IPFire: Firewall en primary domain controller

IPFire: Firewall en primary domain controller 1. IPFire firewall-proxy server 1.1. 1. 2. 3. 4. 5. 6.

Installatie

Boot vanaf CD  ENTER English  OK  OK I accept this license  OK Prepare harddisk […] partitioned[…] Yes  OK Ext4-Filesystem with journal  OK Verwijder CD – Press OK to reboot  OK

1.2.

Configuratie op server

Keyboard lay-out: be-latin1 OK Timezone: Europe/Brussels  OK Machine’s hostname: computernaam server  OK Domain name: localdomain  OK root password = paswoord voor acces via Linux terminal  OK admin password = paswoord voor webinterface  OK Network configuration menu a) Network Configuration type: GREEN + RED  OK (geen wireless of DMZ) b) Drivers and card assignments: wijs netwerkkaarten toe aan RED-interface (WAN) en GREEN-interface (LAN) c) Address settings  OK GREEN: Geef IP im ipfire te bereiken vanaf LAN  OK (bv. 192.168.1.10) RED: DHCP  OK (of static uit range van de router na modem)  DONE d) DNS and Gateway settings  OK Primary DNS: 8.8.8.8 Secundary NDS: 8.8.4.4 Default Gateway = IP-adres router 8. DHCP server configuration a) Enabled: X b) Start address bv. 192.168.1.100 c) End address bv. 192.168.1.200 d) Primary DNS bv. 192.168.1.10 (dit zou IP-adres van IPFire-server moeten zijn). Zorg er voor dat DHCP-range in range van GREEN IP IPFire-server ligt!  OK 1. 2. 3. 4. 5. 6. 7.

9. Setup is complete. Press OK  OK. 10. Lees IP RED-interface uit logs af. Zou IP moeten zijn dat van de router werd verkregen indien RED-interface op DHCP staat (stap 7c) of static IP dat ingegeven is (stap 7c). 11. Check of ping naar internet vanaf server werkt uit terminal bv. ping www.google.be of ping 8.8.8.8

1.3.

Verdere configuratie vanaf client

1. Start Windows-client. Zet IP-adres op Automatisch via DHCP, check of IP uit range van DHCPIPFire-server komt en dat Gateway verwijst naar LAN-IP van de IPFire-server. 2. Surf naar: https://ipadresipfireLAN:444 bv. https://192.168.1.10:444 3. Geef gebruikersnaam admin en paswoord admin:

4. Ga naar tabblad System en kies uit het menu aan de rechterkant voor SSH-access. Zet vinkjes bij: a. SSH-access b. Allow password based authentication c. Allow public key based authentication d. SSH port set to 22  SAVE Vanaf nu is Linux-terminal ook te bereiken via SSH-client zoals Putty op poort 22.

5. Ga naar tabblad Network en pas aan: a. Vinkje bij Enabled on Green b. Vinkje bij Transparant on Gren c. Proxy port: 80 d. Error messages language: EN e. Vinkje bij URL Filter enabled f. Eventueel vinkje bij LOG enabled  SAVE and RESTART 6. Nog steeds in tabblad Network ga naar submenu Content Filter en pas aan: a. In Custom blacklist  Blocked domains geef je de domeinen aan die geblokkeerd moeten worden bv. facebook.com b. Zet vinkje bij Enable custom blacklist c. In Block page settings kan je de tekst aanpassen bij Message Line om een persoonlijke boodschap te tonen bij een geblokkeerde site. d. Bij Advanced settings: vinkje zetten bij “Block sites accessed by it’s IP address  SAVE and RESTART UITTESTEN VANAF WINDOWS-CLIENT!

2. IPFire als PDC PDC staat voor Primary Domain Controller. Linux en dus IPFire gebruikt hiervoor het packet SAMBA.

2.1. 1. 2. 3. 4. 5. 6.

Installatie en configuratie van Samba als PDC

Meld je aan bij de GUI van IPFire. Ga naar het tabblad IPFire, selecteer bij Available Addons: Samba 3.x.x Klik op +-teken onder de lijst. Klik op de groene pijl. Wacht tot installatie voltooid is en Samba verschijnt bij Installed addons.

