Roteiro para instalação de servidores Linux Parte I Montando o servidor

(1)

Roteiro para instalação de servidores Linux

Parte I – Montando o servidor

Serviço – Servidor de Arquivos

1 – Itens necessários à instalação:

a) Endereço IP/Máscara da placa externa da OM; b) Endereço IP/Máscara da placa interna da OM; c) Gateway padrão para acesso;

d) Conhecimento prévio da estrutura de rede da OM; e) Guia de instalação do SAMBA usando SLES 10 – SP3;

f) Guia para configuração de Roteamento por RIP com SLES 10 SP2;

g) Guia de procedimentos Instalação do McAfee VirusScan Enterprise for Linux, v1.6 através do ePO 4.0;

h) Procedimento para ajuste de horário de verão em servidores Linux; e i) Problemas de Instalação do Aplicativo de Criptografia Argos - CLTI.

2 – Procedimentos

Para servidor de arquivos, atentar para a partição /home, que deve conter o maior espaço possível. É nessa partição que residirão os dados dos usuários e os volumes da rede da OM. Em certos casos o servidor possui mais de um HD, quando isso acontecer, é saudável utilizar um HD inteiro somente para a partição /home, pois assim, é adicionado mais um nível de segurança ao servidor.

Seguir os passos de instalação dos manuais da CTIM – Manual de instalação do

SUSE SLES 10 SP3. Proceder com a instalação do LDAP com a seguinte ressalva:

No manual do CTIM na página 15 item f), instrui a configurar o atributo “sambaid”, porém este atributo não fica disponível antes que se instale o SAMBA. Para obter uma instalação perfeita, salte para a página 18 e proceda normalmente a instalação. Tal procedimento deve ser feito até que o CTIM corrija o guia de instalação. Após instalar o SAMBA, volte à página 15 e proceda com as instruções. Será disponibilizado não o atributo “sambasid”, mas sim o atributo “sambaid” – atributo que nos permite dar direito de administrador aos usuários cadastrados neste grupo.

Caso a OM também utilize a máquina para efetuar o Roteamento, instalar o QUAGGA, atentando para que ao final da instalação seja criado um link simbólico para o serviço “zebra” e “ripd”, tal medida visa a startar automaticamente os serviços evitando que o administrador tenha que fazer manualmente.

Instalar o antivírus seguindo os procedimentos do manual, não esquecendo de alterar a senha do usuário nails seguindo o padrão:

usuário nails – senha <sigla da OM> Criar um link no browser do servidor apontando para o ePO 4:

https://localhost:55443

(2)

Implementar uma política simples de BackUp para a OM, ou seja, disponibilizar uma forma simples de copiar dados e armazená-los de forma segura.

Para um melhor aproveitamento da estrutura de rede da OM e uma melhor organização, fica padronizado o diretório /home da seguinte forma:

/home/volumes – Raiz dos volumes da rede da OM /home/usuários - Raiz das pastas pessoais dos usuários /home/groups – raiz das pastas compartilhadas por grupos /home/perfis – raíz dos perfis móveis, caso a OM opte por ele

3 - Horário de verão

Caso na época da instalação do servidor esteja vigorando o horário de verão, será necessário atualizar o servidor para aceitar o período compreendido entre o início e o fim o horário de verão do ano corrente. Geralmente o CTIM disponibiliza em sua página um procedimento para atualização de servidores Linux, bastando ao CLTI seguir esse manual para lograr êxito nessa tarefa.

4 – Ferramentas de administração

Caso a OM trabalhe com ACL é interessante instalar o Webmin, para que o Administrador possa trabalhar com ACL de forma visual, o Webmin torna esse trabalho bem intuitivo e produtivo.

Itens a serem instalados:

• Webmin (versão mais recente se possível);

• Módulo de administração de ACL (webmin-fsacls-0.6.4.wbm.gz); e • Módulo de administração de Quotas em disco (quota.wbm.gz).

5 - Produtos gerados ao final da instalação

Ao término da instalação, o servidor de arquivos da OM estará pronto para ser efetivamente testado, bem como o serviço de Roteamento (caso seja necessário). Para efetuar o teste de Roteamento deve-se proceder da seguinte forma:

Trocar o IP de uma máquina para a faixa de rede interna da OM, depois caso esteja utilizando MS-Windows, acessar o prompt de comandos e digitar o IP do servidor DNS 10.205.144.6, caso esteja recebendo resposta, o serviço de Roteamento estará configurado.

