ADMINISTRACION DE REDES

G3

martes, 27 de enero de 2009

MODULO DE SEGURIDAD

Configuracion de Llaves Publicas en Debian con GNUPG

Aprenderemos a manejar la aplicación GNUPG para generar el par de llaves para una comunicación Criptográfica Asimétrica, lo que necesitamos es tener instalado la aplicación GNUPG en nuestro Debían y listo, así:

# apt-get install gnupg

Después de que este instalado debemos de generar el par de llaves para nuestro usuario, para ello debemos de ejecutar el siguiente comando:


Generar par de llaves:

# gpg --gen-key

Con este comando generaremos el par de llaves que necesitamos para la comunicación, después de digitar este comando el nos pedirá el tipo de llave con la cual queremos trabajar para utilizarla en la comunicación, escogeremos la opción que necesitamos o que deseemos, en este caso utilizaremos la primera opción (DSA and Elgamal) esta nos permitirá Cifrar y Firmar, después nos pedirá el tamaño de las llaves, el nos dará varias opciones que están entre 1024 y 4096, en este caso dejaremos la por defecto que es 2048, recordemos que entre más tamaño tenga nuestra llave será más segura la encriptación, pero a mas tamaño se demorara más tiempo en cifrar y descifrar. Después de esto nos preguntara cuanto queremos que dure nuestro par de llaves, nosotros le diremos que 1 mes porque será una práctica, pero le diremos el tiempo que necesitemos (Aquí le diremos 1m para 1 mes, si es si queremos otro valor él nos da las opciones), el nos preguntara si el tiempo que ingresamos es correcto y le diremos que si (y), después de esto nos pedirá información personal en la cual debemos de darle nuestro nombre y apellido (Si queremos), después nuestra dirección de coreo electrónico, un comentario o descripción para el par de llaves y por ultimo la confirmación de estos datos que ingresamos (Nuestro nombre será Practica Sena, el correo electrónico practica@sena.edu.co y el comentario será Practica de llave Asimétrica), para confirmar debemos de ingresar la letra "V" y Enter. Después de la confirmación debemos de ingresar una contraseña o password para poder usar nuestro par de llaves, introducimos la llave y le debemos de confirmar, si las contraseñas coinciden empezara a generarse el par de llaves, dependiendo del tamaño de la llave tomara un tiempo en generarse, para ello recomendamos realizar otro proceso en el computador para que se genere el par de llaves (Ejemplo: Reproducción de un MP3, mover el mouse, navegar en internet, etc.).

Después de que se cree nuestro par de llaves las vamos a verificar, con la ayuda de los
siguientes comandos:

# gpg --list-keys
# gpg -k
# gpg -K
# gpg --lis-keys ________

Significado de cada Comando:
1.Nos muestra todas las llaves que hay en nuestro equipo
2.Nos muestra todas las lleves Publica del equipo
3.Nos muestra todas las llaves Privadas del equipo
4.Nos muestra solo la llave de la persona que indicamos
En este ultimo comando podemos usarlo de muchas formas, buscar la la llave con: El nombre, el apellido, el comentario, el correo electrónico o el ID de la llave.


Eliminar llaves Públicas y Privadas:

Si en la creación de la llave nos equivocamos en algún parámetro podemos eliminar la llave, tanto el par de llaves como solo una de ellas, lo haremos con la ayuda de los siguientes comandos:

# gpg --delete-keys
# gpg --delete-secret-key
# gpg --delete-secret-and-public-key

Significado de cada Comando:
1.Elimina la llave Publica
2.Elimina la llave Privada
3.Elimina el par de llaves
Estos comandos deben ir acompañados del nombre de la llave, el correo electrónico o el ID de la llave).


Exportar e Importar llaves:

Ahora aprenderemos a exportar nuestras llaves, la Publica que será la que debemos de publicar en algún servidor y simplemente al que utilizaran las demás personas que se comunicaran con nosotros, también exportaremos nuestra llave Privada, para tenerla como respaldo si ocurre algo en nuestro equipo o para importarla y usarla en otro equipo, para ello utilizaremos los siguientes comando:

# gpg -a -o Nombrellave.asc --export ______
# gpg -a -o Nombrellave.asc --export-secret-key ______



Significado de cada Comando:
1.Exportar la llave Publica
2.Exporte la llave Privada

En este comando la -a es del formato ASCII, el -o significa la salida (exportar) y le asignaremos un nombre a la llave (Ejemplo: LlavePublica.asc, LlavePrivada.ac, etc.). Debemos de colocar el correo electrónico que le corresponde a la llave o el ID de la llave. La llave quedara en la ruta donde estamos parados, con un simple editor de texto podemos ver el contenido de lo que es la llave.

Fuera del ID de la llave esta tiene un numero que la identifica, lo cual convierte a la llave en única, es llamado huella o Fingerprint, para ver el Fingerprint de determinada llave para verificar si si es la llave de la persona con la cual queremos tener una comunicación ejecutaremos el siguiente comando el cual nos dará unos números parecidos a la de una dirección MAC de una NIC, así:

# gpg --fingerprint ________

Significado de cada Comando:
1.Nos dará el Fingerprint de la llave

Recordemos que debe de ir acompañado del Nombre de la llave, el coreo electrónico o el ID de la llave.

Ahora que ya sabemos verificar la llave, podemos importarla para poder cifrar y descifrar mensajes dentro de una comunicación (Comunicación de Persona 1 a Persona 2), para importar una llave tanto la Publica como la Privada, utilizaremos el mismo comando, así:

# gpg --import ________

Significado de cada Comando:
1.Importar llave Pública o Privada

En este comando le debemos de dar el archivo de la llave o la ruta de acceso a ella (Ejemplo: /home/usuario/LlevePublica.asc), y listo, el reconocerá si es una llave Publica o una llave Privada, con los comandos pasados podemos listar las lleves del equipo.


