Zentyal server ve škole Úvod Každá organizace, která má více než jeden počítač se časem dostane do problému, jak efektivně sdílet svoje data, popřípadě další zdroje, např. tiskárny. Budeme potřebovat nějaký server, nebo alespoň NAS. NAS – datové úložiště na síti, je označení pro úložiště připojené k místní síti LAN. Nejčastěji poskytuje data uživatelům formou síťového disku, ale může mít i další funkce, např. webový server, ftp server, … NAS server nemusí vždy vyhovovat každé situaci, ale může sloužit alespoň jako zálohovací stroj. Někdy stačí alespoň chytrý disk, připojený do LAN.
Obrázek 1 Nastavení NAS Western Digital
Pro lepší řízení je vhodné použít serverový operační systém. Máme reálně na výběr mezi systémy Microsoft – Microsoft Windows, nebo vybrat některou linuxovou distribuci. Můžeme si vybrat mezi více linuxovými distribucemi, vždy záleží na naší zkušenosti se systémem. My si vyzkoušíme instalaci a základní nastavení linuxové distribuce Zentyal, komunitní Edici. Serverová distribuce Zentyal je založena na serverové distribuci Ubuntu (www.ubuntu.cz).
1
Instalace systému Instalace systému probíhá z klasického image distribuce, kterou si stáhneme a vypálíme na CD/DVD, nebo si vytvoříme bootovací obraz na flash disk. Pro vytvoření bootovacího USB lze použít např. nástroje z http://www.linuxliveusb.com/, nebo http://unetbootin.sourceforge.net/. Pozn. Pro vyzkoušení distribuce můžeme použít virtualizaci a iso soubor vůbec nemusíme vypalovat.
Obrázek 2 Úvodní obrazovka instalace
Po spuštění instalace si vybereme na obrazovce češtinu. Instalace nemusí být kompletně v češtině, ale v aktuální verzi to není pravda.
Obrázek 3 Nastavení jazyka
Při instalaci ještě musíme nastavit síťovou kartu, v případě, je počítač jich má více. Funguje-li nám v síti DHCP server, můžeme nechat adresu nastavit dynamicky. Lepší je však nastavení statické. Toto nastavení lze později v administraci změnit.
Obrázek 4 Výběr síťové karty
2
Jméno serveru volíme s rozmyslem. Budeme pomocí jména serveru sdílet disky a nastavovat další služby. Jméno nesmí obsahovat česné znaky, ani mezery. Hodně firem volí názvy např. z řecké mytologie, ale trochu kreativity si lze dopřát. Já používám pro jména serverů pohádkové bytosti.
Obrázek 5 Jméno serveru
Jméno pro správce a heslo zvolíme tak, aby nebylo jednoduché je uhádnout, ale nesníme je zapomenout.
Obrázek 6 Jméno správce serveru
Během instalace ještě potvrdíme časovou zónu, která se automaticky nastaví na Europe/Prague, jestliže jsme pro instalaci vybrali češtinu.
Obrázek 7 Nastavení hodin
Před restartováním a dokončením instalace ještě aktualizujeme systém. Aktualizaci systému pak můžeme provádět z webového prostředí.
Obrázek 8 Aktualizace systému
3
Obrázek 9 Startovací obrazovka
První přihlášení Po restartu a nastavení systému se můžeme poprvé přihlásit. Použijeme jméno a heslo, které jsme zadali při instalaci. Pro správu serveru se použije webový prohlížeč. Podporován je Mozilla Firefox. Server můžeme nastavovat i z jiného počítače, stačí do prohlížeče zadat IP adresu serveru. Nastavení si ukážeme později.
Obrázek 10 Přihlášení do administrace
Na konzole serveru změníme heslo uživatele root, který je ekvivalentem uživatele administrátor z Windows.
Obrázek 11 Nastavení hesla pro uživatele root
4
Obrázek 12 Instalace mc
Pro správu souborů se dá využít v grafickém prostředí, hodně správců však raději používá Midnight Commander. Příkazem sudo apt-get install mc, nainstalujeme tohoto správce. Po prvním přihlášení lze pomocí průvodce nastavit požadované služby.
