Dokumentation der betrieblichen Projektarbeit zur Abschlussprüfung im Ausbildungsberuf Fachinformatiker Fachrichtung Systemintegration

Ähnliche Dokumente
Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

1.) Computerkonten einrichten

Installation Messerli MySQL auf Linux

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

Achung! User müssen unter Linux schon erstellt sein!

Update Messerli MySQL auf Linux

1.)Löschen Sie alle Benutzer, die nicht mehr gebraucht werden, auch Rechner Acount's

Installation SQL- Server 2012 Single Node

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Clientkonfiguration für Hosted Exchange 2010

Wissenswertes über LiveUpdate

X-RiteColor Master Web Edition

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Anbindung des eibport an das Internet

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Netzwerk einrichten unter Windows

[netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = no writable = no share modes = no browsable = no

Anleitung zur Einrichtung eines Netzwerkes für den Gebrauch von GVService unter Windows 7

ATB Ausbildung technische Berufe Ausbildungszentrum Klybeck

Step by Step Webserver unter Windows Server von Christian Bartl

eduroam mit SecureW2 unter Windows 7 Stand: 27. Januar 2015

OP-LOG

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Windows 2000 mit Arktur als primärem Domänencontroller (PDC)

Anleitung zum Prüfen von WebDAV

SFTP SCP - Synology Wiki

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Installation Messerli MySQL auf MAC OS X

Anleitung zur Erstellung einer Batchdatei. - für das automatisierte Verbinden mit Netzlaufwerken beim Systemstart -

Freigabe der Windows-Firewall und Verknüpfung der Pfade für die Druckvorlagen

Shellfire L2TP-IPSec Setup Windows XP

Anleitung Captain Logfex 2013

Netzlaufwerke verbinden

bizsoft Rechner (Server) Wechsel

Herzlich Willkommen. Zum Vortrag zu Netzwerk und Linux im Rahmen der Linux Installations Party 2007

Installation Linux agorum core Version 6.4.5

Windows 2008R2 Server im Datennetz der LUH

Ordner und Laufwerke aus dem Netzwerk einbinden

3 Installation von Exchange

Wählen Sie bitte START EINSTELLUNGEN SYSTEMSTEUERUNG VERWALTUNG und Sie erhalten unter Windows 2000 die folgende Darstellung:

Netzlaufwerke der Domäne von zu Hause/extern verbinden

zur WinIBW Version 2.3

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Collax -Archivierung

Windows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

I Installation einer Child-Library

WORKSHOP VEEAM ENDPOINT BACKUP FREE

1 Konfigurationsanleitung Hosted Exchange

Einrichtung des WS_FTP95 LE

14.2 Einrichten der Druckserverfunktionen

MailUtilities: Remote Deployment - Einführung

Anleitung: VPN-Verbindung zum Schulserver einrichten

Windows Vista Security

Brainloop Dox Häufig gestellte Fragen

Powermanager Server- Client- Installation

Betriebssystem Windows - SSH Secure Shell Client

Anleitungsbeschreibung

Migration NVC 5.x auf NEM/NPro (Migration eines bestehenden, produktiven NVC Verteilservers auf NEM/NPro)

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

36 Grafisches Join-Tool

WebDAV-Zugang unter Windows 7 mit NetDrive

Installation Linux agorum core Version 6.4.8

Mehrbenutzer-Konten-Installation

SICHERN DER FAVORITEN

0. VORBEMERKUNG VORBEREITUNG DES SYSTEMS INSTALLATION UND KONFIGURATION VON PD-ADMIN Installation...3

Daten Sichern mit dem QNAP NetBak Replicator 4.0

INSTALLATION VON INSTANTRAILS 1.7

Installation Collax Server mit Sage New Classic

Windows Server 2008 (R2): Anwendungsplattform

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

Nutzung von GiS BasePac 8 im Netzwerk

Verwendung des Terminalservers der MUG

Warenwirtschaft Handbuch - Administration

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

IPCOP OPENVPN TUTORIAL

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Collaboration Manager

HTBVIEWER INBETRIEBNAHME

Da es sich in meinem Fall um einen USB-Scanner handelt, sollte dieser mittels

Guide DynDNS und Portforwarding

Datensicherung. Mögliche Vorgehensweisen:

STRATO Mail Einrichtung Microsoft Outlook

VPN und WLAN an der FH Köln - Schnelleinstieg

Windows 98 / Windows NT mit NCP WAN Miniport-Treiber 23. Oktober 1998

POP3 über Outlook einrichten

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

ClouDesktop 7.0. Support und Unterstützung. Installation der Clientsoftware und Nutzung über Webinterface

Anleitung. Update EBV 5.0 EBV Mehrplatz nach Andockprozess

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

Transkript:

Dokumentation der betrieblichen Projektarbeit zur Abschlussprüfung im Ausbildungsberuf Fachinformatiker Fachrichtung Systemintegration Auszubildender: Prüflingsnummer: 131002492587 Ausbildungsbetrieb: Deutsche Telekom AG Projektbetrieb: Deutsche Telekom AG Projektverantwortlicher: Michael Eggers

