GUÍA PRÁCTICA PARA SEGUIR LA ASIGNATURA DE REDES Y COMUNICACIONES DE DATOS III

GUÍA PRÁCTICA PARA SEGUIR LA ASIGNATURA DE REDES Y COMUNICACIONES DE DATOS III Apuntes esquemáticos que sirven como guía para seguir las clases de Redes y Comunicaciones de Datos III SERVICIO DHCP (Dynamic Host Control Protocol) Sirve para asignar IP's dinámicamente IP/mascara router (puerta de enlace) Servidores DNS Dominio DNS Otra opción es hacerlo estático o manual. Demonio dhcpd - IP fija o manual 1. Definimos un ámbito - rango de direcciones. 2. Definimos las opciones del ámbito Puerta de enlace Servidores DNS 3. Puedo definir reservas de IP: MAC => IP 4. Excluir IP's: Si el router es 10.45.1.110 debo excluirla Relay DHCP - Si hay un router enter el servidor dhcp y el cliente hay que usar esto. (Windows, Linux y router) - Hay que instalar en ubuntu el paquete dhcp3-relay - Linux: ifconfig eth1 - Windows: ipconfig /all Hay que instalar en ubuntu el paquete dhcp3-server

/etc/dhcp3/dhcpd.conf - Fichero de configuracion option domain-name-servers <dns1>, <dns2>; - dns1 y dns2 son los dns que se asignaran junto con la ip Declaracion de rango de subredes: subnet 10.45.0.0 netmask 255.255.0.0 { range 10.45.13.10 10.45.3.20; option routers 10.45.0.1; } Asignar IP a MAC: host fantasia { hardware ethernet 08:00:07:26:c0:a5; fixed-address 10.45.2.100; } /etc/resolv.conf - Es donde estan los DNS que el cliente tiene asignados Para pedir IP en linux: sudo dhclient eth1 En /var/lib/dhcp3/dhcpd.leases estan las IP's asignadas por nuestra servidor DHCP. COMPARTIR RECURSOS Windows: SMB (Compartir) + Netbios (nombres cortos) Linux: NFS (Network File System => UNIX - Linux Samba=> Windows - Linux Modelos de Trabajo en Red Modelos de trabajo en grupo (Workgroup) => Linux y Windows (< 10 equipos) Cuentas locales y descentralizadas => SAM /etc/passwd y /etc/shadow

Modelo de dominios => Windows Cuentas centralizadas => SAM DC(Domain Controller): Donde se almacenan las cuentas del modelo de dominios SAM + Servicio de directorio (LDAP) => Directorio Activo (AD) Cuentas Locales Se encuentran en /etc/passwd y en /etc/shadow /etc/passwd => <user>:x:<uid>:<gid>:<home_dir>:<interprete> /etc/shadow => se encunetran las passwords de los usuarios encriptadas. Crear usuarios Herramienta gráfica useradd, adduser userdel -r Perfil por defecto => /etc/skel NFS (Network File System) Servicio para compartir recursos entre sistemas UNIX Servidor NFS => exporta Cliente => montar Servicio portmap => asigna un puerto a cada llamada RPC Instalar nfs_kernel_server (synaptic) /etc/init.d/nfs_kernel_server => se instala el demonio ps -ef grep nfs => para ver si esta arrancado rpcinfo -p => para ver si esta arrancado. Muestra las remote procedure calls del sistema. /etc/exports => fichero donde se indica que se va a exportar por NFS (man exports) <directorio> <ip> (<opciones>) [ <ip> (<opciones>)] <directorio> <subred> (<opciones>) [ <subred> (<opciones>)]

<directorio> <dns> (<opciones>) [ <dns> (<opciones>)] Opciones: ro / rw sync / async => bloquea los ficheros en uso hasta que se liberen. Por defecto es sync. no_root_squash / root_squash => impides que alguien entre como root haciendo que el uid=0 (root) - anonymous. exportfs -ra => reinicia el servicio exportfs => muestra lo que se está exportando exportfs -ua => deja de exportarlo todo EJEMPLO Cliente 1º crear el punto de montaje ($ mkdir /mnt/tmp_nfs) Manual: $ sudo mount -t nfs <ip_servidor>:<nombre> <pto_montaje> ($ sudo mount -t nfs 10.45.2.100:/tmp /mnt/tmp_nfs) Hay que instalar el portmap y el nfs-common en el cliente. Automático: editar el fichero /etc/fstab Añadir la línea: 10.45.2.100:/home/javi /mnt/tmp_nfs nfs rw,auto,exec 0 0 $ sudo umount /mnt/tmp_nfs => para desmontar SERVIDOR SAMBA Compartir recursos entre Linux y Windows o Linux y Linux Como cliente permite imprimir en impresoras de una red windows. Como servidor: Demonios: winbind: para cambiar la contraseña en el dc smbd: SMB-Server Message Black => /etc/init.d/samba {start stop restart} nmbd: Netbios - nombres cortos => /etc/init.d/samba {start stop restart}