Obrázek 13 Průvodce nastavením
Obrázek 14 Výběr instalace jednotlivých služeb
5
Stačí kliknout na příslušnou funkcionalitu a automaticky se nám nainstaluji všechny potřebné soubory. Stačí potvrdit dialogové okno. Na instalaci se jednotlivé služby nastaví.
Obrázek 15 Instalace DHCP serveru
Přihlášení z jiného počítače K serveru se můžeme připojit z jiného libovolného zařízení v síti. Stačí do Mozilly Firefox zadat IP adresu a port serveru. Komunikace probíhá přes spojení https. Musíme schválit bezpečnostní výjimku, protože náš server nemá zatím v jiných počítačích certifikát. Po přihlášení se dostaneme na základní ovládací panel.
Obrázek 16 Ovládací panel
Nastavení sítě Základní nastavení sítě se nastavuje v nabídce sítí. Síťové karty jsou označeny eth0, eth1, atd. Můžeme si je pro lepší orientaci přejmenovat. Pro server je dobré, aby vnitřní síť měla pevnou IP adresu. Měli bychom problém s DHCP serverem a dalšími 6
službami. Nastavíme bránu, DNS, routování. V nastavení sítě je možné otestovat, zda nám síť komunikuje s okolím. Máme k dispozici ping a trasování. V nastavení sítě se také vytvářejí objekty, které použijeme u DHCP serveru a firewallu.
Obrázek 17 Síťová rozhraní
Síťové objekty Síťové objekty představují síťové prvky, nebo skupinu z nich vytvořených. Ty nám umožní zjednodušit a následně usnadnit správu a konfiguraci sítě. Síť definována pomocí objektů umožňuje dát snadno rozpoznatelný název pro jednotlivé prvky. Jako objekt vytvoříme server, skupinu počítačů v učebně atd. Tyto objekty využijeme při definici pravidel DHCP, firewallu, proxy. V nabídce Síť vybereme Objekty. Kliknutím na „přidat nový“ vytvoříme nový objekt a můžeme do něj vložit jednotlivé prvky. Nové počítače vkládáme přes tlačítko ozubeného kola – členové. Jednotlivé prvky vkládáme pomocí IP adres a masky. Je-li zadána maska /32, zadá se o jednu adresu, tedy konkrétní stroj. /24 – celá síť (256 adres) /8 - 16 777 216 adres.
Obrázek 18 Objekty
7
Obrázek 19 Přidání stroje do objektu
Výběr služeb Zentyal si vyzkoušíme nastavit pro správu uživatelů a sdílení prostředků. Vybereme:
Domain Controler,
tiskárny,
antivirus,
DNS server,
DHCP server,
NTP server.
Další služby – firewall, proxy server, VPN server se instaluji na samostatný počítač, který slouží jako přístupový bod z LAN do internetu.
Obrázek 20 Vybrané komponenty
8
Nastavení DHCP DHCP server přiděluje IP adresy počítačů, v naší síti. Postup: 1. Vybereme rozhraní, na kterém bude DHCP pracovat 2. Na DHCP serveru vybereme bránu. Počítač, přes který „chodíme“ na internet. Můžeme zadat přímo IP adresu počítače. 3. Prohledáváme doménu, kterou zadala v nastavení Doména. 4. Primární nameserver vybereme opět náš server, stejně tak použijeme náš server jako časový server.
Obrázek 21 Časté volby
Rozsah adres a pevné adresy Nastavíme, v jakém rozsahu bude náš DHCP server přiřazovat adresy ostatním strojům. Tyto IP adresy se budou dynamicky přiřazovat. Pro důležité stroje – servery, tiskárny,… nastavíme pevnou IP adresu. Pevné adresy se přidělují objektům. Povolíme také dynamické DNS v naší doméně. V pokročilých volbách můžeme změnit délku pronájmu adresy, popřípadě DHCP připojit k serveru pro tenké klienty.
9
Obrázek 22 IP adresy
Nastavení domény V levém menu klikneme na nastavení domény. Celé nastavení domény a správa uživatelů využívá Sambu4. Zvolíme jméno sítě a vybereme písmeno, pod kterým se bude uživatelům připojovat domovský adresář.
