aquest atribut
indica si l’element s’ha
còpia, mentre que les còpies incrementals només inclouen els fitxers que s’hagin d’incloure en la còpia de
seguretat.
modificat des de la còpia completa o incremental més recent. La grandària d’una
còpia incremental normalment és inferior a la d’una còpia completa.
Abans de crear una còpia de seguretat, d’un tipus o d’un altre, cal analitzar una
sèrie de factors:
• Quantitat de dades: si la quantitat de dades a emmagatzemar és molt gran,

caldrà tenir preparat tot el maquinari necessari.
• Fiabilitat dels equips i del programari: el preu dels equips i del programa-
ri pot determinar quins equipaments i quin suport cal utilitzar. És important
considerar la fiabilitat de tot el conjunt.
• Ampliació: no us podeu arriscar que el vostre disseny quedi petit. Cal,

doncs, que el vostre disseny de còpies s’adapti sense problemes a les
necessitats del sistema.
• Velocitat: normalment l’alta velocitat va lligada a preus alts. D’aquesta

manera, heu de valorar si la vostra organització necessita invertir pressupost
per reduir el temps que es triga a fer les còpies i el que s’inverteix a fer les
recuperacions de les dades.
• Cost econòmic: és un factor molt important, ja que pot marcar la qualitat

del vostre disseny.
Utilització d’instantànies
Recuperar còpies de seguretat quan hi ha hagut una pèrdua de dades pot significar
una inversió de temps i de recursos del sistema força gran. El Microsoft
Windows Server 2008 permet simplificar aquesta feina mitjançant una eina que
fa instantànies.
Una instantània és una còpia de seguretat, que es crea amb una freqüència
determinada, dels arxius als quals els usuaris poden accedir directament
mitjançant les carpetes compartides.
Per poder crear instantànies és imprescindible treballar amb volums NTFS, ja que
les instantànies s’han de crear en tots els volums de què es disposi.
Per defecte, es creen dues còpies de seguretat diàriament de dilluns a divendres,

l’una a les 07.00 i l’altra a les 12.00. L’espai lliure mínim necessari per crear
instantànies és de 100 MB, però cal tenir molt en compte que aquesta quantitat
depèn bàsicament de la quantitat de dades emmagatzemades en les carpetes
compartides dels volums. Podeu configurar una mida màxima de les còpies de
Les instantànies que es seguretat per tal de controlar encara més el comportament del sistema.
creen amb el Windows
Server 2003 es perden
quan s’inicia l’equip amb el
Windows Vista o el
Per comprovar la configuració de les instantànies podeu fer el següent:
1. Cliqueu amb el botó dret del ratolí a sobre de la icona del disc que us
interessi.
2. Seleccioneu Propietats i cliqueu a Instantànies.
3. Escolliu Seleccioni un volum.
La informació que hi trobareu és la següent:
• Volum: és l’etiqueta que identifica el volum NTFS.
• Hora de la propera execució: indica quan es generarà la pròxima còpia

instantània. Es pot deshabilitar.
• Recursos compartits: indica la quantitat de carpetes compartides que hi ha

en el volum.
• Utilitzat: indica la quantitat d’espai del disc que utilitzen les instantànies.
Per restaurar una instantània només cal fer tres passos:
1. Cliqueu amb el botó dret a sobre del recurs compartit que vulgueu revisar i
seleccioneu Propietats.
2. Feu clic a la fitxa Versions anteriors.
3. Podeu seleccionar la versió de la carpeta dins de la fitxa Versions prèvies.

Podeu comprovar que les versions contenen data i hora.
La figura 1.4 mostra la finestra de configuració de les instantànies. Podeu

comprovar que aquesta eina tan útil es configura d’una manera molt senzilla.
Fi gu ra 1 . 4 . Configurant una instantània
Hi ha tres accions que podeu fer sobre les instantànies:
• Obrir: accedireu al contingut emmagatzemat a la carpeta.
• Copiar: es pot fer una còpia de l’arxiu de la instantània en una carpeta.
• Restaurar: permet tornar la carpeta a l’estat en què estava en el moment

de fer la instantània.
També és possible tornar un volum sencer a l’estat en què estava en el moment

de fer una determinada instantània, sempre que el volum en qüestió no sigui de
sistema. Per fer aquesta acció cal seguir aquests passos:
1. Obriu l’administració de l’equip.
2. Expandiu el node Emmagatzematge i cliqueu amb el botó dret a Administra-

ció de disc.
3. Seleccioneu Totes les tasques i Configurar instantànies.
4. Cliqueu a la fitxa Instantànies i escolliu el volum de la llista Seleccioni un

volum.
5. Escolliu la instantània que us interessi dins l’apartat Instantànies del volum

seleccionat i premeu Revertir.
6. Feu clic a Acceptar per tancar el quadre de diàleg, un cop confirmades les
opcions que hi apareixen.
Per eliminar una instantània cal fer el següent:

ció de discos.
4. Cliqueu a la fitxa Instantànies i escolliu el volum de la llista Seleccioni un

volum.
5. Escolliu la instantània que us interessi dins l’apartat Instantànies del volum

seleccionat i premeu Eliminar ara.
Les instantànies també es poden deshabilitar. Cal seguir aquests sis passos:

ció de discos.
4. Cliqueu a la fitxa Instantànies i escolliu el volum de la llista Selecciona un

volum.
5. Feu clic a Deshabilitar i confirmeu les accions.
6. Premeu Acceptar per tancar el quadre de diàleg.
Còpies de seguretat amb el Microsoft Windows Server 2008
Per poder fer còpies de seguretat i restauració heu de disposar de diversos permisos
i drets d’usuari. L’usuari administrador i el grup d’operadors de còpies de
seguretat tenen autoritat total per copiar i restaurar qualsevol tipus de fitxer,
independentment dels permisos que tinguin els fitxers i de qui en sigui el propietari.
El propietari d’un arxiu i els usuaris que tinguin permisos per controlar aquests
arxius podran fer còpies de seguretat, però només dels fitxers que siguin de
propietat o que tinguin els permisos s’escriptura, lectura i execució, modificació
o control total.
Les còpies de seguretat proporcionen extensions per gestionar uns quants tipus de
dades especials:
• Dades d’estat del sistema: són els arxius imprescindibles del sistema per
En el Windows Server 2008,
poder recuperar el sistema local.
les còpies de seguretat de
l’estat del sistema per als
volums crítics es bloquegen.
• Dades d’aplicació: són els arxius imprescindibles de les aplicacions per
poder recuperar-les si fos necessari.
Si inicieu les còpies de seguretat del Microsoft Windows Server 2008, us connec-
tareu a l’equip local. De totes maneres, si necessiteu accedir a un equip remot,
podeu fer el següent:
1. Inicieu les còpies de seguretat del Microsoft Windows Server 2008.
2. Seleccioneu l’opció Connectar-se a un altre equip del plafó d’accions.
3. Escolliu Un altre equip.
4. Introduïu el nom del servidor o l’adreça IP.
5. Premeu Finalitzar per acabar d’establir la connexió amb l’equip remot.
Instal·lar la característica Còpies de seguretat del Microsoft Windows

Server 2008
Còpies de seguretat de Windows Server és una característica del Microsoft

Windows Server 2008 i no està instal·lada per defecte. Abans de poder fer una
còpia de seguretat amb Còpies de seguretat de Windows Server, s’ha d’instal·lar
la característica mitjançant l’administrador de servidors o mitjançant la utilitat de
línia d’ordres SERVERMANAGERCMD:
C:\> servermanagercmd -install Backup-Features
Còpies de seguretat del Windows Server consta de dues característiques:
• Còpies de seguretat del Windows Server
• Les eines de línia d’ordres.
S’ha de tenir en compte que les eines de línia d’ordres fan referència a un
conjunt de cmdlets del Windows PowerShellTM, no a l’eina de línia d’ordres
WBADMIN.EXE. Per tant, si decidiu instal·lar totes dues característiques, també
haureu d’instal·lar la característica del Windows PowerShell.
La característica Còpies de seguretat del Microsoft Windows Server 2008 consta

de quatre components:
• La interfície d’usuari del MMC (WBADMIN.MCS).
• La interfície de línia d’ordres (WBADMIN.EXE).
• El servei de còpies de seguretat (WBENGINE.EXE).
• El conjunt de cmdlets del Windows PowerShell.
Ordres del Wbadmin
El Microsoft Windows Server 2008 inclou la possibilitat d’utilitzar la línia

d’ordres per administrar tots els aspectes de configuració de còpies de seguretat.
El Wbadmin permet fer còpies de seguretat i restaurar el sistema operatiu,

els volums, els arxius, les carpetes i les aplicacions des de la línia d’ordres.
Per configurar una programació de còpia de seguretat, heu de ser membres del grup
d’administradors. Per dur a terme totes les altres funcions amb aquesta ordre, heu
de ser membres dels operadors o el grup d’administradors, o heu d’haver delegat
els permisos adequats.
Podeu executar l’ordre wbadmin des de la línia d’ordres.
Des de la línia d’ordres podeu executar Wbadmin amb una sèrie d’instruccions
que li donen molta versatilitat. Aquestes ordres es descriuen en la taula 1.4:
Taul a 1. 4. Ordres relacionades amb wbadmin
Ordre Descripció
Wbadmin enable backup Configura i permet una programació de còpia de

seguretat diària. Aquesta ordre només s’aplica al
Wbadmin disable backup Desactiva les còpies de seguretat diàries. Aquesta

ordre només s’aplica al Windows Server 2008.
Wbadmin start backup S’inicia una còpia de seguretat. Si s’utilitza sense

paràmetres, fa servir la configuració de la
programació de còpia de seguretat diària.
Wbadmin stop job Atura la còpia de seguretat que s’està executant o

l’operació de recuperació.
Wbadmin get versions Llista els detalls de còpies de seguretat de l’equip

local o, si s’especifica una altra ubicació, des d’un
altre equip.
Wbadmin get items Enumera els elements inclosos en una còpia de

seguretat específica.
Wbadmin start recovery S’executa una recuperació dels volums, les

aplicacions, els arxius o les carpetes que
s’especifiquen. Aquesta ordre només s’aplica al
Wbadmin get status Mostra l’estat de la còpia de seguretat que s’està

executant o l’operació de restauració.
Wbadmin get disks Llista les unitats que estan en línia actualment.
Aquesta ordre només s’aplica al Windows Server
2008.
Wbadmin start systemstaterecovery Executa una recuperació de l’estat del sistema.

Aquesta ordre només s’aplica al Windows Server
2008.
Wbadmin start systemstatebackup S’executa una còpia de seguretat de l’estat del

sistema. Aquesta ordre només s’aplica al Windows
Server 2008.
Wbadmin delete systemstatebackup Elimina una o més còpies de seguretat de l’estat del
sistema. Aquesta ordre només s’aplica al Windows
Server 2008.
Wbadmin start sysrecovery Executa una recuperació del sistema complet

(almenys tots els volums que contenen l’estat del
sistema operatiu). Aquesta ordre només s’aplica al
Ordre Descripció
Wbadmin restore catalog Recupera un catàleg de còpia de seguretat des d’una

ubicació d’emmagatzematge remot en cas que el
catàleg de còpia de seguretat en l’equip local estigui
malmès. Aquesta ordre només s’aplica al Windows
Server 2008.
Wbadmin delete catalog Elimina el catàleg de còpia de seguretat en l’equip

local. Aquesta ordre només s’ha d’executar si el
catàleg de còpia de seguretat en aquest equip està
malmès i no té còpies de seguretat
emmagatzemades en remot que es puguin utilitzar
per restaurar el catàleg. Aquesta ordre només
s’aplica al Windows Server 2008.
Per veure els identificadors
del disc de tots els discos
durs connectats, heu
A continuació és farà una còpia de seguretat diària del directori actiu mitjançant d’escriure wbadmin get
disks en el símbol de
la interfície gràfica: sistema i, a continuació,
prémer ENTRAR.
1. Cliqueu a Inici.
2. Feu clic a Eines administratives.
3. Premeu Còpies de seguretat del Windows Server.
4. Confirmeu, si apareix el quadre de diàleg Control de comptes d’usuari, que

l’acció que mostra és la correcta i, a continuació, feu clic a Continuar.
5. Cliqueu a Acció.
6. Feu clic a Realitzar còpia de seguretat de programació.
7. Comproveu la informació que apareix en el quadre Introducció i cliqueu a

Següent.
8. Premeu Sí per confirmar que és la primera còpia de seguretat si és la primera

vegada que feu una còpia de seguretat del controlador de domini.
9. Cliqueu a Servidor complet (recomanat) i premeu Següent.
10. Especifiqueu l’hora en què es farà la còpia de seguretat i, a continuació,

premeu Següent.
11. Activeu la casella del disc de destinació i, a continuació, feu clic a Següent.
12. Premeu Sí per confirmar que el disc de destinació es tornarà a formatar.
13. Comproveu l’etiqueta del disc de destinació i, a continuació, premeu

Següent.
IdentificadorDeDisc
14. Verifiqueu la informació de la pàgina Resum i, a continuació, cliqueu a L’IdentificadorDeDisc és la
ubicació d’emmagatzematge
Finalitzar. extern per a la còpia de seguretat
programada. HH: MM
correspon a l’hora o hores en què
15. Feu clic a Tancar a la pàgina Confirmació. es farà la còpia de seguretat
diàriament, separada per comes i
sense espais. UnitatDOrigen_x
és el volum o volums
Per programar còpies de seguretat diàries del servei de domini mitjançant la línia imprescindibles de què es faran
còpies de seguretat, separats per
d’ordres, haureu de seguir els passos següents: comes i sense espais.
1. Cliqueu a Inici, obriu el Símbol del sistema i, a continuació, premeu

Executar com a administrador.
2. Confirmeu, si apareix el quadre de diàleg Control de comptes d’usuari, que

l’acció que mostra és la correcta.
3. Feu clic a Continuar.
4. Obteniu el valor de IdentificadorDeDisc per usar-lo per a la destinació de la

còpia de seguretat.
5. Escriviu en el símbol del sistema la línia wbadmin enable backup -addtarget:

IdentificadorDeDisc -schedule: HH:MM , HH:MM ,...HH:MM -include:
UnitatDOrigen_1 :, UnitatDeOrigen_2 :,...UnitatDeOrigen_x:.
6. Escriviu S si és la primera còpia de seguretat del controlador de domini que

es crea.
7. Escriviu S per habilitar còpies de seguretat amb les opcions que vau
configurar.
8. Escriviu S per donar format i fer servir els volums en la unitat especificada
com a ubicació per emmagatzemar les còpies de seguretat programades.
9. Etiqueteu el disc de còpia de seguretat com s’especifica en la resposta de

manera que pugui identificar-lo.
Per deshabilitar una còpia de seguretat programada, haureu de fer el següent:
1. Premeu Realitzar còpia de seguretat de programació a Còpies de seguretat

de Windows Server i, a continuació, feu clic a Aturar còpia de seguretat.
2. Feu clic a Següent i, després, a Finalitzar.
3. Cliqueu a Sí per confirmar que voleu aturar la programació de la còpia de

seguretat i, a continuació, premeu Tancar.
Xifratge i certificació
Moltes vegades és necessari xifrar les dades amb les quals es treballa per tal
d’augmentar la seguretat. Tot i que a priori es podria pensar que això complica la
tasca de fer còpies de seguretat i restaurar dades, la realitat és una altra.
Si utilitzeu programari aliè a Microsoft Windows Server per fer còpies de seguretat
xifrant les dades o per recuperar dades xifrades, heu de tenir en compte que aquest
programari ha de ser compatible amb el sistema EFS.
L’EFS (encrypting file system) és un sistema de xifratge d’arxius. El xifratge

d’arxius s’aplica a carpetes o arxius. Tots els documents que siguin a l’interior
d’una carpeta xifrada passaran per un procés de xifratge automàticament. Per
poder accedir als continguts d’un arxiu xifrat caldrà desxifrar-lo.
Només hi ha una clau de xifratge per a cada fitxer xifrat. L’usuari que hagi xifrat
un arxiu hi podrà accedir sempre que tingui la clau privada amb què el va xifrar o
disposi d’un servei de gestió d’identificadors digitals.
L’EFS és el procés que s’encarrega del xifratge i el desxifratge.
Per defecte, la configuració de l’EFS permet que els usuaris xifrin arxius sense
necessitat de tenir permisos especials.
Els fitxers es xifren mitjançant la clau privada/pública que l’EFS genera de manera
automàtica per a cada usuari.
Si s’eliminés un compte d’usuari amb el qual s’haguessin xifrat arxius o carpetes,

s’hauria de fer servir un agent de recuperació.
Els agents de recuperació tenen accés als arxius de claus de xifratge

necessaris per desbloquejar les dades que hi ha en fitxers xifrats, però no
tenen accés a les claus privades.
Els agents de recuperació EFS es configuren en dos àmbits:
• Domini: per defecte, l’administrador del domini és l’agent de recuperació.

Poden delegar els privilegis d’agent de recuperació a administradors de
seguretat.
• Equip local: si l’equip forma part d’un grup de treball o d’una configuració
independent, l’administrador de l’equip local serà l’agent de recuperació.
El PFX (personal
information exchange,
Per fer una còpia de seguretat dels certificats, primer caldrà afegir a la consola intercanvi d’informació
personal) és el format amb
d’administració del Microsoft el complement Certificats: el qual s’emmagatzemen
els certificats personals.
1. Cliqueu a Inici.
2. Escriviu mmc en el quadre de text Iniciar recerca i polseu ENTER. Això ha

de posar en marxa la consola d’administració.
3. Feu clic a Afegir o eliminar complement dins el menú Arxiu.
4. Seleccioneu Certificats a la llista omplements disponibles i cliqueu a Afegir.
5. Escolliu l’opció El meu compte d’usuari i cliqueu a Finalitzar. Premeu

Acceptar per tancar el quadre de diàleg.
Ara ja serà possible fer una còpia de seguretat dels certificats. A continuació,
caldrà seguir els passos següents:
1. Expandiu Certificats: Usuari actual i personal i seleccioneu Certificats.
2. Cliqueu amb el botó dret del ratolí al certificat que vulgueu guardar.
Seleccioneu Totes las tasques i Exportar.
3. S’inicia un auxiliar.
4. Cliqueu a Següent.
5. Premeu Sí, exportar la clau privada i feu Següent.
6. Podeu acceptar els valors per defecte i fer clic a Següent.
7. Escriviu la contrasenya del certificat.
8. Seleccioneu la ubicació en què s’ha d’emmagatzemar el fitxer de certificat

i cliqueu a Següent.
9. Premeu Finalitzar per acabar el procés.
Per restaurar un certificat personal caldrà fer el següent:
1. Estar en possessió del fitxer amb el certificat de xifratge (haurà de tenir

l’extensió PFX).
2. Aneu a Certificats amb El meu compte d’usuari.
3. Expandiu Certificats: usuari actual.
4. Cliqueu a Personal amb el botó dret del ratolí, seleccioneu Totes les tasques
i Importar.
5. S’iniciarà un auxiliar.
6. Feu clic a Següent i obriu l’arxiu que conté el certificat personal amb Obrir.
7. Premeu Següent.
8. Escriviu la contrasenya del certificat personal i feu Següent.
9. Cliqueu a Finalitzar. El certificat de xifratge ja s’haurà restaurat.
1.8 Auditoria de recursos en sistemes de propietat
Cal auditar tots els sistemes per conèixer l’ús dels recursos que té i l’estat en què es
troba, tant pel que fa a la vessant física com pel que fa a la seguretat. L’auditoria de
recursos augmenta l’eficàcia de la figura de l’administrador del sistema i permet
que les accions d’aquest evitin problemes amb el sistema en el futur.
En el Microsoft Windows Server 2008, les directives d’auditoria es fan

servir per garantir la integritat del sistema.
En els equips amb directori actiu, les directives d’auditoria es configuren mitjan-
çant les directives de grup del directori actiu. En canvi, en els equips individuals
es configuren mitjançant les directives locals.
Per seleccionar la directiva d’auditoria heu de seguir els passos següents:

1. Obriu l’editor d’administració de directives de grup.
2. Expandiu Configuració de l’equip.
3. Expandiu Directives.
4. Expandiu Configuració de Windows.
5. Expandiu Configuració de seguretat.
6. Expandiu Directives locals.
7. Seleccioneu Directiva d’auditoria.
Les opcions d’auditoria es mostren en la figura 1.5 i són les següents:
• Auditar l’accés a objectes: audita l’ús d’alguns recursos del sistema, com
ara els arxius, els directoris, els recursos compartits, les impressores o els
objectes del directori actiu.
• Auditar l’accés del servidor de directori: audita els esdeveniments que es

generen cada vegada que un usuari o un equip accedeix al directori.
• Auditar el canvi de directives: audita els canvis en els permisos d’usuari,

auditoria i relacions de confiança.
• Auditar el seguiment de processos: audita els processos del sistema i els

recursos que s’utilitzen.
• Auditar l’ús de privilegis: audita la utilització de permisos i privilegis

d’usuari.
• Auditar esdeveniments d’inici de sessió: audita els esdeveniments lligats a

l’inici i el tancament de connexions remotes als sistemes de xarxa.
• Auditar esdeveniments d’inici de sessió de compte: audita els esdeveni-

ments relacionats amb l’inici i el tancament de sessions.
F igu r a 1. 5 . Directives d’auditoria
• Auditar esdeveniments del sistema: audita el procés d’arrencada, el tanca-

ment i el reinici del sistema, a més de les accions que afecten la seguretat
del sistema o el registre de seguretat.
• Auditar l’administració de comptes: audita els esdeveniments que es gene-

ren quan es creen, es modifiquen o s’eliminen comptes d’usuari, d’equip o
de grup.
Per configurar una directiva de seguretat heu de fer el següent:
1. Feu doble clic al damunt de la directiva que us interessi (o cliqueu-hi amb

el botó dret i seleccioneu Propietats).
2. Seleccioneu Definir aquesta configuració de directiva.
3. Podeu marcar les caselles de verificació Correcte, Error o totes dues. La

casella de verificació Correcte farà que es registrin els esdeveniments que
es facin correctament, mentre que la casella de verificació Error farà que es
registrin els esdeveniments que fallin.
4. Premeu Acceptar per finalitzar.
Si activeu aquesta directiva de seguretat, aconseguireu controlar la manera com

s’auditarà l’ús dels fitxers i les carpetes. Només podreu utilitzar aquest tipus
d’auditoria si el volum que conté la informació és NTFS. Per auditar arxius i
carpetes haureu d’activar l’opció Auditar l’accés a objectes.
Cal que configureu l’auditoria d’arxius i carpetes seguint aquests passos:

1. Cliqueu amb el botó dret a sobre de l’arxiu o la carpeta que vulgueu auditar.
2. Premeu Propietats.
3. Cliqueu a Seguretat i premeu Opcions avançades.
4. S’obrirà un quadre que porta per títol Configuració de seguretat avançada

per i el nom del fitxer o de la carpeta.
5. Premeu, a la fitxa Auditoria, el botó Editar per estudiar i configurar

l’auditoria.
6. Cliqueu a sobre del botó Aplicar per especificar on es vigilaran els objectes.
7. Marqueu les caselles de verificació Correcte, Incorrecte o totes dues per a

cadascun dels esdeveniments a vigilar.
8. Feu Acceptar per finalitzar.
Si activeu aquesta directiva de seguretat, aconseguireu controlar la manera com

s’auditarà el canvi de valors d’una clau, quan s’eliminin les claus i quan es creïn
subclaus. Per auditar el registre haureu d’activar l’opció Auditar l’accés a
objectes.
Per configurar l’auditoria del registre, cal que seguiu els passos següents:
1. Obriu la línia d’ordres i escriviu regedit.
2. Marqueu la clau que voleu auditar.
3. Seleccioneu Permisos dins el menú Editar.
4. Cliqueu a Opcions avançades.
5. Obriu la fitxa Auditoria en el quadre de diàleg Configuració de seguretat

avançada.
6. Feu Afegir.
7. Escriviu Tots en el quadre de diàleg Seleccionar Usuari, Equip o Grup.
8. Feu clic a Comprovar noms i premeu Acceptar.
9. Seleccioneu les accions que voleu supervisar.
10. Cliqueu a Acceptar per anar tancant tots els quadres de diàleg que resten
oberts.
Si configureu l’opció Auditar l’accés del servei de directori, podreu auditar

objectes del directori actiu. Per fer-ho, cal que seguiu aquests passos:
1. Aneu a Usuaris i equips d’Active Directory i assegureu-vos que l’opció

Característiques avançades del menú Veure està marcada.
2. Cliqueu amb el botó dret del ratolí a l’objecte que voleu auditar i premeu
Propietats.
3. Accediu a la fitxa Seguretat i cliqueu a Opcions avançades.
4. Feu clic a la fitxa Auditoria en el quadre de diàleg Configuració de seguretat

avançada.
5. Seleccioneu els usuaris, els grups o els equips dels quals vulgueu auditar
les accions mitjançant la llista Entrades d’auditoria.
6. Premeu Eliminar per eliminar comptes i Afegir per afegir-ne.
7. Seleccioneu el nom del compte, si n’afegiu un, en el quadre de diàleg

Seleccionar Usuari, Equip o Grup.
8. Feu servir la llista Aplicar a per especificar on s’auditaran els objectes.
9. Marqueu les caselles de verificació Correcte, Incorrecte o totes dues per a

cadascun dels esdeveniments que vulgueu auditar.
10. Cliqueu a Acceptar per finalitzar el procés.

2. Compartir recursos en xarxa i seguretat en sistemes lliures
La compartició de recursos en xarxa és una de les utilitats o raons principals perquè

els sistemes operatius es connectin en xarxa. En l’àmbit del sistemes operatius,
podem entendre el concepte de compartició de recursos des de diversos punts de
vista.
Des del punt de vista del maquinari, compartir recursos fa referència a l’ús del
maquinari per dos o més processos dins del sistema operatiu.
En aquesta unitat ens centrarem en la compartició des del punt de vista de les
xarxes d’ordinadors.
Compartir recursos en xarxa implica configurar la xarxa de tal manera

que els ordinadors que hi estan connectats puguin utilitzar els recursos de la
resta, fent servir la xarxa com a mitjà de comunicació.
Es poden compartir tot tipus de recursos, encara que els més habituals són
directoris i impressores. En els sistemes operatius lliures hi ha diversos protocols
i aplicacions que ens permeten compartir recursos en xarxa, com el protocol NFS
i el paquet de programari Samba.
2.1 Protocol NFS
El protocol NFS (network file system o sistema de fitxers per xarxa) és un

protocol del nivell d’aplicació que s’utilitza en l’àmbit de les xarxes locals
per compartir fitxers entre màquines de la mateixa xarxa. El protocol NFS
es pot fer servir per defecte en la majoria de sistemes operatius GNU/Linux.
Així, NFS fa possible que diversos sistemes GNU/Linux connectats a una
mateixa xarxa puguin accedir a fitxers remots, en altres equips de la xarxa,
com si es tractés de fitxers locals.
El sistema GNU/Linux només pot treballar amb una jerarquia de directoris. Per
tant, si volem accedir a diferents sistemes d’arxius, particions de discos o CD-
ROM, entre altres, primer hem de muntar aquests elements en algun punt de la
jerarquia.
L’NFS ens proporciona un servei de xarxa que permet a un ordinador

client muntar un sistema d’arxius remot, exportat per un altre ordinador
servidor, i accedir-hi. Per tant, el protocol NFS funciona clarament sota una
arquitectura client-servidor.
2.1.1 Usos del protocol NFS
El protocol NFS pot ser utilitzat amb múltiples finalitats, sempre dins de l’àmbit
de compartició de recursos. Per això, en general, el protocol NFS és molt flexible
i admet diferents possibilitats o escenaris de funcionament com, per exemple, els
següents:
• Un servidor NFS pot exportar més d’un directori i atendre simultàniament

diversos clients.
• Un client NFS pot muntar directoris remots exportats per diferents servi-
dors.
• Qualsevol sistema GNU/Linux pot ser alhora client i servidor NFS.
Tenint en compte això, hi ha diversos usos típics de l’NFS en què aquest servei
mostra la utilitat que té. En podem destacar les utilitats tradicionals següents:
1. Centralització dels directoris de connexió dels usuaris (home directory).

Quan en una xarxa local de màquines GNU/Linux es vol que els usuaris
puguin treballar indistintament en qualsevol, és adequat situar els directoris
de connexió de tots els usuaris en una mateixa màquina i fer que les altres
muntin aquests directoris mitjançant NFS. Si aquest ús es combina amb
l’autenticació d’usuaris en xarxa per mitjà de l’LDAP, en els sistemes
GNU/Linux es pot implementar quelcom similar a un domini del Windows.
2. Compartició de directoris d’ús comú. Si diversos usuaris des de diferents

màquines treballen amb els mateixos arxius, per exemple, d’un projecte
comú, també és útil compartir els directoris en què hi ha aquests arxius.
Aquesta opció comporta un estalvi de disc en les màquines locals, ja que
les dades estan centralitzades en un lloc, de manera que diversos usuaris hi
poden accedir i les poden modificar. Per tant, no és necessari replicar la
informació.
3. Situar programari en un sol ordinador de la xarxa. És possible instal·lar

programari en un directori del servidor NFS i compartir aquest directori via
NFS. Si configurem els clients NFS perquè muntin aquest directori remot
en un directori local, aquest programari estarà disponible per a tots els
ordinadors de la xarxa.
4. Compartició per mitjà de la xarxa de dispositius d’emmagatzematge.