Opmerking: Om de add-ons te kunnen downloaden heb je een werkende internetverbinding nodig. 7. Klik in het tabblad IPFire op het nieuwe item Samba. a. Geef bij Workgroup de naam van het domein in waarop clients moeten inloggen. b. Geef bij Netbios name de naam van de IPFire-server in. c. Zet Security op user. Klik daarna op het disketteicoontje onder WINS support. De opties voor PDC worden nu zichtbaar. d. Zet volgende opties op on: Local master: on Domain master: on Preferred master = on

e. Klik op het disketteicoontje om te bewaren. Er verschijnen nu 2 extra/aangepaste rubrieken: PDC Options en Accounting – PDC mode. f. Vul onderstaande settings in bij PDC Options: domain logons = yes # do not allow guest access, use only local system accounts invalid users = bin deamon sys man postfix mail ftp admin users = root logon path = \\%N\profiles\%U logon drive = Q: logon home = \\%N\%U # domain administrators domain admin group = @wheel domain admin users = root [homes] comment = Home directories browseable = no writeable = yes valid users = %S [profiles] comment = User Profiles path=/var/ipfire/samba/profiles browseable = no writeable = yes valid users = %S

g. Klik op het disketteicoontje onder PDC Options: h. Herstart Samba bovenaan de pagina m.b.v. de knop met de pijltjes:

2.2.

Aanmaken Samba-gebruikers

In volgende stappen maken we de Samba-gebruikers aan via de Linux-terminal m.b.v. SSH-client Putty (http://www.putty.org/). 1. Start Putty Host bv. 192.168.1.10  Port: 22  Open  Security Alert  Ja

2. Login as: root + geef root-paswoord in. 3. Aanmaken map voor gebruikersprofielen: cd /var/ipfire/samba mkdir profiles chmod 777 /var/ipfire/samba/profiles 4. Aanmaken Linux-users + aanmaken Home-folder useradd –m gebruikersnaam -m zorgt voor de aanmaak van /home/gebruikersnaam (de home-folder). passwd gebruikersnaam 5. Aanmaken Samba-account: smbpasswd –a gebruikersnaam -a staat voor add user (aan Samba database). Herhaal bovenstaande 2 stappen voor alle gebruikers. 6. Voeg root toe aan Samba-users als Domain-administrator (root-account is nodig om client aan domein toe te voegen): smbpasswd –a root

2.3.

Clients toevoegen aan Samba

In deze sectie voegen we de client-PC’s toe aan de Samba-database. Het OS van de client mag geen home-versie zijn aangezien domeinen daarin niet ondersteund worden. Voor dit stappenplan wordt Windows XP gebruikt. Een uitbreiding voor Windows 7 volgt hopelijk. 1. Surf vanop een client naar de webinterface van de IPFire-server. Bv. naar https://192.168.1.10:444. 2. Vernieuw indien nodig de pagina met de Samba settings. De aangemaakte Samba-accounts worden toegevoegd in de tabel bij “accounting – pdc mode”. 3. Klik onder deze sectie op het icoontje met de 2 computertjes: . 4. Vervang client door de naam van de PC die je wil toevoegen aan het domein. Laat het $-teken staan:

5. Klik op het disketteicoontje op te bewaren. 6. Herstart Samba via bovenaan de pagina. 7. Klik met de rechtermuisknop op Deze Computer, open tabblad Computernaam, klik op de knop Wijzigen en vul de naam van het domein in. 8. Klik op OK. 9. Geef gebruiker root in en het rootpaswoord. 10. Wacht op de melding dat PC is toegevoegd aan domein. 11. Herstart de client en probeer aan te melden op het domein met een Samba-gebruiker. 12. Controleer of home station (Q:) werkt en of profile bij het afmelden naar de server wordt gekopiëerd (kan je controleren via Putty). 13. Pas eventueel mapomleiding toe voor de map Mijn documenten zodat deze rechtstreeks verwijst naar Q:\.

TO DO: -

-

Controleren beveiliging: o Kan gewone gebruiker fysisch op server of via Putty aanmelden? o Kunnen gebruikers in elkaars homefolders? Kunnen gebruikers in elkaars profilemappen? Windows 7-client toevoegen aan domein. Wat met Windows-home versies indien gebruikers en paswoorden lokaal op de HOME-versie aangemaakt worden. Via script mapopleiding toepassen, profiel kopiëren bij afmelden, … Haalbaar?