Obrázek 23 Nastavení domény
Přidání počítače do domény Před přidáním počítače do domény je dobré mít nastavený DNS server na lokálním počítači na DNS serveru. Počítač s MS Windows přidáme do domény pře pravé tlačítko na ikonce tento počítač. Vybereme systém a Změnit nastavení. Zadáme jméno domény a uživatelské jméno a heslo administrátora domény.
10
Obrázek 24 Nastavení domény
Obrázek 25 Uživatelské jméno administrátora domény
Obrázek 26 Jméno počítače v doméně
Přidání uživatelů do domény Do domény přidáváme organizační jednotky, skupiny, uživatele a kontakty. Před přidávání uživatelských účtů musíme promyslet strukturu LDAP, abych se v ní dobře orientoval. Je dobré nastavit si organizační jednotky pro učitele, žáky, jednotlivé ročníky, vedení školy atd. Skupiny bychom také měli vytvořit alespoň dvě – učitelé a žáci. Jednotlivé politiky aplikujeme na jednotky. Uživatele přidáváme do jednotlivých organizačních jednotek.
11
Obrázek 27 Přidání uživatele
Obrázek 28 Active Directory v Zentyalu
Obrázek 29 Detail uživatele
12
Doménové politiky Doménové politiky nastavíme na klientské stanici s Windows. Stanice musí být přidána v doméně. Pro Windows 7 stáhneme balíček z adresy: http://www.microsoft.com/cs-cz/download/details.aspx?id=7887. Pro Windows 8: http://www.microsoft.com/cs-cz/download/details.aspx?id=39296 Po nainstalování v nabídce Programy a Funkce zapneme na stanici Nástroje pro vzdálenou správu serveru.
Obrázek 30 Zapnutí správy serveru
Na serveru vytvoříme politiky, které budeme na stanici editovat. Také můžeme přidat skripty, které se spustí při přihlášení a odhlášení uživatele.
Obrázek 31 Politiky v Zentyalu
13
Obrázek 32 Přiřazení politiky k jednotkám
Obrázek 33 Editor GPO politiky
Obrázek 34 Mapování disků
Editace politiky 1. Na pracovní stanici pustíme konzolu mmc. 2. Přidáme modul Editor správy zásad skupiny. 3. Vybereme politiky pro editaci. 4. Nastavíme potřebné hodnoty. 14
Obrázek 35 Editor politik
Obrázek 36 Editace politik
Sdílené disky Server často poskytuje sdílený prostor pro ukládání dat. Na serveru nadefinujeme adresáře, které budeme sdílet s ostatními uživateli. Každý uživatel může mít také svůj domovský adresář. Adresáře můžeme přidávat v rámci systému Zentyalu, nebo přímo zadáním cesty. Práva přidělujeme na skupiny.
15
Obrázek 37 Vytvoření sdílení
V nabídce Access Control přidáme oprávnění na adresář.
Obrázek 38 Nastavení oprávnění
Firewall Zentyal Server lze samozřejmě použít jako firewall. Potřebujeme v systému dvě síťové karty. Jednu pojmenujeme WAN a druhou LAN. Bezpečnostní model Zentyal je založen na poskytování maximální možné ochrany při výchozím nastavení a snaží zároveň se minimalizovat úsilí při přidávání nové služby. Filtrovat můžeme z vnitřní sítě na server, z vnější sítě na server, mezi sítěmi a z vnitřní sítě do vnější sítě. 16
Obrázek 39 Výběr firewallu
Pravidla firewallu se vyhodnocují shora dolů. Najde-li firewall pravidlo, kterým se může řídit, ostatní již nevyhodnocuje. Pokud chceme omezit přístup k internetu, nejprve omezíme požadované stránky nebo klienty a pak umožníme přístup k ostatním službám. Každé pravidlo má svůj zdroj, pro vnitřní sítě zdroj a cíl.