1. Einführung...1 1.1 Projektumfeld... 1 1.2 Vorgaben... 1 2. Vorbereitungen...1 2.1 Ist-Zustand... 1 2.2 Soll-Konzept... 1 2.3 Datenschutz... 2 2.4 Auswahl des Betriebssystems... 2 2.4.1 Vorgehensweise... 2 2.4.2 Auswahlkriterien... 2 2.4.3 Entscheidungsbegründung... 3 2.5 Auswahl notwendiger Zusatzsoftware... 3 2.6 Planung... 4 2.6.1 Personal- und Zeitplanung... 4 2.6.2 Partitionierung... 4 2.6.3 Rechtevergabe... 4 2.6.4 Funktionstest... 4 3. Durchführung...5 3.1 Open BSD... 5 3.1.1 Installation... 5 3.1.2 Konfiguration... 5 3.2 Samba... 6 3.2.1 Installation... 6 3.2.2 Konfiguration... 6 3.3 Usermin, Webmin, SSL... 6 3.3.1 Installation... 6 3.3.2 Konfiguration... 7 3.4 Scripte... 8 3.4.1 Anmeldescript... 8 3.4.2 Maschinenaccounts... 8 3.4.3 Benutzererstellung... 8 3.5 Servergespeicherte Profile... 9 3.6 Integrationen in das BBi-Net... 9 3.7 Test... 9 4. Abschluss...10 4.1 Übergabe... 10 4.2 Zukünftige Erweiterungen und Verbesserungen... 10 4.3 Fazit... 10 Inhalt

Anhang...I A. Glossar... I B. Server Hardwarekonfiguration...IV C. Zeitplanung...V D. Planung der Partitionierung...VI E. Planung der Rechtevergabe...VI F. Netzplan...VII G. Einrichten der Bash...VIII H. Konfigurationsdatei smb.conf...viii I. Screenshot von Usermin...X J. Einrichten des Paketfilters...X K. Scripte...XI Maschinenkontoerstellung... XI Anlegen einer Gruppe... XI Anlegen eines Benutzers... XII L. Quellen...XIII Bücher... XIII Internetquellen... XIII Inhalt

1. Einführung 1.1 Projektumfeld Die Installation und Konfiguration des wurde im Zuge des übergeordneten Projektes BBi-Connect für den Kunden Deutsche Telekom, Telekom Training, (im Folgenden BBi-Hamburg genannt) durchgeführt. Durch das BBi-Connect Projekt sollen die Auszubildenden Zugang zum Internet, ein eigenes Email-Konto, sowie eigene Netzlaufwerke erhalten. Dies soll unter Anderem durch die Anschaffung, Installation, Konfiguration und Vernetzung von 42 Clients, eines Domänen- Controllers, eines Web- und Email-Servers und eines zentralen Internetzugangs realisiert werden. Das aus BBi-Connect resultierende Netzwerk soll in Zukunft von zwei Auszubildenden administriert werden und wird im Folgenden BBi-Net genannt. Im Vordergrund von BBi-Connect steht als Ziel die Verbesserung der Ausbildung. Es sollen also möglichst viele Aspekte der Ausbildung (Information, Planung, Durchführung, Kontrolle, Dokumentation) auf hohem Niveau abgedeckt werden. Diese Dokumentation befasst sich mit der Integration des. 1.2 Vorgaben Um Kosten zu sparen soll ausschließlich die zur Verfügung gestellte Hardware in der BBi- Hamburg (siehe Angebot Anhang B) genutzt werden. Da die Clients (Windows XP Professional) schon im Wirkbetrieb genutzt werden, ist darauf zu achten, dass der Server mit diesen kompatibel ist. Des Weiteren ist darauf zu achten, dass die Datenschutzbestimmungen der Deutschen Telekom eingehalten werden. Dafür ist eine Absprache mit dem Datenschutzbeauftragten der BBi-Hamburg von Nöten. 2. Vorbereitungen 2.1 Ist-Zustand Das BBi-Net besteht und wird bereits von den Auszubildenden genutzt. Es ist an das Internet angebunden und wird durch eine Firewall (kursive Begriffe werden im Glossar, Anhang A, erklärt) geschützt. Die Hardware für den Server ist in den Serverschrank eingebaut. Derzeit gibt es noch keinen Domänen-Controller. Die Anmeldung an den Arbeitsstationen erfolgt lokal, sodass nicht nachvollzogen werden kann, wer zu welchem Zeitpunkt an der Arbeitsstation gearbeitet hat. 2.2 Soll-Konzept Die Anmeldung an den Arbeitsplätzen erfolgt ausschließlich über den Domänen-Controller, sodass nachvollzogen werden kann, wer dort angemeldet ist. Jeder Benutzer soll sein eigenes Netzlaufwerk nutzen können, über sein persönliches servergespeichertes Profil verfügen und die Möglichkeit haben sein Passwort zu ändern. Jede Ausbildungsgruppe soll ein Netzlaufwerk besitzen, auf das ausschließlich die Mitglieder der Gruppe zugreifen können. Diese Funktionen des Servers sollen mittels angelegter Testbenutzer und Testgruppen überprüft werden. Seite 1