És possible compartir dispositius com ara particions de discos durs, CD-
ROM, etc. Això pot reduir la inversió en aquests dispositius i millorar
l’aprofitament del maquinari que hi ha en l’organització.
Totes les operacions sobre fitxers són síncrones. Això significa que l’operació
només torna un resultat quan el servidor ha completat tot el treball associat a
aquesta operació.
Per exemple, en cas d’una sol·licitud d’escriptura, el servidor escriurà físicament

les dades en el disc i, si és necessari, actualitzarà l’estructura de directoris abans
de tornar una resposta al client. Això garanteix la integritat dels fitxers.
2.1.2 Funcionament de l’NFS
En el sistema client, el funcionament de l’NFS es basa en la capacitat de traduir

els accessos de les aplicacions a un sistema d’arxius en peticions al servidor
corresponent per mitjà de la xarxa. Normalment aquesta funcionalitat del client
està programada en el nucli de GNU/Linux, de manera que no necessita cap tipus
de configuració.
Respecte al servidor, l’NFS s’implementa mitjançant dos serveis de xarxa, el

mountd i l’nfsd. Vegem quines accions controla cadascun d’aquests serveis:
• El servei mountd s’encarrega d’atendre les peticions remotes de mun-

tatge, efectuades per l’ordre mount del client. Entre altres coses, aquest
servei s’encarrega de comprovar si la petició de muntatge és vàlida i de
controlar sota quines condicions s’accedirà al directori exportat (només
lectura, lectura/escriptura, etc.). Una petició es considera vàlida quan el
directori sol·licitat ha estat explícitament exportat i el client té prou permisos
per muntar aquest directori.
• El servei nfsd s’encarrega, una vegada un directori remot ha estat muntat

amb èxit, d’atendre i resoldre les peticions d’accés del client als arxius
que hi ha en el directori.
2.1.3 Instal·lació i configuració del client NFS
El client NFS no requereix ni instal·lació ni configuració, ja que els directoris

remots es poden importar mitjançant l’ordre mount. També es pot fer servir
el fitxer /etc/fstab si es vol que el directori es munti a l’inici. Les opcions de
muntatge de cada directori es poden establir tant amb l’ordre mount com amb
el fitxer etc/fstab. Amb aquestes opcions es particularitza el comportament que
tindrà el sistema d’arxius una vegada s’hagi muntat en el directori corresponent.
Per exemple, per muntar un sistema de fitxers NFS mitjançant l’ordre mount,
podem fer servir la línia següent:
1 sudo mount −t nfs 192.168.1.15:/home (servidor) /home (client)
Si es vol que el directori /home es munti a l’inici de sessió, es pot afegir aquesta
entrada permanent al fitxer /etc/fstab:
1 192.168.1.15:/home /home nfs soft,users,suid,exec
L’opció exec permet executar programes a la carpeta muntada i l’opció users

permet que els usuaris puguin utilitzar mount per muntar i desmuntar aquest
recurs.
Per instal·lar el servidor NFS, cal executar l’ordre següent:
1 sudo apt−get install nfs−kernel−server
El paquet nfs-kernel-server depèn del paquet nfs-common, el qual alhora depèn

del paquet portmap. Per tant, tots tres s’instal·laran conjuntament amb l’ordre
anterior.
El servidor necessita, a més dels dos dimonis mountd i nfsd, un altre dimoni
anomenat portmap. El funcionament dels dimonis mountd i nfsd es basa en el
dimoni portmap. Així, doncs, la configuració d’un servidor NFS només necessita
tenir disponibles aquests serveis i iniciar-los en el nivell d’execució 3 (o 5 o bé
tots dos) de la màquina.
Per tal de parar, reiniciar, etc. el servei NFS, es poden fer servir els scripts del
servei que hi ha a la carpeta /etc/init.d.
Una vegada actius els serveis NFS, el servidor ha d’indicar explícitament quins
directoris vol que s’exportin, a quines màquines s’han d’exportar i amb quines
opcions s’ha de fer. Per això hi ha un fitxer de configuració denominat /etc/exports.
Vegem un exemple d’aquest fitxer:
1 # /etc/exports: the access control list for filesystems which may be exported
2 #to NFS clients. See exports(5).
3 # Example for NFSv2 and NFSv3:
4 #/srv/homes hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,
no_subtree_check)
5 # Example for NFSv4:
6 # /srv/nfs4 gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
7 # /srv/nfs4/homes gss/krb5i(rw,sync,no_subtree_check)
Cada línia del fitxer /etc/exports especifica un directori a exportar, juntament amb
una llista d’autoritzacions. És a dir, determina quins ordinadors podran muntar
aquest directori i amb quines opcions ho podran fer. Cada element de la llista
d’ordinadors pot especificar un sol ordinador (mitjançant un nom simbòlic o una
adreça IP) o un grup d’ordinadors (mitjançant l’ús de caràcters comodí, com * o ?).
Quan no s’especifica l’ordinador o el rang, significa que el directori corresponent
s’exporta a tots els ordinadors de la xarxa.
Les opcions de muntatge més importants que es poden especificar entre parèntesis
per a cada ordinador o grup són les següents:
• (): aquesta opció estableix les opcions que l’NFS assumeix per defecte.
• ro: el directori s’exporta com un sistema d’arxius només de lectura (opció

per defecte).
• rw: el directori s’exporta com un sistema d’arxius de lectura/escriptura.
• root_squash: els accessos des del client amb UID = 0 (root) es converteixen
en el servidor en accessos amb UID d’un usuari anònim (opció per defecte).
• no_ root_squash: es permet l’accés des d’un UID = 0 sense conversió. És

a dir, els accessos d’arrel (root) en el client es converteixen en accessos
d’arrel en el servidor.
• all_squash: tots els accessos des del client, amb qualsevol UID, es transfor-
men en accessos d’usuari anònim.
• anonuid, anongid: quan s’activa l’opció root_squash o allsquash, els

accessos anònims utilitzen normalment l’UID i el GID primari de l’usuari
denominat nobody si aquest usuari existeix en el servidor (opció per defecte).
Si es volen utilitzar altres formes d’identificació, els paràmetres anonuid
i anongid estableixen, respectivament, quins UID i GID tindrà el compte
anònim que el servidor utilitzarà per accedir al contingut del directori.
• noaccess: impedeix l’accés al directori especificat. Aquesta opció és útil

per impedir que s’accedeixi a un subdirectori d’un directori exportat.
És important destacar que cada vegada que es modifica aquest fitxer, el servidor Control NFS
NFS s’ha d’actualitzar mitjançant l’ordre exportfs –ra a fi que s’activin els canvis. El mecanisme per controlar
quines màquines de la xarxa
poden disposar dels fitxers
compartits i quines no consistiria
En la pàgina de manual exports hi ha una llista completa de les opcions de a utilitzar els fitxers
muntatge i el significat que tenen. Per accedir-hi, cal utilitzar l’ordre man exports. /etc/hosts.allow i /etc/hosts.deny.
És molt important remarcar que no hi ha cap procés d’acreditació d’usuaris

en l’NFS, de manera que l’administrador ha de decidir amb cautela a quins
ordinadors exporta un determinat directori.
Un directori sense restriccions s’exporta, en principi, a qualsevol altre ordinador

connectat al servidor per mitjà de la xarxa (també Internet). Si en un ordinador
client NFS hi ha un usuari amb un UID igual a X, aquest usuari accedirà al servidor
NFS, per defecte, amb els permisos de l’usuari amb l’UID igual a X del servidor,
encara que es tracti d’usuaris distints.
La manca d’autenticació d’usuaris és un dels majors inconvenients del

protocol NFS i per aquesta raó cada vegada s’utilitzen més altres sistemes
de compartició de fitxers com, per exemple, el Samba.
2.2 Què és el Samba?
Podem definir el Samba de la manera següent:
Paquet de programari que implementa en sistemes basats en Unix, com

GNU/Linux, una dotzena de serveis i una dotzena de protocols, entre els
quals hi ha el NetBIOS sobre TCP/IP i l’SMB. Aquests serveis i protocols
permeten que els equips d’una xarxa local comparteixin fitxers i impressores.
Els dos protocols més importants que formen el paquet de programari Samba són
el NetBIOS i l’SMB.
2.2.1 Protocol NetBIOS

NetBIOS sobre NetBEUI
Als anys noranta, els sistemes
Windows van utilitzar el protocol
NetBIOS sobre el NetBEUI com
a sistema que proporcionava
El NetBIOS (network basic input/output system) és un protocol del nivell
serveis de noms, serveis de
sessió i serveis de distribució de
de sessió (model OSI) que s’utilitza en xarxes locals i que s’encarrega de
datagrames sense connexió. El garantir l’accés a serveis de xarxa entre màquines, independentment del
Windows no el suporta des de la
versió 2000, tot i que s’hi pot maquinari de xarxa que facin servir.
instal·lar.
Principalment, el NetBIOS s’utilitza per identificar amb un nom els equips

connectats per mitjà de xarxes locals, amb la finalitat d’establir una sessió i
mantenir la connexió entre equips de la xarxa. El NetBIOS no pot transportar
per si mateix les dades entre els nodes de la LAN. Per això ha de funcionar amb
El NetBIOS al Windows
altres protocols com el TCP/IP, l’IPC/IPX i el NetBEUI.
En els sistemes Windows el
protocol NetBIOS s’ha fet servir El NetBIOS ha de ser transportat per altres protocols perquè, en operar en la capa
principalment per compartir
arxius i impressores, i també per cinc del model OSI, no proveeix un format de dades per a la transmissió. Aquest
veure els recursos disponibles en
“Entorn de xarxa”. Bona part de format, doncs, el proveeixen aquests altres protocols.
les crítiques de seguretat cap als
entorns Windows se centren en
el protocol NetBIOS. Per motius El NetBIOS permet comunicació orientada a connexió (TCP) i no orientada
de seguretat, aquest protocol s’ha
de deshabilitar sempre que no a connexió (UDP). Suporta tant difusió (broadcast) com transmissió a grups
sigui imprescindible.
(multicast), a més de quatre tipus de serveis diferents:
• Serveis generals
• Servei de noms
• Servei de sessió
• Servei de datagrames
Quan un programa d’aplicació necessita els serveis NetBIOS, el programa executa

una interrupció de programari específica. Aquesta interrupció adreça el control
del microprocessador al programari de l’adaptador de xarxa, el qual processa
l’ordre. Quan un programa d’aplicació emet una interrupció NetBIOS, el servei

NetBIOS requereix un servei de xarxa. La interfície NetBIOS defineix exactament
la manera com els programes d’aplicació poden fer servir la interrupció NetBIOS
i els serveis que proporciona.
2.2.2 Protocol SMB
El protocol SMB (server message block) el va inventar originalment IBM, però

avui dia la versió més comuna és la que Microsoft ha modificat àmpliament. El
1998 Microsoft va reanomenar aquest protocol CIFS (common Internet file system)
i hi va afegir més característiques.
L’SMB és un protocol del nivell d’aplicació de tipus client-servidor en què

l’ordinador que fa de servidor ofereix recursos (arxius, impressores, etc.)
que els ordinadors clients poden fer servir remotament per mitjà de la xarxa.
L’SMB forma part dels protocols anomenats petició-resposta, ja que les comuni-
cacions sempre s’inicien des del client com una petició de servei al servidor. El
servidor la processa i torna una resposta a aquest client. La resposta del servidor
pot ser positiva o negativa, en funció del tipus de petició, la disponibilitat del
recurs, els permisos del client, etc. El Samba incorpora tres
nivells més de seguretat
que l’SMB.
El protocol SMB incorpora dos nivells de seguretat. Són els següents:
• Share-level: protecció en el recurs compartit. S’assigna una contrasenya

a cada recurs compartit. L’accés a cada recurs es permet en funció del
coneixement d’aquesta contrasenya. Va ser el primer sistema de seguretat
utilitzat amb l’SMB (propi del Windows 3.11/95).
• User-level: la protecció s’aplica a cada recurs compartit i es basa en drets

d’accés de l’usuari. Els usuaris s’han d’autenticar en el servidor. Un cop
identificat el client, se li assigna un UID que s’utilitza en els subsegüents
accessos al servidor (propi dels dominis Windows NT o 2000).
El protocol SMB s’implementa habitualment amb el NetBIOS sobre el TCP/IP.

Aquesta alternativa s’ha convertit en l’estàndard de fet per compartir recursos entre
sistemes Windows.
2.2.3 Característiques del Samba
El Samba és una implementació lliure del protocol SMB amb les extensions de
Microsoft.
Nom Samba
Inicialment el Samba s’anomenava smbserver, però li van haver de canviar el nom a causa
de problemes amb una altra empresa que tenia aquesta marca registrada. Per obtenir el
nom nou van buscar una paraula al diccionari de GNU/Linux que contingués les lletres
SMB:
1 grep −i ’^s.*m.*b’ /usr/dict/words

2 salmonberry
3 samba
4 sawtimber
5 scramble
Essencialment, el Samba el constitueixen dos dimonis anomenats smbd i nmbd.

També fa servir el protocol windbindd, encara que no és essencial per al funcio-
nament de l’aplicació. Els dimonis utilitzen el protocol NetBIOS per accedir a la
xarxa, de manera que poden conversar amb ordinadors Windows.
El dimoni smbd s’encarrega d’oferir els serveis d’accés remot a fitxers i impres-
sores (per fer-ho, implementa el protocol SMB), a més d’autenticar i autoritzar
usuaris. El dimoni smbd ofereix les dues maneres de compartició de recursos
del Windows: compartició basada en usuaris (user-level) o compartició basada en
recursos (share-level).
El dimoni nmbd permet que el sistema GNU/Linux participi en els mecanismes

de resolució de noms propis del Windows, la qual cosa inclou el següent:
• L’anunci en el grup de treball.
• La gestió de la llista d’ordinadors del grup de treball.
• La contestació a peticions de resolució de noms.
• L’anunci dels recursos compartits.
D’aquesta manera, els sistemes GNU/Linux poden aparèixer en l’“Entorn de

xarxa” de les màquines Windows, com qualsevol altre sistema Windows, i publicar
la llista de recursos que ofereix a la resta de la xarxa.
El dimoni windbindd proporciona el servei windbind, el qual resol els problemes

d’inici de sessió unificats. El servei windbind es fa servir per resoldre informació
d’usuaris i grups corresponent a un servidor Windows NT. El Winbind proporci-
ona tres funcions separades:
• Autenticació d’usuaris (via PAM).
• Resolució d’identitat (via NSS).
• Manteniment d’una base de dades anomenada winbind_idmap.tdb, en la

qual emmagatzema les associacions entre usuaris UNIX UID/GID i NT
SID. Aquesta associació només s’utilitza per a usuaris i grups que no tenen
UID/GID locals.
El funcionament en conjunt d’aquests serveis permet transferir fitxers i informació

entre sistemes GNU/Linux i Windows, els quals donen suport als protocols
SMB/CIFS.
Gràcies al Samba, en una xarxa hi pot haver equips amb Windows i equips
amb GNU/Linux de manera que puguin intercanviar informació en carpetes
compartides i compartir impressores, tal com es faria si tots els equips fossin
Windows o GNU/Linux. Podeu trobar més
informació sobre la
compartició de recursos
L’avantatge principal del paquet de programari Samba és que és pràcticament equi- entre sistemes GNU/Linux
i Windows en la unitat
valent a qualsevol servidor SMB/CIFS (Windows NT o 2000, servidor Netware, “Integració de sistemes
operatius”
servidor NFS UNIX, etc.) i, a més, és programari lliure i gratuït. En la taula 2.1
es mostren els diversos rols o serveis per als quals es pot utilitzar el Samba.
Taul a 2. 1. Possibles rols d’un servidor Samba

Usos del Samba
Servidor de fitxers Sí
Servidor d’impressores Sí
Servidor DFS de Microsoft Sí
Controlador primari de domini (PDC) Sí
Controlador de còpia de seguretat o backup del No

domini (BDC)
Controlador de domini directori actiu No
Autenticació Windows 95/98/Me Sí
Autenticació Windows NT/2000/XP Sí
Local master browser Sí
Local backup browser Sí
Master browser de domini Sí
Servidor WINS primari Sí
Servidor WINS secundari No
Autenticació GNU/Linux Sí
Integració LDAP Sí
Primordialment, el Samba permet que màquines GNU/Linux i Windows coe-

xisteixin en la mateixa xarxa. De totes maneres, també es pot fer servir per
compartir recursos en una xarxa formada íntegrament per màquines amb sistemes
GNU/Linux.
2.3 Seguretat en el Samba
Abans d’iniciar el procés d’instal·lació i configuració del servidor i del client

Samba, analitzarem els mecanismes de seguretat que ens proporciona el paquet
de programari.
El Samba, a més dels nivells de seguretat que proporciona el protocol SMB (share
i user), incorpora tres subnivells de seguretat en el nivell d’usuari. Així, en total
podem fer servir els nivells de seguretat següents:
• share: cada recurs compartit utilitza una paraula de pas. Tothom que sàpiga
aquesta paraula de pas pot accedir al recurs.
• user: cada recurs compartit del grup de treball està configurat per permetre
l’accés a un grup específic d’usuaris. En cada connexió inicial a un servidor
Samba autentica l’usuari.
• server: el sistema és idèntic a l’anterior, però s’utilitza un altre servidor per

obtenir la informació dels usuaris.
• domain: el Samba es converteix en membre d’un domini del Windows NT

i utilitza un PDC (primary domain controller) o un BDC (backup domain
controller) per implementar l’autenticació. Un cop autenticat l’usuari
manté un testimoni o token amb la informació de l’usuari, a partir de la
qual es podrà determinar a quins recursos té accés.
• ADS: el Samba es comporta com a membre d’un domini de directori actiu

i, per tant, requereix un servidor W2000 Server o W2003 Server.
2.3.1 Share-level security
En el nivell de seguretat share, el client s’autentica de manera separada per a cada

recurs al qual vol accedir. El funcionament d’aquest nivell de seguretat determina
que cada recurs compartit tingui associat una paraula de pas amb independència
de l’usuari que es connecti.
Tot i que els sistemes Windows associen la contrasenya a un recurs, el Samba

utilitza l’esquema d’autenticació de GNU/Linux, en què la parella a autenticar és
usuari-contrasenya i no pas recurs-contrasenya.
El client envia una paraula de pas cada cop que vol accedir a un recurs, però no
envia cap usuari. Els sistemes GNU/Linux, no obstant això, sempre han d’utilitzar
un usuari per autenticar-se. Així, doncs, quin usuari s’envia per fer la connexió?
Depèn dels paràmetres especificats en la configuració global del servidor, de

manera que hi ha diverses possibilitats. Per exemple:
• Si s’utilitza el paràmetre guest only en la configuració del recurs compartit

al Samba, aleshores només es fa servir l’usuari convidat especificat amb el
paràmetre guest account. Per defecte, nobody.
• Els sistemes Windows moderns i el Samba envien com a usuari per defecte
l’usuari que està utilitzant, en el moment d’accedir al recurs, la màquina
client.
• També es poden enviar a altres usuaris, com un inici de sessió previ, el nom
del recurs al qual es vol accedir, el nom NetBIOS del client o els usuaris del
paràmetre user list, depenent de les diferents configuracions.
El guest only i el guest
account són paràmetres
Per tant, en iniciar una sessió, els clients passen un usuari al servidor (sense que hi ha en el fitxer de
configuració
contrasenya). El Samba emmagatzema aquest usuari en una llista de possibles /etc/samba/smb.conf , els
quals analitzem en l’apartat
usuaris. Quan el client especifica una contrasenya i accedeix a un recurs concret, “Configuració d’un servidor
Samba”.
el Samba apunta el nom del recurs juntament amb els usuaris vàlids que apareguin
en el fitxer /etc/samba/smb.conf en la llista anterior. Seguidament, es comprova la
paraula de pas de cadascun dels possibles usuaris. Si hi ha coincidència, aleshores
s’autentica amb aquest usuari.
Quan aquesta llista no està disponible, aleshores el Samba envia una petició al
sistema GNU/Linux per trobar l’usuari a qui correspon la contrasenya. Això es fa
mitjançant l’NSS i la configuració del fitxer /etc/nsswitch.conf.
2.3.2 User-level security
L’opció user és l’opció per defecte i també és la més simple. El client s’identifica
en el nivell de sessió amb un usuari i una paraula de pas. El servidor pot acceptar o
denegar la sessió, però no necessàriament ha de saber a quins recursos vol accedir
el client. En aquest nivell, doncs, per controlar l’accés als recursos el servidor
només es pot basar en els elements següents:
• L’usuari i la paraula de pas.
• El nom de la màquina client.
Si s’accepta la sessió, el client pot accedir als recursos remots sense haver de tornar
a especificar la paraula de pas. En aquest mètode és imprescindible que els usuaris
apareguin com a usuaris de GNU/Linux i del Samba.
Aquest mètode de seguretat no és gaire recomanable si es volen compartir recursos

de xarxa de manera anònima. De totes maneres, hi ha la possibilitat de generar
un mode híbrid entre els nivells user i share mitjançant el paràmetre map to guest
de les opcions globals del fitxer /etc/samba/smb.conf. Aquest paràmetre pot tenir
diversos valors i, per tant, el servidor també pot tenir diversos comportaments.
Així, si establim un valor com Bad User, estem configurant un mètode en el qual, si
la contrasenya de l’usuari falla, se’l rebutjarà, però si l’usuari no existeix, passarà
automàticament a ser un usuari convidat, és a dir, s’activarà com a usuari guest.
2.3.3 Domain security mode (user-level security)
En el cas domain, la base de dades d’usuaris està centralitzada en un controlador de

domini i tots els membres d’un domini la comparteixen. Un servidor controlador
primari de domini (PDC) és el responsable de mantenir la integritat de la base

de dades de comptes de seguretat. Els backup domain controllers (BDC) només
proveeixen serveis d’autenticació i inici de sessió o logon.
Aleshores, amb aquest sistema de seguretat el servidor Samba és converteix en

un servidor membre del domini, controlador primari de domini (PDC) o no. Per
aquesta raó, totes les màquines que participen en el domini han de tenir un compte
de màquina en la base de dades de seguretat.
El nivell de seguretat de domini utilitza un sistema de seguretat basat en l’usuari

(user-level security), en el qual fins i tot les màquines s’han de validar en l’arren-
cada del sistema. El compte de màquina és un compte d’usuari més del Samba.
L’única diferència que hi ha respecte al compte d’usuari és que el de màquina
acaba en $. D’aquesta manera, el nom del compte serà NETBIOS_NAME$.
La contrasenya es genera de manera aleatòria i només la coneixen els controladors

de domini i la màquina membre. Si la màquina no es pot validar en iniciar el
sistema, els usuaris no podran entrar al domini mitjançant aquesta màquina, ja
que es considerarà que no és de confiança (not trusted machine).
Hi ha tres configuracions possibles de membres de domini:
• Primary domain controller (PDC).
• Backup domain controller (BDC).
• Domain member server (DMS).
2.3.4 ADS security mode (user-level security)
Les màquines amb una versió del Samba posterior a la 2.2 es poden unir a un
domini de directori actiu. Això és possible si el servidor funciona en mode natiu,
ja que el directori actiu en aquest mode accepta perfectament membres de domini
de l’estil NT4.
A partir de la versió 3 del Samba, a més, el servidor Samba es pot afegir com a
membre natiu de directori actiu. Això pot ser útil si hi ha una política de seguretat
que prohibeix els protocols d’autenticació d’NT.
2.3.5 Server security (user-level security)
Aquest mode es manté per compatibilitat enrere i existeix perquè abans era el
mode que s’utilitzava quan el Samba no podia actuar com un PDC. No és gens
recomanable fer servir aquesta opció perquè té moltes deficiències.
2.3.6 Opcions de seguretat en l’apartat GLOBALS del fitxer de

configuració
En el fitxer de configuració del Samba /etc/samba/smb.conf es poden especificar

una gran quantitat de paràmetres per garantir tant la seguretat d’accés al servidor
com la seguretat d’accés als recursos compartits. Aquests paràmetres es mostren
en les seccions GLOBALS i SHARES de l’eina gràfica Swat. En la figura 2.1 es
mostra un exemple de les diverses opcions de seguretat amb l’aplicació Swat. El significat d’alguns
d’aquests paràmetres el
veurem en l’apartat
F ig ur a 2. 1. Opcions de seguretat de Samba “Configuració del servidor
Samba”.
2.4 Instal·lació del servidor i del client Samba

Si utilitzem l’ordre
apt-cache search samba
trobarem tots els paquets
El paquet de programari Samba es compon de moltes aplicacions i molts paquets que conté el Samba.
amb diverses finalitats. Els paquets més utilitzats són els següents:
• samba: servidor d’arxius i impressores de xarxa local per a Unix/GNU/Li-

nux.
• smbclient: client simple de xarxa local per a Unix/GNU/Linux.
• samba-common: arxius comuns del Samba que utilitzen els clients i els
servidors.
• swat: eina d’administració del Samba via web.
• samba-doc: documentació del Samba.
• smbfs: ordres per muntar i desmuntar unitats de xarxa Samba.
• winbind: servei per resoldre informació d’usuaris i grups de servidors smbclient

El més probable és que, per
Windows. defecte, el gestor de paquets ja
estigui instal·lat en el sistema. Si
el tornem a instal·lar, ens ho dirà
i potser l’actualitzarà si en troba
Tots aquests paquets es poden trobar en els dipòsits de l’Ubuntu. una versió més recent.
Per instal·lar el servei i el client Samba a l’Ubuntu 9.04 hi ha dues possibilitats. La

primera consisteix a fer-ho de la manera tradicional, és a dir, utilitzar els gestors
de paquets del sistema directament. Farem servir l’ordre següent:
1 $sudo apt−get install samba smbclient smbfs
La segona possibilitat consisteix a utilitzar l’entorn gràfic. Només cal que

cliquem, amb el botó dret, al damunt d’una carpeta del nostre equip que vulguem
compartir. Seleccionarem l’opció Opcions de compartició del menú contextual. A
continuació, s’obrirà un quadre de diàleg, marcarem la casella Comparteix aquesta
carpeta i premerem el botó Crear compartició (com es mostra a la figura 2.2).
F i g ura 2 . 2 . Quadre de compartició de directoris de

Gnome
Automàticament, la primera vegada que fem aquesta acció, ens dirà que ha
d’instal·lar el servei Samba. Si acceptem i introduïm la contrasenya de superusuari,
ens preguntarà si deixem que el Nautilus afegeixi els permisos necessaris per
poder compartir la carpeta. Si diem que sí començarà la instal·lació dels paquets
samba, smbclien i samba-common, entre d’altres. Per tant, aquesta possibilitat
d’instal·lació ens instal·la, a més d’altres eines, el servidor i el client Samba
conjuntament. Això ens permet compartir els nostres recursos i accedir als
recursos compartits d’altres màquines. Durant aquest procés d’instal·lació del
Samba, una de les accions que es fa mitjançant la compartició de carpetes és crear
un grup d’usuaris anomenat sambashare. L’usuari que fa la instal·lació s’afegeix a
aquest grup, al qual també han de pertànyer tots els usuaris del sistema que vulguin
compartir recursos.
L’ús d’aquest mecanisme d’instal·lació ens permet, a més, seleccionar algunes

opcions de configuració del recurs a compartir.
Aquestes opcions ens permeten especificar si els usuaris que accedeixen al

directori poden escriure (crear elements a dins) o no i si es permet l’accés a usuaris
convidats, sense cap compte d’usuari Samba. Més endavant veurem la manera
com especificar aquestes opcions en el fitxer de configuració del servei Samba.
Així, aquest serà el mètode que utilitzarem per compartir carpetes fàcilment
mitjançant l’entorn gràfic.
Una vegada instal·lats els paquets relacionats amb el Samba mitjançant alguna
de les possibilitats anteriors, podem consultar les ordres o les aplicacions que
s’instal·len en el sistema amb l’ordre següent:
1 dpkg −L samba | grep bin
2 /usr/bin
3 /usr/bin/eventlogadm
4 /usr/bin/smbstatus
5 /usr/bin/smbcontrol
6 /usr/bin/profiles
7 /usr/bin/tdbbackup
8 /usr/bin/pdbedit
9 /usr/sbin
10 /usr/sbin/smbd
11 /usr/sbin/nmbd
12 /usr/sbin/mksmbpasswd
1 dpkg −L smbclient | grep bin

2 /usr/bin
3 /usr/bin/findsmb
4 /usr/bin/smbclient
5 /usr/bin/smbget
6 /usr/bin/smbtar
7 /usr/bin/rpcclient
8 /usr/bin/smbspool
9 /usr/bin/smbtree
10 /usr/bin/smbcacls
11 /usr/bin/smbcquotas
1 dpkg −L smbfs | grep bin

2 /sbin
3 /sbin/mount.cifs
4 /sbin/umount.cifs
5 /usr/bin
6 /usr/bin/smbmount
7 /usr/bin/smbumount
8 /usr/bin/smbmnt
9 /sbin/mount.smbfs
10 /sbin/mount.smb
Després d’instal·lar el paquet Samba, el servei Samba arrenca automàticament.