Cifrar y Descifrar:

En este punto ya podemos cifrar y descifrar mensajes con las llaves publicas que importamos a simplemente con nuestro propio par de llaves, para ello utilizaremos el siguiente comando (Recordemos que debemos de tener ya creado un documento que será el que vamos a cifrar):

# gpg -e documento.txt


Significado de cada Comando:
1.Cifrar datos

En este comando el nos pedirá el ID de Usuario, podemos colocar el ID o simplemente el correo del usuario a quien ira el mensaje (Podemos utilizar nuestra llave si es una práctica, como en nuestro caso), después el nos preguntara de nuevo que ingresemos el ID de Usuario, pero si no queremos cifrar de nuevo el mensaje le daremos Enter y listo. Después de este comando el nos creara un archivo con el nombre del documento original pero con una extensión .asc, este es el documento cifrado, lo descifraremos en el paso siguiente.

# gpg -d documento.txt.asc

Significado de cada Comando:
1.Descifrar datos

Con este segundo comando podemos descifrar el mensaje que creamos anteriormente y el nos dará el resultado en la consola. El nos pedirá el password de la clave Privada con la cual se pude cifrar y descifrar (En nuestro caso utilizamos nuestro propio par de llaves).


Crear Anillo de Confianza:

Para crear el anillo de confianza de nuestras llaves, debemos de firmarlas y decirles que confiamos en ella (Esto es para generar confianza con las llaves que tenemos agregadas en nuestro equipo), debemos de utilizar los siguientes comandos:

# gpg --sign-key ________

Significado de cada Comando:
1.Firmar la llave

En este comando debemos de colocar el ID de la llave o el correo electrónico de la llave, el nos preguntara si confiamos en la llave y le diremos que si (y/s) y por ultimo nos pedirá introducir el password de nuestra llave. Después de esto debemos de utilizar el siguiente comando:

# gpg --update-trustdb

Significado de cada Comando:
1.Actualiza la base de datos de confianza

En este comando el nos preguntara cuanto confiamos en la llave o en las llaves que tenemos agregadas a nuestro equipo, el nos dará la descripción del Usuario y nosotros
ingresaremos el nivel de confianza para la llave (En nuestro caso será la opción 4, en la que le decimos que confiamos completamente en la llave), si tenemos más de una llave el nos pedirá el nivel de confianza para cada una de ellas. Podemos mirar la lista de las llaves y de las firmas con la ayuda de los siguientes comandos:

# gpg --list-sigs
# gpg --list-sigs ________

Significado de cada Comando:
1.Lista las llaves y las firmas de todas nuestras llaves
2.Lista las llaves y las firmas de la llave especifica

En el segundo comando podemos darle el ID de la llave, el correo electrónico o el nombre y el nos traerá solo la llaves o las llaves que correspondan a dicho dato. Esto nos servirá para identificar las firmar que tiene dicha llave o nuestra propia firma.

Para firmar una llave en un servidor web debemos de ejecutar el siguiente comando (Esto lo haremos con el fin de que las llaves en las cuales confiamos estén firmadas con nuestra llave no solo local sino también en el servidor):

# gpg --keyserver Nombredelservidor --send-keys ________

Significado de cada Comando:
1.Subir Firma a servidor dellaves

En este comando debe de ir el ID de la llave o el correo electrónico, no nos debe de salir ningún error (En nuestro caso el servidor de llaves es pgp.rediris.es). Si queremos actualizar las llaves desde el servidor de llaves, utilizaremos el siguiente comando:

# gpg --Keyserver Nombredelservidor --refresh-keys

Significado de cada Comando:
1.Actualizar las llaves desde unServidor

Firma Digital:

En este punto aprenderemos a agregarle nuestra firma digital a un archivo, con el fin de que el usuario a quien va enviado el mensaje verifique que el destinatario si es quien dice ser. Para ello utilizaremos los siguientes comandos (Recordemos que debemos de tener listo el documento que vamos a enviar y firmar):


Firma de la llave puplica para esto ejecutamos el siguiente comando:

# Gpg –-sign-key “nombre del propietario de la llave”

luego nos pregunta que si deseamos firmar de verdad, contestamos con una “s” y nos pedira la contraseña y asi la llave ya estara firmada
para exportar la llave firmada ejecutaremos el siguiente comando:

# gpg --export -o “archivo de la clave” -a “identificador del propietario”

# gpg -a --sign documento.txt

Significado de cada Comando:
1.Firma el documento pero borra el contenido

Este comando lo que hace es dejar solo la firma digital dentro, si tenemos texto dentro del documento la firma digital lo borrara, esto se hace solo cuando queremos enviar la firma digital aparte del mensaje, con el fin de no dañar el contenido de este. Si lo que queremos es que la firma digital este dentro del mensaje lo que debemos de hacer es utilizar el siguiente comando:

# gpg --clearsign documento.txt

Significado de cada Comando:
1.Firma el documento y no borra el contenido
Debemos de tener en cuenta que este comando solo nos va a servir en un documento en texto plano (Texto claro o sin formato, Ejemplo: Word, Excel, etc.), de lo contrario se dañara la integridad del mensaje, en estos casos deberíamos de enviar la firma digital con el primer comando. Si tenemos un mensaje en texto plano podemos cifrarlo y enviar la firma digital en mismo archivo cifrado, con la ayuda de los comandos anteriores.

Si queremos verificar la firma digital de algun documento o simplemente la firma, lo que debemos de hacer es utilizar el siguiente comando:

# gpg --verify ________

Significado de cada Comando:
1.Verificar la Firma Digital

Debemos de colocar la ruta del archivo que contiene la firma digital, y el nos arrogara el ID, el nombre y el correo de la persona que firmo el documento.