Aus Zeitgründen ist das Anlegen der ca. 400 Benutzerkonten nicht Bestandteil dieses Teilprojektes. Ebenso muss nach diesem Teilprojekt noch ein entsprechendes Backup- Konzept entwickelt werden, da auf dem Server wichtige persönliche Daten gespeichert werden. 2.3 Datenschutz Der Server soll für die Benutzer eine Möglichkeit bieten Daten zentral zu speichern, sodass sie aus dem ganzen LAN erreichbar sind. Dieser Server enthält also persönliche Daten, die von den Auszubildenden während ihrer Arbeit in der BBi-Hamburg erstellt werden. Diese Daten und die Aufzeichnungen über die Aktivitäten (Anmelden und Abmelden) der Personen bedürfen eines besonderen Schutzes. Deshalb muss der Server so sicher wie möglich konfiguriert werden und gewährleistet werden, dass unbefugte Personen keinen Zugriff auf die Daten haben. Da der Server von Auszubildenden administriert werden soll, müssen diese sich verpflichten nicht auf die Daten der anderen Auszubildenden zuzugreifen. Dafür wurde ich von dem Datenschutzbeauftragten über die gesonderten Datenschutzrichtlinien informiert und musste mich schriftlich dazu verpflichten die persönlichen Daten nicht zu missbrauchen. Um die Daten vor Missbrauch zu schützen befindet sich der Server in einem Raum mit eigener Schließung. Er darf nur von den Administratoren betreten werden, die eine gesonderte Datenschutzschulung erhalten haben und die Datenschutzerklärung unterschrieben haben. 2.4 Auswahl des Betriebssystems 2.4.1 Vorgehensweise Für die Auswahl des Betriebssystems wurde eine Internetrecherche mit Hilfe der verbreiteten Suchmaschine Google durchgeführt. Für die Entscheidungsfindung wurden die unten genannten Entscheidungskriterien festgelegt und in einer gewichteten Entscheidungsmatrix gegenüber gestellt. In dieser wurden Punkte von 1-10 vergeben, wobei 10 den besten Wert darstellt. 2.4.2 Auswahlkriterien Ein möglicher Punkt Kosten wurde in die Bewertung nicht mit aufgenommen, da für Windows 2003 Server eine Schulungslizenz vorhanden ist und die zwei weiteren Betriebssysteme freien Lizenzen unterliegen. Ausbildungsverbesserung Das Betriebssystem muss sowohl leicht erweiterbar, als auch leistungsfähig genug sein. Im Sinne der Ausbildungsverbesserung soll ein Produkt gewählt werden, das dem Administrator einen möglichst leichten Einstieg bietet, aber dabei einen großen Lernerfolg erzielt. Ermittelt wurde dieses anhand von Dokumentationen und Testberichten der Benutzer. Im Bezug der besonderen Bedeutung der Ausbildungsverbesserung im ganzen Projekt BBi- Connect wurde die Gewichtung auf 30% festgelegt. Internetsupport Über die Suchmaschine Google wurde nach Supportforen, sowie anderen Hilfequellen gesucht. Dabei wurde die Vielfältigkeit und Verständlichkeit der einzelnen Seiten bewertet. Der Internetsupport ist für die selbstständige Erarbeitung und Ausführung von Projekten und Arbeiten wichtig und wurde mit 20% bewertet. Seite 2

Sicherheit Die Sicherheit des ist ebenfalls sehr wichtig, da auf diesem personenbezogene Daten gespeichert werden, die eines besonderen Schutzes bedürfen. Im Internet wurde dafür recherchiert, wie häufig Sicherheitsprobleme mit dem jeweiligen Betriebssystem auftreten und wie schnell diese behoben wurden. Da der Schutz der Daten als sehr wichtig gilt, wird er mit 35% gewichtet. Kompatibilität: Da das Netzwerk und die Clients (Windows XP Professional) bereits vorhanden sind, muss darauf wert gelegt werden, dass das Betriebssystem zu den Clients kompatibel ist. Dafür wurden Erfahrungsberichte anderer Benutzer zu Rate gezogen und verglichen. Dieser Punkt wurde mit 15% gewichtet. 2.4.3 Entscheidungsbegründung Entscheidungsmatrix: Betriebssysteme Kriterien Gewichtung Windows 2003 Server Linux Open BSD Punkte Bewertung Punkte Bewertung Punkte Bewertung Ausbildungsverbesserung 30% 4 1,2 7 2,1 8 2,4 Internetsupport 20% 8 1,6 8 1,6 5 1 Sicherheit 35% 3 1,05 6 2,1 8 2,8 Kompatibilität 15% 9 1,35 4 0,6 4 0,6 Summe 100% 24 5,2 25 6,4 25 6,8 Aus der Entscheidungsmatrix wird ersichtlich, dass Open BSD in der gesamten Wertung die beste Bewertung erhält. Open BSD zeichnet sich besonders durch seine Sicherheit und Stabilität aus. Es wird oft als ein Betriebssystem für den Servereinsatz bezeichnet und erfüllt daher die wichtigsten Vorraussetzungen, um als Domänen-Controller eingesetzt zu werden. Auch im zweitwichtigsten Punkt Ausbildungsverbesserung erhält Open BSD die höchste Punktzahl, da es weniger bekannt als Windows oder Linux ist und somit ein möglichst großer Lerneffekt erzielt wird. Zusätzlich bietet Open BSD eine gute Erweiterbarkeit. Aus diesen Gründen fiel die Wahl auf Open BSD. 2.5 Auswahl notwendiger Zusatzsoftware Die Hauptaufgabe des Servers ist die Bereitstellung einer Domäne, an der sich die Benutzer der Clients anmelden können. Dabei sollen sie persönliche Laufwerke und ihr eigenes servergespeichertes Profil automatisch erhalten. Dies wird durch die Installation und die entsprechende Konfiguration von Samba verwirklicht. Des Weiteren muss jeder Benutzer die Möglichkeit haben sein Passwort zu ändern, damit seine persönlichen Daten auf dem Server vor unbefugtem Zugriff gesichert sind. Für die Änderung des Passwortes wird Usermin verwendet, da dies eine einfache Möglichkeit für den Benutzer bietet sein Passwort per Browser zu ändern. Usermin wird mittels Webmin konfiguriert, sodass auf dem Server ebenfalls Webmin installiert und konfiguriert werden muss. Für eine sichere Verbindung zwischen Client und Server bei der Passwortänderung wird SSL verwendet. Zusätzlich werden also die Pakete Samba, Usermin, Webmin und SSL benötigt. Seite 3