U každé služby se
rozhodneme, zda ji povolíme, zakážeme, nebo budeme logovat. Nenajdeme-li službu mezi vybranými, vytvoříme si vlastní službu. Vybereme protokol, zdrojový a cílový port, popřípadě rozsah portů.
Obrázek 40 Nastavení vlastní služby
Při vytváření pravidel bychom měli vše zakázat a povolovat pouze potřebné služby.
17
Obrázek 41 Z LAN do serveru
HTTP proxy Proxy server nám pomůže s vytížením linky a můžeme filtrovat komunikaci. Především můžeme omezit přístupu žáků na některé stránky. Http proxy se nastaví v každém prohlížeči, nebo můžeme vytvořit tzv. transparentní proxy. Zadává se jméno (IP) počítače a port. Výchozím portem pro SQUID je 3128. V systému Windows se používají také porty 8080 a 8000. Lze si vybrat jiný libovolný port. Velikost vyrovnávací paměti řídí množství místa na disku, který se chystáme použít k dočasnému ukládání webového obsahu. Lze také některé domény vyloučit, např. vlastní webové servery. Nelze kombinovat transparentní proxy s ověřování Kerberos.
Obrázek 42 Nastavení proxy
18
Přístupová pravidla Výchozí nastavení umožňuje všem přístup kamkoliv. Nejdříve je vhodné definovat Profily filtrů. Nastavíme si práh vyhledávání klíčových slov, máme-li nainstalovaný antivirový program, zapneme filtrování virů. Vytvoříme si např. žákovský profil, kde zakážeme sociální sítě, hry apod. Můžeme přidat přípony souborů, které povolíme stahovat. Tento filtr pak přiřadíme počítačům, kde se žáci přihlašují. Pro počítače si vytvoříme objekt učebny, kde zadáme IP adresy počítačů v učebně. Použít lze také model, kde zakážeme všechny webové adresy a povolíme pouze vyspecifikované v seznamu. Vytvořený profil přiřadíme mezi pravidla proxy, vybereme čas, kdy pravidla platí, a vybereme síťový objekt, pro které pravidlo platí. Pravidla proxy se vyhodnocují stejným způsobem, jako pravidla firewallu, tzn. od shora dolů. Pro zjednodušení práce můžeme využít Tříděné seznamy. Pozn. Nezapomeňme povolit lokální doménu, ať můžeme spravovat náš server z libovolného počítače.
Obrázek 43 Proxy - definování pravidel
Obrázek 44 Vytváření proxy profilů
19
Obrázek 45 Filtrování adres
Obrázek 46 Zakázaná stránka
Kategorie domén V internetu bychom dnes nezvládli vyfiltrovat všechny závadné adresy. Přes tříděné seznamy můžeme naimportovat adresy do našeho proxy serveru.
Pravidla pro přiškrcení šířky pásma Pro chronické stahovače omezíme možnost vytěžovat naši linku. Můžeme omezit jak rychlost, tak objem dat. Při dnešních rychlostech budeme omezovat ne velikost dat, ale pouze rychlost. Stahovače určitě časem omezí stahovat data ve škole.
Obrázek 47 Proxy - omezení pásma
20
Obsah Úvod .......................................................................................................................................... 1 Instalace systému..................................................................................................................... 2 První přihlášení ....................................................................................................................... 4 Přihlášení z jiného počítače .................................................................................................... 6 Nastavení sítě ........................................................................................................................... 6 Síťové objekty........................................................................................................................... 7 Výběr služeb ............................................................................................................................. 8 Nastavení DHCP ..................................................................................................................... 9 Rozsah adres a pevné adresy ............................................................................................. 9 Nastavení domény ................................................................................................................ 10 Přidání počítače do domény ................................................................................................ 10 Přidání uživatelů do domény .............................................................................................. 11 Doménové politiky ................................................................................................................ 13 Editace politiky .................................................................................................................. 14 Sdílené disky .......................................................................................................................... 15 Firewall ................................................................................................................................... 16 HTTP proxy ............................................................................................................................ 18 Přístupová pravidla .......................................................................................................... 19 Kategorie domén ............................................................................................................... 20 Pravidla pro přiškrcení šířky pásma .............................................................................. 20
21