Ficheros de Configuración: /etc/samba/smb.conf Hay que sincronizar los usuarios UNIX con los usuarios SAMBA Usuarios UNIX: /etc/passwd Usuarios SAMBA: smbpasswd ($ smbpasswd -a javi) DNS (Domain Name Server) Servicio que resuleve nombres DNS (fqdn) fqdn : fully qualified domain name - pc1.laboratorio.es (<hostname>.<dominio>) ) a sus IPs correspondientes y viceversa. Se puede resolver: 1. DNS 2. fichero /etc/hosts BIND => servicio UNIX que su usa para DNS (BIND9 - el demonio se llama named) - Organización jerárquica en un espacio de nombres => dominios - Definición de zonas => fichero de zona 1. Directa (obligatoria): resuleve nombres frente a IP's => P.Ej.: laboratorio.es 2. Inversa (opcional): resuleve IP's frente a nombres => P.Ej.: En una res 10.45.0.0/16 se llama 45.10.in-addr.arpa Fichero de Zona Directa Es la tabla formada por registros de recursos (RR) que son de 7 tipos: 1. SOA (Start of Authority): identifica al equipo que tiene autoridad en la zona. Es el 1er registro de la base de datos. Será el servidor DNS primario de la zona. Ejemplo de entrada en el fichero: @ IN SOA serv1.laboratorio.es. la '@' y acabar en '.' se pone para indicar que todo lo que venga despues es de la misma zona (laboratorio.es)

2. NS (name server): Identifica a los servidores DNS de la zona (primario y secundarios). Ejemplo de entrada en el fichero: @ IN NS serv1 IN NS serv2 3. A (Host): Nombre vs. IP. Ejemplo de entrada en el fichero: > Lo primero es poner los tipo A de los servidores DNS!! serv1 IN A 10.45.1.15 serv2 IN A 10.45.1.16 pc1 IN A 10.45.1.100 pc2 IN A 10.45.1.101 4. CNAME: alias www IN CNAME pc15 => P.Ej.: www.google.es ftp IN CNAME pc16 => P.Ej.: ftp.google.es 5. MX: Mail exchanger IN MX pc22 6. SRV (Service): tipos servicios. Casi exclusivamente Windows. Fichero de Zona Inversa Todos son iguales menos que los registros de tipo A, son registros tipo PTR (pointer): 10.45.1.15 IN PTR serv1 Ejemplo: 1. Instalamos BIND9 en el servidor. 2. sudo vim /etc/bind/named.conf para decidir las zonas y los ficeros de zonas. En

/etc/bind/db.local es una plantilla para el fichero de zona. zone "laboratorio.es" { } type master; file "/etc/bind/db.laboratorio.es"; 3. editamos el fichero de zona /etc/bind/db.laboratorio.es. El comando $hostname nos dice nuestro nombre de host (laboratorio-ubuntu) 4. Los servidores DNS se meten en el /etc/resolv.conf Ejercicio DNS ROUTER Lo primero que tenemos que hacer es activar el equipo que hará de router. Para ello editamos el fichero /etc/sysctl.conf y descomentamos la linea donde dice net.ipv4.ip_forward=1. Después reiniciamos ejecutando el comando sudo sysctl -p. Cambiar el nombre del equipo router: /etc/hostname o con el comando hostname <nombre>. Creamos un alias de la tarjeta de red en el servidor con el comando: sudo ifconfig eth1:1 192.168.1.1 nemask 255.255.255.0 Añadimos las rutas al router Windows 2000/2003/2008 Organización lógica de la red Dominios: es una organización lógica de usuarios y equipos en la red que comparten una política de seguridad común. Es imprescindible o necesario tener al menos un equipo que haga las funciones de controlador de dominio (DC - Domain Controller) => Windows 2000/2003 Server. Los dominios tienen 2 nombres, nombre DNS (nombre largo) y NetBios (nombre corto). El DC tiene la SAM (base de datos con las cuentas de usuario) del dominio, de forma que es el que valida los login de los equipos de su dominio. SAM + Servicio de directorio (LDAP) = Directorio Activo (AD)