2.6 Planung 2.6.1 Personal- und Zeitplanung In diesem Projekt kann man von einer Personalplanung absehen, da das Projekt nur von einer Person durchgeführt wird. Das Teilprojekt Domänen-Controller ist klar von den anderen Teilprojekten abgegrenzt. Die Serverhardware ist ebenfalls nur für den Domänen-Controller vorgesehen. Eine genaue Zeitplanung der einzelnen Arbeitsschritte kann der Tabelle im Anhang C entnommen werden. Da für das Projekt weder durch Hardware, noch durch Software Kosten verursacht werden, kann von einer genauen Finanzplanung abgesehen werden. Es fällt lediglich meine Arbeitszeit ins Gewicht. 2.6.2 Partitionierung Da für einen Server die richtige Partitionierung und die richtige Größe der Partitionen sehr wichtig ist, muss dies ebenfalls geplant werden. Weil für die Benutzer sowohl eigene Verzeichnisse als auch Gruppenverzeichnisse angelegt werden sollen, macht es Sinn, diese auf verschiedene Partitionen zu speichern. Die persönlichen Laufwerke werden auf der Partition /home gespeichert. Die Gruppenverzeichnisse werden auf der Partition /group gespeichert. Die Größe der Partitionen berechnet sich durch die Anzahl der Benutzer und Gruppen, sowie eine Beschränkung von 250 MB für jeden Benutzer und jede Gruppe. Eine weitere eigene Partition stellt /profiles da. Auf dieser werden die servergespeicherten Profile der Benutzer gespeichert. Ebenfalls eigene Partitionen werden für /temp und /var angelegt, um die Systempartition vor möglichen Angriffen zu schützen. Außerdem befinden sich auf der Partition /var die Logdateien, die bei einem Fehler sehr groß werden und so die Systempartition beeinträchtigen könnten. Die genaue Planung der Partitionierung befindet sich im Anhang D. 2.6.3 Rechtevergabe Der Domänen-Controller stellt Dienste für viele verschiedene Benutzer bereit. Jeder Benutzer legt persönliche Daten auf dem Server ab. Um den Server und die Daten vor unbefugtem Zugriff zu schützen, muss gewährleistet sein, dass jeder Benutzer nur auf die ihm zugewiesenen Verzeichnisse zugreifen kann. Dafür müssen bestimmte Berechtigungen gesetzt werden. Eine genaue Auflistung dieser Berechtigungen und Verzeichnisse befindet sich im Anhang E. 2.6.4 Funktionstest Nach erfolgreicher Installation und Konfiguration des müssen die von ihm zur Verfügung gestellten Dienste getestet werden. Dafür werden Testgruppen und Testbenutzer angelegt und deren Funktion getestet. Der Test besteht aus erfolgreichen Anmeldevorgängen, Testen des Zugriffs auf die freigegebenen Verzeichnisse, Ändern des Passwortes, sowie der Kontrolle der Zugriffsberechtigungen. Verläuft dieser Test korrekt und die Zugriffe sind richtig beschränkt, so gilt der Domänen-Controller als funktionstüchtig. Seite 4