OBS.: O firewall no servidor deverá obrigatoriamente estar desabilitado, pois senão a resposta do ECHO REPLY não será enviada à estação que enviou o comando “PING”. OBS².: Certificar-se de que os serviços zebra e ripd estão habilitados. Para visualizar o andamento do serviço, digite os seguintes comandos:

service zebra status running service ripd status running

(3)

Caso aconteça algo diferente e o serviço não esteja como aparece acima digite na console do servidor:

service zebra restart<enter> service ripd restart<enter> deverá aparecer a seguinte tela

service zebra status running service ripd status running

Obs³.: Nem todas as versões de sistemas operacionais Windows suportam o uso de um controlador de domínio (PDC). Como os PDC são usados em redes de médio e grande porte a Microsoft não inclui suporte para Windows XP Home e Windows XP Starter Edition, bem como para Vista Starter, Vista Home Basic e Vista Home Premium.

Parte II

Instalando as máquinas clientes

Para a instalação nas máquinas clientes, comece removendo o cliente Netwawe. Algumas vezes acontecem problemas na hora da desinstalação, caso o computador reinicie em tela “preta” e exibindo a mensagem “não foi possível encontrar o arquivo

NWGINA.dll”, não se preocupe, isso acontece quando o desinstalador do Netware

remove a DLL do SO Windows, mas não remove a referência feita a ela no registro do Windows(RegEdit.exe). Para alterar esse valor proceda da seguinte forma:

1 – Reinicie o computador em modo de segurança;

2 – Caso apareça a tela de LogIn, autentique-se e logo após acesse o Regedit e procure a chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\GinaDLL. Altere o seu valor para MSGINA.dll, como na

(4)

3 - Salve e reinicie o computador.

Ingresso no Domínio...

Para efetuar o ingresso no domínio o Administrador deve cadastrar a máquina no domínio SAMBA, ele o faz da seguinte forma a saber:

(5)

(6)

4 – Depois, digite o nome do domínio criado no samba;

5 – Depois, digite as credenciais para acesso como root, em algumas instalações o Admin pode criar um usuário com os privilégios do root para poder efetuar o ingresso no Domínio. O procedimento de ingresso no domínio só pode ser efetuado por um usuário com os privilégios do root. Não se pode utilizar um usuário SAMBA sem tais privilégios para ingressar pela primeira vez no domínio, até porque no ato de ingressar, o SAMBA cadastra a máquina que o Admin está utilizando, ou seja, esse ato nada mais é do que cadastrar a máquina no samba.

NOTA.: Para ter certeza do cadastro da máquina, acesse o Yast > Gerenciamento Usuários. Filtre os usuários Locais. Deve aparecer o nome da máquina onde aconteceu

o cadastro seguida de um $ ao final do seu nome; 6 – Caso tudo ocorra bem, reinicie o computador;

7 – Depois de reiniciado na tela de login escolha o Domínio e digite usuário e senha. Utilize o usuário comum ao samba; e

(7)

cada arquivo e pasta as permissões devidas para os usuários novos. O Linux é criterioso com as permissões e caso o admin não atribua o arquivo ao usuário, provavelmente o Linux o atribuirá ao usuário root, daí o acesso ao arquivo ficará extremamente dificultoso. Utilize o comando chown para fazer atribuição de usuários e grupos. Exemplo de sintaxe:

chown –R [usuário]:<grupo> [arquivo] Legenda:

-R = para realizar a atribuição recursivamente.

Usuário = nome do usuário que será o novo dono do arquivo

Grupo = nome opcional do novo grupo do arquivo, pode ser omitido. Arquivo = nome do arquivo/pasta que será atribuído.

9 – fim.

Parte III

Realizando o procedimento de Backup

Para um servidor de arquivos padrão, o Backup será procedido da seguinte forma:

1 – Fazer cópia da partição /home;

2 – Realizar a extração dos usuários bem como suas senhas da base de dados OpenLDAP;

3 – Caso o servidor implemente o conceito de ACL, incluí-las também no Backup, listando todas as ACL da estrutura /home;

4 – Efetuar a cópia das configurações do servidor samba; e 5 – Efetuar a cópia da pasta /var/lib/samba/netlogon/.

O CLTI desenvolveu um script para gerenciar automaticamente o processo de backup. O funcionamento do Script é simples, o Admin insere uma entrada no agendador de tarefas do Linux (Cron), para que seja executado – o script – diariamente em um horário de sua escolha. As tarefas executadas pelo script são as mesmas descritas acima. Abaixo o fonte do script.

#!/bin/sh #

# Contro Local de Tecnologia da Informação # Divisão de Sistemas # 10/10/2010 - 20:59 - Domingo # # equipe: # CT Azevedo # 1SG-PD Claudia # 3SG-SI Charles # CB-MR Rodrigo # CB-ES Nonato #

(8)

# Script para efetuar o BackUp do servidor PDC do Comemch # Onde, DIR_ORIG é o diretório a ser backupeado e DIR_DEST é o

# diretório para onde vai o arquivo compactado e BKP_NAME é o nome ao # qual será compactado o diretório.

# DATA e a data atual

# DATAFIM e a data de termino do Backup

DIR_ORIG="/home/groups /home/users /home/volumes" DIR_DEST="/home/bkpTMP"

DATA=`date +%d-%m-%Y_%H:%M:%S` #Pegando as ACL da pasta home

getfacl -R /home > /home/ACL.bk mkdir ${DIR_DEST}

echo "" >> ${DIR_DEST}/BackUp.log

echo "================================" >> ${DIR_DEST}/BackUp.log echo "Inicializando o BackUp..." >> ${DIR_DEST}/BackUp.log

echo "Iniciado em "${DATA} >> ${DIR_DEST}/BackUp.log echo "" >> ${DIR_DEST}/BackUp.log

echo "Iniciando a copia da partiçao home..." >> ${DIR_DEST}/BackUp.log echo " " >> ${DIR_DEST}/BackUp.log

#copiando para o Diretorio destino

if rsync -Cravp ${DIR_ORIG} ${DIR_DEST}/ >> ${DIR_DEST}/BackUp.log; then # mensagem de resultado

echo "A partiçao home foi copiada com sucesso !" >> ${DIR_DEST}/BackUp.log else

echo "A Copia da partiçao home FALHOU !" >> ${DIR_DEST}/BackUp.log fi

#exportando a base OpenLDAP

echo "Iniciando a extraçao da Base de Dados OpenLDAP..." >> ${DIR_DEST}/BackUp.log

if slapcat > ${DIR_DEST}/BackUpLDAP-${DATA}.ldif; then # mensagem de resultado

echo "Exportaçao da Base OpenLDAP realizada com sucesso !" >> ${DIR_DEST}/BackUp.log

else

echo "Exportaçao dos dados da base OpenLDAP FALHOU !" >> ${DIR_DEST}/BackUp.log

fi

(9)

echo "Copiando DB_CONFIG arquivo de configuraçao do OpenLDAP..." >> ${DIR_DEST}/BackUp.log

if cp /var/lib/ldap/DB_CONFIG ${DIR_DEST} >> ${DIR_DEST}/BackUp.log; then echo "Copia do DB_CONFIG realizada com sucesso !" >>

${DIR_DEST}/BackUp.log else

echo "Copia do DB_CONFIG FALHOU !" >> ${DIR_DEST}/BackUp.log fi

#Copiando as Bases do Samba

echo "Copiando Bases do PDC SAMBA..." >> ${DIR_DEST}/BackUp.log if cp /var/lib/ldap/samba* ${DIR_DEST} >> ${DIR_DEST}/BackUp.log; then echo "Copia das Bases realizada com sucesso !" >> ${DIR_DEST}/BackUp.log else

echo "Copia das Bases FALHOU !" >> ${DIR_DEST}/BackUp.log fi

#copiando as configuraçoes relevantes ao SAMBA... echo "" >> ${DIR_DEST}/BackUp.log

echo "Copiando o arquivo smb.conf..." >> ${DIR_DEST}/BackUp.log

if cp /etc/samba/smb.conf ${DIR_DEST} >> ${DIR_DEST}/BackUp.log; then echo "" >> ${DIR_DEST}/BackUp.log

echo "Copia do smb.conf realizada com sucesso !" >> ${DIR_DEST}/BackUp.log else

echo "Copia do smb.conf FALHOU !" >> ${DIR_DEST}/BackUp.log fi

#Pegando as ACL da pasta home echo "" >> ${DIR_DEST}/BackUp.log

echo "Pegando as ACL da pasta home" >> ${DIR_DEST}/BackUp.log if mv /home/ACL.bk ${DIR_DEST}/ >> ${DIR_DEST}/BackUp.log; then echo "" >> ${DIR_DEST}/BackUp.log

echo "ACL gravadas com sucesso !" >> ${DIR_DEST}/BackUp.log else

echo "Gravaçao das ACL FALHOU !" >> ${DIR_DEST}/BackUp.log fi

#Pegando a Data de termino do script

DATAFIM=`date +%d-%m-%Y_%H:%M:%S`

echo "Terminado em "${DATAFIM} >> ${DIR_DEST}/BackUp.log echo "" >> ${DIR_DEST}/BackUp.log

#Retornando ao raiz cd ~

echo "" >> ${DIR_DEST}/BackUp.log; exit 0

(10)

Configurando ET para acessar o LN.

1 – Logado como Admin, dar direito de controle total ao usuário Todos na pasta de instalação do Cliente LN.

Geralmente como segue:

C:\arquivos de programas\lotus.

Efetuando essa alteração o usuário conseguirá utilizar o Cliente LN em uma máquina Windows utilizando usuário restrito, satisfazendo assim um requisito da DGMM-540.