Árboles: son organizaciones jerárquicas de dominios. Se anidan de la siguiente forma: Dominio padre laboratorio.es, Dominio hijo fila1, pc1.fila1.laboratorio.es).todo el árbol comparten el mismo directorio activo, pero los usuarios están sólo en el DC de su dominio Bosques: es una agrupación lógica de árboles de dominios que comparten la raiz DNS, esto es, si uno es laboratorio.es, el otro tiene que ser tambien.es. Comparten el mismo directorio activo. Unidades organizativas (OU - Organizational Units) Por cada dominio puede haber unos 15.000 usuarios. Cuantos menos dominios mejor, ya que es mucho más fácil administrar. Para construir todo esto debo promover un 2003 server (que por defecto es un servidor independiente - cuentas locales) a DC ejecutando la orden $ dcpromo Habrá que seguir el asistente y seleccionar las opciones deseadas. Los directorios que aparecen en dicho asistentes deben hacer referencia a una partición (en la vida real) para poder realizar backups periódicos. A la hora de definir el dns, definiremos nuestro equipo como servidor DNS del dominio, y se podrá definir otro como secundario. Sitios (sites) Organización física de la red Local (por defecto) Móvil: Impresoras Unidades de red Directorios personales (z:) Menú inicio Escritorio Perfiles de Usuario En el directorio activo para que aparezca una carpeta hay que compartirla y publicarla. Relacion de confianza entre dominios. 1. Si un dominio A confía en un dominio B, entonces un usuario del dominio B podrá acceder a

recursos compartidos en A. 2. Si un dominio A confía en un dominio B, entonces un usuario del dominios B podrá hacer login en equipos del dominio A (pero siempre eligiendo en la lista de dominios su dominio. 3. Si un dominio A confía en un dominio B, entonces un administrador del dominio B podría administrar (si tuviera permisos) el dominio B. Hay dos tipos de relaciones de confianza: 1. Internas: entre dominios de un mismo bosque. Son las establecidas por defecto y son bidireccionales y transitivas (Si A confia en B y A confia en C, entonces B confia en C). 2. Externas: entre dominios de diferentes bosques. Hay que establecerlas explicitamente y son por defecto unidireccionales y no transitivas. Para paquetes.msi: Los paquetes.msi tienen que estar compartidos en red para que el resto de equipos puedan acceder a él. La instalación puede ser de dos tipos: Asignada -> Se pone en el menú inicio, y la primera vez que se le da se instala, o si se abre un archivo que le haga falta ese programa, se instala también. Publicada -> No sale en ningún sitio, solo en agregar o quitar programas. Para crear los paquetes msi se usa el programa WinINSTALL LE Veritas Organización Física: Site o sitios: Es una agrupación de equipos que están unidos por un enlace rápido (LAN) Objetivos: Agilizar el login Administrar la replicación del AD La idea es que si los equipos de un dominio están muy lejos uno de otro (Madrid - Nueva York), se haga un site en Madrid y otro site en Nueva York. Cada site tendrá su DC, y todos los DC tienen que tener la misma información replicada (a una hora determinada, cada X horas, ) Permisos a Recursos: Pueden ser de 2 tipos, dependiendo de cómo se acceda al recurso:

1. Permisos a través de recurso compartido: se dan en la pestaña de compartir. Afectan únicamente a los usuarios que acceden al recurso a través de la red. 2. Permisos locales: Se dan en la pestaña de seguridad y afectan tanto a usuarios que acceden de forma local como de forma remota. Los usuarios que accedan a través de la red 1º se topan con los permisos a través de recursos compartidos y luego con los permisos locales. Los dos se basan en 6 permisos individuales: R (lectura) W (escritura) X (ejecución y derecho de paso para directorios) D (eliminación) O (toma de posesión) P (cambio de permisos) RX (lectura) RWXD (Modificar o cambio) RWXDOP (Control Total) Sin acceso SEGURIDAD -> Permisos locales. Compartir -> Permisos en red. Los permisos de un usuario no deben de estar dentro de otro grupo (por ejemplo, si el grupo "usuarios" tiene permiso de escritura, cualquier usuario lo va a tener también). En caso de conflicto (cuando un usuario aparece dos veces, ya sea en dos grupos diferentes o en un grupo y de forma individual), la regla es: 1. Si el conflicto es entre los dos tipos de permisos (está en dos sitios), entonces gana el más restrictivo. Entonces dejamos acceso total a "Todos" en compartir y restringimos en los locales. 2. Si el conflicto es en el mismo tipo de permisos, sea el que sea, la regla es que gana el menos restrictivo. => Quitar "Todos" control total en seguridad y asegurarse de que estén los usuarios administradores!! Lo mismo pasa con el grupo usuarios, que hay que quitarlo. Grupos: Es una cuenta especial que engloba a diferentes cuentas de usuario u a otros grupos a los que le afectarán los permisos dados al grupo. Dos tipos: 1. Globales: pueden contener únicamente usuarios (y grupos) de mi dominio, pero puedo asignarles permisos a recursos de mi dominio y de dominios que confían en el mío. 2. Locales: pueden contener usuarios y grupos globales tanto de mi dominio como de dominios que confíen en el mío, pero únicamente les puedo asignar permisos a recursos de mi dominio. 3.

REGLA DE ORO Regla para asignar permisos (UGLP): 1. Creo a los usuarios. 2. Agrupo usuarios en grupos globales. 3. Agrupo los grupos globales en locales. 4. Asigno permisos únicamente a los grupos locales. VPN (Virtual Private Network) -> Servicio de acceso remoto. Antiguamente se hacia por acceso remoto (Protocolo PPP - Point to Point Protocol), y era seguro ya que era una conexión punto a punto. Hoy en días hay que simular esos enlaces punto a punto con un tunel para que nadie pueda ponerse enmedio, VPN (Virtusal Private Network) y para eso se usa el protocolo PPTP (Point to Point Tunelling Protocol). Tambien se puede usar el protocolo L2TP (Layer Two Tunelling Protocol) + IPSec para cifrar los datos. Para autentificarte hay 2 opciones: 1. Que te autentifique (o autentifique) el DC (Nunca será el DC el equipo con el servidor VPN) (Windows) 2. Servidor Radius (Linux y Windows) 3. El propio servidor VPN autentifica (Linux) El propio equipo VPN puede darle la IP de la LAN, o el DHCP de la LAN. WINDOWS (Servidor Windows) 1. Con Cliente Windows: 2 pasos a) Dar permisos al usuario para que acceda remotamente (En la pestaña Marcado dentro del Usuario del Active Directory) -> individual b) Configurar y arrancar el servicio en la herramienta: Inicio > Herramientas Administrativas > Enrutamiento y Acceso remoto -> grupo LINUX (Servidor Linux VPN) - PPTPD: Instalar el servicio $ apt-get install pptpd ficheros de configuración: /etc/pptpd.conf

/etc/ppp/pptpd-options -> ESTE ES EL BUENO /etc/ppp/chat-secrets -> Se ponen los usuarios que queremos que entren. "alumno alumno *" Reiniciar el servicio: sudo /etc/init.d/pptpd restart Para saber quien está metido dentro poner "who" o "w" Con "last" salen los últimos logins Hay que instalar el cliente en linux para poder acceder a una red VPN sudo apt-get install pptplinux Terminal Server Dentro de accesp remoto hemos visto: VPN Servicio de acceso remoto Terminal Server ssh El Terminal Server es un servicio que se instala en 2 modos (w2k): Modo Administración: es como el escritorio remoto o el vnc. Sólo puede entrar un administrador (1 sólo a la vez) Modo Servidor de Aplicaciones: es un modo de hacer que windows sea multiusuario. Permite el acceso concurrente de varios usuarios remotos. Cliente: se conecta por el protocolo RDP (Cliente Terminal Server, cliente del escritorio remoto). Pasos: 1- Instalar el servicio (Agregar o Quitar Componentes de Windows) 2- Permiso al usuario para que entre vía Terminal Server. Conectar z: a \\Servidor\users\%username%

SSH Linux: $ ssh -l alumno 10.45.10.1 $ ssh alumno@10.45.10.1 $ ssh -X alumno@10.45.10.1 (debe de estar habilitado el X11 Tunel Forwarding) --> /etc/ssh/sshd.config --> hay una linea que pone X11 Forwarding yes $ sftp alumno@10.45.10.1 (transferencia de archivos). bajar xwin32 que es un servidor de ventanas en windows Windows: putty ssh secure shell