3. Durchführung Die Hardwarekonfiguration des Servers kann dem Angebot in Anhang B entnommen werden. Die drei Festplatten des Servers wurden in einen RAID 5 Verbund logisch zusammengeschlossen und haben somit eine Kapazität von ca. 245,8 GB. Eine vierte Festplatte wird als Ersatz zurückgehalten. Der Vorteil zu RAID 1 besteht in der effektiveren Nutzung der Festplatten. Die Gesamtdaten werden komprimiert und als Paritäten auf die Festplatten verteilt. 3.1 Open BSD 3.1.1 Installation Für die Installation von Open BSD werden eine Bootdiskette, sowie die Installationspakete benötigt. Die Bootdiskette wurde nach Anleitung auf der Seite www.openbsd.org erstellt. Um die nötigen Installationspakete zu erhalten, wurde der Server an ein Internetgateway angeschlossen. Nach dem Booten von der Diskette wurde dann die Installation durchgeführt und die nötigen Pakete von einem FTP-Server geladen. Der Domänen-Controller wurde mit der Version 3.5 von Open BSD ohne grafische Benutzeroberfläche aufgesetzt. Die Partitionierung wurde wie in Anhang D beschrieben vorgenommen. Während der Installation wurden der Name des Servers, sowie die Ip-Adresse nach der Vorgabe im Netzplan (siehe Anhang F) eingerichtet. 3.1.2 Konfiguration Nach erfolgreicher Installation wurden zunächst die Mountpoints für Wechseldatenträger in die Konfigurationsdatei /etc/fstab mit dem Editor vi eingetragen. Aus Sicherheitsgründen wurden dann nicht benötigte Standarddienste ausgeschaltet. Dafür wurden die Einträge inetd=no und ntpd=no in der Datei /etc/rc.conf.local vorgenommen. Zur leichteren Administration wurde die Bash als Standardshell installiert und konfiguriert. Dafür wurde das Paket bash-2.05b-static.tgz heruntergeladen und mit dem Befehl pkg_add hinzugefügt. Nach erfolgreicher Installation wurde die Bash als Standardshell eingerichtet. (Siehe Anhang G) Nun wurde mit dem Befehl date die aktuelle Uhrzeit eingestellt, da die Clients die Uhrzeit des Server übernehmen sollen. Da die Benutzer aus Platzgründen nicht unbeschränkten Speicherplatz auf dem Server erhalten sollen, muss eine Beschränkung eingerichtet werden. Dies wird durch quota realisiert. Dafür werden zunächst in der /etc/fstab folgende Zeilen verändert: /dev/sd0h /home ffs rw,nodev,nosuid,userquota=/home/quota.user 1 2 /dev/sd0i /group ffs rw,nodev,nosuid,groupquota=/home/quota.group 1 2 Es werden also die Partitionen /home und /group beschränkt. Als nächstes müssen die Dateien quota.user und quota.group mit dem Befehl touch unter /home erstellt werden. Nach diesen Voreinstellungen muss die quota-beschränkung noch aktiviert werden: quotaon /dev/sd0h quotaon /dev/sd0i Nach einem Neustart des Systems ist die Beschränkung aktiv und kann nun für jeden Benutzer und jede Gruppe konfiguriert werden. Dieses Thema wird in Kapitel 3.4.3 näher beschrieben. Seite 5

3.2 Samba 3.2.1 Installation Zum problemfreien Administrieren des Servers wurde der Securelevel in der Datei /etc/rc.securelevel des Servers für die Dauer der Konfiguration und Installation auf -1 gesetzt. Dieser muss am Ende der Serverarbeit aus Sicherheitsgründen wieder auf 1 gesetzt werden. Für die Installation von Samba wurde das Paket samba-2.2.10.tgz von www.openbsd.org herunter geladen und mittels des Befehls pkg_add hinzugefügt. 3.2.2 Konfiguration Zunächst musste eingestellt werden, dass die Prozesse für Samba (smbd und nmbd) automatisch beim Serverstart gestartet werden. Dafür musste die Datei /etc/rc.local um folgende Zeilen ergänzt werden: if [-f /etc/samba/smb.conf]; then if [X"${smbd_flags}"!= X"NO" -a -x /usr/local/libexec/smbd]; then echo -n ' smbd'; /usr/local/libexec/smbd ${smbd_flags} fi if [X"${nmbd_flags}"!= X"NO" -a -x /usr/local/libexec/nmbd]; then echo -n ' nmbd'; /usr/local/libexec/nmbd ${nmbd_flags} fi fi Nach einem Neustart wurde mit dem Befehl top überprüft, dass die Prozesse smbd und nmbd automatisch gestartet wurden. Die Hauptkonfigurationsdatei (smb.conf) des Servers befindet sich in dem Verzeichnis /etc/samba. Sie wurde von mir komplett neu geschrieben und an die Bedürfnisse angepasst. Unter Anderem wurden dort die Domäne, die Pfade für die Anmeldescripte, die Freigaben der Verzeichnisse, sowie die servergespeicherten Profile eingerichtet und konfiguriert. Die komplette smb.conf finden Sie im Anhang H. Nach dieser grundlegenden Konfiguration von Samba wurde als nächstes das Passwort des Sambaaccounts von root geändert. Der Sambaaccount von root wird dafür benötigt um den Client in die Domäne zu integrieren. Aus Sicherheitsgründen weicht dieses Passwort von dem Passwort des root-accounts ab. So kann zum Beispiel auch ein Auszubildender die Clients der Domäne hinzufügen ohne die Möglichkeit zu haben, sich an dem Server selber anzumelden. Bei identischen Passwörtern hätte er beide Möglichkeiten. Das Passwort wird mit folgendem Befehl geändert: smbpasswd a root. 3.3 Usermin, Webmin, SSL 3.3.1 Installation Usermin, Webmin und SSL werden für das Webinterface benötigt. Über dieses sollen die Benutzer ihr Passwort ändern können. Dafür wurden die Pakete webmin-1.160- minimal.tar.gz, latest.tar.gz, usermin-1.090.tar.gz, Net_SSLeay.pm-1.23.tar.gz und usermin.wbm.gz von der Webseite www.webmin.com heruntergeladen. Als erstes wurde Webmin entpackt und installiert: gunzip webmin-1.160-minimal.tar.gz Seite 6