Certificado de Revocación:

El certificado de revocación nos sirve para eliminar una llave publica que tengamos en un Servidor de Llaves o de nuestro equipo, esto lo haremos si llegamos a perder una llave y no queremos que nadie pueda utilizarla de nuevo o si simplemente cambiamos de llave y no queremos que la utilicen de nuevo, para generar el certificado de revocación necesitamos ejecutar el siguiente comando:

# gpg -a -o Nombredelarchivo.asc --gen-revoke ________

Significado de cada Comando:
1.Crea el Certificado de Revocación

En este comando debemos de colocar el ID de Usuario o el Correo electrónico de la llave, en el campo que dice (Nombredelarchivo.asc) será el nombre que nosotros queramos, será para identificar que es un certificado de revocación (Ejemplo: CertificadoRevocacion.asc), después de darle este comando el nos preguntara si queremos crear el certificado de revocación para la llave, le diremos que si (y/s),
después nos preguntara la razón de la revocación y una descripción (La descripción es opcional, si no queremos nada de descripción daremos Enter y listo), después el nos sacara un resumen de lo que ingresamos y le diremos que si (y/s), por ultimo ingresaremos el password de la llave a la cual le estamos generando el certificado de revocación.

Después de tener el certificado, para que nuestra maquina tomes el certificado debemos de importarla, con la ayuda del siguiente comando (Después de importar el certificado de revocación para esta llave no la podremos utilizar de nuevo para cifrar o descifrar):

# gpg --import ________

Significado de cada Comando:
1.Importar el Certificado de Revocación

En este campo debemos de colocar el certificado de revocación o la ruta de este (Ejemplo: CertificadoRevocacion.asc, /home/usuario/Desktop/CertificadoRevocacion.asc, etc.), después de darle este comando el nos sacara que el certificado de revocación a sido importado. Si lo que queremos es publicar el certificado de revocación en un servidor web, para que la llave no se vuelva a utilizar, debemos de realizar el siguiente comando (Puede variar dependiendo el servidor de llave):

# gpg --Keyserver NombredelServidor --send-keys ________

Significado de cada Comando:
1.Subir Certificado al Servidor

En este comando debemos de colocar el ID de la llave o el Correo electrónico de la llave, no nos debe de salir ningún error, recordemos que si estamos trabajando con Proxy lo debemos de exportar para que se puede conectar con el servidor.

martes, 29 de julio de 2008

MODULO DE ADMINISTRACION



Manual De Wordpress
View SlideShare document or Upload your own.
Manual De Monitoreo
View SlideShare document or Upload your own.
Servidor De Correo En Fedora
View SlideShare document or Upload your own.



Servidor De Correo En Debian
View SlideShare document or Upload your own.


INSTALACION Y CONFIGURACION DE SNMP Y MRTG


¿ Que es MRTG ?

El Multi Router Traffic Grapher (MRTG) es una herramienta para supervisar la carga de tráfico de la red. MRTG genera páginas HTML que contienen imágenes PNG que ofrece representación visual de este tráfico.

¿ Qué es SNMP ?

SNMP (Simple Network Management Protocol) es un protocolo ampliamente utilizado en la administración de redes para supervisar la salud y el bienestar del equipo de la red, equipo de cómputo y otros dispositivos. Net-SNMP es la aplicación y el demonio es el SNMPD.


Instalación:

# apt-get install snmp snmpd mrtg

NOTA: En la instalacion nos preguntara si queremos que si el archivo mrtg.cfg sea solo legible para el usuario MRTG, y le diremos que Si.

En la ruta /etc/snmp/ se encuentra el archivo de configuración para el SNMP con el nombre de snmpd.conf al cual le haremos un Backup con el siguiente comando:

# cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf_Respaldo

Se deben crear las listas de control de acceso (ACL) correspondientes a nuestra red en el fichero /etc/snmp/snmpd.conf y que servirán para definir quien tendrá acceso hacia el servicio SNMP. A una de estas listas se le otorgará permiso de Lectura y Escritura para lo que sea necesario y a la otra de solo Lectura. Por razones de seguridad solo la interfaz 127.0.0.1 será la de lectura escritura. Se otorgará permiso de acceso de solo lectura a una red o bien a una IP en la otra lista de control de acceso (ACL).

Entraremos al archivo de configuración del SNMP a configurarlo con el siguiente comando:

# nano /etc/snmp/snmpd.conf

Buscaremos las siguientes líneas, aquí definiremos el nombre o los nombres de comunidades a las que el Servidor accederá, las cambiaremos por los siguientes parámetros:

com2sec local 127.0.0.1/32 private
com2sec miredlocal 10.3.64.0/24 public

Donde local será la Comunidad de Lectura y Escritura y miredlocal de solo Lectura, prívate será el nombre de la comunidad para 127.0.0.1 (localhost) y 192.168.0.0 sera el ID de nuestra Red, en vez de la IP lo podemos dejar con el parámetro default. Private será el nombre de la Comunidad para local y Public para miredlocal.

Crearemos dos grupos (debemos de tener en cuanta que ya hay unos grupos creados por defecto y debemos de crear conflicto), MyRWGroup y MyROGroup. El primero será un grupo al que se asignarán más adelante permisos de lectura-escritura y el segundo será un grupo al que posteriormente se asignarán permisos de solo lectura. Por cada grupo se asignan tres líneas que especifican el tipo de acceso que se permitirá en un momento dado a un grupo en particular. Es decir, MyRWGroup se asocia a local y MyROGroup a miredlocal, las líneas deben de quedar así:


group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local

group MyROGroup v1 miredlocal
group MyROGroup v2c miredlocal
group MyROGroup usm miredlocal

Especificaremos las ramas que se van a permitir ver a través del servicio. Lo más común, para, por ejemplo, utilizarse con MRTG, buscaremos las siguientes líneas y debemos de encontrarlas así:

## name incl/excl subtree mask(optional)

View all included 1 80

Se debe especificar que permisos tendrán los dos grupos, MyROGroup y MyRWGroup. Son de especial interés las últimas columnas, recordemos que local será de lectura-escritura y miredlocal lectura, debe de quedar así, tendremos cuidado con las ultimas líneas:

## group context sec.model sec.level prefix read write notif
access MyROGroup "" any noauth exact all none none

access MyRWGroup "" any noauth exact all all all

Se definen dos parámetros de carácter informativo para que cuando utilicen aplicaciones cliente como MRTG se incluya algo de información acerca de que sistema se está accediendo, cambiaremos las líneas con la información de nuestro dominio (en nuestro caso nluder55.com), asi:

syslocation Servidor Linux en server1.bluder55.com
syscontact Administrador (administrator@bluder55.com)

Reiniciaremos el servicio de SNMP y lo añadiremos al resto de los servicios que arrancan junto con el sistema (Si no nos da esta comando es porque ya está en el arranque del sistema):

# service snmpd start
# chkconfig snmpd on

Antes de provar el Servidor verificaremos la conexión con el localhost o si queremos con la ip de un equipo de la red, para ello necesitaremos instalar el scli con el siguiente comando:

# apt-get instakk scli

Despues de instalarlo vasta con ejecutar el comando seguido de la IP a vereificar, así:

# scli 127.0.0.1
100-scli version 0.2.12 (c) 2001-2002 Juergen Schoenwaelder
100-scli trying SNMPv2c ... good
(127.0.0.1) scli >

En esta prom le podemos dar monitor y nos debe dar informacion del Equipo. Probaremos el servidor con el siguiente comando (nos debe de arrojar información acerca del Equipo):

# snmpwalk -v 1 127.0.0.1 -c private system
# snmpwalk -v 1 127.0.0.1 -c private interfaces

Ahora en MRTG crearemos un respaldo del archivo de cnfiguración, con el siguiente comando:

# cp /etc/mrtg.cfg /etc/mrtg.cfg_Respaldo

Entreremos al archivo de configuracion del MRTG con el Siguiente comando:

# nano /etc/mrtg.cfg

Verificaremos si estan estas lineas en archivo de configuracion, de lo contrario agregarlas:

RunAsDaemon: yes
EnableIPv6: no
WorkDir: /var/www/mrtg
Options[_]: bits,growright
WriteExpires: Yes
Title[^]: Traffic Analysis for


Para el Servidor MRTG cada 5 minutos verificara el estado de las interfaces, para mirar la configuracion de este seraa así:

# cat /etc/cron.d/mrtg

El contenido debe de ser como este, donde el 5 es el valor por defecto para el escaneo de los equipos en la red:

*/5 * * * * root if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg.cfg ]; then env LANG=C /usr/bin/mrtg /etc/mrtg.cfg >> /var/log/mrtg/mrtg.log 2>&1; fi

Ahora agregaremos a nuestro Equipo al archivo de configuracion del MRTG con el siguiente comando, donde private sera la comunidad para la red localhost y se añadira al archivo mrtg.cfg, asi:

# cfgmaker private@localhost > /etc/mrtg.cfg

Para que el MRTG nos grafique (Entorno Grafico) debemos de crear la pagina para el equipo que agregamos con el comando antrerior, así:

# indexmaker /etc/mrtg.cfg > /var/www/mrtg/index.html

Ingresaremos a la interfaz graica del MRTG por medio del Navegador Web con http://10.3.64.86/mrtg, nos debe de mostrar el nustro equipo con el nombre completo, para mirar el estado de este sera darle Clic en el cuadro y mirar todo lo que MRTG y SNMP tienen para graficarnos. Recordemos que MRTG muestra el estado del Equipo cada 5 minutos por lo cual tendremos que esperar un poco.

Para agregar un Equipo o Dispositivo de red al MRTG vasta con tomar los pasos que hicimos con nuestro PC (localhost) y listo.

Los pasos serian:1. Provar la conexión con SCLI.

2. Escanear el Equipo o Dispositivo por consola con el comando snmpwalk

3. Agregar el equipo al archivo de configuracion del MRTG.

4. Agregar el Equipo a la interfaz grafica del MRTG.

Esta sera la ventana para nustro Equipo:



SCRIPT PARA REMPLAZAR UNA PALABRA POR OTRA EN EL ARCHIVO QUE DESEES
#! /bin/bash

echo "este es el asistente para la configuracion de el nombre de dominio de una red"

read -p "introduzca el nombre de dominio antiguo:" DA
read -p "introduzca el nombre de su nuevo dominio:" DN
read -p "introduzca la ruta del archivo que desee modificar:" RA
sed -i s/$DA/$DN/g $RA

echo "OK, dns exitoso"

le ejecutamos asi: ./script o sh +x script


INSTALACION FEDORA 9

prioritariamente iniciamos el equipo por el cd para disponernos a insertar el DVD y proseguir con la instalacion de fedora 9 donde el primer pantallazo es el siguiente:

elegimos la primera opción y comenzará el proceso de instalación de Fedora 9.

Next y seleccionamos la distribución de nuestro teclado.

Click en Siguiente y pasamos a la configuración de la red. En nuestro caso la red utiliza DHCP para obtener una IP.

Siguiente y en la nueva pantalla seleccionamos la zona horaria.

En nuestro caso seleccionamos: América-Colombia-Bogota

La siguiente pantalla nos pide que definamos una contraseña para el usuario root. Es recomendable utilizar contraseñas que contengan números, letras en mayúsculas y en minúsculas y caracteres especiales.

Ahora llegamos a la configuración del sistema de archivos. El asistente nos ayudará a configurar las particiones que utilizará Fedora. En nuestro seleccionamos Crear un diseño personalizado para poder escoger la partición en la que se va a instalar el sistema operativo.

Cuando terminamos de configurar el sistema de archivos, el sistema, nos pide guardar los cambios en el disco. Si estamos seguro de los que hacemos hacemos click en Guardar cambios al disco.

ya ahora lo que tenemos que hacer es darle siguiente a los pantallazos siguientes y configurar algunas cosas basicas como cualquier instalacion.



FEDORA DIRECTORY SERVER

El fedora directory server es un servidor de alta escabilidad que cumple con el protocolo LDAP y facilidad a la gestion de la infraestructura mediante la centralizacion de configuraciones de las aplicaciones, perfiles de usuario, informacion de grupos, politicas y controldel acceso a la informacion en un directorio basado en conexiones en red. La gestion esta aun mas simplicada por caracteristicas tales como la replica multiple de originales ("multi-master") y la recuperacion automatica. Los administradores tienen la habilidad de mejorar la seguridad de las redes medinte la distribucion de una sola fuente de autenticacion.


LA INSTALACION

Ahora nos hemos metido con la instalacion de FDS y de este proceso me han surgido varios panoramas los cuales quiero describir partiendo desde la descarga del paquete(s) por lo que trabaje en la version 9 de fedora no tuve mayor complicacion
con java y apache pues a partir de la versión 1,0 Fedora Directory Server no incluye un entorno de ejecución Java la cual es exigida por la administración del servidor y la consola.

Primeramente debemos de descargar el paquete que nos permita instalar el FDS en el link: http://directory.fedoraproject.org/wiki/douwnload/fedora-ds-1.0.4-1.FC6.i386.opt.rpm

la instalacion del paquete se me facilito con rpm :

  • Rpm –Uvh /Descargas/fedora-ds-1.0.4-1.FC6.i386.opt.rpm


1 . conclusion
Fedora Directory Server tiene la capacidad de manejar múltiples dominios en una misma interfaz de administración, a esto se le conoce como Gestión de Instancias

FDS se instala por defecto en el directorio /opt/fedora-ds allí encontrará los archivos de instalación y administración, así como cada una de las instancias que posteriormente vamos a crear, debe haber al menos una(1) instancia creada en la instalación inicial y se representa con el nombre de directorio /opt/fedora-ds/slapd-/.



luego nos
pide que corramos un script para completar la instalación y prender el servidor
  • /opt/fedora-ds/setup/setup


en sintesis este script de instalación pide una serie de preguntas, e incluso comprueba si el sistema puede hacer frente a la espera de carga. en este paso es donde se debe prestar mas atencion y de donde he sacado mas conclusiones.
primeramente debo decir que escogi una instalacion tipica:

los parametros que depronto se nos dificultaron interpretar bien por el idioma, pero que debemos tener claros se resumen
  • Hostname to use (default: localhost.localdomain) en donde de debe especificar el nombre del equipo y del dominio que vamos a elegir

conclusion

debes tener muy claro el nombre del equipo y del dominio los cuales deben estar definidos en /etc/hosts y en
/etc/sysconfig/network para que luego cuando estemos corriendo el apache no sea impedido con un error al comunicarse con el localhost y seguidamente deje iniciar el servidor de directorio.

  • server user ID to use (default: nobody)
  • server group ID to use (default: nobody) a continuacion nos solicita un nombre de usuario, que debe estar registrado en el equipo y ser usado en el Directory Server.
conclusion
El programa de instalación crea dos usuarios admin. Uno para la administración del servidor (esto será como un usuario "admin"). El otro es para el servidor de directorio propio (conocido como la "raíz DN" en OpenLDAP). Será un usuario, como "cn = Directory Manager". Es necesario recordar las contraseñas para ambos de estos usuarios




puede que nos muestre un error de dependencias, porque el Fedora-ds necesita de unas librerías para ser instalado de manera correcta estas son :
  • libtercamp
  • termcap

conclusion

si deseas las descargas en el clic en el link:
http://rpmfind.net/linux/RPM/





en este pantallazo
nos pregunta que si deseamos registrar este software con una configuración de FDS ya existente


ü En la siguiente pantalla nos pregunta si queremos guardar en nuestro almacén de datos en otro Directory Server, por defecto lo dejamos en blanco, ya que vamos a guardar nuestra base de datos en el Directory Server que estamos creando.




  • directory server network port (389): Luego nos da la opción de cambiar el puerto estándar por el cual corre el Directory Server, que, estando como súper usuario nos asigna el 389, si no estamos como Root, nos asigna un puerto superior a 1024.


conclusion

En lugar de utilizar los puertos de administración seleccionados al azar es mejor elegir un número de puerto. A menudo escoger 7006.Puede cambiar el puerto editando el fichero / opt / fedora-ds / admin-serv / config / server.xml. Por defecto, las conexiones con el puerto administrador son sólo posibles a partir del dominio local - esto puede ser fijado en la parte de la consola de administrador de servidor, pero el servidor debe ser reiniciado después.-Estos son los puertos para una comunicación con los controladores de dominio:
    • Ligero Protocolo de acceso a directorios (LDAP); el puerto TCP 389, SSL para el puerto TCP 686.
    • Sitio de replicación LDAP comunicación; el puerto TCP 379
    • Catálogo Mundial de comunicación LDAP; el puerto TCP 3268, SSL para el puerto TCP 3269.


ü Cada instancia de un servidor de directorio requiere un identificador único.
Pulse Enter para aceptar el valor por defecto, o en otro tipo de nombre y pulse
enter

  • Identificador de servidor de directorio [equipo1]:

ü Por favor, introduzca el ID de administrador para la configuración de Fedora
servidor de directorio. Este es el ID suelen utilizar para acceder a la consola. Se le pedirá también la contraseña.

Fedora configuración de servidor de directorio


  • administrador ID [admin]:

ü Después nos muestra la siguiente pantalla, donde nos da la opción de registrar un usuario que administrará el FDS:

conclusion
El programa de instalación crea dos usuarios admin. Uno para la administración del servidor (esto será como un usuario "admin"). El otro es para el servidor de directorio propio (conocido como la "raíz DN" en OpenLDAP). Será un usuario, como "cn = Directory Manager". Es necesario recordar las contraseñas para ambos de estos usuarios







  • adminitration port (27015): se pide que especifique el puerto por el cual se quiere que corra la consola adminitrativa

conclusion
lo mejor sería poner el puerto manualmente, ya que cuando se reinicia el equipo el puerto cambia aleatoriamente.



al finalizar la instalacion del FDS seguidamente ejecutamos


  • . /startconsole -u admin -a http://localhost.localdomain:25017/

conclusion
esto es para iniciar la consola por lo cual se debe tener muy en cuenta cual fue el puerto asignado para este proposito

1.
Hay dos interfaces de administración:

Basados en la Web
Esto es muy básico. Simplemente permite iniciar / detener servicios, control de estado, registros, etc Puede llegar a ella apuntando su navegador web en el puerto de administración en el servidor de directorio. Se tiene que ingresar en el "admin" código de acceso que ha creado durante la instalación.
Consola de administración
Este habla con el Servidor de Administración, así como directamente al servidor de directorio. Puede utilizar esto para añadir / modificar usuarios, grupos, tes, etc
cd / opt / fedora-ds
. / startconsole-x nologo

para terminar, este nos debe aparecer la ventana que nos dejara iniciar la consola grafica asi




















DESPUES DE LA INTALACION DE FEDORA COMO RECUPERAR

EL MENU DE ARRANQUE DE DEBIAN

Los pasos son los siguientes:

  1. nos convertimos como root
  2. editamos el archivo nono/boot/grub/menu.lst
  3. comentamos #hiddenmenu esta linea se encuentra en el archivo que editamos
  4. guardamos y salimos del archivo
  5. y luego ajecutamos fdisk-l y montamos la particion: mount/dev/sda7/mnt
  6. y luego entramos al archivo
  7. nano/mnt/boot/grub/menu.lst
  8. copiamos las lineas del arranque del sistema operativo
  9. vamos al otro archivo nano/boot/grub/menu.lst
  10. pegamos las lineas descomentadas
  11. guardamos y cerramos
  12. y reiniciamos el equipo
MAQUINA LINUX COMO CLIENTE EN UN DIRECTORIO ACTIVO
lo primero que debemos hacer es descargar el paquete likewice-open y despues ejecutarlo con ./likewice-open.
despues nos vamos a editar el archivo nano /etc/nsswitch.conf y esditamos la linea siguiente
host: file dns

tambien editamos el archivo del dns: nano /etc/resolv.conf

domain grupo.local
nameserver 10.3.64.156
que serian el nombre del dominio y la ip del equipo donde esta el controlador de dominio.

y por ultimo ejecutamos los siguientes comandos para unirnos al dominio y verificar que estamos matriculados a él.

#domainjoin-cli join grupo.local administrador

#lwinfo -i grupo.local\\administrador

#/usr/centerin/bin/lwinf -i grupo.local\\administrador

QUE ES EL AD

es el termino utilizado por microsoft para referirse a su implementacion de servicio de directorio en una red distribuida de computadores. utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, kerberos...) su estructura jerarquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos, asignacion de recursos y politicas de accesos.

FUNCIONAMIENTO
este protocolo biene implementando de forma similar una base de datos, la cual almacena en forma centralizadatoda la informacion relativa a un dominio de autenticacion.

ESTRUCTURA
esta basado en serie de estandares llamados (x.500).
un ejemplo de la estructura decendiente es que si un usuario permanece en un dominio sera reconocido en todo el arbol generado apartir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los arboles pueden integrarse en un espacio comun denominado bosque. Para realizar un bosque es necesario crear dos o mas arboles que por lo tanto no comparten el mismo nombre de zona entre ellos.

CONTROLADOR DE DOMINIO
Los controladores de dominio tienen una serie de responsabilidades. Una de las que te va a implicar a ti es la autentificación. La autentificación es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña.

INTERCAMBIO ENTRE DOMINIO
para permitir que los dominios accedan a recursos de otros dominios, active directory, usa trust (relacion de confianza). el trust es creado automaticamente cuando se crean nuevos dominios. existen trust transitivos, donde active directory une dos dominios en arboles diferentes.

CONFIANZA TRANSITIVA
son confianzas automatica de dos vias que existen entre dominios de active directory. se define como confianza atraves de la red, utilizando servidores de paso para utilizar los recursos de dos arboles no conectados directamente.

CONFIANZA EXPLICITA
la confianzas explicitas son aquellos que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacion. este tipo de relacion puede ser de una o dos vias, dependiendo de la aplicacion.

CONFIANZA DE ACCESO DIRECTO
es esencialmente para una confianza explicita que crea accesos directos entre dos dominios en la estructura de dominios. este tipo de relacion permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera a la autenticacion.

CAPACIDADES DE ACTIVE DIRECTORY
  • permite a usuarios y aplicaciones el acceso a la informacion sobre objetos.
  • hace transparente la topologia y los protocolos fisicos de la red. esta manera un usuario puede tener acceso a cualquier recurso por ejemplo, una impresora sinsaber donde esta el recurso o donde esta conectado en la red.
  • permite el almacenamiento de un numero muy grande de objetos. active directory puede ampliarse mientras una organizacion crese.
MAESTROS DEL ACTIVE DIRECTORY
  1. PDC (primary domain controller.
  2. maestro de esquema.
  3. domain naming master.
  4. relative identifier master.
  5. infrastucture master
1. PDC
es eñ encargado de sincronizar las propiedades de las cuentas de usuario y grupos con controladores de dominio. tambien es el encargado de sincronizar la hora entre los bosques.

2. MAESTRO DE ESQUEMA
Es el organo de modificar el esquema del directorio activo, esta replicado en todos los controladores de dominio, solo el controlador de dominio con el rol del schema master podra modificarlo. controla todas las actualizaciones al esquema.

3. MAESTRO DE NOMBRES DE DOMINIO
es el encargado de mantener el esquema de nombres de dominio dentro del bosque y es el encargado de dar de alta y bajo dominio.

4. IDENTIFICADOR DE ASIGNACION RALATIVA
es el encargado de almacenar las cuentas y los grupos en una base de datos gestionada por un local gerente de seguridad.

5.MAESTRO DE INFRAESTRUCTURA
responsable de la comprobacion de pertenencias a grupos universales en entornos multidominio.
responsable de la actualizacion de referencias de objetos de su dominio a otros dominios.

UNIDADES ORGANIZATIVAS
son contenedores de objetos. Una OU es, al fin y al cabo un tipo particular y util objeto de Active Directory contenido en un dominio. son utiles porque pueden usarse cientos de objetos en el directorio dento de unidades administrables. los usaremos para agrupar y organizar objetos con propositos administrables como delegar derechos administrativos y asignar politicas para una coleccion de objetos como una inidad simple.
En un primer resumen puede:
- permiten organizar objetos en un dominio.
- nos permite delegar control administrativo.
- simplifica la adminitracion de los recursos comun mente agrupado.

QUE SON LOS GRUPOS
los grupos son un conjunto de cuentas de equipo y de usuario que se pueden administrar como una sola unidad.

TIPOS DE GRUPO
SEGURIDAD: se utiliza para asignar derechos y permisos de usuario. Se puede usar como una lasta de distribucion de correo electronico.

DISTRIBUCION: solo se puede usar con aplicaciones de correo electronico. No se puede utilizar para dar permisos, para agrupar objetos relacionados.

AMBITOS DE GRUPO
el ambito de grupo determina si el grupo comprende varios dominios o si solo se limita a uno solo.

GRUPOS GLOBALES
Un grupo global es un grupo de distribucion o de seguridad que pueden contener usuarios, grupos o equipos procedentes del mismo dominio al que pertenece ese dominio global.

REGLAS:
MIEMBROS: - Modo mixto: cuentas de usuario del mismo dominio.
- Modo nativo: cuentas de usuario , cuentas de equipo y grupos globales del mismo dominio.
PUEDE SER
MIEMBRO DE: - Modo mixto: grupos locales de dominio
- Modo nativo: universales y grupos locales de dominio en todos los grupos de dominio y globales del mismo dominio.

GRUPOS UNIVERSALES
un grupo universal es un grupo de distribucion o de seguridad que contiene usuarios, grupos y equipos de cualquier dominio.
REGLAS:
MIEMBROS: -Modo mixto: no se puede aplicar.
- Modo Nativo: cuentas de usuarios, cuentas de equipo, grupos globales y otros
grupos universales de cualquier dominio del bosque.
PUEDE SER
MIEMBRO DE: -Modo mixto: no se puede aplicar
- Modo nativo: grupos locales de dominio y universales de cualquier dominio.

GRUPOS LOCALES
conjunto de cuentas de usuario y grupo de dominio creado en un servidor miembro o en un servidor independiente. se utiliza para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios.

GRUPOS DE DOMINIO LOCAL
Grupos de seguridad o distribucion que puede contener grupos universales, globales otros grupos globales de dominio de su propio dominio y cuentas de cualquier dominio del bosque.
REGLAS:
MIEMBROS: -Modo mixto: cuentas de usuario, cuentas de equipo y grupos globales de
cualquier dominio.
- Modo nativo: cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque, y grupos locales de dominio del mismo dominio.
PUEDE SER
MIEMBRO DE: Modo mixto: ninguno.
Modo nativo: grupos locales de dominio de cualquier dominio.

ESTRATEGIAS DEL ACTIVE DIRECTORY
  • A G P
  • ADL P
  • A G DL P
  • A G U DL P
  • A G L P
A: cuentas de usuario
G: grupos globales
U: grupos universales
DL: grupos locales de dominio
L: grupos locales
P: permisos

A G P: se colocan cuentas de usuario (A) en grupos globales (G) y se le asignan permisos (P) a los grupos globales.
utilice A G P para bosques con un dominio, a los que no agrera nunca un dominio, y con muy pocos usuarios.

A DL P: se colocan cuentas de usuario (A) en grupos locales de dominio (DL) y se le conceden permisos (P) a los grupos locales de dominio.
utilice A DL P para un bosque que reuna los siguientes requisitos:
- el bosque solo tiene un dominio y muy pocos usuarios.
- no se agregaran nunca otros dominios a bosque.
- no hay miembros de microsoft windows NT 4.0 en el dominio.

A G DL P: se le colocan cuentas de usuario (A) a los grupos globales (G) se colocan grupos globales en grupos locales de dominio (DL) y se le conceden permisos (P) a los grupos locales de dominio.
utilice A G DL P para un bosque formado para uno o varios dominios y en el que puede que deba agregar futuros dominios.

A G U DL P: se colocan cuentas de usuario (A) en grupos globales (G) se le colocan grupos globales en grupos universales (U) y estos grupos universales en grupos locales de dominio (DL) y se le conceden permisos (P) a los grupos locales de dominio.

EJERCICIO
1. el grupo A tiene control total sobre la carpeta principal. el grupo B tiene sobre esa misma carpeta solo permiso de lectura.

2. el grupo A tiene permisos de solo lectura sobre la carpeta uno, el usuario AB tiene permisos de modificar sobre esa misma carpeta. el grupo B no tiene ningun permiso sobre esa carpeta. para el grupo B denegar permisos de crear archivos en la carpeta dos.