Per comprovar-ho, podem consultar amb l’ordre nmap si l’equip escolta els ports
que utilitza el Samba.
1 sudo nmap localhost
2 Starting Nmap 4.76 ( http://nmap.org ) at 2010−02−21 10:14 CET
3 Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
4 Warning: RateMeter::update: negative time delta; now=1266743641.46884;
5 last_update_tv=1266743641.46961
6 Interesting ports on localhost (127.0.0.1):
7 Not shown: 991 closed ports
8 PORT STATE SERVICE
9 139/tcp open netbios−ssn
10 445/tcp open microsoft−ds
Per defecte, el servidor Samba fa servir els ports 139 i 445.
Per aturar o reiniciar el servidor, farem servir les ordres

1 /etc/init.d/samba stop/
o
1 /etc/init.d/samba restart/
respectivament. Aquestes ordres reiniciaran els dimonis nmbd, smbd i windbindd,

necessaris per al funcionament del servei Samba. Haurem de reiniciar el servei
cada vegada que vulguem que algun canvi de configuració es faci efectiu.
Per altra banda, podem configurar l’arrencada automàtica del servei Samba quan
iniciem el sistema amb l’ordre següent:
1 sudo update−rc.d samba defaults
Abans de veure el procés de configuració del servidor Samba, observarem com

gestiona els usuaris, els grups i els permisos.
2.5 Gestió d’usuaris, grups i permisos del Samba
El Samba és un servei que requereix l’administració dels usuaris per poder-ne

gestionar els permisos.
En funció de l’usuari que hi accedeixi, el Samba es comportarà d’una manera

o d’una altra. Quan hi accedeix un usuari normal, generalment té uns permisos
limitats. En canvi, quan hi accedeix un usuari administrador, ha de disposar de
tots els permisos.
Per tal que aquesta administració sigui possible, el Samba disposa de la seva pròpia
base de dades d’usuaris Samba. No obstant això, com que els usuaris utilitzen
altres recursos del servidor, com carpetes i impressores, cal que aquests usuaris
també estiguin creats en el sistema GNU/Linux.
Per poder ser usuari del Samba, cal disposar d’un compte d’usuari a
GNU/Linux i d’un compte d’usuari al Samba.
2.5.1 Gestió d’usuaris Samba
La gestió d’usuaris Samba es fa amb l’ordre smbpasswd. Amb aquesta ordre

podem crear i eliminar usuaris, canviar-ne la contrasenya i unes quantes coses
més. Vegem-ne les diferents possibilitats.
1. Creació d’usuaris Samba. Per crear un usuari Samba hem d’utilitzar l’ordre
smbpasswd. Abans de crear un usuari, però, aquest usuari ha d’existir en el sistema
GNU/Linux.
Per exemple, suposem que volem que l’usuari lluis, gaudeixi dels serveis del
Samba. Primerament haurem de crear l’usuari a l’Ubuntu amb l’ordre següent:
1 sudo adduser lluis
Després, per habilitar-lo al Samba, executarem aquesta ordre:
1 sudo smbpasswd -a lluis
L’opció -a serveix per indicar al Samba que ha d’afegir l’usuari a la llista d’usuaris
Samba. Tot seguit ens preguntarà dues vegades la contrasenya que volem establir a
l’usuari. El més raonable és que aquesta contrasenya sigui la mateixa que l’usuari
té a GNU/Linux.
2. Eliminació d’usuaris Samba. Per eliminar usuaris Samba també hem

d’utilitzar l’ordre smbpasswd. Aquesta vegada, però, l’opció és la –x. Per exemple,
per eliminar l’usuari lluis, executarem aquesta ordre:
1 sudo smbpasswd −x lluis
L’usuari desapareixerà immediatament de la base de dades d’usuaris Samba, però

continuarà essent un usuari de GNU/Linux.
3. Altres opcions de smbpasswd. L’ordre smbpasswd disposa d’altres opcions

que considerem interessants. Són les següents:
• -d: deshabilitar un usuari.
• -i: habilitar un usuari.
• -n: establir un usuari sense contrasenya. (Necessita paràmetre null

passwords = yes en secció GLOBAL de l’arxiu de configuració del Samba).
• -m: indicar que és un compte de màquina.
Per a més informació es pot consultar la pàgina del manual del smbpasswd amb
l’ordre man smbpasswd.
Abans de veure la manera com el Samba gestiona els permisos d’usuaris i grups,
cal tenir clar la diferència que hi ha entre permís i dret en els sistemes operatius.
2.5.2 Permisos i drets Samba
Després d’identificar cada usuari amb accés al servei Samba, es poden especificar
els permisos i els drets que té a la xarxa. L’administrador s’encarrega de
determinar l’ús de cada recurs de la xarxa o les operacions que cada usuari pot
dur a terme en cada estació de treball.
Per exemple, un usuari pot tenir el dret a accedir a un servidor per mitjà de la
xarxa, a forçar l’apagada o el reinici d’un equip remotament, a canviar el sistema
d’arrencada, etc. Alhora, cada recurs, servei o utilitat té una informació associada
que li indica qui pot utilitzar-lo o executar-lo i qui no. Així, doncs, no hem de
confondre dret amb permís. Vegem-ne la diferència:
Un dret autoritza un usuari o grup d’usuaris a fer determinades operacions

sobre un servidor o una estació de treball.
Un permís o privilegi és una marca associada a cada recurs de xarxa (fitxers,
directoris, impressores, etc.) que regula quins usuaris i de quina manera hi
tenen accés.
D’aquesta manera, els drets fan referència a operacions pròpies del sistema
operatiu com, per exemple, el dret a fer còpies de seguretat o a canviar l’hora
del sistema. En canvi, els permisos fan referència a l’accés als diferents objectes
de xarxa com, per exemple, el permís de llegir un fitxer concret.
Així, doncs, cada recurs té associat un grup de marques (bits) que determina
els permisos que té cada usuari depenent del grup al qual pertanyi o de si és el
propietari del recurs o no.
Els drets els determinen les accions que cada usuari pot desenvolupar en el sistema.
Per exemple, si pertany al grup root o al grup sudo.
Els drets prevalen sobre els permisos. Per exemple, un operador de consola
pot tenir dret a fer una còpia de seguretat de tot un disc, però és possible que
no pugui accedir a determinats directoris d’usuaris perquè no tingui permís per
fer-ho. D’aquesta manera, podrà fer la còpia de seguretat, perquè el dret de
còpia de seguretat preval sobre la restricció dels permisos, però no podrà llegir
la informació que hi ha en els directoris si no té permís per fer-ho.
Dret i permís al Samba

L’assignació de permisos en una xarxa es fa en dues fases:
Al Samba, l’opció valid users,
per exemple, determina els
usuaris que tenen dret a accedir
al recurs, mentre que l’opció
read only determina els permisos
que té l’usuari amb relació al
recurs.
1. En primer lloc, es determina el dret d’accés sobre el servei de xarxa. Per
exemple, es pot assignar el dret a connectar-se al servidor Samba. Això evita
que es puguin obrir unitats remotes de xarxa sobre les quals després no es
tingui privilegis d’accés als fitxers que conté, cosa que podria sobrecarregar
el servidor.
2. En segon lloc, s’han de configurar els permisos dels fitxers i els directoris
que conté aquest servei de xarxa. Depenent del sistema operatiu de
xarxa, les marques associades als recursos varien, encara que en general
hi ha les de lectura, escriptura, execució, esborrament, etc. En xarxes
en què coexisteixen sistemes operatius de xarxa de distints fabricants, cal
determinar els permisos per a cada sistema.
2.5.3 Gestió de grups i permisos
La gestió de grups, usuaris i permisos és diferent en sistemes GNU/Linux i en

sistemes Microsoft Windows. En els sistemes GNU/Linux, la gestió dels permisos
que els usuaris i els grups tenen sobre els arxius es fa mitjançant un esquema
senzill de tres tipus de permisos (lectura, escriptura i execució) aplicables a tres
tipus d’usuaris (propietari, grup propietari i resta d’usuaris).
Aquest esquema es va desenvolupar als anys setanta i avui encara és adequat per a
la gran majoria dels sistemes en xarxa que hi ha en qualsevol tipus d’organització,
tant si es tracta de xarxes petites com de xarxes grans.
És cert que té algunes limitacions, però té l’avantatge de ser senzill. Això fa que
sigui fàcil d’administrar i que el rendiment sigui molt elevat.
En els sistemes Windows, la gestió dels permisos que els usuaris i els grups
tenen sobre els arxius es fa mitjançant un esquema complex de llistes de control
d’accés (access control lists, ACL) per a cada directori i arxiu. El sistema ACL té
l’avantatge de ser molt més flexible que el sistema GNU/Linux, ja que es poden
establir més tipus de permisos, donar permisos només a uns quants usuaris i grups,
denegar permisos, etc. Com s’ha comentat anteriorment, però, en la majoria de
casos n’hi ha prou amb les prestacions del sistema GNU/Linux.
D’altra banda, el sistema ACL és més complex d’administrar i més lent, ja que
abans d’accedir a les carpetes o als arxius el sistema ha de comprovar les llistes.
En sistemes de GNU/Linux, en canvi, es fa una operació lògica dels bits que
especifiquen els permisos, de manera que és molt més ràpid.
Per defecte, el Samba utilitza el sistema de permisos de GNU/Linux. Tot i que

també pot implementar el sistema ACL i gestionar les llistes mitjançant l’ordre
smbcacls, és més recomanable fer servir el sistema de gestió de permisos de
GNU/Linux.
Quan compartim directoris amb el Samba, en última instància sempre

imperen els permisos GNU/Linux.
Per exemple, si tenim compartida una carpeta anomenada professors amb per-
misos d’escriptura per al grup professors, tots els usuaris que pertanyin al grup
professors podran efectuar canvis en la carpeta. No obstant això, si dins d’aquesta
carpeta n’hi ha una altra que s’anomena confidencial, a la qual el grup professors
no té permís per entrar, cap professor en podrà veure el contingut, encara que sigui
dins d’una carpeta compartida.
Per fer una gestió eficaç d’usuaris, grups i permisos, es recomana fer servir
els permisos GNU/Linux, els quals permeten assignar permisos de lectura,
escriptura i execució a l’usuari propietari de l’arxiu, al grup propietari de
l’arxiu i a la resta d’usuaris del sistema.
Pot ser que hi hagi alguna contradicció entre els permisos del sistema GNU/Linux
i els permisos del recurs compartit a Samba.
Per exemple, podem tenir un directori compartit anomenat magatzem amb permi-
sos GNU/Linux de lectura, escriptura i execució per a tots els usuaris del sistema.
Tanmateix, si en l’arxiu de configuració del Samba aquest recurs té el paràmetre
read only = yes, no s’hi podran efectuar canvis, ja que està compartit amb permís
només de lectura.
Quan els permisos GNU/Linux es contradiuen amb els permisos Samba, el

permís efectiu és el més restrictiu.
Per simplificar l’administració dels permisos, es recomana no ser restrictius en els

permisos de recurs compartit amb el Samba i aplicar els permisos en el sistema
GNU/Linux. D’aquesta manera, a més de ser efectius quan accedim al recurs per
mitjà del Samba, també ho serem quan hi accedim d’una altra manera, com per
SSH, FTP o mitjançant la consola del servidor.
2.6 Configuració del servidor Samba
La configuració del servidor Samba es fa a partir del fitxer /etc/samba/smb.conf .
La sintaxi de l’arxiu de configuració del Samba és bastant senzilla, ja que està

dividit en seccions que es limiten a establir el valor d’uns quants paràmetres i
a determinar quines són les carpetes i les impressores compartides, i també els
permisos que hi ha. A més, l’arxiu va donant exemples de com hauríem de
configurar alguns recursos per compartir-los, com perfils, CD-ROM, etc.
Amb l’edició de l’arxiu /etc/samba/smb.conf es poden configurar més de tres-

cents paràmetres, cosa que dóna lloc a milers de configuracions. Nosaltres
ens limitarem a analitzar els paràmetres més rellevants per garantir la seguretat
Ordres de configuració del
Samba
i establir la compartició d’arxius i impressores del servidor.
Encara que utilitzem l’eina
gràfica Swat per configurar el En l’arxiu /etc/samba/smb.conf hi ha tres seccions predefinides (global, homes
Samba, cal conèixer el significat
d’uns quants paràmetres del i printers) i tantes seccions addicionals com recursos extra es vulguin compartir.
fitxer de configuració
/etc/samba/smb.conf, ja que en La utilitat i alguns dels paràmetres d’aquestes seccions predefinides es descriuen
determinarem el valor per mitjà
del Swat. breument, ja que resulta necessari coneixer-los, per a configurar correctament
Samba:
1. [global]. Defineix els paràmetres a escala global del servidor Samba, a més
d’alguns dels paràmetres que s’establiran per defecte en la resta de les seccions.
En la taula 2.2 es mostren els paràmetres més significatius amb el valor per defecte
i exemples:
Taul a 2. 2. Opcions principals de la configuració global del Samba
Opció Significat Valor per defecte Exemple
netbios name Nom (NetBIOS) de Primer component del ALFA

l’ordinador Samba nom DNS de l’ordinador.
workgroup Nom del domini (o grup WORKGROUP GRUPIOC

de treball) al qual
pertany el Samba.
security Nivell de seguretat. user user

Permet determinar el
mode de compartició de
recursos. Hi ha cinc
valors possibles: share,
user, domain, server i
ads.
encrypt passwords Ús de contrasenyes yes yes

xifrades. L’opció més
recomanable és que les
contrasenyes s’enviïn
xifrades per impedir que
altres usuaris puguin
descobrir-les, per
exemple, capturant
paquets de dades
(sniffing). Les
contrasenyes
encriptades del Samba
s’emmagatzemen en un
altre arxiu. Per defecte,
/etc/samba/smbpasswd.
hosts allow Permet especificar des buit Si posem 192.168.

de quines adreces IP es permetem l’accés a
podrà accedir al servei. totes les màquines de la
xarxa l’adreça IP de les
quals comenci per
192.168.
host deny Igual que hosts allow, buit Si posem 10.10.

però per especificar els deneguem l’accés a
rangs d’adreces no totes les màquines de la
permesos. xarxa l’adreça IP de les
quals comenci per
10.10.
map to guest Estableix en quines Never Bad User, implementa

condicions un accés al un sistema híbrid si el
Samba s’ha de mode de seguretat és
considerar en mode user.
convidat. Pot tenir
quatre valors possibles.
Never : es rebutjarà
l’usuari amb una
contrasenya incorrecta.
Bad User: es rebutjarà
l’usuari amb una
contrasenya incorrecta,
però si l’usuari no
existeix, passarà a ser
un usuari convidat. Bad
Password: l’usuari amb
una contrasenya
incorrecta es tractarà
com a convidat. És
perillós en possibles
equivocacions a l’hora
d’introduir la
contrasenya. Bad UID:
només s’utilitza si els
modes de seguretat són
domain o ads. L’usuari
que s’autentiqui
correctament, però que
no sigui un usuari
GNU/Linux, es tractarà
com a convidat.
usershare allow guests Permet la compartició yes yes

de recursos amb usuaris
convidats.
guest account Nom d’usuari amb el nobody nobody

qual els usuaris
convidats es validaran
en el sistema.
valid users Defineix quins usuaris o buit raul,lluis,

grups poden accedir als @administradors
recursos compartits. Es
poden especificar
múltiples usuaris
separats per comes o
noms de grup amb
l’arrova (@) al davant.
invalid users Igual que valid users, buit ana, angela,@alumnes

però per als usuaris que
no poden accedir als
recursos.
admin users Defineix quins usuaris buit ioc,@administradors

poden accedir amb
permisos
d’administració
(superusuaris) als
recursos compartits.
write list Defineix quins usuaris buit lluis, @professors

poden accedir amb
permisos d’escriptura
als recursos compartits.
log file Fitxer en què /var/log/samba/log.%m ídem

s’emmagatzemen els (%m significa el nom
registres del Samba. NetBIOS de la màquina
client).
2. [homes]. En aquesta secció es defineix automàticament un recurs de xarxa

per a cada usuari conegut pel servidor Samba. Aquest recurs, per defecte, està
associat al directori de connexió de cada usuari en l’ordinador en el qual el servidor
Samba està instal·lat, és a dir, el directori de l’usuari (home directory). Aquesta
secció és opcional, és a dir, si no existeix, no es compartiran les carpetes dels
usuaris del servidor. S’utilitza quan es volen crear perfils mòbils per tal que,
quan l’usuari s’identifiqui en qualsevol dels equips de la xarxa, el perfil s’escanegi
automàticament.
El funcionament del servei Samba determina que, quan es faci una sol·licitud de
connexió a un recurs compartit, s’escanegin les seccions que hi hagi en el fitxer
/etc/samba/smb.conf mitjançant la cerca del nom del recurs. Si es troba una
coincidència, s’utilitzen els paràmetres de la secció, amb el mateix nom que el
recurs sol·licitat, per determinar les propietats i la configuració del recurs.
Si no es troba cap coincidència, el nom de la secció sol·licitada es tracta com un

nom d’usuari i se’l cerca en l’arxiu de contrasenyes locals. Si el nom existeix i
la contrasenya és correcta, es crea un recurs amb el nom d’usuari, el directori de
l’usuari s’estableix com a camí o path del recurs i la resta de paràmetres del recurs
es copien dels que s’han especificat en la secció [homes], si n’hi ha. Si l’usuari no
es troba en l’arxiu de contrasenyes locals, es rebutja la connexió al recurs.
La configuració normal de la carpeta de l’usuari (home) serà la següent:
1 [home]
2 path=/home/%u
3 read only=no
Aquí, %u és el nom de l’usuari amb el qual ens hem connectat al recurs.
Aquesta és una manera ràpida i senzilla de donar accés als directoris a un gran
nombre de clients amb un esforç mínim.
Aquesta secció pot especificar tots els paràmetres de les seccions dels recursos
nous a compartir, encara que alguns paràmetres tindran més sentit que d’altres.
Hem de tenir en compte que si permetem que usuaris convidats accedeixin a la

secció [homes], tots els directoris d’inici seran visibles i/o modificables si no
hem especificat el paràmetre que només permet la lectura, cosa que, des del punt
de vista de la seguretat, és poc recomanable. Per tant, per accedir al directori
de l’usuari, hem d’especificar directament que ens volem connectar al directori
d’inici concret de l’usuari, ja que cal, per seguretat, que els usuaris no puguin
veure els directoris de la resta (browsable = no).
3. [printers]. Aquesta secció funciona com [homes], però per a les impressores.
Si es troba una secció [printers] en l’arxiu de configuració, es permet que els

usuaris es connectin a qualsevol impressora especificada en el fitxer /etc/printcap
de l’ordinador central o host local.
Quan es fa una sol·licitud de connexió a un recurs, s’escanegen les seccions que hi

ha en el fitxer /etc/samba/smb.conf. Si es troba alguna coincidència amb el nom
del recurs sol·licitat, s’utilitzen els paràmetres de la secció amb el mateix nom per
determinar les propietats i la configuració del recurs. Si no hi ha coincidències,
però hi ha una secció [homes], se segueix el procés que s’ha descrit en la secció
anterior. En cas que no hi hagi cap secció [homes], el nom de la secció (recurs)
sol·licitada es tracta com un nom d’impressora i s’analitza l’arxiu /etc/printcap per
comprovar si aquest nom és un nom vàlid d’impressora compartida. Si es troba
una coincidència, es crea una secció nova amb el nom de la secció buscada i amb
els paràmetres especificats en la secció [printers] per defecte.
Normalment el path Si no es troba cap coincidència, la connexió al recurs es rebutja.

especificat en la secció
[printers] és un directori de
cua d’escriptura accessible
per tots els usuaris amb un
A fi que el comportament sigui aquest, el paràmetre printable de la secció
sticky bit. [printers] ha de tenir el valor yes, ja que si s’especifica el contrari, és a dir, el
valor no, el servidor es negarà a carregar el fitxer de configuració.
Un exemple típic de configuració d’aquesta secció és el següent:
1 [printers]
2 path = /var/spool/samba
3 guest ok = yes
4 printable = yes
4. Recursos nous a compartir. Cada vegada que es vol compartir un recurs (un
directori, una impressora, etc.), cal crear una secció nova amb un encapçalament
entre claudàtors. L’encapçalament d’aquesta secció es correspondrà amb el nom
que el recurs tindrà a la xarxa (el nom mitjançant el qual es podrà accedir al recurs
des d’una altra màquina). Generalment es fa servir el mateix nom de la impressora
o la carpeta a compartir per tal que sigui més aclaridor.
Per exemple, si volem compartir la carpeta /home/samba/alumnes, crearem una

secció [alumnes] en què aquest recurs compartit es configurarà amb els paràmetres
específics.
En la taula 2.3 es descriuen unes quantes opcions aplicables a cada recurs

compartit. També es poden establir en la secció global, cas en què s’utilitzaran
com a valors per defecte per a cada recurs compartit:
Taul a 2. 3. Opcions principals de la configuració dels recursos compartits (shares) del Samba
read only/writable Defineix si es permet yes yes

l’escriptura en el recurs
o no, només té sentit en
carpetes compartides.
browseable / public Determina si el recurs yes yes

apareix en la llista de
recursos compartits en
explorar el servidor
Samba.
path Especifica la ruta buit /home/ioc/professors

absoluta al directori
compartit pel recurs.
comment Descriu el recurs buit Directori en què els

mitjançant una cadena professor deixen els
de caràcters. apunts.
guest ok Determina si es permet no yes

accedir com a convidat
al recurs.
guest only Especifica que tots els no no

accessos al recurs
s’accepten en mode
convidat.
create mask Estableix la màscara de 0770 0775

creació d’arxius, que
determinarà els
permisos dels usuaris.
Té la mateixa funció que
l’opció directory mask
per a la creació de
directoris.
hosts allow Proporciona una llista buit(vol dir tots els 192.169.
d’ordinadors des dels ordinadors)
quals es permet accedir
al recurs. S’hi afegeixen
els que s’han especificat
en la secció [global].
hosts deny Proporciona una llista buit(vol dir cap 10.0.

d’ordinadors des dels ordinador)
quals no es permet
accedir al recurs. En cas
de conflicte, preval el
que s’indica en l’opció
hosts allow de la secció
[global].
valid users Proporciona una llista buit(vol dir tots els pere, @pas
d’usuaris que poden usuaris)
que s’indica en la secció
[global].
invalid users Proporciona una llista buit(vol dir cap usuari) profe,@admin
d’usuaris que no poden
que s’indica en la secció
[global].
read list Proporciona una llista buit @alumnes

d’usuaris que només
tindran permisos de
lectura en el recurs. Si
el paràmetre és read
only = yes, per defecte
tots els usuaris només
tindran permís de
lectura.
write list Proporciona una llista buit @professors

d’usuaris que tindran
permís de lectura i
escriptura en el recurs.
Ignora l’opció read only
= yes
printable Permet determinar, en yes yes

cas d’impressores, si el
client pot obrir, escriure i
enviar fitxers de gestió o
spool de cues al
directori especificat per
tal d’imprimir-los.
printing Aquesta opció cups cups

determina l’estil o el
sistema d’impressió
utilitzat pel Samba.
Recomanacions durant la configuració del Samba:
• És convenient crear en el directori /home una carpeta anomenada samba que

contingui totes les carpetes compartides. La finalitat és tenir totes les dades
d’usuari dins del directori de l’usuari i que fer les còpies de seguretat sigui
senzill.
• És convenient crear una còpia de seguretat de l’arxiu /etc/samba/smb.conf

abans de fer cap canvi. La finalitat és poder tornar a l’estat anterior en cas
que fem una modificació incorrecta de l’arxiu que impedeixi que el servei
arrenqui. El Samba analitza cada 60 segons l’arxiu /etc/samba/smb.conf i,
si hi ha hagut canvis, es fan efectius.
• Per comprovar que el nostre arxiu /etc/samba/smb.conf és correcte, podem

utilitzar l’ordre testparm, la qual analitza cada línia per localitzar-hi errors.
• Per tenir una descripció detallada de tots els paràmetres, es pot consultar la
pàgina del manual d’/etc/samba/smb.conf amb l’ordre man smb.conf.
Per altra banda, el Samba ofereix una interfície d’edició d’aquest fitxer basada
en web denominada Swat. Aquesta eina permet configurar el Samba utilitzant un
navegador de xarxa, tant de forma local com remota. És interesant i imprescindible
veure la manera de configurar gràficament el servidor Samba amb l’eina Swat.
2.6.1 Configuració gràfica del servidor Samba amb el Swat
El Swat (Samba Web Administration Tool) és una aplicació amb una

interfície gràfica basada en web que permet administrar i configurar
qualsevol servidor Samba de manera senzilla i visual, sense haver d’editar
ni modificar cap fitxer de configuració a mà.
Eines gràfiques de Per fer servir l’Swat com a eina d’administració de qualsevol servidor Samba,
configuració per al Samba
Hi ha diverses eines que ens
el servidor ha de tenir prèviament instal·lat i funcionant com a mínim un servei
ajuden a gestionar gràficament el
Samba o aspectes que hi estan
web. Per obtenir els requisits necessaris per accedir via web al servidor podem
relacionats. D’aquestes eines, en instal·lar-hi el paquet de programari LAMP de manera ràpida i senzilla amb l’eina
podem destacar cinc: el Gosa, el
LAM, l’ebox, el Webmin i tasksel. Una vegada instal·lat aquest paquet, disposarem del servei de base de
l’Swat. Nosaltres veurem l’Swat
perquè està totalment orientat a dades MySQL i de l’intèrpret de PHP, a més del servei web Apache.
la configuració amb interfície
gràfica del servidor Samba.
Per instal·lar l’Swat farem servir dos paquets: el paquet swat i el paquet inetutils-
inetd. Utilitzarem l’ordre següent:
1 $sudo apt−get install swat inetutils−inetd
Una vegada instal·lat l’swat, l’hem d’activar a inetd amb aquesta ordre:
1 $sudo update−inetd −−enable ’swat’
Inetd
L’inetd és un dimoni que atén les
Finalment, hem d’establir una contrasenya a l’usuari primari (root user) per tal de sol·licituds de connexió que
arriben al nostre equip i està a
poder-nos validar a l’inici de l’aplicació: l’expectativa de tots els intents
de connexió que es fan en la
màquina. L’inetd s’utilitza
1 sudo −s principalment per llançar
2 passwd processos que contenen altres
dimonis, generalment serveis.
Els serveis de xarxa que presta la
màquina estan descrits a
Per accedir a la interfície gràfica de l’swat, hem d’obrir un navegador. Si som en /etc/inetd.conf.
el mateix servidor, en la barra de cerques hi hem d’escriure http://localhost:901. Si volem accedir de manera
remota al servidor Samba,
hauríem de canviar
L’aplicació ens demanarà un nom d’usuari i una contrasenya. Si volem accedir a localhost per l’adreça IP, el
nom de la màquina o el nom
totes les funcionalitats del Samba, hem d’entrar com a usuaris primaris i fer servir de domini.
la contrasenya que hem establert abans.
En accedir a l’Swat apareix la pantalla que es mostra en la figura 2.3.
F ig ur a 2. 3. Pantalla inicial de Swat
Com podem observar en la part superior de la pantalla, tenim una sèrie de botons
que ens permeten seleccionar diferents opcions de gestió i configuració. Ens
interessa conèixer què ens ofereix cada botó:
1. HOME. Aquest botó ens porta a la pàgina inicial de l’aplicació, la qual ens dóna
la benvinguda i ens proporciona una gran quantitat d’enllaços a la documentació
més actualitzada del Samba.
2. GLOBALS. Aquest botó ens porta a una pàgina que ens permet configurar tots
els paràmetres que hi ha en la secció [global] del fitxer /etc/samba/smb.conf. Al

començament de la pàgina podem seleccionar si volem configurar els paràmetres
bàsics o avançats. Segons l’opció que seleccionem, ens apareixeran més o menys
paràmetres als quals podrem establir el valor corresponent. Cal recordar que
el fitxer /etc/samba/smb.conf pot tenir més de tres-cents paràmetres, de manera
que només en modificarem els més bàsics. Sempre que fem algun canvi hem de
prémer el botó Commit Changes perquè s’emmagatzemi al fitxer de configuració
del Samba. Si no ho fem, els canvi es perdrà en seleccionar un altre botó.
Dins d’aquesta secció, els paràmetres es divideixen en grups d’opcions segons

l’àmbit del servei amb el qual estan relacionats. Per al nostre exemple, modifica-
rem els paràmetres del grup Base Options. En el paràmetre workgroup establirem
el nom del grup de treball del servidor i en el paràmetre netbios name, el nom amb
el qual es coneixerà el servidor. En la resta d’opcions deixarem el valor que tenen
per defecte. La configuració quedarà com es mostra en la figura 2.4.
F igu r a 2. 4 . Paràmetres globals de Samba mostrats al Swat
3. SHARES. Si premem aquest botó, l’aplicació ens mostrarà una pantalla en

la qual podrem crear i esborrar els recursos compartits que gestiona el servidor
Samba. A més, ens permetrà establir diverses opcions dels directoris compartits
i dels arxius que contenen, com tipus d’accés, usuaris que hi poden accedir o
permisos, entre altres. Al costat de cada opció tenim un enllaç, Help, que ens
obrirà una altra finestra en què ens explicarà el significat, l’ús i la sintaxi de cada
ordre. En el nostre exemple crearem, com es mostra en la figura 2.5, una carpeta
que només serà de lectura, anomenada professors. Com a comentari, hi posarem
“Carpeta amb apunts per als alumnes”.
Figur a 2. 5. Pàrametres de la secció SHARES
Amb el Samba no solament podem compartir directoris i impressores, sinó que

també podem compartir altres dispositius, com CD-ROM, particions de disc, etc.
F ig ur a 2 . 6. Dades d’exemple per a la compartició del CD-ROM
En la imatge següent mostrem un exemple de compartició, amb tots els usuaris

i les màquines de la xarxa, de la unitat de CD-ROM d’un servidor Samba. Així,
doncs, les opcions de la secció SHARES serien les que apareixen en la figura 2.6.
4. PRINTERS. En aquesta secció podem especificar les impressores a compartir.

A més, també hi podem determinar quins paràmetres de compartició volem aplicar
a cada impressora: si els convidats hi poden accedir, quins ordinadors centrals
poden accedir o no a cada impressora, si està disponible o visible per als usuaris
que hi accedeixen al servidor, etc.
Si no tenim cap impressora compartida a la llista, al costat del botó Choose

Printer ens mostra, per defecte, el recurs print$. Aquest recurs conté controladors
d’impressores perquè els clients hi pugin accedir si no els troben disponibles
localment. El recurs print$ és opcional i pot ser que no es faci servir. En la figura
2.7 es mostra un exemple de la secció.
F igu r a 2. 7 . Paràmetres de la secció PRINTERS
5. WIZARD. Aquesta secció ens permet determinar el rol del nostre servidor
Samba dins d’una xarxa Windows. Podem especificar quin tipus de servidor serà:
només servidor, membre del domini o controlador de domini. També podem
determinar si farem servir WINS o no, i si el nostre servidor farà de servidor
WINS o de client d’un altre servidor WINS.
També ens ofereix la possibilitat de mostrar el directori dels usuaris Samba, per
tal que s’hi pugui accedir des dels equips de la xarxa local o el grup de treball.
6. STATUS. Aquest botó ens permet controlar el funcionament del servidor

Samba. Amb el botó Auto Refresh podem especificar que ens mostri la informació
de la situació del servidor (connexions d’usuaris actives, recursos compartits
actius i recursos utilitzats o oberts) amb la freqüència que especifiquem en el camp
Refresh Interval.
A més, des d’aquesta secció podem aturar o reiniciar els distints dimonis del servei
Samba (smbd, nmbd i winbindd) i terminar (matar) les connexions establertes pels
usuaris.
7. VIEW. Si seleccionem aquest botó ens mostrarà el contingut de l’arxiu

/etc/samba/smb.conf, per tal que puguem veure la configuració actual del servidor
Samba.
8. PASSWORD. Si seleccionem aquest botó ens portarà a una pàgina en la qual

trobem dues seccions: Server Password Managment i Client/Server Password
Managment. La primera secció ens permet crear, esborrar, desactivar i reactivar
usuaris Samba en la màquina local, mentre que la segona la podem fer servir per
canviar la contrasenya d’un compte d’usuari local.
2.7 Utilització del client Samba
El client Samba ens proporciona una ordre per accedir als recursos compartits dels
servidors Samba disponibles per mitjà de la xarxa: smbclient. L’ordre smbclient és
una petita aplicació que ens permet accedir als servidors Samba com a clients, com
si es tractés d’una mena d’accés FTP. S’utilitza sobretot per saber quins recursos
Samba ens ofereix una màquina remota. Per exemple, la sintaxi per llistar els
recursos d’una màquina remota és la següent:
1 smbclient −U usuario −L NET_BIOS_NAME
En cas que no hi tinguem accés, ens mostrarà el missatge següent:
1 $smbclient −U luis −L IOC

2 Password:
3 session setup failed: NT_STATUS_LOGON_FAILURE
També hi podem accedir de manera anònima:
1 smbclient −N −L IOC
2 Anonymous login successful
3 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.3.2]
4 Sharename Type Comment
5 −−−−−−−−− −−−− −−−−−−−
6 material ioc Disk
7 apunts Disk
8 IPC$ IPC IPC Service (ioc−laptop server (Samba, Ubuntu))
9 print$ Disk Printer Drivers
10 homes Disk
11 Anonymous login successful
12 Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.3.2]
13 Server Comment
14 −−−−−−−− −−−−−−−
15 ALFA ioc−laptop server (Samba, Ubuntu)
16 Workgroup Master
17 −−−−−−−− −−−−−−−
18 WORKGROUP ALFA
Per connectar-nos al recurs que ens interessa, haurem de fer servir aquesta ordre:
1 smbclient //NETBIOS_NAME/Recurs
Si el recurs està protegit amb contrasenya, hi haurem d’afegir l’opció –U amb el

nom d’usuari. Després d’executar l’ordre, ens demanarà la contrasenya. L’ordre
quedarà així:
1 smbclient −U clientsamba //IOC/apunts

2 Enter clientsamba’s password:
3 Domain=[IOC] OS=[Unix] Server=[Samba 3.3.2]
4 smb: \>
Quan accedim al recurs compartit, disposem d’una línia d’ordres. Tot i així, també
podem executar les ordres típiques del servei FTP, com put o get, entre altres. Per
tal que ens mostri totes les ordres que podem utilitzar, hem d’executar l’ordre help:
1 smb: \> help

2 ? altname archive blocksize cancel
3 case_sensitive cd chmod chown close
4 del dir du exit get
5 getfacl hardlink help history lcd
6 link lock lowercase ls mask
7 md mget mkdir more mput
8 newer open posix posix_open posix_mkdir
9 posix_rmdir posix_unlink print prompt put
10 pwd q queue quit rd
11 recurse reget rename reput rm
12 rmdir showacls setmode stat symlink
13 tar tarmode translate unlock volume
14 vuid wdel logon listconnect showconnect
També podem fer servir les ordres de navegació per al sistema de fitxers de
GNU/Linux (cd, ls) i algunes de les ordres habituals de modificació de fitxers
(rm, mkdir, del o rename), sempre que tinguem permisos.
Suposem, per exemple, que ens volguéssim connectar a la carpeta de l’usuari

(home) clientsamba i que tinguéssim la secció HOMES habilitada en el servidor
Samba. En aquest cas, hauríem de fer servir l’ordre següent:
1 smbclient −U clientsamba //IOC/clientsamba

2 Enter clientsamba’s password:
3 Domain=[IOC] OS=[Unix] Server=[Samba 3.3.2]
4 smb: \> ls
5 . D 0 Sun Mar 21 19:16:12 2010
6 .. D 0 Mon Mar 22 11:09:38 2010
7 .profile H 675 Sun Mar 21 19:16:12 2010
8 examples.desktop 357 Sun Mar 21 19:16:12 2010
9 .bash_logout H 220 Sun Mar 21 19:16:12 2010
10 .bashrc H 3115 Sun Mar 21 19:16:12 2010
11 61335 blocks of size 131072. 26464 blocks available
Tot i que l’ordre smbclient és molt útil, aquesta manera de treballar pot resultar
una mica enutjosa. Hi ha, però, la possibilitat de muntar les unitats de xarxa a les
quals volem accedir en directoris del nostre sistema, com si es tractés de directoris
locals. Per això haurem de tenir instal·lat el paquet smbfs.
2.8 Muntar unitats de xarxa
GNU/Linux disposa de suport per al sistema de fitxers SMB. Així,