tar -xf webmin-1.160-minimal.tar.gz cd webmin-1.160-minimal.tar.gz./setup.sh /usr/local/webmin Bei der Installation wurde der Port auf 1014 geändert, damit nicht der Standardport genutzt wird. Dies erschwert einen Angriff und bietet daher mehr Sicherheit. Außerdem wurde Webmin während der Installation so eingestellt, dass es beim Systemstart automatisch gestartet wird. Danach wurde das Modul latest.tar.gz entpackt und installiert, das die Passwortprüfung durchführen kann: gzip -d latest.tar.gz tar -xof latest.tar cd perl-5.8.5 sh Configure make make test make install Danach wurde das System neu gestartet und Usermin und SSL entpackt und installiert: gunzip usermin-1.090.tar.gz tar -xf usermin-1.090.tar cd usermin-1.090./setup.sh /usr/local/usermin Auch bei Usermin wurde der Port geändert. Anstelle des Standardport wird der Port 1019 genutzt. tar -xvzf Net_SSLeay.pm-1.23.tar.gz cd Net_SSLeay.pm-1.23. perl Makefile.PL make install perl -e 'use Net::SSLeay' Über einen beliebigen Client kann man mit einem Browser über http://192.168.1.12:1014 auf Webmin zugreifen. Nach erfolgreichem Einloggen in Webmin wurde dort das letzte Paket usermin.wbm.gz nachinstalliert. 3.3.2 Konfiguration Zunächst wurde die SSL-Verbindung aktiviert. Dafür wurde die Weboberfläche von Webmin genutzt. SSL wurde sowohl für Webmin, als auch für Usermin aktiviert. Danach ist Webmin nur noch über https://192.168.1.12:1014 und Usermin nur noch über https://192.168.1.12:1019 aus dem internen Netzwerk erreichbar. Usermin wurde nun über Webmin konfiguriert. Zunächst wurden alle Usermin-Module bis auf das Modul zum Passwortwechsel für den normalen User ausgeschaltet. Usermin wurde dann so eingestellt, dass es beim Systemstart automatisch startet und nur Verbindungen aus dem Netz 192.168.1.0 zulässt. Außerdem wurde der Autologout auf 10 Minuten eingestellt. Die Option für den Passwortwechsel wurde so konfiguriert, dass mindestens 8 Zeichen genutzt werden müssen und das Passwort vom alten abweichen muss. Zum Schluss wurde das Usermin-Interface noch an die CI/CD-Norm der Deutschen Telekom AG angepasst. (siehe Screenshot Anhang I) Weil Webmin für die weitere Konfiguration des Servers nicht notwendig ist und ein potenzielles Sicherheitsrisiko darstellt, da es aus dem gesamten Netzwerk erreicht werden kann, wurde Webmin gesperrt. Dafür wurde der Paketfilter von Open BSD konfiguriert, sodass der Port 1014 für Webmin geblockt wird. Die Konfiguration des Paketfilters finden Sie im Anhang J. Seite 7

3.4 Scripte 3.4.1 Anmeldescript Damit bei der Anmeldung die Netzlaufwerke automatisch verbunden werden und die Uhrzeit des Clients mit dem Server synchronisiert wird, habe ich ein Anmeldescript erstellt. Dieses wird von dem Server für den Client bereitgestellt. Jede Ausbildungsgruppe erhält ein eigenes Anmeldescript, da es nicht möglich ist den Gruppennamen als Variable in die Batchdatei einzufügen. Die Anmeldescripte werden automatisch erstellt, wenn eine neue Gruppe durch das in 3.4.2 beschriebene Script zum Erstellen von Gruppen angelegt wird. Für die Scripte wurden folgende Verzeichnisse angelegt: mkdir /usr/local/samba mkdir /usr/local/samba/lib mkdir /usr/local/samba/lib/netlogon In dem Verzeichnis netlogon wurde dann ein Muster für die späteren Scripte erstellt: touch default.bat In dieses Script wurden folgende Zeilen eingetragen: net use X: \\192.168.1.12\%username%^M net use Z: \\192.168.1.12\Gruppenname^M net time \\192.168.1.12 /set /yes 3.4.2 Maschinenaccounts Um einen Client der Domäne hinzuzufügen, benötigt man einen so genannten Maschinenaccount auf dem Server. Für die Maschinenaccounts wurde eine eigene Gruppe mittels groupadd g 100 computerzugang eingerichtet. Die Maschinenkonten selber werden mittels eines von mir geschriebenen Scripts (addmaschine) erstellt. Das Script befindet sich im Anhang K. Wichtig bei der Erstellung eines Maschinenaccounts ist, dass dieses mit einem Dollar-Zeichen abgeschlossen werden muss, um als Maschinenaccount gekennzeichnet zu werden. 3.4.3 Benutzererstellung Jeder der ca. 400 Auszubildenden soll einen Benutzeraccount auf dem Server erhalten. Dafür wurden die Benutzer in Gruppen eingeteilt, die ihren Ausbildungsgruppen entsprechen. Um das Anlegen der Gruppen und Benutzer zu vereinfachen, wurden von mir zwei Scripte (addgroup und addsambauser) geschrieben. Diese Scripte befinden sich im Anhang K. Die Scripte orientieren sich an der Gruppe Testgruppe und dem Benutzer Test. Sie übernehmen dabei zum Beispiel die quota-beschränkung, damit diese nicht für jeden Nutzer einzeln geändert werden muss. Deshalb wurden zunächst die Gruppe Testgruppe und der Benutzer Test angelegt: group add g 2000 Testgruppe useradd -G users -u 2000 -d /home/test -s /bin/false m Test Der Benutzer Test erhält dabei, wie alle späteren Benutzer auch, keine Shell. Damit kann keiner der angelegten Benutzer an dem System selber arbeiten. Danach wurde die quota-beschränkung eingestellt. Das Hardlimit wurde auf 256000 eingestellt, sodass die Benutzer auf der Partition /home und die Gruppen auf der Partition /group nur jeweils 250 MB zur Verfügung haben: edquota -u Testgruppe edquota -u Test Nach diesen Einstellungen können neue Gruppen und Benutzer mit den Scripten angelegt werden. Danach müssen noch die Freigaben in die smb.conf eingetragen werden (siehe Seite 8