3. a la carpeta prueba 1 conceder permisos de lectura y escritura al usuario AB pero este no podra eliminar archivos. determinar los permisos heredados para el usuario A yB para esta carpeta.

4. en la carpeta prueba 2 bloquear la herencia y conceder permisos de lectura para el usuario B y denegar permisos de escritura para el usuario B. conceder permisos de modificar al usuario AB y A y denegar escritura para el grupo A.

EJERCICIOS DE PROGRAMACION
SCRIPT
Un script es un programa que se hace en lenguaje interpretado por el usuario, el script es un conjunto de ordenes que al ejecutarse hace que el usuario interactue con dicho programa.

hay varios lenguajes de scripting entre ellos python, perl, ruby, php, bash

para hacer un script creamos un directorio y alli empezamos a editar el archivo con el nombre que tu quieras asi:
1.

#!/bin/bash
echo "programa para buscar extenciones"
read -p "introdusca la ruta de ubicacion de archivo" RUTA
read -p "introdusca la ruta del archivo a buscar" EXT
VAR=$(find $RUTA -name "*.$ext" |wc -l)
echo "el numero de archivos es" $VAR

2.
#!/bin/bash
echo "este programa devuelve el numero de archivos"
echo "que pertenecen a un usuario en una ruta especifica"
read -p "ingrese una ruta para la busqueda"RUTA
read -p "ingrese un nombre de usuario"USER
VAR=$(find $RUTA -user $USER |wc -l)
echo "el numero de archivos que pertenecen al usuario $USER es:

3.
#!/bin/sh
echo "busqueda de su nombre"
read -p "introduzca su nombre"A
read -p "introduzca su apellido"B
echo "su nombre completo es: $A $B

para ejecutar el script
bash (y el nombre del archivo editado.

TAREA
CONDICIONES
if: IF significa SI (condicional) en español. Su funcionamiento es simple. Se evalúa una condicion si es verdadera ejecuta un código, si es falsa, ejecuta otro código (o continúa con la ejecución del programa).

else: ejecuta esto si la condición es falsa

elif: si la condicion anterior resulta ser falsa, se cambia la condicion y se evalua, si resulta ser sierta se ejecutan las tareas de lo contrario se evaluara con otra condicion.


case:



BUCLES
while: Estos bucles se utilizan cuando queremos repetir la ejecución de unas sentencias un número indefinido de veces, siempre que se cumpla una condición.

for: El bucle FOR se utiliza para repetir mas instrucciones un determinado número de veces. De entre todos los bucles, el FOR se suele utilizar cuando sabemos seguro el número de veces que queremos que se ejecute la sentencia.

do: El bucle DO es muy versatil. Con el se pueden crear gran variedad de bucles distintos, bucles que comprueben una condición antes de ejecutar el bucle una vez



¿Cómo cambiarle la contraseña de linux con un Live CD de ubuntu?

Ingresamos el Live CD y entramos a la terminal

sudo bash
fdisk -l
mount (particion) /ruta
chroot /
passwd
reboot

ultimas versiones del kernel:

Ultima version estable del kernel:

2.6.26

Ultima version alpha de la serie 2.6:

2.6.27-rc1

Ultima version estable de la serie 2.4:

2.4.36.6

Ultima version alpha de la serie 2.4:

2.2.26

Ultima version estable de la serie 2.2:

2.2.27-rc2

Cada distribución distribuye sus nucleos por los canales de actualización habituales para cada una de ellas.

UNA MAQUINA LINUX COMO CLIENTE EN UN DIRECTORIO ACTIVO


lo primero que hacemos es descargar el software Likewise-open y le damos permiso de ejecucion para que nos deje abrir el programa
luego vamos a la consola y editamos:

nano /etc/nsswitch.conf
en la siguiente linea: host dns
guardamos y salimos del editor

luego vamos a editar el dns
nano /etc/resolv.conf
domain redes.local
nameserver 10.3.64.x
guardamos y salimos

luego ejecutamos el siguiente comando
#domainjoin-cli join redes.local administrador

para que nos permita unir al dominio y nos va a pedir la contrasena del administrador es decir del controlador de dominio.

para comprobar si estamos en el dominio hacemos lo siguiente:
#lwiinfo -i redes.local\\administrador.

SNMP (simple network management protocol)
el protocolo simple de administracion de red o snmp. es un protocolo de la capa de aplicacion que facilita el intercambio de informacion entre dispositivos de red. es parte de la familia del protocolo TCP/IP.
permite a los administradores supervisar el desempeño de la red, buscar y resolver sus problemas y planer su crecimiento.

BACKUP (copia de seguridad)
es la copia total o parcial de informacion importante del disco duro, cds, base de datos u otros medios de almacenamiento.

LDAP (Lightweight Directory Access Protocol)
es un protocolo a nivel de aplicacion que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacion en un entorno de red. tambien es considerado una base de datos.

SMB (server messenge block)
protocolo de red que pertenece al la capa de aplicacion en el modelo OSI que permite compartir archivos, impresoras y demas recursos entre nodos de una red. fue desarrollado por IBM, pero el que realmente se usa es la version modificada por microsoft que lo renombra a CIFS.

SMTP (simple mall tranfer protocol)
protocolo simple de transferencia de correo. protocolo de red basado en texto utilizado para el intercambio de mensaje de correo electronico entre computadoras o distintos dispositivos.

NNTP (network news tranport protocol)
es un protocolo inicialmente creado para la lectura y publicacion de articulos de noticias. su traduccion es protocolo de tranferencia de noticias en red.

IMAP (internet message access protocol)
es un protocolo de red de acceso a mensajes electronicos almacenados en un servidor. Mediante IMAP se puede tener acceso al correo electronico desde cualquier equipo que tenga una conexion a internet.

SMP (multiprocesamiento simetrico)
es un tipo de arquitectura de ordenadores en que dos o mas procesadores comparten una misma memoria central.