GNU/Linux, de la mateixa manera que pot muntar un directori exportat via
NFS en un directori local, pot muntar un recurs SMB ofert per un servidor
SMB, com un sistema Windows o un servidor Samba.
No obstant això, com ja hem comentat, hi ha una diferència entre l’NFS i l’SMB.
L’NFS no requereix que l’usuari que fa la connexió s’autentiqui. Aquest servidor
fa servir el UID de l’usuari de l’ordinador client per accedir als fitxers i als
directoris exportats. Realment, l’ordre mount -t
smbfs es reencamina a
smbmount.
Un servidor SMB, per contra, sí que requereix que l’usuari s’autentiqui, i per això
necessita un nom d’usuari i una contrasenya. Per muntar un recurs SMB podem
fer servir les ordres smbmount o, directament, l’ordre mount si li indiquem un
tipus de sistema d’arxius específic (en aquest cas, smbfs). La sintaxi d’aquestes
dues ordres seria la següent:
1 smbmount −username=usuari −password=contrasenya −workgroup=MEUGRUP //

servidor_Samba/recurs
2 /punt_de_muntatge/
3
4 mount −t smbfs -o username=usuari,password=contrsenya,workgroup=MEUGRUP
5 //servidor_Samba/recurs /punt de muntatge
Si el servidor no requereix que l’usuari s’autentiqui (permet accés a convidats),

els paràmetres username, password i workgroup es poden obviar.
Si en les ordres anteriors s’omet l’opció password, el sistema sol·licita a l’usuari

que introdueixi una contrasenya. Si el servidor SMB permet l’accés a l’usuari,
s’aconsegueix accedir al recurs (en aquest cas, servidor_Samba/recurs) a partir
del directori local que hem establert com a punt de muntatge.
En el muntatge de sistemes d’arxius, també podem optar per registrar el muntatge

en el fitxer /etc/fstab. Així, els directoris es poden muntar automàticament en
l’arrencada del sistema. No obstant això, en el cas del sistema d’arxius smbfs,
aquest registre presenta un problema, ja que el muntatge sempre implica la petició
d’una contrasenya. Aquesta contrasenya es pot especificar en les opcions de
muntatge o bé es pot sol·licitar per teclat en el moment de fer el muntatge.
Òbviament, aquesta última opció dificulta el muntatge automàtic en l’arrencada,

tret que escrivim la contrasenya en el fitxer /etc/fstab. Això, per motius de
seguretat, no és gaire recomanable, ja que qualsevol usuari pot llegir aquest arxiu.
L’alternativa consisteix a utilitzar un fitxer d’identificacions d’usuaris (opció de
muntatge credentials=FITXER) en què s’haurà d’escriure el nom i la contrasenya
de l’usuari. El nom típic del fitxer
d’identificacions d’usuaris
és .smbpasswd i
A pesar que en aquest fitxer la contrasenya també s’escriu en text pla, constitueix s’emmagatzema a la
carpeta de l’usuari (home).
una mesura de seguretat suficient, ja que aquest fitxer només el pot llegir l’usuari
que fa el muntatge, com ara el primari (root).
Vegem un exemple del fitxer /etc/fstab configurat per muntar recursos Samba
remots en l’arrencada del sistema:
• Muntar de manera permanent un recurs anònim.
1 //ALFA/apuntes /mnt smbfs user,auto,guest,ro,gid=100 0 0
• Muntar de manera permanent un recurs protegit.
1 //ALFA/Material_ioc /mnt smbfs username=clientsamba,password=ioc 0 0
• Muntar un recurs protegit amb el fitxer d’identificadors d’usuaris.
1 //ALFA/professor /mnt smbfs credentials=/home/clientsamba/.smbpasswd 0 0**
Un inconvenient addicional és que, si les unitats es munten d’aquesta manera,

l’únic usuari que hi podrà escriure serà el primari. Si volem que múltiples usuaris
tinguin permís de lectura i escriptura en la unitat muntada, haurem de crear un
grup (anomenat, per exemple, sambausersgroup) i afegir-hi els usuaris. El fitxer
/etc/fstab quedarà així:
1 //ALFA/professor /mnt smbfs credentials=/home/clientsamba/

2 .smbpasswd,gid=sambausersgroup 0 0
Per altra banda, també pot ser molt útil permetre que els usuaris que no tinguin
permisos de superusuari puguin muntar unitats Samba remotes. Per fer-ho,
haurem de seguir una sèrie de passos:
1. Crear un grup i afegir-hi els usuaris.
1 sudo groupadd samba

2 sudo adduser user samba
2. Editar sudo per permetre que els usuaris del grup puguin muntar unitats Samba.
1 sudo visudo
2 ## Members of the admin group may gain root privileges
3 %admin ALL=(ALL) ALL
4 %samba ALL=(ALL) /bin/mount,/bin/umount,/sbin/mount.cifs,/sbin/umount.cifs
Ara tots els usuaris del grup afegit podran muntar unitats Samba remotes.
Es recomana consultar la pàgina de manual smbmount per obtenir més detalls

sobre les opcions de muntatge. Ho podem fer mitjançant l’ordre man smbmount.
2.9 Accés gràfic als recursos compartits
L’Ubuntu ens permet accedir gràficament als recursos disponibles dels grups
de treball (paràmetre workgroup del Samba) que hi ha a la xarxa local amb el
navegador Nautilus, per mitjà del menú Llocs > Xarxa.
En seleccionar aquesta opció del menú, se’ns obrirà una finestra del Nautilus en
què ens apareixeran tots els grups de treball (dominis) que hi hagi a la xarxa
local. Si fem doble clic a cadascun dels grups, ens mostrarà els servidors Samba
disponibles. Per veure els recursos que comparteix cada servidor, haurem de
fer doble clic al damunt de la icona amb el nom. Aleshores, o bé hi podrem
accedir lliurement perquè el servidor permet l’accés a usuaris convidats o bé
haurem d’especificar el nom d’usuari Samba i la contrasenya adequada. En accedir
a qualsevol servidor Samba, automàticament es muntaran totes les carpetes
compartides del servidor, cosa que ens permetrà gestionar més fàcilment els
recursos als quals tinguem accés. L’accés a cada recurs pot ser lliure o pot requerir
un nom d’usuari Samba i una contrasenya. Si ens fixem en la figura 2.8 i figura
2.9 podrem entendre més bé tot el que hem comentat.
Fi gu r a 2. 8 . Accés gràfic als workgroups de la xarxa
Fi gu r a 2. 9 . Accés gràfic als recursos de un workgroup concret
Per moure’ns per les carpetes, els servidors i els grups també podem utilitzar, a
més dels clics, la barra de cerques Ubicació. La sintaxi de les adreces en la barra
Ubicació és la següent:
1 smb://nom_servidor/recurs
2.10 Servidor d’impressió CUPS
En els sistemes GNU/Linux hi ha un sistema d’impressió estàndard que ens permet

centralitzar, compartir i gestionar impressores instal·lades en una màquina que fa
les tasques de servidor d’impressió. L’eina que ens proporciona aquest sistema
d’impressió és el CUPS.
El CUPS (common Unix printing system, sistema d’impressió comú d’Unix)

és un sistema d’impressió modular per a sistemes operatius de tipus
Unix/GNU/Linux que permet que un ordinador actuï com a servidor
d’impressió.
Esquema CUPSTransició entre els
diversos components del servei El CUPS es basa en el protocol IPP (Internet printing protocol, protocol
d’impressió per Internet), el qual permet compartir impressores per mitjà de
CUPS
xarxes TCP/IP. El CUPS és programari lliure i es distribueix sota llicència

GPL i LGPL.
La gran majoria de distribucions GNU/Linux utilitzen el CUPS com a sistema

d’impressió per defecte.
Un ordinador que executa el CUPS actua com un servidor que pot acceptar tasques
d’impressió des d’altres ordinadors clients, les processa i les envia a la impressora
apropiada.
El CUPS és format per una cua d’impressió amb un planificador, un sistema

de filtres, el qual converteix les dades que s’han d’imprimir en formats que la
impressora conegui, i un sistema de suport (back-end) que envia les dades al
dispositiu d’impressió.
El CUPS, a més d’utilitzar el protocol IPP com a base per al maneig de tasques
d’impressió i cues d’impressió, també proveeix les ordres tradicionals de línia
d’ordres d’impressió dels sistemes GNU/Linux.
El CUPS també disposa d’un suport limitat d’operacions sota el protocol SMB, el
quals s’utilitza, en aquest cas, per compartir impressores.
2.10.1 Funcionament del CUPS
El CUPS proveeix un mecanisme que permet enviar treballs d’impressió a im-

pressores de manera estandarditzada. La informació s’envia al planificador, el
qual envia el treball a un sistema de filtres que el converteix a un format que la
impressora pugui comprendre. Després, el sistema de filtres envia les dades a un

back-end, un filtre especial que envia les dades destinades a la impressora a un
perifèric o una connexió de xarxa. El sistema fa un ús extensiu del llenguatge
PostScript i de tramatge de les dades a fi de convertir-les a un format que la
impressora accepti.
El CUPS té com a avantatge principal que és un sistema d’impressió estandarditzat

i modularitzat, capaç de processar diferents formats de dades en el servidor
d’impressió. El CUPS permet als fabricants d’impressores i als desenvolupadors
de controladors crear més fàcilment controladors que funcionin nativament en el
servidor d’impressió.
El processament de la informació a imprimir ocorre en el servidor, motiu pel qual

permet sistemes d’impressió basats en xarxa molt més senzills que altres sistemes
d’impressió Unix. Quan el CUPS es fa servir amb el Samba, les impressores
també es poden utilitzar en ordinadors Windows remots per imprimir per mitjà de
la xarxa.
2.10.2 Instal·lació i configuració del CUPS
La instal·lació de l’eina CUPS la podem fer mitjançant les ordres de gestió de

paquets del sistema amb els paquets adequats. Així, doncs, l’ordre d’instal·lació
seria la següent:
1 sudo apt−get install cupsys cupsys−client cups−pdf
Fi gura 2 .10 . Pantalla incial de CUPS
• cupsys, és el paquet que ens instal·la el servidor CUPS.
• cupsys-client, és el paquet que ens instal·la el client CUPS.
• cups-pdf, és el paquet que ens instal·la una eina que ens permet crear fitxers
PDF a partir del CUPS, com si fos una impressora. És similar al PDFCreator
del Windows.
Per poder-lo configurar i administrar, el servidor CUPS disposa, a més de les

ordres de l’intèrpret d’ordres, d’una interfície web que funciona sobre el port
631. Aquesta interfície web ens permet de manera gràfica afegir, cercar i eliminar
impressores i classes d’impressores, controlar els treballs en les cues d’impressió
i gestionar diversos paràmetres del servidor. En la figura 2.10 es mostra la pantalla
que apareix en carregar la interfície web del CUPS.
2.10.3 Compartir impressores gràficament amb el CUPS
Per tal de compartir impressores amb el servidor CUPS disposem d’un entorn
gràfic, al qual ens podem connectar mitjançant l’explorador d’Internet, que ens
facilita el procés. Així doncs, el procés de compartició d’impressores per mitjà
PostScript
del CUPS consta dels passos següents:
El PostScript és un llenguatge de
descripció de pàgines que
s’utilitza en moltes impressores i, 1. Instal·lació en el servidor d’impressió de les impressores a compartir. Per
de manera usual, també es fa
servir com a format de transport instal·lar una impressora en el servidor CUPS hem de seleccionar l’opció Add
d’arxius gràfics en tallers
d’impressió professional. printers de la pestanya Administration.
Apareixerà una pantalla, com la que veiem en la figura 2.11, en què ens demanarà
un nom, la localització i una descripció per a la impressora que volem instal·lar.
Fig u ra 2 . 1 1 . Pantalla inicial per afegir una nova impressora amb CUPS
Si continuem, una vegada especificats els paràmetres anteriors, ens demanarà el

dispositiu o back-end al qual volem associar la impressora. Aquest paràmetre
es fa servir per transferir correctament les ordres d’impressió als dispositius
d’impressió.
Seguidament ens mostrarà la pantalla de la figura 2.12, en què ens demanarà l’URI
PostScript printer (uniform resource identifier, identificador uniforme de recursos) del dispositiu per
description
El PPD és un arxiu que crea el
poder especificar on és la impressora en el sistema. Hem d’anar en compte perquè,
fabricant de la impressora per
descriure les característiques
si no especifiquem bé aquest paràmetre, la impressora romandrà inaccessible.
disponibles per a les seves Podem consultar en la documentació del CUPS com hem d’especificar l’URI,
impressores PostScript. Un PPD
conté el codi de PostScript segons el model de la impressora.
necessari per fer servir les
característiques d’una
impressora. D’aquesta manera, La pantalla següent ens demana pel fabricant de la impressora a fi d’instal·lar
funciona com un controlador de
dispositiu per a les impressores els controladors de dispositiu adequats. També ens permet especificar aquests
PostScript i proveeix una
interfície unificada. controladors mitjançant un fitxer de text en format PPD (PostScript printer
description). Seguidament, ens demanarà pel model d’impressora per instal·lar

els controladors més adequats.
Fi g ura 2 .12 . Pantalla d’especificació del lloc de l’impressora al sistema amb CUPS
Una vegada seleccionat el model d’impressora, la instal·larà. Si s’instal·la

correctament, apareixerà una pantalla, com la de la figura 2.13, que ens permetrà
configurar les opcions generals d’impressió de la impressora. CUPS i PPD
El CUPS fa servir el PPD per a
Fi g ura 2 .13 . Pantalla d’opcions generals de configuració de la impressora amb CUPS totes les seves impressores.
Redirigint la sortida per mitjà
d’un filtre, ha estès el concepte
per a permetre impressió
PostScript en impressores que no
són PostScript. Aquest filtre ja
no és un PPD estàndard, sinó que
més aviat és un “CUPS-PPD”.
2. Configuració del servidor per compartir impressores i fer que siguin

visibles per mitjà de la xarxa. Per tal que les màquines de la xarxa local pugin
accedir a les impressores que gestiona el servidor CUPS, és a dir, per tal que el
servidor comparteixi les impressores, haurem de seleccionar, en la secció Server
de la pestanya Administration, les opcions Show printers shared by other systems
(d’aquesta manera ens mostrarà les impressores per mitjà de la xarxa) i Share
published printers connected to this system (d’aquesta manera ens permetrà
compartir impressores públiques connectades al sistema). Si es pot accedir al
servidor des d’Internet i volem que es pugui imprimir, marcarem l’opció Allow
printing from Internet.
Per altra banda, si volem administrar remotament el servidor, és a dir, accedir

a la configuració via web des d’un altra màquina, haurem de marcar l’opció
Allow remote administration, que també és en la secció Server de la pestanya
Administration. Es mostra en la figura 2.14.
Fig ur a 2 . 1 4 . Exemple de secció Server de CUPS
3. Configuració del client per detectar i utilitzar les impressores compar-

tides pel servidor CUPS. Per tal que el client utilitzi les impressores remotes
instal·lades en el servidor CUPS, des de l’Ubuntu, instal·lat en la màquina client,
anirem al menú Sistema > Administració > Impressió. En seleccionar l’opció
Impressió del menú, apareixerà una pantalla en què ens mostrarà les impressores
que ja tenim configurades. En aquesta pantalla haurem de seleccionar la icona
Nou > Impressora. Aleshores començarà un procés de cerca de les impressores
que detecti l’equip. Al final d’aquest procés se’ns obrirà el quadre Impressora
nova que veiem en la figura 2.15.
F igu ra 2 . 1 5 . Quadre per afegir una impressora nova
Si ens ha detectat la impressora que volem instal·lar, només caldrà que premem el
botó Endavant.
A continuació, apareixerà un quadre en què ens demanarà el nom mitjançant el

qual volem que es reconegui la impressora en el sistema. De manera opcional,
també ens demanarà una ubicació i una descripció d’aquesta impressora. Després
d’especificar les dades anteriors, haurem de fer clic a Aplica i així conclourà el
procés d’instal·lació.
Finalment, el sistema ens proposarà imprimir una pàgina de prova perquè puguem
estar segurs que la instal·lació s’ha fet correctament.
Si, per contra, en el quadre Impressora nova no es mostra la impressora que volem
instal·lar, tenim dues possibilitats:
• Seleccionar l’opció Altre i especificar tot l’URI de la impressora que volem

instal·lar en el format següent:
1 ipp://nom_o_ip_servidor/printers/nom_impresora
• Seleccionar, en la part dreta del quadre, l’opció Internet printing protocol

(IPP) i especificar en cada quadre de text els valors dels paràmetres
demanats: ordinador (nom o adreça IP del servidor), cua (afegir el nom
de la impressora).
Una vegada especificats els paràmetres de la impressora que volem instal·lar en

una de les dues opcions anteriors, clicarem a Endavant.
A continuació, ens mostrarà una pantalla com la de la figura 2.16, en què

ens donarà la possibilitat d’escollir entre tres opcions: seleccionar una marca
d’impressora de la base de dades de controladors del sistema, proporcionar un
fitxer PPD en què especifiquem el controlador o cercar el controlador a baixar.
Normalment escollirem la marca de la impressora que volem instal·lar i polsarem
el botó Endavant.
F ig ur a 2. 16 . Opcions de selecció en instal·lar una impressora nova
Seguidament haurem d’escollir el model concret dins dels controladors de la

marca seleccionada anteriorment. Escollirem el més adequat per a la impressora
concreta i farem Endavant.
A continuació apareixerà un quadre en què ens demanarà el nom mitjançant el

qual volem que es reconegui la impressora en el sistema. De manera opoional,
també ens demanarà una ubicació i una descripció de la impressora. Després
d’especificar aquestes dades, polsarem el botó Aplica i així conclourà el procés

d’instal·lació.
2.10.4 Samba i CUPS
El servei Samba integra el servei d’impressió CUPS i està configurat per tal que,
per defecte, faci servir aquest sistema. Tot i que el Samba també suporta altres
estils o sistemes d’impressió, el paràmetre printing, el qual determina el sistema
d’impressió, té el valor cups per defecte.
La combinació del Samba i el CUPS permet la compartició d’impressores en-

tre màquines GNU/Linux i màquines Windows. En xarxes que són formades
totalment per màquines GNU/Linux, proporciona al servei CUPS més control de
l’accés a les impressores compartides. Això és degut a les polítiques de seguretat
i de gestió d’usuaris del Samba, ja que la configuració global d’aquest servidor,
a diferència del CUPS, permet determinar quins usuaris poden accedir als seus
recursos i quins no.
Per exemple, si fem servir la compartició d’impressores via CUPS, podrem

determinar si una màquina de la xarxa pot accedir o no a les impressores, però
no quins usuaris concrets de cada màquina hi tenen accés i quins no. Si utilitzem
el Samba, en canvi, podrem distingir entre els usuaris i/o els grups d’una màquina
que tenen accés a les impressores del servidor CUPS i els que no hi tenen accés.
Compartir impressores amb el Samba fent servir el CUPS
La compartició d’impressores via Samba entre sistemes GNU/Linux és molt

similar a la compartició d’impressores amb el CUPS. El procés de compartició
també consta d’una sèrie de passos.
1. Instal·lació de les impressores a compartir en el servidor Samba. La

instal·lació de les impressores la podem fer de la mateixa manera que es fa en
el servidor CUPS. Tanmateix, si tenim les impressores connectades físicament al
servidor Samba, també la podem fer localment. Se suposa que aquests dos tipus
d’instal·lació ja es coneixen.
2. Configuració del servidor Samba per a la compartició de les impressores.

L’eina Swat permet portar a terme dues opcions: configurar les opcions de
compartició d’impressores amb la secció [printers] o bé afegir cada impressora
a compartir com un recurs nou amb els paràmetres que vulguem. En la figura 2.17
es mostra la segona opció, és a dir, afegir la impressora com un recurs nou.
F igur a 2 . 1 7. Exemple de compartició d’una impressora amb Swat
Per defecte, el Samba treballa sobre el sistema CUPS.
3. Configuració del client per detectar i utilitzar les impressores compartides

pel servidor Samba. La configuració s’assembla molt a la del servidor CUPS,
però hi ha unes quantes diferències. Un cop siguem en el sistema Ubuntu
instal·lat en la màquina client, anirem al menú Sistema > Administració >
Impressió. Apareixerà una pantalla en què ens mostrarà les impressores que ja
tenim configurades. En aquesta pantalla seleccionarem la icona Nou > Impressora
i aleshores començarà un procés de cerca de les impressores detectades per l’equip.
Al final d’aquest procés, s’obrirà el quadre Impressora nova.
Una vegada obert el quadre, tenim dues possibilitats:
• Seleccionar l’opció Altre i especificar tot l’URI de la impressora que volem

instal·lar en el format següent:
1 smb://[grup_de_treball]nom_o_ip_servidor[:port]/nom_impressora
• Seleccionar, en la part dreta del quadre, l’opció Windows Printer via SAMBA
i especificar en cada quadre de text els valors dels paràmetres demanats.
En el quadre de text smb especificarem les dades corresponents amb el format

següent:
1 smb://[grup_de_treball]nom_o_ip_servidor[:port]/nom_impressora
A continuació, determinarem si cal que, a l’hora d’imprimir, el sistema demani les

dades d’autenticació a l’usuari o utilitzi les dades especificades en aquesta pantalla
(figura 2.18).
F igu ra 2 .1 8 . Pantalla de configuració d’una impressora nova al client
Una vegada especificats els paràmetres de la impressora que volem instal·lar,

premerem el botó Endavant.
A continuació, ens mostrarà una pantalla en què ens demanarà que seleccionem
una marca d’impressora de la base de dades de controladors del sistema, que li
proporcionem el controlador en un fitxer PPD o que cerquem el controlador a
baixar.
Normalment escollirem la marca de la impressora que volem instal·lar i farem

Endavant.
A continuació, haurem d’escollir el model concret dins dels controladors de la

marca seleccionada anteriorment. Escollirem el més adequat per a la impressora,
com veiem a la figura 2.19 i farem Endavant.
F igu ra 2 .1 9 . Pantalla per escollir el tipus d’impressora
Seguidament, apareixerà un quadre en què ens demanarà el nom mitjançant el

qual volem que es reconegui la impressora en el sistema. De manera opcional,

també ens demanarà una ubicació i una descripció d’aquesta impressora. Després
d’especificar aquestes dades, haurem de prémer el botó Aplica i així conclourà el
procés d’instal·lació.
Integració de sistemes
operatius
Jordi Cárdenas Guia i Juan José López Zamorano

Sistemes operatius en xarxa Integració de sistemes operatius
Índex
Introducció 5
1 Sistemes heterogenis. Integració de sistemes amb Windows 9

1.1 Sistemes heterogenis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1.1 Integració de sistemes heterogenis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2 Integració de sistemes lliures i propietaris amb Windows 2008 Server . . . . . . . . . . . . . 12
1.2.1 Subsistema per aplicacions UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2.2 Gestió d’identitats per a UNIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3 Utilització d’NFS en Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.1 Instal·lar NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.2 Component d’NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.3 Configuració de l’ús compartit d’NFS . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.4 Administració de la funció de serveis d’arxius . . . . . . . . . . . . . . . . . . . . . . 17
1.3.5 Configuració de l’accés a impressores . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.3.6 Configuració d’Active Directory per autenticar màquines UNIX . . . . . . . . . . . . 19
1.4 Interoperabilitat amb equips Mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1.4.1 Equips Mac i Windows dins d’una mateixa xarxa . . . . . . . . . . . . . . . . . . . . 21
1.4.2 Connexió a volums NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4.3 Mac OS X i Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.4.4 Mac OS X i Open Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1.4.5 Emmagatzematge en xarxa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.4.6 Mac i PC: impressores compartides en LAN . . . . . . . . . . . . . . . . . . . . . . 24
1.5 Utilització dels diferents servidors de fitxers . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2 Integració de sistemes amb GNU/Linux 27

2.1 Integració de sistemes lliures i propietaris amb Samba . . . . . . . . . . . . . . . . . . . . . 27
2.1.1 Utilitats de Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2 Domini Windows NT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.3 Grups de treball Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.4 Tipus de configuracions d’un servidor Samba . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.5 Instal·lació servidor i client Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.6 Configuració de Samba a un grup de treball . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.6.1 Compartició de recursos a un grup de treball heterogeni . . . . . . . . . . . . . . . . 34
2.7 Navegació a les xarxes Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
2.7.1 Configuració del Browsing a Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
2.7.2 Configuració de Samba com a Local Master Browser . . . . . . . . . . . . . . . . . . 42
2.7.3 Configuració com a Domain Master Browser . . . . . . . . . . . . . . . . . . . . . . 42
2.8 Gestió de l’autenticació amb Samba en sistemes heterogenis . . . . . . . . . . . . . . . . . . 43
2.8.1 Identificació d’usuaris GNU/Linux i Windows . . . . . . . . . . . . . . . . . . . . . 44
2.8.2 Procés d’autenticació en Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
2.9 Configurar Samba com a Controlador Primari de Domini . . . . . . . . . . . . . . . . . . . . 48
Sistemes operatius en xarxa Integració de sistemes operatius
2.9.1 Configuració bàsica de TCP/IP i dels paràmetres de xarxa de Windows . . . . . . . . 49

2.9.2 Configuració de la resolució de noms de NetBIOS (WINS) . . . . . . . . . . . . . . . 50
2.9.3 Configuració les opcions de Logon . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
2.9.4 Scripts de gestió d’usuaris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
2.9.5 Afegir clients al domini amb Samba com a PDC . . . . . . . . . . . . . . . . . . . . 59
2.10 Samba amb LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2.10.1 Configuració d’un PDC Samba amb OpenLDAP . . . . . . . . . . . . . . . . . . . . 63
Sistemes operatius en xarxa 5 Integració de sistemes operatius
Introducció
La integració de sistemes és un fet habitual avui dia en el món informàtic.

Considerem completament normal que sistemes propietari i lliures convisquin en
una mateixa xarxa i, encara més, comparteixin recursos.
No tindria sentit estudiar les característiques i els components dels sistemes

propietari i els sistemes lliures si no s’uneixen les vies d’estudi en algun punt. En
aquesta unitat convergeixen els dos tipus de sistemes. Cal avaluar com s’accepten
mútuament i quins problemes en generen. Heu d’aconseguir desenvolupar un ull
crític que us permeti aprofitar els avantatges que cadascun dels sistemes us ofereix.
Aquesta unitat presenta els mecanismes actuals de compartició de recursos entre

els sistemes propietari i lliure i entre els sistemes lliures i propietari. S’ha centrat
l’estudi en distribucions lliures basades en UNIX i les versions més actuals dels
sistemes operatius servidor de Microsoft.
És molt recomanable disposar de, com a mínim, un sistema operatiu propietari i un

sistema operatiu lliure que es puguin comunicar per poder treballar els continguts
aquí presentats. Al llarg del text es mostren situacions i exercicis que us ajudaran
molt a assolir els objectius del crèdit. Les activitats i els exercicis d’autoavalució
s’han dissenyat en la línia de treball del material escrit i, per tant, es recomana
treballar-los en paral·lel a l’estudi teòric.
En l’apartat “Sistemes heterogenis. Integració de sistemes amb Windows”, es

descriu en què consisteixen els sistemes heterogenis i com estan presents en
gairebé tots els àmbits de treball actual. A més, s’hi mostra, mitjançant eines com
SNIS i NFS, la integració de diferents sistemes operatius des del punt de vista dels
sistemes propietaris, concretament utilitzant Windows 2008 Server.
En l’apartat “Integració de sistemes amb GNU/Linux” es mostra, mitjançant

eines com Samba i LDAP, la integració dels sistemes operatius GNU/Linux,
concretament Ubuntu, dins de la estructura dels sistemes operatius Windows.
En finalitzar aquesta unitat l’alumna/e:
1. Identifica la necessitat de compartir recursos en xarxa entre diferents

sistemes operatius.
2. Comprova la connectivitat de la xarxa en un escenari heterogeni.
3. Descriu la funcionalitat dels serveis que permeten compartir recursos en

xarxa.
4. Instal·la i configura serveis per compartir recursos en xarxa.
5. Utilitza eines gràfiques per a la gestió de recursos compartits en escenaris

heterogenis.
6. Accedeix a sistemes d’arxius en xarxa des d’equips amb diferents sistemes

operatius.
7. Accedeix a impressores des d’equips amb diferents sistemes operatius.
8. Gestiona usuaris i grups.
9. Estableix nivells de seguretat per controlar l’accés dels usuaris i grups als
recursos compartits en xarxa.
10. Comprova el funcionament dels serveis instal·lats.
11. Documenta les tasques d’integració fetes, les incidències aparegudes i les
solucions aportades.
12. Cerca i interpreta documentació tècnica en les llengües oficials i en les de

més ús al sector.
1. Sistemes heterogenis. Integració de sistemes amb Windows
En aquesta unitat desenvolupem el concepte de sistema heterogeni i la importància

de la integració dels sistemes existents en aquest tipus d’escenari. Així mateix,
es mostren les diverses possibilitats d’integració entre diferents tipus de sistemes
operatius i introduïm els mecanismes d’integració proporcionats pel sistema
Windows 2008 Server.
Microsoft Windows és el sistema operatiu amb llicència propietària de programari

més important del món, mentre que les diferents distribucions Linux són els
sistemes operatius amb llicència lliure més distribuïts arreu del món. És clara,
doncs, la importància de fer treballar junts tots dos sistemes i aprofitar al màxim
les respectives característiques.
El codi obert dels sistemes Linux i la seva gratuïtat es contraposen al codi tancat
i de pagament dels sistemes Windows. Segons Microsoft, els seus sistemes són
realment més barats que els sistemes Linux, ja que són més fàcils d’utilitzar i
això implica a llarg termini un abaratiment del producte, mentre que els sistemes
Linux requereixen una “mà” més experta, cosa que encareix un producte que en
un principi era gratuït.
1.1 Sistemes heterogenis
La gran majoria d’organitzacions existents actualment, degut a les tendències

del món de la informàtica i les telecomunicacions, fan servir gran quantitat de
maquinari i programari amb característiques, arquitectures o fabricants diferents.
Aquestes diferències conformen un sistema o escenari heterogeni, que podem
definir com:
Un sistema heterogeni és aquell que es troba compost per maquinari amb

característiques físiques distintes entre si, i programari amb característiques
operatives distintes entre si, però que es poden comunicar utilitzant mitjans
comuns.
Molts dels àmbits referents a la comunicació i la compatibilitat entre equips amb

diferent maquinari i programari estan estandarditzats, per exemple protocols de
comunicacions, estàndards de maquinari, etc. Però existeixen altres àmbits, com
són el del funcionament i gestió dels sistemes operatius, en el qual cada distribució
o empresa té implementacions, comportaments o funcionalitats diferents. Aques-
tes implementacions no estandarditzades o no consensuades fan que en molts
casos els diferents sistemes operatius siguin incompatibles entre ells. Aquestes
diferències són majors sobretot entre sistemes operatius lliures i propietaris, ja

que la filosofia de negoci de cadascú dificulta de vegades el desenvolupament
d’estàndards comuns i, per tant, la integració dels sistemes.
El fet que existeixen diferents màquines amb sistemes operatius en una mateixa
organització indica que cada màquina gestionarà una quantitat d’informació i una
sèrie de recursos com ara impressores, discos durs, unitats de CD-ROM que
pot ser necessari que siguin compartits amb la resta de màquines de la xarxa o
l’organització.
Així resulta necessari l’ús de serveis o aplicacions que permetin i facilitin

l’intercanvi de recursos i informació en les organitzacions i que generin un entorn
Independència
de xarxa comú entre els diferents sistemes operatius.
Quan utilitzem el terme
independència no volem dir que Existeixen gran varietat de serveis que ens permeten fer la compartició de recursos
les aplicacions que implementen
els serveis de xarxa siguin de manera transparent a l’usuari i amb independència del sistema operatiu que
independents del sistema
operatiu, sinó que quan els utilitzem a través de la xarxa. Aquesta independència es deu al fet que aquests
sistemes utilitzen un determinat
servei, per exemple accedir a un serveis utilitzen protocols de comunicació estandarditzats, per exemple FTP,
fitxer en un servidor FTP, és
indiferent que la màquina on es
HTTP, DNS, etc. Però si el que volem és generar un entorn de xarxa comú en
troba funcionant el servei tingui
instal·lat un sistema operatiu o
el qual integrem el sistema d’autenticació d’usuaris en una xarxa local, amb la
un altre, davant de l’usuari. compartició de recursos i la gestió de la informació de les màquines connectades
a la xarxa, necessitem fer servir altres tipus de serveis com són els serveis de
directori, serveis d’autenticació centralitzada, serveis de compartició de fitxers,
serveis d’impressió, etc. que funcionin de manera conjunta i integrada.
La figura 1.1 il·lustra la idea de sistema heterogeni. Es pretén fer conviure sistemes
molt diferents en un mateix espai.
Fig ur a 1 . 1 . Un sistema heterogeni
1.1.1 Integració de sistemes heterogenis
Una vegada entenem en què consisteix un sistema heterogeni i la importància de

la compartició de recursos dins de les organitzacions, podem adonar-nos de la
necessitat d’integrar els diferents sistemes operatius perquè puguin funcionar en
conjunt en àmbits comuns i utilitzar els recursos de què es disposa.
Definim la integració de sistemes com la creació d’estructures formades

per ordinadors de diferent tipus i amb sistemes operatius diferents que
interoperin entre si de manera transparent per a l’usuari.
Existeixen diferents possibilitats d’integració entre sistemes lliures i propietaris

per a la compartició de recursos, la possibilitat més comuna és mitjançant dominis
Windows. Per implementar un domini Windows tenim diferents opcions:
• Utilitzar una màquina Windows com a controlador de domini.
• Utilitzar una màquina GNU/Linux com a controlador de domini.
En els dos casos anteriors els clients podran ser màquines amb sistemes Windows
o GNU/Linux.
En el cas d’utilitzar una màquina Windows com a controlador de domini, les

màquines clients Windows no tindran cap problema per accedir al domini. Per a les
màquines clients GNU/Linux, ens caldrà especificar un mecanisme d’autenticació
i proporcionar la manera d’obtenir els atributs específics (UID; GID; shell, etc.)
per a usuaris i grups. D’aquesta manera podem optar per dues solucions:
1. No utilitzar Directori Actiu, fent servir winbind, aquesta opció ens permet:
• Resoldre l’autenticació i l’obtenció d’atributs comuns mitjançant me-

canismes Windows (Kerberos + LDAP).
• Integrar el client GNU/Linux com a membre del domini Windows.
• Proporcionar atributs UNIX des del mateix client GNU/Linux quan
sigui necessari.
2. Utilitzar Directori Actiu, fent servir IDMU, aquesta opció ens permet:
• Modificar l’esquema d’Active Directory per incloure atributs UNIX.

• Resoldre l’autenticació i l’obtenció d’atributs comuns mitjançant me-
canismes Windows (Kerberos + LDAP).
• No integrar el client GNU/Linux com a membre del domini Windows.
• Configurar el client GNU/Linux perquè pugui accedir al Directori
Actiu.
Independentment de l’opció que utilitzem haurem de configurar el client GNU/-

Linux per utilitzar NSS (especificació de la base de dades d’usuaris), PAM
(autenticació de comptes) i, si cal, windbind (integració de clients GNU/Linux
en dominis Windows).
En el cas d’utilitzar una màquina GNU/Linux com a controlador de domini, la

màquina haurà de tenir instal·lat el paquet Samba i estar configurada com a con-
trolador primari de domini. Aquesta solució permet emular un domini Windows
NT amb una màquina GNU/Linux, la qual cosa suposa utilitzar programari lliure,
evitant així, haver de pagar llicències per la seva utilització. Els clients Windows
podran accedir al domini i als recursos accessibles des del domini sense cap
problema. Els clients GNU/Linux podran accedir als recursos del domini, si
els usuaris existents als clients estan donats d’alta també com a usuaris Samba.
Si volem que els clients GNU/Linux, a més, s’autentiquen al domini creat pel
servidor Samba, haurem d’utilitzar i configurar eines com NSS, PAM, i windbind
o LDAP.
Existeix una altra opció molt més senzilla per a la simple compartició de recursos
entre màquines Windows i GNU/Linux, sense necessitat d’implementar un domini.
Aquesta opció consisteix a utilitzar Samba a les màquines GNU/Linux i crear un
grup de treball comú entre les màquines amb sistemes Windows i les màquines
amb sistemes GNU/Linux.
1.2 Integració de sistemes lliures i propietaris amb Windows 2008

Server
Tot i que Microsoft domina clarament el mercat domèstic, cada vegada més el
sistema Linux està present a les llars compartint màquina amb una versió Windows.
En el món de les supercomputadores les dades canvien: Microsoft és el segon
sistema utilitzat per darrere de Linux.
Des del punt de vista tècnic, el més important és saber identificar les febleses de
cadascun dels sistemes i cobrir-les amb un altre sistema operatiu. És aquí on té un
paper molt important saber integrar diferents sistemes operatius.
Microsoft Windows Server 2008 ofereix diverses opcions d’integració vers dife-
rents sistemes operatius, com ara les distribucions Linux o els sistemes operatius
d’Apple.
1.2.1 Subsistema per aplicacions UNIX
En les distribucions Linux existeixen paquets que permeten executar en Linux

aplicacions dissenyades per a Windows. L’empresa Microsoft no tenia la possibi-
litat d’executar aplicacions basades en UNIX, cosa que es podia interpretar com
una situació de desavantatge, fins que es va presentar el SUA (Subsystem Unix
Applications).
SUA ofereix la infraestructura bàsica per executar aplicacions i scripts UNIX

en Microsoft Windows Server 2008.
El SUA resideix sobre el nucli, igual que el subsistema win32. Contempla la

semàntica i les crides del sistema UNIX completes.
Per utilitzar el SUA l’haureu d’instal·lar com una característica de Windows Server
2008.
Utilitats del subsistema d’aplicacions UNIX
El SUA inclou una sèrie d’utilitats que el posicionen com una eina molt potent i
amb un ampli camp d’aplicació. Algunes de les utilitats que inclou el SUA són:
• Shells: Korn i C.
• Jobs: ps, nice i kill.
• Batchs: at, cron i batch.
• Desenvolupament: gcc, gdb i make.
• Processament de text: grep, less, awk, sed, pr i tr.
• Gràfics: xterm, xrdb, xset i xclock.
• Connectivitat: bind, sendmail i ftp.
El SUA també inclou un ampli suport d’APIs que permeten dur a terme la
portabilitat d’aplicacions UNIX sense haver de fer gaires canvis en el codi font,
com ara C, C++, Fortran, Perl, Math, RPC, Socket, Curse, Crypt, Termcap, Lex,
Yacc, Pthread, X11R6.6 i suport a Dynamic linking/shared object.
Portabilitat d’aplicacions
De manera similar a com es fan les portabilitats d’aplicacions entre diferents

distribucions de Linux, SUA s’encarrega de portar a Windows scripts i aplicacions
d’UNIX. Els scripts els copia a scripts per a Windows Server i els executa, mentre
que les aplicacions les ha de recompilar.
La portabilitat es fan de manera segura en un gran nombre de casos, tot i que

us podeu trobar amb problemes durant la compilació de les aplicacions. En
determinats casos es produeixen petits canvis en l’aspecte que presenten les
aplicacions deguts a les diferències en les llibreries d’ambdós sistemes.
1.2.2 Gestió d’identitats per a UNIX
La gestió d’identitats s’instal·la com una part del Role de Directory Services de
SNIS (Server for NIS) integra les xarxes de Windows i la de Network

Information Service (NIS).
Un controlador de domini Windows té la possibilitat d’actuar como un NIS mestre

per a un o diversos dominis NIS. SNIS emmagatzema les dades dels NIS maps en
el Directorio Activo utilitzant un esquema compatible amb l’RFC 2307.
Altres característiques pròpies són:
• La gestió d’identitats pot utilitzar NIS maps com estàndard, per exemple
hosts, group, protocols, o com no estàndard.
• Els clients UNIX i Linux accedeixen a AD utilitzant LDAP.
• SNIS pot instal·lar-se en altres DC del domini per a que actuïn com a
subordinats.
• Els servidors NIS UNIX poden seguir actuant com a subordinats del domini
NIS.
Eines i utilitats SNIS
SNIS agrupa una sèrie d’eines i utilitats que faciliten molt les tasques de l’usuari.
En resum, SNISS ofereix:
• Un assistent de migració i utilitats en la línia d’ordres per migrar i gestionar

els NIS maps d’UNIX al servidor executant SNIS: nis2ad, nisadmin, nismap,
ypcat, ypclear, ypmatch, yppush.
• Els clients poden utilitzar moltes funcions i crides de procediment remot per
connectar al servei de xarxa: yp_match, yp_first, yp_next, yp_all, yp_order,
yp_master, yperr_string, and ypprot_err.
• Un llarg etcètera com: yppoll, ypset, domainname.
Sincronització de contrasenyes
La possibilitat de sincronitzar les contrasenyes tant en un sistema UNIX com en

un sistema Windows facilita molt la tasca de l’administrador i la dels usuaris.
La sincronització de contrasenyes:
• S’instal·la com una part del Role de Directory Services de Windows Server
2008.
• Permet als usuaris mantenir un únic parell usuari/contrasenya per a tot el

domini Windows i els equips UNIX, i sincronitzar les contrasenyes quan es
canvien en algun dels sistemes.
• La sincronització pot ser en un o en els dos sentits.
• Sincronitza les contrasenyes en equips Windows Stand-Alone o per a un

domini de Windows.
• Gestiona les contrasenyes d’equips UNIX individuals o de tots els equips

d’un domini NIS.
1.3 Utilització d’NFS en Windows Server 2008

Windows Services For UNIX
Resulta de gran utilitat utilitzar un client NFS per migrar arxius d’una màquina Windows Services For UNIX és
un paquet que conté utilitats per
UNIX a un servidor Windows Server 2008. Utilitzant el client per a NFS podreu reproduir diverses Shell de
accedir sense gaires problemes a una màquina UNIX. UNIX, emular el seu
comportament i proporcionar un
entorn operatiu similar al
d’UNIX o Linux dins de
Característiques que heu de tenir en compte a l’hora d’utilitzar NFS són: Windows Server 2003.
• S’instal·la com a part del Role de servidor de fitxers amb el Server Manager.
• Té suport per treballar amb màquines de 64 bits.
• Proporciona millores de rendiment.
• Ofereix suport a dispositius UNIX especials (mknod).
• Heu de tenir en compte que determinades característiques de SFU 3.5 no

estan suportades en Windows Server 2008 (ni en Windows Server 2003 R2).
• Proporciona Gateway for NFS.
• Conté Server for PCNFS.
• Conté tots els components PCNFS del client per NFS.
1.3.1 Instal·lar NFS
Per fer la instal·lació de l’NFS Microsoft Windows utilitza Microsoft Installer.
Podeu instal·lar mòduls individuals o tot el producte sencer. Heu de tenir en

compte que si s’han instal·lat components anteriors de Servicios de Windows per
UNIX, haureu d’incloure aquests components en el paràmetre addlocal de la línia
d’ordres d’instal·lació, separats per una coma (,). Si no ho feu, aquests productes
s’eliminaran durant la instal·lació del client per a NFS.
Per instal·lar el client per a NFS des de la línia d’ordres haureu de seguir els passos
següents:
1. Inicieu una sessió en l’equip amb un compte del grup dels administradors.
2. Obriu una finestra de línia d’ordres.
3. Introduïu al lector de DVD el disc que contingui Windows Services for

UNIX.
4. Escriviu a la línia d’ordres: msiexec /I D:\sfusetup.msi /qb addlo-

cal=“NFSClient” [targetdir=“install path”].
5. Incloeu la clau del producte agregant PidKey= la vostra clau.
1.3.2 Component d’NFS
Els components que podeu trobar per a serveis per UNIX lligats a NFS estan
directament relacionats amb els processos d’autenticació o bé en depenen. A
continuació es descriuen breument aquests components:
• User Name Mapping Server: mapa els usuaris UNIX que estan a Windows
i els usuaris Windows que estan a UNIX. Si es donés el cas que un usuari
té un compte d’usuari en UNIX i un en Windows, el component conté un
mecanisme per relacionar-los amb una única persona.
• Server for NFS Authentication: no es tracta d’un servidor, sinó d’un

component necessari perquè les màquines Windows puguin fer el procés
d’autenticació amb NFS.
• Server for PCNFS: aquest servidor el pot utilitzar qualsevol altre NFS que
necessiti accedir a PCNFS.
• Client for NFS: es tracta del component client d’SFU per a NFS. El client
per NFS ha d’estar a la màquina que utilitzarà el recurs NFS a la xarxa.
• Gateway for NFS: es tracta d’un client NFS especial. Proporciona l’accés a
recursos a altres màquines Windows que no tenen instal·lat cap component
SFU.
• Server for NFS: el servidor per a NFS s’instal·la en aquells equips que han
de proporcionar el servei NFS a la xarxa.
1.3.3 Configuració de l’ús compartit d’NFS
És possible configurar NFS per compartir carpetes locals en volums NTFS utilit-
zant l’explorador de Windows o mitjançant d’administració d’emmagatzematge
i recursos compartits. Mitjançant l’explorador de Windows podreu activar i
configurar l’ús compartit d’NFS si seguiu els passos següents:
1. Cliqueu amb el botó dret del ratolí a sobre del recurs compartit que vulgueu
administrar.
2. Seleccioneu Propietats.
3. Dins el quadre de diàleg Us compartit avançat d’NFS marqueu l’opció

Compartir aquesta carpeta.
4. Escriviu el nom del recurs compartit en el quadre de text Recurs compartit.
5. Marqueu la casella Permetre accés anònimsi voleu permetre l’accés anònim

a aquest recurs.
Els noms dels recursos compartits mitjançant NFS han de ser únics per a cada
sistema. El nom del recurs que indiqueu és el nom de la carpeta a la qual es
connectaran els usuaris UNIX.
Per defecte, els equips UNIX només disposen d’accés de lectura al recurs compar-
tit mitjançant NFS. Per canviar els permisos d’accés heu de clicar, dins el quadre
de diàleg Ús compartit avançat d’NFS, a sobre del botó Permisos.
Si el que necessiteu és desactivar els recursos compartits amb NFS heu de seguir
els passos següents:
1. Cliqueu amb el botó dret del ratolí a sobre del recurs compartit que vulgueu
desactivar.
2. Premeu a sobre de Propietats.
3. Dins de la fitxaÚs compartit avançat d’NFS elimineu la marca de la casella

Compartir aquesta carpeta.
4. Accepteu per tancar.
1.3.4 Administració de la funció de serveis d’arxius
El servidor d’arxius és un equip que resulta imprescindible en moltes configu-

racions de xarxa. És imprescindible configurar almenys un servidor de fitxers si
molts usuaris necessiten accedir als mateixos fitxers i dades d’aplicació. Microsoft
Windows Server 2008 està preparat per donar aquest accés a màquines que
funcionin sobre sistemes UNIX i distribucions Linux.
En sistemes anteriors a Windows Server 2008 es tenia la possibilitat d’instal·lar un

servidor de fitxers bàsic, però amb l’actual sistema operatiu és necessari configurar
un servidor perquè actuï com a servidor de fitxers afegint la funció Serveis d’arxiu.
En la taula 1.1 es mostren els serveis de funció per a servidors de fitxers.

Taul a 1. 1. Descripció dels serveis de funció per a servidors de fitxers.
Servei de funció Descripció
Administració de recursos compartits i Permet que els administradors s’ocupin de les

emmagatzemament carpetes compartides i permet que els usuaris
accedeixin a les carpetes compartides mitjançant la
xarxa.
Servei de cerca de Windows Permet buscar fitxers ràpidament en el servidor des

de màquines client.
DFS, sistema de fitxers distribuït Proporciona eines i serveis per als espais de noms i
la replicació DFS.
Espais de noms DFS Permet agrupar carpetes compartides ubicades en

diferents servidors dins d’una estructura lògica
formada per un o més espais de noms.
Replicació DFS Permet sincronitzar carpetes de diversos servidors

mitjançant les connexions de xarxa d’àrea local o
extensa.
FSRM, administrador de recursos del servidor de Agrupa un conjunt d’eines que els administradors
fitxers poden utilitzar per gestionar les dades
emmagatzemades.
Serveis per a NFS Permet compartir fitxers en entorns mixtos. Els

usuaris podran transferir fitxers entre Windows
Server 2008 i UNIX o distribucions Linux.
Serveis d’arxiu de Windows Server 2003 Proporciona serveis de fitxer compatibles amb
FRS, serveis de replicació d’arxius Permet sincronitzar carpetes amb servidors d’arxius
que utilitzin FRS en comptes de DFS.
Serveis d’Index Server Permet la indexació d’arxius i carpetes per poder

trobar-los ràpidament.
Per afegir la funció Serveis de fitxer i poder treballar seguiu els passos següents:
1. Obriu l’administrador del servidor.
2. Dins el node Funcions cliqueu a Afegir funcions.
3. Quan estigueu a Seleccionar funcions del servidor seleccioneu Serveis de

fitxer i progresseu amb Següent.
4. Marqueu Serveis per a Network File System per poder treballar amb sistemes
UNIX.
5. Completeu els passos opcionals i cliqueu a Següent.
6. Confirmeu l’inici de la instal·lació amb Confirmar seleccions d’instal·lació.
7. Cliqueu a Instal·lar per iniciar el procés d’instal·lació.
1.3.5 Configuració de l’accés a impressores
Una impressora accessible des de la xarxa pot concentrar un gran número de

tasques d’impressió que poden venir tant de sistemes Windows com de sistemes
UNIX. L’alta càrrega de treball fa que calgui fer un treball d’administració força
acurat.
Els treballs que s’acumulen a la cua d’impressió es copien a la carpeta %SystemRo-

ot%\system32\spool\PRINTERS. Els usuaris que hagin d’accedir a la impressora
hauran de tenir permisos per modificar aquesta carpeta.
Reviseu els permisos de la carpeta seguint els passos següents:
1. Obriu el servidor d’impressió.
2. Cliqueu a Propietats.
3. Seleccioneu la fitxa Opcions avançades.
4. La carpeta a revisar està descrita com Carpeta de cua d’impressió.
5. Utilitzeu l’explorador de Windows per accedir a la carpeta descrita en el

punt anterior.
6. Cliqueu amb el botó dret a sobre de la carpeta i premeu Propietats.
7. Dins la fitxa Seguretat comproveu que els permisos són els adients.
1.3.6 Configuració d’Active Directory per autenticar màquines UNIX
Abans de l’aparició de Microsoft Windows Server 2000 els controladors de domini

de Windows NT proporcionaven serveis d’autenticació per a clients utilitzant
NTLM (gestor de xarxes d’NT). Aquest protocol era capaç de mantenir duplicats
de comptes d’usuari en diversos servidors de xarxa, tot i que tenia importants
problemes de seguretat.
És a partir de Microsoft Windows Server 2000 que Microsoft decideix deixar de

banda el protocol NTLM i començar a treballar amb Active Directory i els serveis
d’autenticació integrats d’autenticació Kerberos.
Kerberos és un sistema molt més segur que NTLM i que gestiona millor l’escala-
bilitat. Els sistemes Linux i UNIX també utilitzen Kerberos, per tant es converteix
en molt real la possibilitat d’integrar els diferents sistemes operatius.
Existeix un problema amb l’autenticació d’usuaris de Linux i UNIX amb Active

Directory: els identificadors d’usuaris i grups. Internament, ni Linux ni Windows
fan referència als usuaris pel nom, sinó que utilitzen els identificadors interns
únics.
Els sistemes Microsoft utilitzen el SID (identificador de seguretat), que és una

estructura de longitud variable que identifica sense marge d’error els diferents
usuaris dins d’un domini de Windows. El SID també conté un identificador únic de
domini per tal que el sistema operatiu pugui distingir entre els usuaris en diferents
dominis.
En sistemes UNIX i distribucions Linux cada usuari té un identificador d’usuari

(UID) que és un nombre enter de 32 bits únic en el sistema. L’àmbit de l’UID
està limitat en l’equip, sense que es garanteixi que un altre usuari en una màquina
diferent pugui tenir el mateix nombre enter. Això fa que un usuari ha d’iniciar
sessió en cada equip on hagi de tenir accés.
Aquest problema se soluciona proporcionant autenticació de xarxa amb el sistema

d’informació de xarxa (NIS) o un directori compartit d’LDAP. El sistema d’au-
tenticació de xarxa proporciona l’UID per a l’usuari i tots els equips Linux o
UNIX utilitzen aquest sistema d’autenticació compartint el mateix usuari i els
identificadors de grup.
És recomanable utilitzar Active Directory per proporcionar un usuari únic i els

identificadors de grup. Es pot crear un UID per a cada usuari i grup i emmagat-
zemar aquest identificador amb l’objecte corresponent en Active Directory, així,
quan un usuari s’autentica pot cercar l’UID per a l’usuari i proporcionar-lo per al
sistema operatiu com l’identificador de l’usuari intern.
Aquesta solució, però, té un inconvenient. És necessari proporcionar un meca-

nisme per garantir que cada usuari i grup tenen un identificador i que aquests
identificadors són únics en el bosc.
Una altra estratègia per assignar identificadors és utilitzar l’identificador relatiu

(RID). L’identificador relatiu és un número enter de 32 bits que identifica l’usuari
dins el domini. El RID forma part del SID. La solució consisteix en extreure el
RID quan l’usuari inicia la sessió i fer-lo servir com a UID intern únic. Només cal
remarcar que no podreu utilitzar aquesta estratègia en aquells entorns on existeixin
diversos dominis, ja que existeix la possibilitat que els usuaris de diferents dominis
tinguin el mateix valor RID.
És necessari proporcionar els identificadors de Linux o UNIX per a tots els usuaris,
i els grups als quals pertanyen, que poden iniciar sessió. S’han de definir valors
per als atributs uidNumber i gidNumber dels usuaris i grups. No oblideu que:
• Els sistemes UNIX i distribucions Linux necessiten un UID para a cadascun

dels usuaris que autentiquen. Cada compte d’usuari que iniciarà una sessió
en un equip Linux o UNIX ha de tenir un atribut uidNumber únic. El valor
específic que utilitzi per a un uidNumber no és important, però ha de ser
únic entre tots els usuaris que poden iniciar sessió en l’equipo de Linux o
UNIX.
• Cada usuari de Linux també ha de tenir un identificador de grup predetermi-

nat, per a cada usuari d’Active Directory que s’iniciarà en una sessió en un
equipo Linux o UNIX requereix un valor per a l’atribut gidNumber. Aquest
valor no ha de ser únic entre tots els usuaris, però ha d’identificar el grup.
• Cada grup en Active Directory ha de tenir un valor únic per a l’atribut

gidNumber.
1.4 Interoperabilitat amb equips Mac
És possible intercanviar arxius i compartir impressores i la connexió a Internet

dins una xarxa amb equips Mac.
L’adopció del d’Ethernet i el protocol TCP/IP com estàndard en els últims PC i

Mac ha simplificat enormement la interoperativitat entre les dues plataformes.
Els sistemes Macintosh es poden connectar a totes les principals

plataformes de servidor, com ara AppleShare, Unix, Linux i Windows
(NT/2000/XP/2003/Vista/2008). El sistema operatiu Mac OS X és compatible
amb:
• Els protocols d’arxius compartits estàndard AFP (Apple Filing Protocol).
• SMB / Samba (Service Message Block).
• WebDAV.
• Unix NFS (Network File System).
Per connectar-se a xarxes, Mac OS X disposa d’un client AFP, un altre SMB per
connectar-se a servidors de fitxers Windows i també un NFS per als servidors Unix.
La integració de clients Macintosh en aquestes plataformes de servidor és senzilla
i molt intuïtiva.
1.4.1 Equips Mac i Windows dins d’una mateixa xarxa
El sistema operatiu Mac OS X disposa d’un client i un servidor SMB incorporat,

fet que permet a l’equip que està funcionant amb Mac OS X pertànyer a la xarxa
exactament igual que qualsevol PC per als usuaris de Windows i viceversa. A
l’equip amb Mac OS X, heu de seleccionar Connectar al servidor ... al menú
Anar per navegar per diversos ordinadors de grups de treball i dominis Windows.
Amb aquesta implementació de client i servidor SMB, els usuaris de Mac OS

X poden compartir les carpetes i impressores connectades per USB a una xarxa
Windows.
Des d’una estació de treball Windows s’accedeix de la mateixa manera a tots els
recursos ubicats en un servidor Mac OS X.
Mac OS X Server és un sistema operatiu per a servidor d’última generació.

Gràcies al seu alt rendiment. Heu de tenir en compte que el sistema operatiu Mac
OS X Server pot atendre un gran nombre d’estacions de treball, tant Mac com PC
amb Windows o estacions de treball Unix.
El programari inclòs en el sistema operatiu Mac proporciona serveis per compartir

arxius Macintosh (AFP sobre IP), Windows (SMB / CIFS) i Unix (NFS). També
inclou eines d’administració per a ordinadors Macintosh anteriors i les aplicacions
necessàries per implantar un servidor d’Internet complet (DNS, web, correu i un
llarg etcètera). A més, el programari proporciona una interfície d’administració
unificada per organitzar els privilegis d’accés dels usuaris.
Mac OS X Server és compatible amb els arxius compartits Windows des de

qualsevol punt d’accés definit, no solament les carpetes compartides i públiques
del directori d’inici de l’usuari. També és compatible amb el protocol WINS
(Windows Internet Naming Service), que permet a clients Windows de diverses
subxarxes negociar noms i adreces.
La interoperavilitat amb Novell també és possible. Novell sempre ha treballat

per proporcionar als seus servidors Netware solucions de compatibilitat amb
Macintosh (des de la versió 4.x. Netware inclou Netware per a Macintosh,
una extensió del programari que permet compartir arxius i impressores amb
Macintosh). Des de Mac OS X, els servidors Netware 5.xi 6 es veuen com un
veritable servidor AppleShare sobre IP.
1.4.2 Connexió a volums NFS
Si la xarxa on pertany l’equip Mac té servidors NFS, podeu utilitzar l’opció

Connectar al servidor ... del menú Anar per accedir als arxius compartits. A
diferència dels servidors SMB, haureu d’indicar el camí NFS fins als arxius en
qüestió.
La sintaxi correcta per l’URL de servidors NFS és: nfs: / / nomdelservidor.com /

ruta /.
Cal tenir molt en compte que no podeu utilitzar les utilitats de la línia d’ordres ni
Serveis per a NFS per administrar versions anteriors.
Utilitzeu Servidor per a NFS per controlar l’accés dels usuaris i dels grups als
recursos de Serveis per a NFS mitjançant Active Directory. Per aconseguir-ho, us
caldrà l’identificador d’usuari o l’identificador de grup segons quin sigui el cas.
Si agregueu una nova unitat en l’equip que és el servidor d’NFS, tingueu en compte
que haureu de modificar permisos. El directori arrel de la unitat haurà de tenir els
permisos adequats perquè no tothom hi pugui escriure.
1.4.3 Mac OS X i Active Directory
El sistema operatiu Mac OS X és compatible amb Active Directory, cosa que

permet integrar més fàcilment els Mac a les xarxes basades en Windows. És
possible adoptar el mateix sistema d’autenticació mitjançant contrasenya que

s’utilitza en els sistemes Windows, i emmagatzemar el vostre directori d’inici en
un servidor Windows remot.
Un aspecte a tenir molt en compte és utilitzar un nom de màquina i contrasenya

correctes. Aquestes dades han de contenir caràcters vàlids per a Windows i no
tenir una longitud de més de setze caràcters. Amb la utilitat dsconfigad podeu
utilitzar noms de màquines i contrasenyes no vàlids per a Active Directory. Amb
dsconfigad es canvien de forma automàtica les dades per tal que siguin vàlides per
a Active Directory.
Per poder utilitzar recursos de Windows Server 2008 en màquines amb sistemes
operatius Mac, caldrà que el protocol AppleTalk estigui funcionant correctament.
Per activar el protocol AppleTalk seguiu els passos següents:
1. Seleccioneu Preferències del sistema al menú Apple.
2. Cliqueu a sobre de la icona Xarxa.
3. Al menú Mostrar seleccioneu Ethernet integrada o bé Airport.
4. Cliqueu a la fitxa AppleTalk.
5. Marqueu la casella Activar AppleTalk.
6. Cliqueu a Aplicar ara.
1.4.4 Mac OS X i Open Directory
Apple ha integrat Samba i Open Directory per l’autenticació d’usuaris. No

és necessari mantenir bases de dades de serveis de directori separades per als
sistemes Windows, de manera que els usuaris poden accedir als seus arxius de
xarxa des de sistemes tant Windows com Macintosh amb el mateix nom d’usuari
i contrasenya.
Des del punt de vista del manteniment, resulta de gran utilitat treballar amb Open
Directory, ja que el tècnic només ha de preocupar-se de mantenir un únic directori,
independentment de les plataformes que es trobin dins la xarxa informàtica.
Els passos per crear un domini basat en Open Directory són:
1. Obrir la utilitat MacOS X Server Admin.
2. Al menú Ordinadors i serveis, que trobareu a l’esquerra de la pantalla,

seleccioneu Open Directory.
3. A la part central de la pantalla, dins la fitxa General, seleccioneu el rol Open

Directory.
4. Amb el botó Configuració, que trobareu a la part inferior de la pantalla,

podreu fer-ne la configuració a mida.
5. Per finalitzar, haureu de crear un compte d’usuari local no compartit que

permeti la gestió administrativa d’Open Directory.
1.4.5 Emmagatzematge en xarxa
Actualment s’utilitzen servidors d’emmagatzematge en xarxa per a emmagatzemar

els arxius d’un grup de treball o d’un departament. Aquest sistema es pot usar amb
transparència pels Mac.
La majoria dels servidors d’emmagatzemament en xarxa de nivell bàsic són

compatibles amb diversos protocols d’arxius compartits, com ara AppleShare.
Això vol dir que l’equipament pot utilitzar-se per a compartir arxius sense esforç en
entorns heterogenis constituïts per ordinadors Mac OS X / PC. La majoria tenen
una interfície web d’administració i poden configurar i administra-se des d’un
equip Mac.
Quan els servidors d’emmagatzematge no són compatibles amb AppleShare,

el sistema Mac OS X ofereix diverses alternatives igual d’efectives mitjançant
sistemes d’arxiu NFS d’Unix i de web estàndard WebDAV. El sistema operatiu
Mac OS X garanteix l’accés a l’emmagatzematge en xarxa, fins i tot a servidors
com els de Network Appliance o EMC.
1.4.6 Mac i PC: impressores compartides en LAN
L’ús compartit d’impressores és una de les tasques més desitjades en els escenaris
heterogenis.
Amb Mac OS X, les opcions d’impressió s’han ampliat considerablement. Aquest

sistema operatiu és compatible amb totes les impressores PostScript del mercat.
Les impressores gestionades i compartides amb Mac OS X Server es veuen des
de les estacions Windows com impressores de PC i com impressores Mac per
les estacions amb Mac OS X. Des de Windows, les cues d’impressió de Mac OS
X Server es veuen com cues SMB/CIFS estàndard. Amb el controlador adient,
apareixen com impressores compartides en l’entorn de xarxa Windows.
Les estacions de treball Mac imprimeixen a través de Mac OS X Server amb

les seves eines habituals (el Centre d’impressió). Els serveis d’impressió de
Mac OS X també estan a l’abast de les estacions de treball Unix via LPD/LPR.
De la mateixa manera, no cal utilitzar servidors d’impressió compatibles amb
AppleTalk, ja que es pot utilitzar el sistema d’impressió LPD/LPR d’Unix.
1.5 Utilització dels diferents servidors de fitxers
És molt important que comproveu la possibilitat d’utilitzar determinats sistemes

de fitxers en el sistema operatiu en xarxa que necessiteu implantar. Heu de saber
els problemes de compatibilitat que es poden manifestar en els vostres dissenys
abans d’implementar cap solució.
En la taula 1.2 es presenta un resum on es relacionen alguns dels sistemes operatius

en xarxa dels servidors més comuns amb els diferents sistemes de fitxers que us
podeu trobar, i s’indica si és possible utilitzar-los.
Taul a 1. 2. Possibilitat s’ús de diferents servidors de fitxers segons el sistema operatiu.
Sistema operatiu AFP en AppleTalk AFP sobre IP SMB/CIFS NFS
Mac OS X Server Sí Sí Sí Sí
Windows 2008 Sí Sí Sí Sí
Server
Netware 6 Sí Sí Sí Sí
Linux Sí Sí Sí Sí
Solaris Sí Sí Sí
2. Integració de sistemes amb GNU/Linux
Per a l’assoliment dels objectius, és imprescindible que l’alumne conegui el procés

d’instal·lar i configurar les aplicacions que s’utilitzen per compartir recursos com
carpetes, impressores, etc. entre màquines amb diferents sistemes operatius
instal·lats. L’aplicació més utilitzada per a la compartició de recursos entre
sistemes operatius diferents és Samba. Així doncs, cal que l’alumne aprengui i
practiqui la instal·lació i configuració del paquet Samba perquè funcioni tant en un
grup de treball amb màquines Windows i GNU/Linux i com a controlador primari
de domini de sistemes Windows NT.
Un altre punt interessant que tractarem és la integració entre els usuaris, grups i
permisos dels sistemes Windows i GNU/Linux que es fa utilitzant Samba. Cal
tenir clar la manera en què Samba permet garantir la seguretat a l’hora d’accedir
als recursos des de diferents plataformes. La millor manera d’entendre el funciona-
ment del mecanisme de compartició de recursos amb Samba és mitjançant alguns
exemples de compartició de recursos instal·lats en diferents sistemes operatius.
També és molt interessant saber com funciona la integració entre Samba i LDAP
per tal de garantir la seguretat, fiabilitat, escalabilitat i robustesa en un escenari de
xarxa heterogeni.
2.1 Integració de sistemes lliures i propietaris amb Samba
Samba és un paquet de programes que implementa en sistemes basats en Unix

(GNU/Linux) una dotzena de serveis i una dotzena de protocols, els quals ens
permeten compartir fitxers i impressores entre els equips d’una xarxa local.
Samba té com a característica principal que ens permet compartir recursos entre
màquines Windows i GNU/Linux connectades en xarxa, per tant possibilita
compartir recursos en un escenari heterogeni.
Veiem els protocols implementats pel paquet Samba:
• NetBIOS sobre TCP/IP (NetBT).
• SMB (reanomenat CIFS).
• DCE/RPC o MSRPC: el paquet de protocols de xarxes veïnes The Network

Neighborhood suite of protocols.
• WINS: també conegut com a NetBIOS name server (NBNS).
• NT Domain i el seu conjunt de protocols:
– NT domain logons.
– Secure accounts manager (SAM) base de dades.