Beispiel in Anhang H) und das Anmeldescript entsprechend abgeändert werden. Beachtet werden muss noch, dass der Gruppenname als Standardpasswort für den Sambaaccount eingesetzt wird. Da jeder Benutzer aber auch einen Unixaccount auf dem Server besitzt, muss das Passwort für diesen Account identisch sein. Dafür wird der Befehl passwd genutzt. Nach diesen Schritten können sich die Benutzer an der Domäne anmelden und ihre Dienste nutzen. 3.5 Servergespeicherte Profile Die servergespeicherten Profile wurden in der Datei smb.conf eingerichtet. Dort wurde die Partition /profiles als Speicherort für die Profile angegeben. Bei einer Anmeldung wird nun das Profil von dem Server geladen und auf dem Client in den Ordner C:/Dokumente und Einstellungen/Username gespeichert. Bei einem Abmeldevorgang werden die aktualisierten Dateien aus diesem Ordner des Clients wieder auf dem Server gespeichert. Um lange Wartezeiten beim Anmeldevorgang und eine zu große Netzlast zu verhindern, wurde auf dem Client eine Beschränkung von 30 MB für ein Profil eingestellt. Dieses wurde mit der Management Console MMC erreicht. Überschreitet ein Benutzer die zulässige Profilgröße, so erhält er eine Fehlermeldung und kann sich erst nach Verringerung seiner Profilgröße wieder abmelden. 3.6 Integrationen in das BBi-Net Der Server wurde über den Etagenswitch an das LAN angebunden. Dieses LAN wird durch eine Firewall geschützt (siehe Netzplan Anhang F), sodass der Server nur aus dem LAN und nicht aus dem Internet erreichbar ist. Als nächstes wurden die Maschinenaccounts der Clients mit dem Script addmaschine erstellt. Dabei ist zu beachten, dass der Name des Maschinenaccounts identisch mit dem Namen des Clients sein muss. Der einzige Unterschied besteht in dem Dollar-Zeichen am Ende des Maschinenaccounts. Auf den Clients musste dann ein Eintrag in der Registry geändert werden. Der Wert in "HKeyLocalMachine\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" wurde von 1 auf 0 geändert werden. Nach diesen Einstellungen wurden die Clients der Domäne hinzugefügt. Dafür war die Authentifizierung mit dem Sambaaccount von root erforderlich. 3.7 Test Zum Testen der Funktionen des wurden mittels der Scripte (siehe Kapitel 3.4.3) Gruppen und Benutzer erstellt. Dann wurde die Anmeldung an die Domäne mit diesen Benutzern getestet. Dabei wurden mehrere Verbindungen gleichzeitig durch mehrere Clients getestet. Nach den erfolgreichen Anmeldevorgängen wurde die Verfügbarkeit der Netzlaufwerke unter dem Arbeitsplatz der Clients getestet. Dort wurden verschiedene Dateien und Ordner angelegt, um die Lese- und Schreibberechtigung zu testen. Ebenfalls wurde versucht mehr als 250 MB Daten auf eines der Laufwerke zu schreiben, um die Beschränkung zu testen. Des Weiteren wurde der gemeinsame Zugriff von Mitgliedern der gleichen Gruppe auf Daten des Gruppenlaufwerks getestet. Diese Tests verliefen ohne Fehler. Die Benutzer konnten nur auf ihre Ressourcen zugreifen und hatten keine Berechtigung auf die anderen Verzeichnisse zuzugreifen. Nach dem erfolgreichen Test der Netzlaufwerke wurden die servergespeicherten Profile getestet, indem mehrere Anmeldungen eines Benutzers gemacht wurden. Zwischen den Anmeldungen wurden Desktopicons angelegt. Diese wurden nach der Anmeldung mit dem gleichen Benutzer auf einem anderen Client erfolgreich geladen. Seite 9