– Local security authority (LSA) servei.
– NT-style printing servei (SPOOLSS).
– Active directory logon (Kerberos i LDAP).
– Protocols de compartició d’impressores.
Tot aquest conjunt de protocols són necessaris per a la integració entre màquines
NetBIOS Windows i GNU/Linux.
NetBIOS és necessari per al
funcionament de Samba, excepte El paquet Samba instal·lat sobre una màquina amb un sistema GNU/Linux permet
en el cas d’una xarxa amb Active
Directory on SMB pot treballar que la màquina ofereixi una sèrie de serveis i ocupi una sèrie de rols dins d’una
directament sobre TCP/IP sense
utilitzar NetBIOS. xarxa integrada, similars als que oferiria una màquina amb un sistema Windows
NT instal·lat. Així doncs, veiem els serveis que ofereix i el rols que pot ocupar un
servidor Samba i els que no.
Entre les tasques que pot fer un servidor Samba hi ha:
• Servidor de fitxers.
• Servidor d’impressores.
• Servidor DFS de Microsoft.
• Controlador de domini principal.
• Autenticació de màquines amb Windows 95/98/Me.
• Autenticació de màquines amb Windows NT/2000/XP
• Local master browser i backup.
• Domain master browser.
• Servidor primari de WINS.
Entre les tasques que no pot fer un servidor Samba es troben:
• Controlador de domini secundari (backup) quan el servidor primari és

Windows.
• Controlador de domini active directory.
• Servidor secundari de WINS.
• No ofereix group policy objects (d’active directory).
Single sign-on (SSO) • No proporciona machine policy objects.

SSO és un procediment
d’autenticació que habilita • No conté els logon scripts d’active directory.
l’usuari per accedir a diversos
sistemes amb una sola instància
d’identificació. Exemples
d’aquest procediment són
• No proporciona el control de les aplicacions de programari que té active
Kerberos o OpenID. directory.
El paquet Samba es troba actualment en la versió 3 i entre els avantatges podem

destacar:
• Reduir el cost total de propietat.
• Ens proporciona suport global.
• Es pot executar més d’un servidor SMB/CIFS per cada sistema GNU/Linux.
(dynamic SMB servers).
• Creació de fitxers d’inici de sessió logon on-the-fly.
• Creació de directives on-the-fly.
• Gran estabilitat, fiabilitat, rendiment i disponibilitat.
• Control del servidor amb SSH.
• Flexibilitat a l’hora d’escollir backends (tdbsam, ldapsam...).
• Habilitat per implementar una solució SSO real (no solament per a Win-
dows).
• Habilitat per tenir sistemes d’autenticació distribuïts amb un mínim ús de

trànsit de xarxa WAN.
2.1.1 Utilitats de Samba
Principalment Samba permet que màquines GNU/Linux i Windows coexisteixin

en la mateixa xarxa, a més d’altres funcions utilitzades en sistemes homogenis
(és a dir, en conjunts de màquines connectades en xarxa amb el mateix sistema
operatiu). D’aquesta manera ens proporciona una de les eines bàsiques per
entendre i compartir recursos entre dos dels sistemes operatius més utilitzats en
l’actualitat. Des del punt de vista d’un escenari heterogeni, Samba pot ser útil per
al següent:
• Substituir un servidor Windows, si és necessita de les seves funcionalitats

però no és pot pagar.
• Evitar el pagament de les llicències que requereix Microsoft per cada

client Windows que es connecta al servidor (Client Access Licenses CALs).
Aquestes llicències són massa cares i ens les podem estalviar.
• Proveir una àrea de dades comuna per fer una transició de Windows a
GNU/Linux.
• Compartir impressores entre xarxes Windows i xarxes GNU/Linux.
• Integrar l’autenticació d’usuaris tant en GNU/Linux com en Windows.

• Integrar a la xarxa altres sistemes operatius.
El fet que un servidor Samba pugui adquirir diversos rols i treballar en combinació
amb altres serveis ens permet situar-lo en diferents escenaris heterogenis. És molt
important conèixer els possibles escenaris en què podem utilitzar el servei Samba
per integrar màquines Windows i GNU/Linux i compartir recursos entre elles.
2.2 Domini Windows NT
Un domini Windows NT és una agrupació lògica de màquines de xarxa

que comparteixen un directori centralitzat. Aquest model segueix una
arquitectura de xarxa client/servidor on múltiples clients comparteixen una
base de dades centralitzada localitzada en un o més servidors de domini.
La base de dades d’un domini Windows NT pot contenir:
• Comptes d’usuari.
• Informació de seguretat dels recursos del domini per tal de garantir el

control d’accés dels usuaris als recursos.
La base de dades des de
Windows 2000 s’anomena
Active Directory, està
basada en LDAP, i treballa
de forma diferent a les
Les màquines que emmagatzemen la base de dades del domini s’anomenen
versions anteriors. Controladors de domini (Domain Controllers).
Entre els avantatges de la utilització d’un domini Windows NT podem destacar:
• Les estacions Windows i les aplicacions relacionades poden gaudir de

Single Sign On (SSO).
• Els usuaris membres del domini i els seus permisos poden ser gestionats de
forma centralitzada des d’una sola base de dades Security Account Manager
(SAM) anomenada Domain SAM.
• Cal indicar que només poden utilitzar dominis les versions NT4/200x i XP
Professional (no XP Home Edition) del sistema Windows.
• Les estacions de treball del domini poden ser controlades utilitzant policy
files (NTConfig.POL) i perfils d’escriptori.
• Se centralitza la feina dels administradors de xarxa.
Aquest tipus de sistemes normalment s’utilitzen en empreses o organitzacions

mitjanes/grans.
Un servidor Samba pot substituir servidors Windows en diferents rols dins d’un
domini Windows NT. De fet la versió actual del servidor Samba s’integra totalment
en dominis Windows NT.
2.3 Grups de treball Windows
Els grups de treball Windows són un model d’agrupació lògica de

màquines en xarxa que segueix un paradigma d’igual a igual (peer-to-peer).
És a dir, en una xarxa amb grups de treball no hi ha servidors principals,
sinó que totes les màquines tenen entre si una relació d’igual a igual. Les
màquines són independents (Stand-Alone) i no comparteixen una base de
dades com en el cas dels dominis.
Els grups de treball són utilitzats sobretot per a la compartició de recursos entre
les màquines pertanyents al mateix grup de treball. Els grups de treball són
considerats més útils per a xarxes petites. Dominis mixtos
El servei Samba es pot combinar
Les màquines amb sistemes GNU/Linux i Samba, poden formar part dels grups amb altres serveis com LDAP
per generar una cosa similar a
de treball i compartir recursos a través d’ells amb màquines Windows. Active Directory que integri
màquines Windows i
GNU/Linux amb programari
Els grups de treball es consideren difícils de manejar més enllà d’una dotzena de lliure de manera segura, potent i
escalable. A més, Samba també
clients, i els manquen algunes característiques com SSO, escalabilitat, capacitat permet que màquines
GNU/Linux puguin accedir a un
de recuperació de desastres, i diverses característiques més de seguretat. domini Active Directory amb un
controlador de domini Windows.
2.4 Tipus de configuracions d’un servidor Samba
Samba s’integra totalment en dominis de Windows NT4. En aquests entorns

Samba pot dur a terme diferents tasques o ocupar diferents rols. Així doncs, per
conèixer millor les funcions que pot fer el servei Samba, cal que veiem primer els
possibles rols d’un servidor en un domini Windows NT. Així doncs, una màquina
amb un sistema Windows NT Server té tres possibles configuracions:
1. Controlador primari de domini o primary domain controller (PDC). Un

PDC es correspon amb el centre nerviós d’un domini Windows NT. L’objectiu
principal d’un controlador de domini és garantir la seguretat, mitjançant el control
del procés d’autenticació i proporcionar accés als recursos. La base de dades on el
controlador de domini emmagatzema la informació dels usuaris s’anomena SAM
(security account manager). Només pot haver-hi un PDC per domini.
2. Controlador secundari de domini o backup domain controller (BDC). El

Samba pot fer de BDC d’un
seu objectiu és tenir una replica de la base de dades, SAM, del PDC com a mesura altre servidor PDC Samba
però no d’un servidor PDC
de seguretat. Windows.
El fet de tenir un o més BDC en un domini permet millorar la disponibilitat del

sistema i la seva escalabilitat. En una xarxa amb molts clients de domini el fet
de tenir un sol servidor PDC on s’autentiquin tots els clients pot generar un coll
d’ampolla de la xarxa.
El PDC conté la còpia mestra de la base de dades SAM. En el cas que l’adminis-
trador vulgui modificar la informació de la base de dades SAM ens podem trobar
amb dues opcions:
• La modificació es fa en una zona del domini associada al PDC. Aleshores

es modifica directament els fitxers de SAM i són replicats als BDC.
• La modificació és fa en una zona del domini associada al o als BDC:

Per tant, no es modifica directament el fitxer SAM. Al BDC es genera
un fitxer anomenat fitxer delta que conté les diferències entre el SAM
original i el modificat. Aleshores el BDC avisa el PDC per començar un
procés de sincronització. Un cop sincronitzat el PDC inicia un procés de
sincronització amb la resta de BDC en el cas que n’hi hagi més. Poden
haver-hi tants BDC com calgui per domini.
3. Servidor membre de domini o domain member server (DMS). Els servidors

membres de domini són servidors amb diferents tipus de serveis o recursos
compartits que es troben dins d’un domini i s’autentiquen a través d’un PDC.
Aquests servidors no són PDC ni BDC i, per tant, no tindran una còpia de la
base de dades d’usuaris. Poden haver-hi tants servidors membres com calgui per
domini.
Ordre testparm
Podem saber el rol del nostre Una vegada conegudes les funcions realitzades per un servidor Windows a un
servidor amb l’ordre testparm:
sudo testparm domini NT veiem les possibles configuracions d’una màquina amb Samba.
....
Un servidor Samba pot configurar-se com a:
Server role:
ROLE_STANDALONE
....
• Stand-alone server. No utilitza dominis, és la configuració normal per als
grups de treball.
• Domain member server o membre de domini. Samba suporta dos subtipus

del tipus membre de domini:
– Active directory domain server.

– NT4 Style domain domain server.
• Domain controller server. N’hi ha tres subtipus:
– Primary domain controller (PDC).

– Backup domain controller (BDC).
– ADS domain controller.
Samba no pot (s’està treballant a la versió 4) treballar com a ADS domain

controller i no pot ser un BDC d’un servidor Windows, però sí d’un servidor
Samba.
Una vegada conegudes les funcionalitats d’un servidor Samba, resulta interessant
tractar el procés de configuració de les més importants. Abans de passar a la
configuració, però, hem de fer el procés d’instal·lació de Samba.
2.5 Instal·lació servidor i client Samba
Per poder treballar amb el servei Samba i configurar-lo en algun dels diferents
papers que pot ocupar, primer cal dur a terme el procés d’instal·lació. La
instal·lació dels paquets que ens proporcionaran tant el servidor com el client
Samba en una màquina GNU/Linux, en concret Ubuntu 9.04, es pot fer fàcilment
de dues maneres.
1. Mitjançant la línia d’ordres, utilitzant l’ordre:
1 $sudo apt−get install samba smbclient smbfs
2. Mitjançant l’entorn gràfic. Simplement hem de prémer el botó dret sobre una
carpeta del nostre equip, que vulguem compartir, i seleccionar l’opció Opcions de
compartició del menú contextual. A continuació s’obrirà un quadre de diàleg en
el qual marquem la casella Comparteix aquesta carpeta i premem el botó Crear
compartició. Automàticament, la primera vegada que fem aquesta acció, ens
avisarà que ha d’instal·lar el servei Samba; si acceptem i li posem la contrasenya
de superusuari, a continuació ens preguntarà si deixem que Nautilus afegeixi els
permisos necessaris per poder compartir la carpeta. Si acceptem començarà la
instal·lació dels paquets Samba, smbclient i samba-common, entre d’altres.
2.6 Configuració de Samba a un grup de treball
Podem configurar el servidor Samba per compartir recursos dins d’un grup de
treball entre màquines Windows i GNU/Linux. El tipus de configuració o rol
que ocuparà Samba serà el d’Stand-Alone Server. Els servidors Stand-Alone són
independents dels controladors de domini de la xarxa. Aquests servidors no són
membres del domini, sinó que funcionen com a servidors dins d’un grup de treball.
Com hem comentat la filosofia del grup de treball és d’igual a igual (peer-to-
peer) i per tant existiran tants Stand-Alone Servers dins d’un grup de treball com
màquines amb recursos per a compartir.
Aquest tipus de configuració és la manera més senzilla i ràpida per compartir

recursos entre màquines en un escenari heterogeni, però també és la configuració
que presenta més problemes quant a escalabilitat, seguretat i eficiència.
El paper d’un servidor Samba desprès d’instal·lar-lo és per defecte Stand-Alone,

per tant no hem de fer res per a configurar-lo com a tal. Així doncs, amb el servidor
Samba configurat com a Stand-Alone Server, resulta interessant conèixer el procés
que s’ha de portar a terme per a la compartició de recursos en un grup de treball
amb màquines Windows i GNU/Linux.
2.6.1 Compartició de recursos a un grup de treball heterogeni
La compartició de recursos en un grup de treball heterogeni és el

mecanisme que permet l’accés a diferents recursos, principalment directoris
i impressores ubicats en màquines amb sistemes operatius diferents, però
que, mitjançant la configuració de les eines adequades, com Samba, es
troben lògicament dins del mateix grup de treball.
Per poder compartir recursos en un grup de treball entre màquines Windows i

GNU/Linux, hem de fer una sèrie de passos a ambdós tipus de màquines. Els
passos per a compartir directoris i carpetes són els següents:
• Compartició de directoris.
• Compartició d’impressores.
Compartició de directoris
La compartició de directoris en un grup de treball heterogeni suposa que

qualsevol màquina, tingui el sistema operatiu que tingui instal·lat, pot accedir
als directoris configurats per compartir i ubicats en una altra màquina amb un
sistema operatiu diferent situada lògicament dins del mateix grup de treball.
Per a la compartició de directoris a un grup de treball amb màquines GNU/Linux

i Windows, a les màquines GNU/Linux hem de fer els passos següents:
1. Instal·lar el servei i el client Samba.
2. Configurar el nom del grup de treball, el nom netbios de l’equip

i les possibles opcions de seguretat a la secció global de fitxer
/etc/samba/smb.conf. Aquesta configuració la podem fer tant manual-
ment com gràficament.
Per exemple, per crear el grup de treball INSTITUT, anomenar a la nostra
màquina ALFA i establir el nivell de seguretat d’usuari, el nivell per defecte,
amb l’eina SWAT, faríem la configuració que es veu en la figura 2.1.
3. Afegir els directoris que vulguem compartir a la secció corresponent del

fitxer de configuració de Samba, /etc/samba/smb.conf i especificar el
valor de les diferents opcions per a cada recurs.
Per exemple la configuració per a compartir la carpeta professors, amb accés
a usuaris convidats, que no sigui de només lectura, que estigui disponible
i que es pugui veure quan un client accedeix als recursos compartits de la
màquina Swat es faria com en la figura 2.2.
F igur a 2. 1. Creant un grup amb l’eina SWAT
F igur a 2. 2. Compartint una carpeta amb l’eina SWAT
L’únic requisit és que els directoris que configurem a Samba existeixin realment al
sistema. Amb aquest pas finalitzaríem la configuració de la màquina GNU/Linux
per compartir directoris.
Per a la compartició de directoris a un grup de treball amb màquines GNU/Linux

i Windows, a les màquines Windows hem de fer els passos següents:
1. No cal instal·lar cap programa ja que incorporen el protocol SMB per a la

compartició de recursos integrat. Només cal tenir totes les opcions de compartició
habilitades. Així, el primer pas serà establir el nom del grup de treball que volem
crear o al qual volem afegir l’equip, si ja existeix, i especificar el nom amb el qual
volem que s’identifiqui l’equip al grup.
Per exemple a Windows XP cal prémer botó dret damunt de la icona Mi PC i

seleccionar la pestanya Nom d’equip. A continuació premem el botó Canviar i
establim als quadres corresponents el nom de l’equip i el nom del grup de treball
del qual volem formar part (figura 2.3). Una vegada fets els canvis hem de reiniciar
l’equip.
Fig u ra 2 . 3 . Canviant el nom de l’equip a Windows XP
2. Especificar els directoris que volem compartir.
Per exemple, per a compartir una carpeta anomenada alumnes premem botó dret
damunt de la carpeta i seleccionem Propietats, a continuació anem a la pestanya
Compartir i seleccionem l’opció Compartir aquesta carpeta i prenem el botó
Acceptar. Veiem l’exemple en la la figura 2.4.
Per canviar els permisos de la carpeta en Windows XP, abans hem d’activar la
visualització dels permisos. Per fer això dins d’una carpeta anem al menú Eines>
Opcions de carpeta, i a la pestanya Veure desmarquem l’ultima opció Utilitzar ús
compartit simple d’arxius. Així, quan tornem a seleccionar les propietats de la
carpeta, ens apareixerà la pestanya Seguretat on podrem establir els permisos de
cada carpeta per als diferents usuaris.
Fig ur a 2 . 4 . Compartint una carpeta amb Windows XP

Així finalitzem la configuració de la màquina Windows per compartir carpetes.
Una vegada configurats els grups de treball i els recursos a compartir a cadascuna
de les màquines, podem accedir als recursos d’altres màquines mitjançant el menú
Els meus llocs de xarxa a Windows i Llocs> Xarxa a Ubuntu.
Aquestes dues ubicacions tant a Windows com a Ubuntu contenen un grup

d’accessos directes als ordinadors, impressores i altres recursos compartits en una
xarxa.
Els accessos directes són creats automàticament en l’equip cada vegada que s’obre
un recurs compartit de xarxa, com una nova impressora o una carpeta compartida.
Així, mitjançant aquestes aplicacions el client pot veure, administrar, moure,

copiar, guardar i reanomenar fitxers i carpetes, sempre depenent dels permisos
que aquestes tinguin, ja que són emmagatzemades en un altre ordinador com si es
tractés d’arxius i carpetes emmagatzemats en l’ordinador mateix.
Compartició d’impressores
La compartició d’impressores en un grup de treball heterogeni suposa que

qualsevol màquina, tingui el sistema operatiu que tingui instal·lat, pot accedir
a les impressores configurades per compartir i instal·lades en una altra
màquina amb un sistema operatiu diferent i situada lògicament dins del
mateix grup de treball.
Els sistemes Windows 95, 98 y ME solen tenir problemes per comunicar-se

amb Samba a l’hora d’imprimir. Cal afegir uns paràmetres al fitxer /etc/sam-
ba/smb.conf per solucionar aquest inconvenient:
1 print command = lpr −P %p −o raw %s −r

2 lpq command = lpstat −o %p
3 lprm command = cancel %p−%j
4 printer admin = fulano, @opers_impresion
Suposem que tenim la impressora instal·lada a una màquina Windows i volem

compartir-la amb una maquina Ubuntu. Aleshores hem de seguir una sèrie de
passos:
1. Configurar la impressora per compartir-la. Per fer això anem a Impressores

i faxos, prenem el botó dret damunt de la impressora a compartir i seleccionem
Propietats. Seleccionem la pestanya Compartir i marquem l’opció Compartir
aquesta impressora.
2. Una vegada configurada la impressora compartida a Windows. Anem a

l’equip amb Ubuntu i des del menú Sistema >Administració> Impressió obrirem
la finestra on seleccionem la icona Nou >Impressora i ens cercarà automàticament
les impressores que tenim instal·lades tant localment com remotament.
Si no ens apareix la impressora com a detectada, haurem de seleccionar la opció

Windows Printer via Samba i especificar la ruta cap a la màquina Windows que té
la impressora compartida com es veu en la figura 2.5.
Fig ur a 2 . 5 . Seleccionant una impressora via Samba
A continuació prenem el botó Aplica i ens mostrarà una finestra on podem

seleccionar entre diverses opcions; escollir el model de la impressora, passar
els controladors via fitxer PPD o cercar en la xarxa un controlador per a la
impressora. Si escollim la marca de la impressora ens permetrà triar entre els
diferents models de la marca per instal·lar els controladors més adients a la
impressora. Si continuem Endavant, ens preguntarà si volem imprimir una pàgina
de prova per a comprovar que la instal·lació s’ha realitzat correctament.
Suposem que tenim la impressora instal·lada a una màquina Ubuntu i volem

compartir-la amb una màquina Windows. Aleshores hem de seguir una sèrie de
passos:
1. Configurar Ubuntu per a compartir la impressora, això ho podem fer amb la

interfície web de CUPS. Si tenim l’eina CUPS instal·lada, anem amb l’explorador
web a l’adreça http:localhost:631 i marquem les opcions Show printers shared by
other systems i Share published printers connected to this system a la secció Server
de la pestanya Administrador.
A la pestanya Printers, podem comprovar les impressores que tenim instal·lades i

preparades per a compartir.
2. Una vegada configurat el servidor d’impressió a Ubuntu, anem a l’equip

Windows. Anem a Els meus llocs de xarxa i accedim a la màquina amb Ubuntu
on hem configurat la impressora per a compartir. Comprovem si ens apareix un
accés directe a la impressora. Si es així només cal fer doble clic sobre la icona de
la impressora i ens mostrarà el quadre de la figura 2.6.
Figur a 2. 6. Connectant a una impressora de xarxa des de Windows
Si seleccionem l’opció Sí, potser que no reconegui els controladors instal·lats al

servidor i ens demani que els instal·lem a l’equip Windows (figura 2.7).
F ig ur a 2 . 7. Alerta! No es localitzen els controladors
Si acceptem ens mostrarà un quadre on haurem de seleccionar la marca i model

de la impressora o instal·lar els controladors des d’un CD (figura 2.8).
Fig ura 2 .8. Instal·lació de controladors amb Windows
Fi gura 2 .9. Assistent per instal·lar impressores

Si no ens apareix l’accés directe a la impressora a la màquina Ubuntu en Els meus

llocs de xarxa, haurem de fer servir Assistent per afegir impressores (figura 2.9) i
seleccionar la ubicació de xarxa on trobar la impressora de la màquina Ubuntu en
aquest cas.
La resta de passos una vegada seleccionem la impressora són els comentats

anteriorment.
2.7 Navegació a les xarxes Windows
Per cada grup de treball de Windows ha d’haver-hi una màquina que funcioni com
a Browse Master. Aquesta màquina és la que s’encarrega d’emmagatzemar la
informació de màquines de xarxa (noms) i els recursos que comparteixen. Cada
cop que s’encén un sistema Windows el primer que fa el programari de xarxa és
buscar un Browse Master a la xarxa:
1. Si no es troba un Browse Master es comença un procés anomenat d’elecció

de Browse Master.
2. Només un sistema amb l’opció de compartir fitxers i impressores pot ser

escollit per a ser un Browse Master.
3. Si hi ha diferents tipus de sistemes operatius Windows, se segueix l’ordre

següent de preferència a l’hora d’escollir Browse Master:
• Windows NT or 2008 server o qualsevol altra versió de servidor abans

que una estació de treball (workstation).
• Windows XP (NT 5.1).
• Windows 2000 Workstation (NT 5.0).
• Windows NT4 Workstation.
• Windows ME.
• Windows 98.
• Windows 95.
• Windows 3.x.
Cada sistema envia la seva llista de recursos disponibles al Browse-Master. Cada

cop que ens connectem a “Mis sitios de red Red” de Windows es fa una consulta
al Browse-Master per tal que ens mostri la llista de màquines que comparteixen
recursos.
Aquest sistema és molt poc eficient ja que el procés d’elecció d’un Browse-Master
pot trigar uns minuts un cop activada la màquina. A més, un cop finalitzat el
procés d’elecció, si una màquina s’afegeix a la xarxa o surt de la xarxa pot trigar
A l’hora de fer servir un
DMB cal tenir en compte de en actualitzar-se la xarxa fins a 15 minuts.
totes maneres les normes
d’encaminament o els
possibles tallafocs dels A més del Browse Master existent als grups de treball, a una xarxa Windows
encaminadors (routers).
podem trobar també els Masters Browsers dels dominis:
• Domain Master Browser: Aquest és el Browser principal per a un domini.

En un domini Windows NT, el controlador de domini primari (PDC) sempre
guanya les eleccions per a convertir-se en l’examinador principal de domini.
Només pot haver-hi una màquina que ocupi aquest rol per xarxa o domini.
A més el DMB necessita del servei WINS per a funcionar correctament.
• Local Master Browser és Master Browser local en un segment de xarxa

concret. La seva finalitat és proporcionar llistes de recursos als clients i
mantenir el Domain Master Browser al dia amb les llistes de recursos. Es
tracta normalment d’un controlador de domini de reserva (BDC). Aquest
navegador ha de tenir suport per a un protocol enrutable com TCP / IP o
IPX / SPX, ja que el Domain Master Browser pot trobar-se a una subxarxa
diferent. Només hi ha d’haver una màquina que faci de Local Master
Browser per segment de xarxa.
2.7.1 Configuració del Browsing a Samba
El servidor Browser o servidor de navegació d’una xarxa és la màquina que ens

permet navegar i localitzar els recursos disponibles a la xarxa. El servidor Samba
disposa d’una sèrie d’opcions que permeten configurar-lo com a Browser de xarxa.
Veiem quins paràmetres són i què signifiquen:
• os level: permet tenir més possibilitats de guanyar les eleccions a l’hora

d’escollir un Master Browser.
• lm announce: utilitzat pel client OS/2 d’IBM.
• lm interval: utilitzat pel client OS/2 d’IBM.
• preferred master: s’utilitza per forçar eleccions.
• local master: estableix la màquina com a LMB.
• domain master: estableix la màquina com a DMB.
• browse list: per defecte yes. No es varia mai.
• enhanced browsing: activat per defecte. Implementa una sèrie de millores

a Samba que no estan disponibles a Windows(vegeu man smb.conf).
Amb l’ordre nmblookup a GNU/Linux podem cercar qui és el Master Browser

d’un segment de xarxa.
1 nmblookup −M WORKGROUP
2 querying WORKGROUP on 192.168.56.255
3 192.168.56.101 WORKGROUP
També podem utilitzar l’ordre net a GNU/Linux:

1 net lookup master
2 192.168.56.101
2.7.2 Configuració de Samba com a Local Master Browser
Per tal que el servidor Samba sigui escollit com a Local Master Browser d’un
segment de xarxa hem d’especificar les opcions següents a la secció global del
fitxer /etc/samba/smb.conf (figura 2.10).
Fig ur a 2 . 1 0 . Secció global del fitxer
etc/samba/smb.conf
Per defecte, Samba “guanya” totes les eleccions a Local Master Browser davant
tots els sistemes Windows excepte amb un PDC Windows NT. Això significa que
una configuració errònia del servei Samba pot aïllar la xarxa local de les peticions
de “Browse” de la resta de la xarxa.
2.7.3 Configuració com a Domain Master Browser

El Domain Master Browser
d’un domini ha de ser el
Primary Domain Controller
del domini. L’opció domain Per tal que el servidor Samba sigui Domain Master Browser d’un domini hem
master =yes no especifica
que sigui el PDC del domini. d’especificar les opcions que es mostren en la figura 2.11 a la secció global del
fitxer /etc/samba/smb.conf:
Fig ur a 2 . 1 1 . Configuració com a “Domain Master Browser”
Utilitzant la següent ordre:
1 nmblookup -S nom_màquina
en els sistemes GNU/Linux podem saber el tipus de treball que està fent qualsevol
màquina del domini en un moment concret.
La taula 2.1 enumera alguns dels sufixos NetBIOS que empra Microsoft Windows
NT. Els sufixos s’enumeren en format hexadecimal ja que, en cas contrari, molts
d’ells no podrien imprimir-se.
Taul a 2. 1. Sufixos NetBIOS a Windows NT

Nom de l’etiqueta Número Tipus Ús
computername 00 U Servei d’estació de

treball
computername 01 U Servei Messenger
\\–MSBROWSE 01 G Examinador principal

(Master Brower)
computername 03 U Servei Messenger
computername 20 U Servei Servidor d’arxius
domain 00 G Nom de domini
domain 1B U Examinador principal de

domini (DMB)
domain 1C G Controlador de
domini(PDC)
domain 1D U Examinador principal
domain 1E G Eleccions de servei

Explorador
Els tipus de nom NetBIOS descriuen la funcionalitat del registre.
• Únic (U): el nom només pot tenir assignada una adreça IP.
• Grup (G): un mateix nom pot existir amb diverses adreces IP.
2.8 Gestió de l’autenticació amb Samba en sistemes heterogenis

Per a més informació
sobre els nivells de
seguretat de Samba
Samba incorpora una sèrie de nivells de seguretat, ja coneguts, per tal de controlar consulteu la unitat
“Compartir recursos en
l’accés del usuaris als recursos. En tots aquests nivells es porta a terme una xarxa i seguretat en
autenticació d’usuaris. sistemes lliures i
propietaris”.
L’autenticació en Samba es fa a través del sistema habitual d’usuari/contrasenya.

Cada usuari Samba ha d’existir també al sistema GNU/Linux. Samba interactua
amb comptes d’usuaris de Windows i GNU/Linux, però el sistema d’encriptació
de les contrasenyes en Windows és diferent al sistema d’encriptació de les
contrasenyes en GNU/Linux. No existeix un sistema per passar una paraula de pas
xifrada en sistema Windows al sistema GNU/Linux. És per aquesta raó que no es
poden utilitzar les contrasenyes dels usuaris de GNU/Linux per validar els usuaris
Windows. Encara que la informació que s’emmagatzema dels usuaris GNU/Linux
és diferent a la dels usuaris Windows, els usuaris, al contrari de les contrasenyes,
sí es poden utilitzar per a fer la validació. Per tant, cal emmagatzemar les
contrasenyes en algun lloc diferent als fitxers tradicionals del sistema GNU/Linux
(/etc/shadow) per garantir el bon funcionament del mecanisme d’autenticació a
Samba. Així doncs, Samba té el seu fitxer de paraules de pas, és el /var/lib/sam-
ba/passdb.tdb.
En aquest fitxer Samba emmagatzema les contrasenyes segons el backend o tipus

de base de dades de contrasenyes especificat al fitxer de configuració.
Així, els tipus de backends suportats per Samba són:
• smbpasswd. És el backend per defecte a Samba. Aquest backend es

considera obsolet i només es manté per compatibilitat enrere amb versions
antigues de Samba.
• tdbsam. És el backend per defecte en distribucions com Debian o Ubuntu.

Aquest backend guarda les contrasenyes de l’antic format smbpasswd i tam-
bé suporta el format extended MS Windows NT/200x SAM. La informació
es guarda en un fitxer binari amb extensió tdb (trivial database). Aquest
sistema permet implementar tots els sistemes de control dels servidors
MS Windows NT4/200x. Tdbsam permet funcionar amb LDAP però
no està recomanat per instal·lacions amb més de 250 usuaris, a més no
suporta configuracions múltiples de controladors de domini. Per exemple un
controlador primari de domini PDC més un o més controladors de backups
BDC.
• ldapsam. Aquest backend permet integrar una base de dades LDAP amb
Samba. La versió 3 de Samba incorpora un suport estès per LDAP i permet
gran quantitat d’opcions de control. Es poden utilitzar configuracions de
control d’accés per usuari, perfils, etc. i suporta perfectament sistemes
distribuïts. Per exemple controladors primaris de domini amb múltiples
controladors de backups.
Samba suporta també altres backends per tal de ser compatible amb versions
anteriors. Aquests backends seran eliminats en futures versions:
• plaintext: Pot utilitzar els fitxers tradicionals d’UNIX (etc/passwd o /etc/s-

hadow).
• ldapsam_compat: suport LDAP per a versions 2 de Samba.
L’opció que determina el backend al fitxer de configuració de Samba és passdb

backend.
2.8.1 Identificació d’usuaris GNU/Linux i Windows
Totes les operacions que es fan en un sistema GNU/Linux requereixen d’un

identificador d’usuari (UID). Així, de manera similar totes les operacions de les
versions de servidor de Windows MS Windows NT4/200x requereixen també d’un
identificador (SID). A continuació veurem el procés d’autenticació dels usuaris
tant GNU/Linux com Windows a Samba. Però abans veiem alguns conceptes per
tal d’entendre millor aquest procés.
1. SID (Identificador de seguretat). En els sistemes operatius de Microsoft

basats en Windows NT, un Security Identifier (SID) es correspon amb una cadena
de caràcters alfanumèrics única que és assignada pel sistema durant el procés

d’identificació d’un usuari o un grup d’usuaris en una xarxa de sistemes Windows
NT/2000.
Els SID no són portables, la qual cosa vol dir que si canviem de sistema es generarà
un nou SID per als usuaris o grups de la xarxa.
El sistema Windows permet l’accés i atorga els privilegis als recursos basant-se en
la llista de control d’accés (ACL), que utilitza el SID per identificar unívocament
els usuaris i membres del seu grup. Quan un usuari entra en una màquina, es
genera un token d’accés que conté el nivell de privilegis i la SID de l’usuari o el
grup. Quan un usuari sol·licita accés a un recurs, el token d’accés és comprovat
per l’ACL per a permetre o denegar l’acció particular sobre el recurs.
Els SID son molt útils per a la localització i resolució de problemes amb auditories
de seguretat, servidors de Windows i migracions de domini. Qualsevol grup o usuari que
no és creat per defecte
tindrà una ID relativa de
El format del SID és el següent: 1000 o més.
S-1-5-12–7623811015-3361044348-030300820-1013
On:
• S: Determina que la cadena és un SID.
• 1: Especifica el nivell de revisió.
• 5: Marca el valor de l’autoritat d’identificador.
• 12–7623811015-3361044348-030300820: Es correspon a l’identificador

del domini o d’ordinador local.
• 1013: Es correspon amb el RID (Relative ID), una ID relativa la qual

identifica un compte o un grup unívocament (similar a UID o GID dels
sistemes GNU/Linux).
2. UID i GID. En els sistemes Unix i derivats com GNU/Linux, els usuaris són
representats per un identificador numèric d’usuari, normalment abreujat com UID
(User Identifier). Les característiques bàsiques d’aquest identificador són:
• El rang dels valors dels UID varia entre els diferents sistemes. Com a mínim
els UID han d’estar compresos entre 0 i 32767.
• El superusuari ha de tenir sempre l’UID 0.
• A l’usuari nobody, utilitzat diferents aplicacions i concretament en Samba

per accedir anònimament, sempre se li assigna per tradició l’UID més alt
possible com a oposició al superusuari.
• Els UID entre 1 i 499 són reservats normalment per a usuaris creats pel
sistema.
• La llista de tots els UID dels usuaris existents al sistema es troba en l’arxiu
/etc/passwd.
• L’identificador d’usuari és un component necessari en sistemes d’arxius i

processos Unix/GNU/Linux.
En els sistemes Unix i derivats els grups d’usuari s’identifiquen mitjançant un

identificador numèric anomenat GID (Group Identifier). Les característiques
bàsiques d’aquest identificador són:
• La gamma dels valors per a un GID varia entre diversos sistemes, un GID
pot estar 0 i 32767.
• El grup del superusuari ha de tenir com a GID 0.
• Aquest valor numèric s’utilitza per fer referència a grups en els arxius del
sistema /etc/passwd i /etc/group o els seus equivalents.
• Els arxiu de contrasenyes /etc/shadow i el servei informatiu de la xarxa

també fan referència a GIDs.
• Per tant, l’identificador del grup és un component necessari d’Unix/GNU/-

Linux per al sistema d’arxius i els processos.
2.8.2 Procés d’autenticació en Samba
Per al correcte funcionament del l’autenticació dels usuaris en Samba, en escenaris

heterogenis, és imprescindible que es faci un procés de mapatge correcte dels iden-
tificadors de Samba enfront els identificadors Unix/GNU/Linux. Els esquemes
següents mostren aquest procés.
Samba proporciona dos mètodes per mapejar UID a SID:
• Cada usuari de Samba ha de tenir el corresponent usuari local Unix. Samba

pot cridar a l’ordre useradd per afegir l’usuari.
• L’altra opció és fer un mapatge de SID enfront UID amb idmap. Això es
pot fer amb els paràmetres idmap uid i idmap gid del fitxer smb.conf.
La figura 2.12 mostra el procés d’autenticació d’un usuari Windows.

F igur a 2 . 1 2. Procés d’autenticació d’usuari en el sistema operatiu Windows
Si el sistema Samba rep un identificador d’usuari de Windows (SID) el primer

que farà serà comprovar si el SID pertany al nostre domini en cas que ens trobem a
una màquina que fa de PDC o grup de treball. És a dir, si els UID/GID de l’usuari
existeixen localment. En el cas que el SID pertanyi al domini o grup de treball, es
buscarà la seva contrasenya al backend configurat al servidor. Si la contrasenya
es troba al backend, aleshores es farà el mapatge amb l’UID corresponent. En el
cas que el SID no pertanyi al domini s’utilitzarà el servei windbind el qual ens
ajuda a resoldre els problemes d’inici de sessió unificats. Winbind proporciona
tres funcions separades: Windbind
Windbind es pot utilitzar per tal
que un client GNU/Linux formi
part d’un domini de Windows.
És a dir, el client és GNU/Linux
• Autenticació per a credencials d’usuari (via PAM). però els usuaris i l’autenticació
es fa en un domini de Windows.
• Resolució d’identitat (via NSS).
• Manteniment d’una base de dades cridada winbind_idmap.tdb en la qual

emmagatzema les associacions entre usuaris UNIX UID/GID i NT SID.
Aquesta associació s’usa només per a usuari i grups que no tenen uns
UID/GID locals.
Si l’usuari no es troba a la base de dades del servei windbind o als backends de

Samba no es validarà.
La figura 2.13 mostra el procés d’autenticació d’un usuari GNU/Linux
Si el sistema Samba rep un identificador d’usuari de GNU/Linux (UID) el

primer que farà serà comprovar si la contrasenya de l’usuari es troba en el seu
backend. Si la contrasenya es troba al backend, aleshores es farà el mapatge amb
el SID corresponent. En el cas que no es trobi es farà servir el servei windbind per
veure si es troba a la base de dades utilitzada pel servei. Si l’usuari no es troba a
la base de dades del servei windbind o als backends de Samba, no es validarà.
Fig ur a 2 . 1 3 . Procés d’autenticació d’usuari en un sistema

operatiu Linux
Finalment, hem de comentar que en els sistemes anteriors a XP l’autenticació es

produïa a nivell de recursos: les carpetes compartides podien ser protegides per
contrasenyes. Per accedir al recurs, n’hi havia prou de ser a la xarxa i conèixer la
ubicació i la contrasenya del recurs. Aquest mètode d’autenticació es correspon
amb el Share Security Level de Samba. El funcionament per defecte de Samba es
correspon amb el User Security Level, és a dir, hem de tenir un usuari vàlid amb
contrasenya per poder accedir als recursos compartits.
2.9 Configurar Samba com a Controlador Primari de Domini
Un dels rols més importants que pot fer un servidor Samba és actuar com a
controlador primari de domini, ja que un controlador de domini és un servidor
SMB/CIFS. Així doncs, resulta molt interessant conèixer el procés de configu-
ració d’un servidor Samba com a controlador primari de domini en un domini
heterogeni. És a dir, un domini on s’autenticaran i compartiran recursos màquines
Windows i GNU/Linux. Els passos que ha de seguir el servidor Samba són els
següents:
• Que es registri com a controlador de domini. Aquest registre es pot fer de

tres maneres, utilitzant broadcasts de NetBIOS, informant a un servidor de
WINS o a través de DNS en el cas d’Active Directory.
• Proporcioni el servei de NETLOGON. Aquest servei està format per dife-

rents protocols com el servei d’inici de sessió de Lan Manager, Netlogon
service, etc.
• Proporcioni un recurs compartit anomenat NETLOGON.

Per tant, un servidor Samba que compleixi aquestes condicions podrà fer de
Controlador Primari de Domini PDC. El procés de configuració consta d’una sèrie
d’etapes. Així doncs, les diferents etapes per configurar un servidor Samba com
a PDC són les següents:
• Configuració bàsica de TCP/IP i dels paràmetres de xarxa de Windows.
• Configuració de la resolució de noms de NetBIOS (WINS).
• Configuració de les opcions de Logon.
• Scripts de gestió d’usuaris.
• Afegir clients al domini amb Samba com a PDC.
2.9.1 Configuració bàsica de TCP/IP i dels paràmetres de xarxa de

Windows
Normalment no ens cal tocar res de la configuració de TCP/IP al servidor, a no

ser que el PDC també sigui un encaminador amb diferents NIC i vulguem que el
servei Samba només treballi per a una NIC concreta.
Per configurar els paràmetres de la xarxa de Windows hem d’establir el nom del
domini (workgroup) i el nom de màquina de NetBIOS al fitxer de configuració
/etc/samba/smb.conf. Per exemple, amb Swat quedaria com es mostra en la figura
2.14.
F ig ur a 2. 14. Configuració dels paràmetres de xarxa
Si no establim explícitament el nom de NetBIOS, aleshores el nom assignat a

l’equip coincideix amb el nom de màquina al sistema operatiu.
El següent pas consisteix a assegurar-nos que el paràmetre security té assignat el

valor user. L’opció que es mostra en la figura 2.15 és l’opció per defecte:
Fig ura 2 .15 . Establint el nivell de seguretat
Valor domain
És molt important no assignar el
valor domain a l’opció security.
Amb aquesta opció, el client s’identifica a nivell de sessió enviant un usuari i una Al contrari del que pot semblar
paraula de pas i el servidor pot acceptar o denegar la sessió. Així doncs, en aquest pel seu nom aquest model de
seguretat només s’utilitza quan
nivell de seguretat, el servidor pot controlar l’accés als recursos del domini basant- una màquina Samba és membre
d’un domini però no és un PDC.
se en:
• L’usuari i la paraula de pas.
• El nom de la màquina client.
Si la sessió és acceptada, el client podrà accedir als recursos del domini sense
que li calgui haver de tornar a especificar la paraula de pas. En aquest mètode és
imprescindible que els usuaris existeixin com a usuaris de GNU/Linux i com a
usuaris de Samba.
Si configurem com a domain l’opció security, el servidor Samba passarà a utilitzar

els usuaris del domini del PDC o BDC al qual ens hem unit, igual que qualsevol
servidor Windows NT.
2.9.2 Configuració de la resolució de noms de NetBIOS (WINS)
La configuració més convenient de la resolució de noms de NetBios (WINS) és

que el servidor Samba com a PDC sigui també un servidor WINS i funcioni com
a Domain Master Browser del domini.
WINS (Windows Internet Naming Service) és la implementació de Microsoft

del protocol NetBIOS name server (NBNS). El servidor WINS manté una
taula amb la correspondència entre adreces IP i noms NetBIOS d’ordinadors.
Aquesta llista permet localitzar ràpidament qualsevol ordinador de la xarxa.
La utilització d’un servidor WINS evita l’ús de mètodes de recerca més
laboriosos, com l’ús de difusió (broadcast), i redueix així el trànsit de xarxa.
Per a més informació
sobre la configuració de la
Un servidor WINS pot emmagatzemar també els noms del grup de treball o
resolució de noms de del domini. Així doncs, un servidor WINS pot donar servei a més d’un grup
NetBIOS consulteu la
secció “Adreces d’interès” de treball o domini.
del web.
A partir de Windows 2000, WINS ha estat relegat en favor de DNS i active

WINS
WINS no s’ha de confondre amb directory, no obstant això, segueix essent necessari per establir serveis de xarxa
DNS ni els noms de màquina
NetBIOS s’han de confondre
amb versions anteriors de sistemes Microsoft com Windows NT i en el cas que
amb els noms de màquina ens ocupa per a Samba.
TCP/IP. El servidors de DNS són
imprescindibles per a Internet
mentre que WINS només resol Fig ur a 2 . 1 6 . Configurant Samba com a WINS i DMB
noms de NetBIOS i a la xarxa
local, no a Internet.
Samba pot funcionar com un servidor primari WINS però no pot sincronitzar les
seves dades amb altres servidors WINS Així doncs, per configurar el servidor
Samba com a WINS i DMB els paràmetres del fitxer de configuració del servidor
Samba quedaran com es mostra en la figura 2.16.
També hem de configurar el paràmetre name resolve order amb els valors wins
host bcast Per configurar un servidor Samba com a client WINS hem d’especificar
les opcions següents:
1 wins server = Adreça_IP_Servidor_WINS

2 name resolve order = wins host bcast
2.9.3 Configuració les opcions de Logon
Una vegada s’ha fet la configuració bàsica de TCP/IP i dels paràmetres de xarxa
de Windows i la resolució de noms de NetBIOS el pas següent és la configuració
de les opcions Logon dels usuaris del servidor Samba. Amb aquestes opcions
podem determinar quins seran els scripts que s’executaran per gestionar els usuaris
i grups GNU/Linux necessaris per als servidor, cosa que permetrà la sincronització
automàtica entre els usuaris GNU/Linux i els usuaris Samba. A més, en aquesta
secció també podem especificar quin serà l’script d’inici (logon script) i on
s’emmagatzemaran els scripts de perfils per als usuaris de les màquines client
Windows que s’autentiquin al domini a través del PDC.
A Swat, com ens mostra la figura 2.17, existeix una secció especifica dins
de l’apartat GLOBALS, amb l’opció Advanced activada, anomenada Logon
Options on ens permet configurar totes les opcions anteriors.
Fi gura 2 .17 . El paràmetre domain logons indica que l’equip és un PDC
En aquesta secció el paràmetre més important és:
1 domain logons = yes

Aquest és realment el paràmetre que determina que aquesta màquina és un PDC.
Si no ens interessa executar cap script d’inici (logon script), ni configurar perfils o
gestionar els usuaris remotament, no cal configurar res més a Samba, amb aquesta
Wizard de Swat
configuració ja podríem treballar com a PDC sense servei de NETLOGON.
També podem establir el tipus de
servidor a l’apartat Wizard de Si ens interessa que s’executi un script d’inici cada vegada que un client Windows
l’eina Swat.
es validi al PDC haurem d’utilitzar els paràmetres d’inici de sessió següents:
• Swat activa: domain
logons = Yes. 1. logon script: aquest paràmetre especifica el fitxer batch (.bat) o el fitxer
• Quan executem tesparm
d’ordres de NT (.cmd) que serà descarregat i executat per cada client un cop
ens indica el tipus de s’ha autenticat correctament. Aquests fitxers s’utilitzen generalment per carregar
servidor.
a l’inici recursos compartits com impressores, carpetes, etc.
El fitxer ha d’estar en format DOS (les línies han d’acabar en CR/LF) i la seva
ubicació depèn del recurs compartit [netlogon] el qual ens permet crear un perfil
de xarxa comú per a tots els usuari que s’autentiquin al servidor.
Per exemple si el path del recurs [netlogon] és /etc/samba/netlogon i el nom del

logon script és logon.bat, aleshores el camí absolut del fitxer serà /etc/samba/-
netlogon/logon.bat.
És important destacar que no s’ha de proporcionar permís d’escriptura al recurs

netlogon per tal que els usuaris no puguin modificar aquests scripts.
Així, els paràmetres del recurs compartit [netlogon] serien els que es mostren a la
figura 2.18:
Fig u ra 2 . 1 8 . Paràmetres del recurs [netlogon]
Després de crear el recurs compartit [netlogon], hem de crear el directori corres-

ponent al camí o path especificat i donar-li els permisos adients. Això ho podem
fer amb les ordres següents:
1 sudo mkdir /etc/samba/netlogon
2 sudo chmod 775 /etc/samba/netlogon
Ara només ens caldria crear o afegir l’script d’inici de sessió al directori corres-
ponent en aquest cas /etc/samba/netlogon/logon.bat
Com a exemple de script d’inici de sessió podem fer que, en validar-se, un usuari
sincronitzi l’hora del seu sistema amb l’hora del servidor i munti la carpeta remota
a una unitat local. Així l’script d’exemple seria:
1 sudo nano /etc/samba/netlogon/logon.bat.unix

2 net time \\ALFA /set /yes
3 net use p: \\ALFA\professors
On ALFA seria el nom del nostre PDC.
Com que el fitxer ha d’estar en format DOS, podem convertir-lo utilitzant l’eina
tofrodos com a arrel (root). Primer haurien d’instal·lar-la i després crear el nou
fitxer; el procés seria el següent:
1 sudo apt−get install tofrodos

2 sudo −i
3 unix2dos < /etc/samba/netlogon/logon.bat.unix > /etc/samba/netlogon/logon.bat
Podem comprovar que els fitxers són diferents amb l’ordre file:
1 file /etc/samba/netlogon/logon.bat.unix
2 logon.bat.unix: ASCII text, with no line terminators
3 file /etc/samba/netlogon/logon.bat
4 logon.bat: ASCII text, with CRLF line terminators
2. logon path: indica on estan els perfils mòbils dels usuaris. Els perfils
defineixen entre altres coses les característiques de l’escriptori i els programes
i fitxers accessibles d’un compte.
A les xarxes Windows NT trobem dos tipus de perfils:
• Perfils locals (Local Profiles): en aquests tipus de perfils es manté una copia
del perfil a la màquina local, només estan disponibles a l’ordinador local i
el control és únicament de l’usuari al qual pertany cada perfil.
• Perfils mòbils (Roaming profiles): els perfils mòbils s’emmagatzemen en

un servidor centralitzat (PDC) i estan disponibles sobre qualsevol ordinador
de la xarxa (amb el SO Windows). Quan un usuari entra en una xarxa, fa
logon, el perfil de l’usuari emmagatzemat al servidor es copia a la màquina
local per crear un perfil local. Aquest perfil es manté en local, a no ser
que s’especifiqui el contrari canviant una clau del registre. Si es fa aquesta
modificació el perfil s’elimina de la màquina quan l’usuari finalitza sessió
(logout). De perfils mòbils en tenim tres tipus:
– Perfils mobils personals (Personal roaming profiles): Són els nor-

mals. Les estacions de treball emmagatzemen una còpia del perfil
en local. Aquesta copia es pot utilitzar si al pròxim logon no es pot
obtenir el perfil. Generalment poden ser modificats pels usuaris i les
modificacions s’emmagatzemaran en local i al servidor.
– Perfils de grup (Group profiles): són perfils creats normalment a

partir d’una plantilla d’usuari. Poden ser assignats a grups d’usuaris
estalviant així feina a l’administrador. Aquestos perfils són carregats
des d’un servidor centralitzat.
– Perfils obligatoris (Mandatory profiles): els perfils obligatoris es
poden crear per a usuaris i per a grups. L’usuari pot fer modificacions
durant la sessió però aquestes modificacions no es guardaran al perfil
mòbil. Només els usuaris administradors poden modificar.
Consideracions sobre
perfils
El tema dels perfils és sempre un La configuració per defecte de Samba pel que fa als perfils és la d’utilitzar perfils
compromís entre
servei/comoditat i eficiència. Els mòbils, encara que es poden desactivar. De fet normalment no cal fer res per
perfils poden arribar a ocupar
Gigas d’espai, el que provoca activar la qüestió dels perfils amb Samba, ja que el valor per defecte del paràmetre
que una estació de treball
Windows pugui arribar a trigar
logon path és:
una hora en carregar.
1 logon path = \\%N\%U\profile
Aquest valor especifica on es guarden per defecte els perfils d’usuari. El valor
%N, si no utilitzem el servei NIS, és idèntic a %L i es correspon amb el nom
NetBIOS del servidor i %U indica el nom d’usuari de sessió.
Per tant els perfils es guarden en una carpeta anomenada profile de la home de
l’usuari. Aquesta carpeta es crea automàticament en el cas de no existir durant el
primer accés de l’usuari.
Per qüestions de seguretat, que el perfil estigui a la home de l’usuari potser no

és el més convenient, ja que l’usuari el pot modificar directament i després tenir
problemes. Així doncs, normalment la localització dels perfils es fa fora de les
homes dels usuaris. Per exemple:
1 logon path = \\%L\profiles\%U
Els perfils per a clients Windows 9x/Me funcionen d’una manera lleugerament
diferent. Aquests perfils utilitzen el paràmetre:
1 logon home = \\%N\%U
Amb aquests tipus de clients els perfils només es poden posar a la home. Però hi
ha un truc que és fer que la home comenci per punt i sigui un fitxer ocult:
1 logon home = \\%L\%U\ . profiles
Tots dos paràmetres, logon path i logon home, es poden utilitzar alhora per suportat
tots els tipus de clients.
A més de configurar el paràmetre logon path necessitem crear un nou recurs

compartit al servidor Samba per treballar amb perfils. Aquest recurs compartit
l’anomenem profile.
Al directori que vinculem amb el recurs profile no ha de poder accedir cap

usuari directament, només el superusuari (root) Samba per tant, el recurs no serà
“browseable”. Per altra banda aquest directori vinculat amb el recurs profile, no
serà de només lectura, ja que la seva funció és que la màquina client pugi carregar
al servidor el seu perfil mòbil quan l’usuari surt (log off ) i descarregar-lo quan
l’usuari entri al domini (log on).
Així, quan un usuari entra per primera vegada al domini és crea la carpeta profile a
la màquina client, en la ubicació que indica el servidor Samba al paràmetre logon
path. Quan l’usuari surt (log off ) el contingut del seu perfil, és a dir, les dades
de Inicio, Mis Documentos, Favoritos... s’emmagatzemen en aquesta carpeta i
es pugen al servidor Samba, emmagatzemant-se a la carpeta corresponent dins
del recurs profile. Quan l’usuari torna a entrar al domini, descarrega les dades
del seu perfil, pujades anteriorment, de la carpeta compartida al recurs profile del
servidor. Aquesta configuració ens permet modificar, mitjançant l’usuari root, la
configuració del perfil de l’usuari.
Recurs compartit [profiles] per a perfils mòbils
El recurs compartit per a perfils mòbils s’utilitza per emmagatzemar els perfils dels
usuaris. Cada usuari ha de tenir un directori en l’arrel d’aquest recurs compartit.
Aquest recurs ha de tenir permisos d’escriptura per als usuaris i permisos de lectura
globals. Els paràmetres més importants d’aquest recurs es mostren a continuació:
• path = /etc/samba/profile: Directori on s’emmagatzemaran els perfils

mòbils. Sota aquest directori, cada usuari tindrà una carpeta amb el seu
nom.
• read only = no: Aquesta opció indica que es permet escriure en el recurs
compartit.
• browseable = no: indica si aquest recurs apareixerà en la llista de recursos

compartits o no, en aquest cas, no es mostrarà.
• create mask = 0600: màscara de creació d’arxius, el valor d’aquest

paràmetre indicarà els permisos que tindran els arxius de nova creació sota
el directori.
• directory mask = 0700: màscara de creació de directoris, el valor d’aquest

paràmetre indicarà els permisos que tindran els directoris de nova creació
sota el directori.
Una vegada creat el recurs compartit hem de crear el directori corresponent i

assignar els permisos adequats:
1 sudo mkdir /etc/samba/profile

2 sudo chmod 775 /etc/samba/profile
Perfils obligatoris
Els perfils obligatoris són aquells perfils amb els quals l’usuari
pot fer modificacions del seu perfil però aquestes modificacions no
s’emmagatzemaran al finalitzar la sessió.
El procés es tan senzill com localitzar el fitxer NTUSER.DAT del perfil de l’usuari
i reanomenar-lo a NTUSER.MAN.
Perfils per defecte i perfil de tots els usuaris
Els perfils per defecte i els perfils per tots els usuaris son perfils locals, i per tant
s’emmagatzemen a la màquina client del domini.
El perfil d’un usuari concret, ja sigui local o de domini, es forma a partir del perfil
per defecte i del perfil per a tots els usuaris de la màquina local.
El perfil per defecte del domini, el podem establir a través del recurs compartit
[netlogon]. Per exemple:
1 \\ALFA\ netlogon\Default user
El perfil per a tots els usuaris s’estableix a la màquina local i es carrega des
d’aquesta. Per exemple quan s’instal·len aplicacions normalment s’afegeixen al
menú Inicio del perfil All Users.
Importar perfils
Existeix la possibilitat d’importar fàcilment un perfil de Windows a Samba. Per

exemple A XP, hem d’entrar com administrador a la màquina client, posteriorment
anem a la icona Mi PC i prenem botó dret, escollim Propietats i anem a la pestanya
Opcions avançades, seleccionem l’opció Configuració de l’apartat “Perfiles de
usuario”, seleccionem un usuari del domini i prenem el botó Copiar a, ens
demanarà la ubicació on el volem copiar, la qual pot ser el PDC Samba, i ja està,
podem fer servir el contingut d’aquest perfil per al que necessitem.
Desactivar els perfils mòbils
Hi ha casos en què els perfils mòbils no són la millor opció, per exemple quan no es
disposa o no es desitja gastar ample de banda per carregar els perfils dels usuaris,
no es vol tenir control dels clients, tenim distints tipus de màquines i distintes
configuracions de maquinari, i aquest fet complica que un client entri al domini
des de qualsevol lloc amb la seva configuració predeterminada...
Existeixen tres maneres de desactivar els perfils mòbils:
1. Modificant el fitxer smb.conf. Cal deixar els paràmetres:

1 logon home =
2 logon path =
Si deixem en blanc aquest paràmetre s’utilitzaran perfils locals.
Atenció
Deixar aquests paràmetres en blanc no és el mateix que no especificar-los. Segons el

manual de smb.conf, els valors per defecte són:

2 logon path = \\%N\%U\profile
2. Modificant el registre de Windows: Es pot utilitzar l’aplicació gpedit.msc.
3. Canviant el tipus de perfil. Entrar com a Administrador a la màquina client amb

XP i des de la icona Mi PC, premem botó dret, seleccionem Propietats i anem a la
pestanya Opcions avançades. Aquí seleccionem Configuració de l’apartat Perfils
d’usuari i seleccionem Canviar tipus.
• logon drive: aquest paràmetre especifica el volum on es muntarà la home

de cada usuari. Només s’utilitza en servidors Samba PDC. Per exemple:
1 logon drive = H:
• logon home: aquest paràmetre indica la localització de la home per clients

Win95/98 o estacions de treball NT.
El valor per defecte és:
2.9.4 Scripts de gestió d’usuaris
Swat a la secció Logon Option proporciona una sèrie d’opcions que ens perme-
ten especificar un conjunt d’scripts. Aquests scripts s’utilitzaran per gestionar
remotament els usuaris del sistema GNU/Linux on es troba el PDC. Quan usuaris
de Samba amb permisos de root es connecten remotament des de màquines del
domini Windows NT, aquests scripts permeten crear, esborrar, modificar usuaris
i grups al PDC proporcionant així una sincronització automàtica entre els usuaris
de GNU/Linux i Samba. Veiem algunes d’aquestes opcions. Tots els paràmetres utilitzats
per indicar els diferents
tipus de scripts no s’han
d’utilitzar amb l’opció
• add user script: quan un usuari intenta connectar-se a un servidor Samba, security = share, ja que els
en temps de login, el dimoni smbd contacta amb el servidor de contrasenyes, scripts són executables de
GNU/Linux als quals es
el qual pot ser una màquina remota o ell mateix, i intenta autenticar passa el nom de l’usuari
que correspongui utilitzant
l’usuari. Si l’autenticació és correcta aleshores smbd intenta buscar un la variable %u.
usuari GNU/Linux equivalent. Si aquest usuari no existeix, aleshores

s’executa l’script indicat per la variable: aquest script s’executa com a root
i es l’encarregat de crear l’usuari al sistema GNU/Linux si no existeix.
• rename user script: quan un usuari administrador o amb els permisos

adequats intenta reanomenar un usuari des d’un client remot s’executarà
aquest script per tal de modificar l’usuari GNU/Linux corresponent.
• delete user script: aquest és l’script que s’executarà quan un usuari amb
permisos d’administrador elimini des d’un client remot un usuari.
• add group script: similar a add user script però per a grups.
• delete group script: idèntic a delete user script però per eliminar un grup.
• add user to group script: s’utilitza quan un usuari amb permisos al client
remot afegeix a un usuari existent a un grup existent.
• delete user from group script: idèntic a l’anterior però per eliminar un
usuari d’un grup.
• set primary group script: estableix el grup principal de l’usuari.
• add machine script: utilitzat per a crear un compte de confiança entre

màquines.
• shutdown script:determina un script que permet iniciar un procés d’apa-

gada del servidor. Si l’usuari connectat té els permisos adequats podrà
executar aquesta ordre.
En la taula 2.2 podem veure el conjunt de variables utilitzades a Samba i el seu

significat.
Taul a 2. 2. Conjunt de variables utilitzades a Samba
Variable Significat
%a Arquitectura del client (p. ex. Samba, WfWg, WinNT,

Win95, o UNKNOWN)
%l Adreça IP de client (p.ex. 192.168.220.100)
%m Nom NetBIOS del client
%M Nom DNS del client
%g Grup primari de %u
%G Grup primari de %U
%H Directori “home” de %u
%u Actual nom d’usuari Unix
%U Nom d’usuari (no sempre utilitza per Samba)
%p Automontador de ruta per al recurs, si és diferent de

%P
%P Actual directori root del recurs
%S Actual nombre del recurs
%d Actual PID de servidor
%L Nom NetBIOS del servidor Samba

Variable Significat
%h Nom DNS de màquina del servidor Samba
%N Directori “home” edl servidor, des del mapa

automount
%v Versió de Samba
%R Nivell de protocol SMB que ha negociat
%T Data i hora actual
2.9.5 Afegir clients al domini amb Samba com a PDC
Una vegada configurat el servidor Samba com a PDC d’un domini, podem afegir
màquines i usuaris que tinguin accés al domini i als recursos compartits d’aquest.
Per afegir un client a un domini hem de seguir una seqüència de passos que serien:
1. Configurar l’administrador del domini. Al servidor Samba, hem d’afegir

com a usuari Samba el superusuari o root del sistema i posar-li una contrasenya.
Utilitzarem la següent ordre:
1 sudo smbpasswd -a root
Perquè tingui validesa l’ordre anterior, hem d’assegurar-nos que al fitxer /etc/sam-
ba/smb.conf no tenim el paràmetre:
1 invalid users=root
És força comú a Samba utilitzar un mapatge d’usuaris. Aquest mapatge d’usuaris

ens serveix per exemple per a poder utilitzar des de Windows l’usuari Administra-
dor.
Per configurar el mapatge d’usuaris creem un fitxer anomenat /etc/samba/smbu-

sers on introduirem la següent línia :
1 root=Administrador
Després establirem el nou fitxer com a valor del paràmetre username map. Així,
a la secció global del fitxer /etc/samba/smb.conf s’afegirà el següent:
1 usename map=/etc/samba/smbusers
És recomanable no utilitzar
la mateixa paraula de pas
per a l’administrador Samba
que per a l’usuari root del
servidor.
2. Cal afegir un compte de màquina MTA per cada estació de treball a la base
de dades SAM del domini.
Un compte MTA (Machine Trust Account) és un compte que s’utilitza per

autenticar una màquina client en un domini de Windows. La idea és evitar
que una màquina es pugui fer passar per un altra utilitzant el mateix nom de
NetBIOS.
Cal recordar que Windows
NT/200x i XP Professional
utilitzen MTA i Windows
9x/Me/XP Home no utilitzen
El PDC del domini és l’encarregat d’emmagatzemar les MTA. A Windows es
MTA guarden al registre de Windows, excepte en el cas de Active Directory que les
guarda a LDAP. En una màquina Samba treballant com a PDC es guarden en dos
llocs, igual que els usuaris:
• En un compte de seguretat del domini al passdb backend (smbpasswd,

tdbsam, ldapsam).
• En un compte corresponent de GNU/Linux.
Els noms de màquina en els

dominis Windows NT
Hi ha tres maneres de crear un compte MTA a Samba:
acaben en $.
• De manera manual des de la línia d’ordres del servidor, amb l’ordre net.
Exemple:
1 sudo addgroup maquines

2 sudo useradd −g maquines −d /var/lib/nobody −c "BETA" −s /bin/false BETA$
3 sudo passwd −l BETA$
4 sudo smbpasswd −a −m BETA$
• Utilitzant MS Windows NT4 Server Manager des d’una màquina que sigui
membre del domini.
• Creació on-the-fly. El compte es crea automàticament per Samba en el

moment que el client s’afegeix al domini. La corresponent paraula de
pas de GNU/Linux es pot crear automàticament o manualment. Per fer
aquest tipus de configuració haurem d’afegir la línia següent al fitxer
/etc/samba/smb.conf en la secció Logon Options de Swat.
1 add machine script = /usr/sbin/useradd −d /var/lib/nobody\

2 −G maquines −s /bin/false −m %u
• Cal afegir les estacions de treball al domini. Aquesta operació s’anomena

join, i es fa des de cadascun dels clients. El procés és el següent: premem
botó dret a la icona Mi PC de la màquina client, seleccionem Propietats,
anem la pestanya Nom d’equip i premem el botó Canviar. En el nou
quadre que ens apareix seleccionem Domini dins de la secció Miembro de i
especifiquem el nom del domini al qual volem afegir la màquina, el mateix
que al servidor Samba, tal com veiem en la figura 2.19. Quan acceptem ens
demanarà un usuari i una contrasenya, la primera vegada que entrem hem

d’utilitzar com a usuari root, o, administrador si hem fet el fitxer de mapatge,
i com a contrasenya la que hem establert per a l’administrador de Samba. Si
els valors son correctes, ens apareixerà un missatge de benvinguda al domini
i ens demanarà que reiniciem. Així, el join ja estarà completat.
F ig ur a 2. 19. Afegint una màquina en un domini
2.10 Samba amb LDAP
Quan en una organització han de conviure diferents sistemes operatius, s’ha

de facilitar als usuaris la manera d’accedir als recursos independentment de la
plataforma que aquests decideixin utilitzar.
Unes credencials úniques facilitaran a l’usuari l’accés a la xarxa i implicarà

una major seguretat i control del funcionament de la mateixa. La utilització de
credencials úniques comporta la creació d’un dipòsit únic on s’emmagatzema la
informació de cada element de la xarxa. Màquines, usuaris i serveis podran ser
fàcilment creats, modificats i eliminats si disposem d’un únic punt d’administració.
La implantació d’un domini de xarxa que ens permeti implementar els objectius
anteriors, ens obliga a escollir les eines programari que siguin capaces de dur
aquest repte a bon port. Així, l’elecció del programari condiciona el model de
domini que es pot oferir.
El servei Samba pot funcionar en conjunt amb el servei LDAP per tal de combinar
la potència d’ambdós serveis i oferir un punt central d’autenticació i accés als
recursos compartits tant per a màquines Windows com GNU/Linux.
Samba pot funcionar amb qualsevol tipus de servidor que respecti l’estàndard
LDAP, però el servidor de referència utilitzat per Samba és OpenLDAP.
LDAP és un protocol del nivell d’aplicació utilitzat per accedir a un servei

de directori.
OpenLDAP és el projecte de codi obert que ens proporciona tant client com
el servidor LDAP per gestionar, accedir i organitzar el servei de directori.
Samba com a PDC, ens permet crear amb una màquina GNU/Linux
un controlador de domini Windows NT que manté la base de dades
centralitzada del domini i permet controlar el procés d’autenticació i accés
als recursos.
A partir de la versió 2000, els sistemes Windows incorporen Active Directory,

el qual funciona amb LDAP i Kerberos entre altres protocols. Amb Active
Directory desapareixen els conceptes de PDC i BDC, ja que tots els controladors
de domini actuen igual. Tanmateix, la finalitat continua essent idèntica, ja que
Active Directory permet compartir de manera centralitzada informació de recursos
i usuaris de la xarxa o domini Windows. A més de funcionar com autoritat
d’autenticació controlant els accessos dels usuaris al domini.
Així doncs, què obtenim de combinar Samba amb LDAP o més concretament un
PDC Samba amb OpenLDAP? Doncs obtenim els avantatges següents:
• El principal avantatge que ens aporta la combinació de Samba amb LDAP

és la potencia i escalabilitat del sistema. Amb la combinació de Samba i
LDAP podem gestionar major quantitat d’usuaris d’una manera més ràpida
i organitzada.
• La combinació d’un PDC Samba amb OpenLDAP permet implementar,

amb un servidor GNU/Linux, un sistema similar a l’Active Directory de
Windows, en el qual poden treballar màquines Windows i GNU/Linux al
mateix temps, sense cap mena de problema.
• El fet d’utilitzar el servei LDAP sempre augmenta les capacitats d’SSO

(single sign on) ja que gran quantitat d’aplicacions utilitzen o suporten
aquest mecanisme d’autenticació.
• Utilitzar LDAP ens permet implementar un servidor Samba com a BDC

(backup domain controller) d’un domini Windows NT.
• Utilitzar la combinació d’aquestes eines ens permet treballar i implementar

serveis molt potents amb programari lliure i de qualitat, cosa que sempre
suposa un avantatge.
Un dels inconvenients que podem trobar, per esmentar-ne algun, d’utilitzar Samba
amb LDAP, en comptes d’un sistema Windows amb Active Directory, és que es
Escalabilitat perden algunes funcionalitats molt específiques d’Active Directory i Windows,
L’escalabilitat no només depèn
del backend (cal analitzar les
com la replicació de les bases de dades SAM entre màquines Samba i màquines
necessitats de disc dur, memòria Windows o la possibilitat d’actuar com a controlador de domini Active Directory.
RAM, etc. i els patrons de
carrega). Com a norma cal un Encara s’esten treballant a la versió 4 de Samba perquè totes aquestes opcions i
PDC (o BDC) per cada 30-150
clients. més estiguin disponibles.
Una de les peculiaritats de combinar Samba amb LDAP és que permet substituir el
backends per a la gestió d’usuaris smbpasswd i tdbsam per un específic d’LDAP,
ldapsam. Els beneficis d’aquesta substitució són:
• Smbpasswd és un backend per a pocs usuaris, màxim d’un centenar i sense

utilitzar comptes de domini de Windows, és a dir treballant com a Samba
stand-alone server.
• El backend tdbsam només permet comptes de domini de Windows i és un

sistema amb una capacitat limitada, màxim uns cinc-cents usuaris.
• Tdbsam no permet tenir rèpliques (BDC) del controlador principal de

domini (PDC).
• LDAP dóna molta flexibilitat, ja que un servidor LDAP pot emmagatzemar

al mateix temps usuaris de GNU/Linux i de Windows/Samba.
• És un sistema més escalable que utilitzar un fitxer (tdbsam) per emmagatze-

mar les comptes de domini.
2.10.1 Configuració d’un PDC Samba amb OpenLDAP
A continuació veurem el procés de configuració d’un servidor Samba que fa

tasques de PDC d’un domini Windows NT amb OpenLDAP. Suposem que tenim
instal·lats a la mateixa màquina els serveis Samba i OpenLDAP. El procés de
configuració consta d’una sèrie de passos, tant al servidor OpenLDAP com al
servidor Samba. Comencem pel primer:
1. Configuració del servidor OpenLDAP. Necessitem configurar el servidor

OpenLDAP perquè actuï com una base de dades SAM. Per tant, per aconseguir
això, hem de fer possible que:
• OpenLDAP incorpori i accepti l’esquema de Samba.
• El servidor OpenLDAP executi com a base el nostre directori.
• S’afegeixin a la base del directori les entrades mínimes per a començar a

utilitzar-lo.
Per aconseguir els objectius anteriors, definirem l’estructura del directori segons
aquest DIT (directory information tree).
1 dc=base del domini
2 ou = Users : comptes d’usuari tant per a GNU/Linux com per a Windows
3 ou = Computers : comptes de màquina per als sistemes Windows
4 ou = Groups : comptes de grups tant per a GNU/Linux com per a Windows
5 ou = DSA : comptes espcials del sistema
Aquesta estructura és conforme amb les recomanacions del RFC 2307bis. Per tant,
la conjunció de Samba i OpenLDAP ens permetrà emmagatzemar la informació
següent:
• Comptes d’usuari Microsoft Windows utilitzant la classe d’objecte samba-

SAMAccount (samba.schema).
• Comptes de màquina Microsoft Windows utilitzant la classe d’objecte

sambaSAMAccount.
• Comptes d’usuari GNU/Linux utilitzant les classes d’objecte posixAccount

i shadowAccount (nis.schema).
• Grups d’usuaris utilitzant les classes d’objectes posixGroup i sambaGroup-

Mapping.
• Comptes de seguretat utilitzades per programari de clients (Samba

i GNU/Linux) que utilitzen la classe d’objecte simpleSecurityObject
(core.schema).
2. Afegir l’esquema Samba a OpenLDAP. OpenLDAP no incorpora l’esquema

per poder crear els objectes de Samba dins del directori. Així el primer pas serà
incorporar l’esquema Samba al servidor OpenLDAP.
La primera cosa que hem de fer és obtenir l’esquema que defineix els objectes de
Samba o samba.schema.
Podem trobar el samba.schema a la documentació de Samba concretament al

directori /usr/share/doc/samba-doc/examples/LDAP. El fitxer amb l’esquema
Samba és diu precisament samba.schema.gz i està comprimit. Per tant, per obtenir-
lo el descomprimirem amb l’ordre següent.
1 sudo gunzip /usr/share/doc/samba−doc/examples/LDAP/samba.schema.gz\

2 /usr/share/doc/samba−doc/examples/LDAP/samba.schema
Una vegada descomprimit el copiarem al directori on el servidor slapd emmagat-

zema els esquemes:
1 sudo cp /usr/share/doc/samba−doc/examples/LDAP/samba.schema /etc/ldap/schema
El fitxer samba.schema concretament conté la informació necessària per crear un

compte de domini de Windows NT. Dins de l’esquema es defineix entre altres
classes d’objectes de Samba, la classe sambaSAMaccount, la qual implementa
els atributs necessaris per treballar amb la SAM Windows Windows NT. En la
taula 2.3 veiem els atributs que ens proporciona aquest objecte.
Taul a 2. 3. Atributs dels objectes de Samba
Descripció
sambaLMPassword La paraula de pas LanMan (16-byte hash).
sambaNTPassword La paraula de pas NT (16-byte hash).
sambaPWdLastSet El temps en segons des de 1970 quan els valors

anteriors van se establerts per última vegada.
sambaAcctFlags Un string de 11 caràcters entre []amb flags: U

(usuari), W (estació de treball ), X (la paraula de pas
no expira), I (domain trust account, H (home dir és
obligatori), S (server trust account) i D (disabled).
Descripció
sambaLogonTime Valor enter que actualment no s’utilitza.
sambaKickoffTime Especifica el moment (en format UNIX) en que

l’usuari es bloquejarà i no podrà entrar al sistema.
sambaPwdCanChange Especifica el moment (en format UNIX) en que

l’usuari podrà canviar la seva paraula de pas.
sambaPwdMustChange Especifica el moment (en format UNIX) en que

l’usuari haurà de canviar la seva paraula de pas.
sambaHomeDrive El drive Windows (p.ex. X:) on es muntaran una unitat

de xarxa amb la HOME de l’usuari. Consulteu el
paràmetre logon drive al manual del fitxer smb.conf.
sambaLogonSript Especifica el camí (path) del fitxer que s’executarà

quan l’usuari inicii una sessió (logon Script).El path
és relatiu al recurs compartit netlogon share.
Consulteu el paràmetre logon scriptal manual del
fitxer smb.conf.
sambaProfilePath Especifica el camí (path)del perfil de l’usuari.

Cosulteu el paràmetre logon path al manual del fitxer
smb.conf.
sambaHomePath Especifica el camí (path)de la HOME de l’usuari.

Consulteu el paràmetre logon home al manual del
fitxer smb.conf.
sambaUserWorkstations Una llista separada per comes de noms de màquina

Net BIOS a les quals l’usuari pot fer logon. Si el
paràmetre està buit l’usuari pot entrar a totes les
màquines.
sambaSID El security identifier (SID) de l’usuari. L’equivalent

Windows als UID de UNIX
sambaPrimaryGroupSID El security identifier (SID) del grup principal de

l’usuari.
sambaDomainName Dominial al qual l’usuari pertany.

En les versions anteriors a
OpenLDAP 2.4 només cal
incloure samba.schema al
En les versions posteriors a OpenLDAP 2.4 el procés d’afegir l’esquema al servei fitxer /etc/ldap/slapd.conf i
reiniciar el servei.
sladp és una mica tediós. Veiem:
Primerament hem de crear un fitxer de text on posarem els includes de tots

els esquemes que volem afegir al servei. Suposem que hem anomenat al fitxer
afegir_schema.conf. A continuació crearem també un directori temporal al qual
anomenarem, per exemple, sortida. El procés per fer aquestos passos és el següent:
Editem el fitxer:
1 sudo nano afegir_schema.conf
Afegim el contingut següent al fixer i l’emmagatzemem:
1 include /etc/ldap/schema/core.schema
2 include /etc/ldap/schema/collective.schema
3 include /etc/ldap/schema/corba.schema
4 include /etc/ldap/schema/cosine.schema
5 include /etc/ldap/schema/duaconf.schema
6 include /etc/ldap/schema/dyngroup.schema
7 include /etc/ldap/schema/inetorgperson.schema
8 include /etc/ldap/schema/java.schema
9 include /etc/ldap/schema/misc.schema
10 include /etc/ldap/schema/nis.schema
11 include /etc/ldap/schema/openldap.schema
12 include /etc/ldap/schema/ppolicy.schema
13 include /etc/ldap/schema/samba.schema
A continuació creem la carpeta sortida a tmp:
1 mkdir /tmp/sortida
Una vegada creats el fitxer i el directori, utilitzem l’ordre slaptest per convertir els
esquemes en un fitxer amb format ldif i desar-lo al directori creat. Aquest fitxer
serà utilitzat per exportar al servidor slapd les dades dels esquemes. L’ordre serà
la següent:
1 slaptest −f afegir_schema.conf −F /tmp/sortida
Si mirem dins del directori /tmp/sortida veurem que s’han generat un conjunt de
fitxers i carpetes, similars als continguts a /etc/ldap/slapd.d.
A continuació hem d’editar el fitxer /tmp/sorti-

da/cn=config/cn=schema/cn={12}samba.ldif i canviar els atributs dn i cn
i introduir els valors següents:
1 dn: cn=samba,cn=schema,cn=config**
2 ...
3 cn: samba
4 ...
També hem d’esborrar aquestes línies del final del fitxer:
1 structuralObjectClass: olcSchemaConfig
2 entryUUID: b53b75ca−083f−102d−9fff−2f64fd123c95
3 creatorsName: cn=config
4 createTimestamp: 20080827045234Z
5 entryCSN: 20080827045234.341425Z#000000#000#000000
6 modifiersName: cn=config
7 modifyTimestamp: 20080827045234Z
Per últim hem d’afegir l’esquema al servidor LDAP amb l’ordre ldapadd:
1 ldapadd −x −D -w contrsenya_admin cn=admin,cn=config −fi\

2 /tmp/sortida/cn\=config/cn\=schema/cn\=\{12\}samba.ldif
3. Optimitzar el funcionament del servidor OpenLDAP. Per tal d’optimitzar el

funcionament del servidor OpenLDAP és necessari crear una sèrie d’índexs. Per
fer-ho creem un fitxer amb el contingut següent:
1 sudo nano samba_indexs.ldif

2
3 dn: olcDatabase={1}hdb,cn=config
4 changetype: modify
5 add: olcDbIndex
6 olcDbIndex: uidNumber eq
7 olcDbIndex: gidNumber eq
8 olcDbIndex: loginShell eq
9 olcDbIndex: uid eq,pres,sub
10 olcDbIndex: memberUid eq,pres,sub
11 olcDbIndex: uniqueMember eq,pres
12 olcDbIndex: sambaSID eq
13 olcDbIndex: sambaPrimaryGroupSID eq
14 olcDbIndex: sambaGroupType eq
15 olcDbIndex: sambaSIDList eq
16 olcDbIndex: sambaDomainName eq
17 olcDbIndex: default sub
A continuació utilitzem l’ordre ldapmodify per carregar els nous índexs:

1 ldapmodify −x −D -w contrasenya_admin cn=admin,cn=config −W −f samba_indexs.
ldif
4. Crear l’arbre de Samba al directori OpenLDAP. Per poder treballar amb

Samba al directori OpenLDAP, hem de crear l’arbre d’informació del directori
(DIT) amb els objectes i entrades necessaris, especificant com a base el nostre
directori. Podem fer-lo de dues maneres, creant a mà un fitxer amb les entrades
o utilitzant l’eina smbldap-populate, la qual ens genera automàticament l’arbre
bàsic per treballar amb Samba.
Per obtenir l’eina smbldap-populate hem d’instal·lar el paquet smbldap-tools,

el qual incorpora una sèrie de scripts pensats per gestionar usuaris que estiguin
emmagatzemats en un directori LDAP. Aquest paquet també incorpora eines que
ens poden ajudar en la migració d’un Servidor Windows NT 4.0 a Samba.
Veiem el procés d’instal·lació i configuració d’smbldap-tools:

1 sudo apt−get install smbldap−tools
Amb la següent ordre veiem les eines que ens proporciona el paquet:
1 sudo dpkg −L smbldap−tools | grep bin
2
3 /usr/sbin
4 /usr/sbin/smbldap−groupadd
5 /usr/sbin/smbldap−groupdel
6 /usr/sbin/smbldap−groupmod
7 /usr/sbin/smbldap−groupshow
8 /usr/sbin/smbldap−passwd
9 /usr/sbin/smbldap−populate
10 /usr/sbin/smbldap−useradd
11 /usr/sbin/smbldap−userdel
12 /usr/sbin/smbldap−userinfo
13 /usr/sbin/smbldap−usermod
14 /usr/sbin/smbldap−usershow
Per tal de configurar correctament el funcionament de les eines de smbldap-tools

hem de fer el següent: Copiar els exemples de configuració de la documentació a
la carpeta /etc/smbldap-tools amb les ordres següents:
1 cd /usr/share/doc/smbldap−tools/examples
2 sudo gunzip smbldap.conf.gz
3 sudo cp /usr/share/doc/smbldap−tools/examples/smbldap.conf /etc/smbldap−tools/
4 sudo cp /usr/share/doc/smbldap−tools/examples/smbldap_bind.conf /etc/smbldap−
tools/
Establir els permisos d’aquests fitxers de la manera com segueix:

1 sudo chmod 0644 /etc/smbldap−tools/smbldap.conf
2 sudo chmod 0600 /etc/smbldap−tools/smbldap_bind.conf
Modificar els valors d’smbldap.conf per fer-los concordar amb el nostre entorn.
1 SID=" S−1−5−21−1329301582−845521840−2767172409"
2 sambaDomain="GRUPIOC"
3 slaveLDAP="127.0.0.1"
4 slavePort="389"
5 masterLDAP="127.0.0.1"
6 masterPort="389"
7 ldapTLS="0"
8 verify="none"
9 cafile="/etc/smbldap−tools/ca.pem"
10 clientcert="/etc/smbldap−tools/smbldap−tools.pem"
11 clientkey="/etc/smbldap−tools/smbldap−tools.key"
12 suffix="dc=grupioc,dc=ioc,dc=xtec,dc=cat"
13 usersdn="ou=People,${suffix}"
14 computersdn="ou=Computers,${suffix}"
15 groupsdn="ou=Groups,${suffix}"
16 idmapdn="ou=Idmap,${suffix}"
17 sambaUnixIdPooldn="sambaDomainName=GRUPIOC,${suffix}"
18 ...
Per obtenir el SID, utilitzem l’ordre, al servidor Samba:
1 sudo net getlocalsid
Modificar el fitxer /etc/smbldap-tools/smbldap_bind.conf:
1 slaveDN="cn=admin,dc=grupioc,dc=ioc,dc=xtec,dc=cat"
2 slavePw="contrasenya_admin"
3 masterDN="cn=admin,dc=grupioc,dc=ioc,dc=xtec,dc=cat"
4 masterPw="contrasenya_admin"
Un cop configurat podem fer que smbldap-tools ens generi l’arbre bàsic d’LDAP
amb:
1 sudo smbldap−populate
Amb aquest pas finalitzem la configuració del servei OpenLDAP. El següent pas
en la configuració de l’PDC Samba amb LDAP consisteix en la configuració del
servidor Samba.
5. Configuració del servidor Samba. Si utilitzem Swat dins de la secció global

trobem una secció d’opcions per establir els paràmetres d’LDAP. Un exemple de
configuració amb el nostre domini és el que es mostra en la figura 2.20.
Figur a 2. 20. Configuració d’un domini
A més de les opcions que veiem en la imatge hem de configurar també l’opció
passdb backend, el valor de la qual serà:
1 passdb backend=ldapsam:ldap://localhost
Utilitzarem localhost, si la màquina on tenim instal·lat el servei LDAP és la

mateixa màquina on tenim instal·lat el servei Samba.
Per poder treballar amb les eines de gestió d’usuari remotament com a root des de
Windows cal configurar els scripts de gestió d’usuari GNU/Linux, com es mostra
en la figura 2.21.
F ig ur a 2 . 21 . Configuració d’scripts de gestió d’usuari
A més del següent parametre:

1 passwd program=/usr/sbin/smbldap−passwd %u
On el significat dels scripts és el mateix que el que s’ha vist anteriorment.
Una vegada fet tot el procés de configuració anterior, caldria comprovar que la
implementació del servei Samba amb OpenLDAP funciona fent servir les ordres
següents:
1 sudo pdbedit −Lv | more

2 smbclient -U nou_usuari −L GRUPIOC
3 Password: contrasenya_usuari
Amb aquest pas acaba el procés de configuració, només caldria la introducció de

les dades dels usuaris i recursos del domini i començar a treballar.
Finalment, cal comentar que al servidor OpenLDAP hi ha dades confidencials,

com els atributs SambaLMPassword i SambaNTPassword, que per qüestions de
seguretat estan xifrades. Tot i això, es poden aplicar atacs de força bruta sobre
aquests atributs o es poden utilitzar directament per fer-se passar per un altre usuari.
Per tant, les comunicacions entre Samba i OpenLDAP sempre és millor que
estiguin xifrades, és a dir, no s’ha d’utilitzar: ldap ssl = off. També cal evitar que
els usuaris no administradors d’OpenLDAP puguin consultar els atributs crítics.

FP SMX m04 Material Paper

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FP SMX m04 Material Paper

Uploaded by

Copyright:

Available Formats

Informàtica i comunicacions

Sistemes operatius en xarxa

CFGM - Sistemes microinformàtics i xarxes

Primera edició: setembre 2010

Podeu veure el text legal complet a

En finalitzar aquest mòdul l’alumne/a:

1. Instal·la i monitoritza sistemes operatius en xarxa propietaris, descrivint

Sistemes operatius lliures en xarxa

1. Instal·la i monitoritza sistemes operatius en xarxa lliures, descrivint carac-

Compartir recursos en xarxa i seguretat en sistemes lliures i de propietat

1. Comparteix recursos en xarxa i gestiona la seguretat, instal·lant programari

Integració de sistemes operatius

1. Fa tasques d’integració de sistemes operatius lliures i propietaris, instal·lant

Sistemes operatius propietaris en xarxa

1. Instal·lació i administració de sistemes operatius de propietat

2. Supervisió de sistemes operatius de propietat

3. Directrius de grup en sistemes operatius de propietat

Sistemes operatius lliures en xarxa

1. Sistemes operatius lliures. Instal·lació de sistemes GNU/Linux

2. Configuració i monitoratge en sistemes GNU/Linux

4. Autenticació d’usuaris en xarxes GNU/Linux

Compartir recursos en xarxa i seguretat en sistemes lliures i de

1. Compartir recursos en xarxa i seguretat en sistemes de propietat

2. Compartir recursos en xarxa i seguretat en sistemes lliures

Integració de sistemes operatius

1. Sistemes heterogenis. Integració de sistemes amb Windows

2. Integració de sistemes amb GNU/Linux

Sistemes operatius en xarxa

1 Instal·lació i administració de sistemes operatius de propietat 9

2 Supervisió de sistemes operatius de propietat 27

3 Directrius de grup en sistemes operatius de propietat 43

3.2.2 Compatibilitat de versions de directrius rectives de grup . . . . . . . . . . . . . . . . 44

La formació d’estudiants en sistemes operatius en xarxa de propietat és necessària,

En l’apartat “Instal·lació i administració de sistemes operatius de propietat” es

La gestió de les polítiques del sistema s’abordarà en l’apartat “Directrius de grup

L’apartat “Active Directory” pretén presentar l’estratègia que segueix el Microsoft

En finalitzar aquesta unitat, l’alumnat ha de saber:

1. Instal·lar i monitoritzar sistemes operatius en xarxa propietaris, descrivint

• Fer l’estudi de compatibilitat del sistema informàtic. Planificar la

1. Instal·lació i administració de sistemes operatius de propietat

El sistema operatiu en xarxa Microsoft Windows Server 2016 (o Windows Server

El Microsoft Windows Server 2016 succeeix al Microsoft Windows Server

• Nano Server. Emprant aquesta tècnica es dissenyen de manera independent

• Entorn de preinstal·lació i prearrencada. L’entorn de preinstal·lació

• Control de comptes d’usuari. Les aplicacions s’executaran sempre sota

1.1 La família Microsoft Windows Server 2016

El Microsoft Windows Server 2016 constitueix una família de productes que us

• Microsoft Windows Server 2016, Essentials Edition. Ofereix més ca-

• Microsoft Windows Server 2016, Datacenter Edition. Aquest és el

Client Access License Si les estacions de treball a la teva organització

1.2 Controladors de domini

Un controlador de domini és una part essencial dels sistemes operatius

La versió de l’Active Directory que utilitza el sistema operatiu actual de Microsoft

• AD CS: serveis de certificate server de l’Active Directory. Aquest servei

• AD DS: serveis de domini de l’Active Directory. Aquest servei proporciona

• AD LDS: serveis de directori lleuger de l’Active Directory. Proporciona un

• AD RMS: serveis de gestió de drets de l’Active Directory. Constitueix una

1.3 Serveis de resolució de noms

La resolució de noms és un mecanisme que facilita la comunicació entre els equips

• WINS: servei de noms d’Internet de Windows. Converteix noms d’ordina-

• LLMNR: resolució de noms de multidifusió local de vincles. Duu a terme

1.4 Eines més usuals

• Plafó de control: conté una sèrie d’eines que ajuden a gestionar la