Über den Link https://192.168.1.12:1019 konnte sich der Benutzer dann erfolgreich anmelden und sein Passwort ändern. Ebenfalls wurde der Zugriff auf Webmin getestet. Die Anfrage wurde jedoch erfolgreich geblockt. Somit sind alle Dienste des verfügbar und funktionsfähig. 4. Abschluss 4.1 Übergabe Da es sich bei meinem Projekt um ein Teilprojekt von BBi-Connect handelt, müssen zwei Übergaben unterschieden werden. Zum einen wird das Gesamtprojekt BBi-Connect Ende Mai 2005 dem Kunden übergeben. Die andere Übergabe erfolgt an die zukünftigen Administratoren. Diese sind ebenfalls Auszubildende und befinden sich im ersten Ausbildungsjahr. Die Übergabe an die Administratoren erfolgt in einem persönlichen Gespräch, in dem die Funktionsweise des und persönliche Erfahrungen erläutert werden. Außerdem wird die Projektdokumentation und eine detaillierte Installationsanleitung übergeben. Die zukünftigen Administratoren werden außerdem eine Testumgebung installieren und konfigurieren. Durch diese werden sie sich in das Thema Domänen-Controller, sowie Open BSD und Samba einarbeiten können. In Anschluss an diese Einarbeitung werden in einem Gespräch noch offene Fragen geklärt. 4.2 Zukünftige Erweiterungen und Verbesserungen Besonders wichtig ist die Gewährleistung eines Backups. Die persönlichen Daten der Auszubildenden müssen durch ein noch zu planendes Backupsystem gesichert werden. Weitere geplante Erweiterungen: Erstellen der Benutzerkonten für die Auszubildenden Erstellen von Benutzerkonten für die Ausbilder mit Zugriff auf alle Gruppenlaufwerke Verbinden der Benutzerkonten des und des Mailservers, sodass die Benutzer nur ein Passwort im LAN benötigen, um sich anzumelden und ihre Emails abzurufen. Dabei muss genau geplant werden, um nicht die Sicherheit durch die DMZ aufzuheben. Einbinden eines Virenscanners auf dem Server. Momentan wird jeder Client durch einen eigenen Virenscanner geschützt. Ein zusätzlicher Virenscanner auf dem Server würde eine vorzeitige Überprüfung ermöglichen. 4.3 Fazit Durch die gründliche Planung des Projektes verlief die Durchführung ohne große Probleme, sodass nur geringe Zeitabweichungen auftraten (siehe Zeitplanung in Anhang C). Die Kompatibilität zwischen Client und Server stellte eine Herausforderung dar, weil Betriebssysteme genutzt werden, die sich sehr stark von ihrer Struktur unterscheiden. Doch gerade diese Herausforderung erfüllte das Hauptziel Verbesserung der Ausbildung. So wurde ein Netzwerk erstellt, welches auch für zukünftige Auszubildende eine spannende und komplexe Arbeit mit hohem Lerneffekt bietet. Das Teilprojekt Domänen-Controller hat das Gesamtprojekt BBi-Connect dabei um eine interessante Komponente erweitert. Die Arbeit an dem Server ist jedoch noch nicht komplett beendet. Die in 4.2 beschriebenen Erweiterungen und Verbesserungen werden mich und besonders die zukünftigen Administratoren vor eine interessante Aufgabe stellen. Seite 10

Anhang A. Glossar Bash Bash steht für Bourne again shell. Die Shell ist ein Programm, das vom login-prozess gestartet wird und Kommandos entgegennimmt. Die Kommandos werden dann ausgeführt. Batchdatei Eine Batchdatei führt eine Reihe von Befehlen aus, die die Systemfunktionen benutzen. CI/CD-Norm Corporate Identity und Corporate Design. Dadurch wird das Erscheinungsbild, sowie das Design des Unternehmens festgelegt, um nach außen einen Gesamteindruck zu vermitteln und einen Wiedererkennungswert zu besitzen. Das magentafarbene T der Telekom ist ein gutes Beispiel. DMZ Demilitarized Zone (DMZ, deutsch: entmilitarisierte Zone) bezeichnet einen geschützten Rechnerverbund, der sich zwischen zwei Computernetzwerken befindet. Der Rechnerverbund wird durch einen Paketfilter (außen) und einen Anwendungsfilter (innen) gegen das Internet abgeschirmt. (http://de.wikipedia.org/wiki/dmz, 13.05.05) Domäne Im Gegensatz zu einer Arbeitsgruppe muss sich jeder Benutzer und jeder Client an dieser Gruppe erst authentifizieren. Die nötige Berechtigung zum Beitritt einer Domäne wird von einem Server (Domänen-Controller) verwaltet. Hat ein Benutzer oder Client keine Berechtigung, so kann er der Domäne nicht beitreten. Firewall Eine Firewall kommt zwischen den Schnittstellen von zwei Netzwerken zum Einsatz, um den Netzwerkverkehr zu kontrollieren. Meistens wird sie dafür verwendet ein LAN vor unberechtigtem Zugriff aus dem Internet zu schützen. Hardlimit Es wird zwischen Hard- und Softlimit unterschieden. Bei einem Softlimit kann die Beschränkung bis zu einem bestimmten Punkt überschritten werden. Bei einem Hardlimit kann die Beschränkung nicht überschritten werden. LAN Ein local Area Network ist ein Computernetz, welches einer räumlichen Begrenzung unterliegt. Mountpoint Ein Mountpoint ist der Punkt, an dem der Zugriff erfolgen soll. Netzlaufwerk Ein Netzlaufwerk stellt eine Verbindung zu einem im Netzwerk freigegebenen Verzeichnis dar. Seite I

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback