I OGÓLNOPOLSKI KONKURS
„POTYCZKI MŁODYCH ADMINÓW”
CZERWIEC 2014
Uwaga!!!
ZANIM PRZYSTĄPISZ DO ROZWIĄZANIA ZADAŃ ZAPOZNAJ SIĘ Z NOTATKĄ INFROMACYJNĄ PONIŻEJ:
Notatka:
Zadania można rozwiązać w różny sposób, ale najwyżej punktowane są zadania wykonanie ściśle z instrukcją.
Co to oznacza, w momencie kiedy nie poradzisz sobie z np. założeniem kont w usłudze katalogowej LDAP, załóż konta lokalne i wykonuj dalsze instrukcje zadania lub jak nie utworzysz partycji LVM, zbuduj partycje podstawowe etc…
Powodzenia!!!
Opis sytuacji w której znajdujecie się jako zespół:
Wyposażenie stanowiska zespołu:
– komputer 1. pełniący rolę serwera głównego z przeinstalowanym systemem SLES sp3, jest
domyślnym systemem na którym pracujecie jako administratorzy
– komputer 2. pełniący rolę klienta w sieci Microsoft Windows – Windows 7
– komputer 3. pełniący rolę serwera pomocniczego z przeinstalowanym systemem na maszynie
wirtualnej SLES sp3 hostowanym na Windows 7
– urządzenie typu router w topologii sieci:
—internet—-<–tcp,udp:all–>—router————-SLESsp3
\
Windows 7 (VM:bridge:SLESsp3)
Podpowiedź:
Jako zespół podzielcie się na role wykonywane podczas pracy, to może skrócić czas wykonywania zadań.
Zadanie konkursowe:
Pracujecie jako administratorzy sieci firmy hostingowej. Ponieważ jesteście małą firmą która zaczyna swoją pracę na rynku, musicie zaplanować strukturę przestrzeni dyskowej. Oczekuje się aby była możliwość skalowalności przestrzeni dyskowej. Na początek wasz pracodawca zaproponował użycie całej wolnej przestrzeni dostępnych dysków jako przestrzeni dla domen którymi będziecie administrować, nie wolno wam zapomnieć o zapewnieniu bezpieczeństwa przed utratą danych np. stosując mechanizm LVM na macierzy RAID1 podłączonej do systemu jako /lvm/raid1/www/, pracodawca również chciałby aby klienci firmy mieli ograniczoną przestrzeń dyskową.
Przewidziany jest szybki rozwój firmy a tym samym ilość kont, dostaliście zadanie konfiguracji serwera jako usługi katalogowej realizowanej poprzez protokół LDAP, która będzie główną funkcją realizacji logowania do usług. Oczekuje się od administratora serwera realizacji w urzędzie certyfikacji CA własnych certyfikatów, certyfikat wspólny serwera, indywidualny certyfikat dla serwera, indywidualny dla każdego klienta korzystającego z usług.
Na start, w firmie z serwera będą korzystać następujące osoby w ramach przygotowania go w beta testów:
– dyrektor
– klientbiznesowy
– klient1
– klient2
– webdeveloper
W celu uproszczenia procedur logowania domyślnym hasłęm jest słowo: novell
– nie może zostać zmienione na żadnym z kont :
Podpowiedź:
Jeśli jakiś katalog nie istnieje a jest podany w konfiguracji, należy go utworzyć.
Zaplanuj rodzaj kont i ich realizację odpowiednio w systemie SLESsp3:
Prekonfiguracja:
– zmodyfikuj szkielet katalogu profilu domyślnego użytkownika w systemie tak żeby wszyscy nowo tworzeni użytkownicy mieli w nim folder o nazwie: public_html, private_html, private_graph
Konta:
– dyrektor – uprawnienia administratora systemu, katalog domowy w /lvm/raid1/users/dyrektor
– klientbiznesowy – uprawnienia użytkownika z możliwością dostępu do zasobów FTP, WWW znajdującym się na przestrzeni serwera /lvm/raid1/www/klientbiznesowy i przestrzenią dyskową rzędu do 10GiB, grupa: kliencibiznesowi.
– klient1, klient2 – uprawnienia użytkownika z możliwością dostępu do zasobów FTP, WWW znajdującym się na przestrzeni serwera odpowiednio /lvm/raid1/www/klient1, /lvm/raid1/www/klient2 i przestrzenią dyskową 1GiB dla każdego z klientów, grupa kliencistandardowi.
– webdeveloper – użytkownika z możliwością zarządzania modułem i funkcjami usług FTP, WWW, oraz zarządzania użytkownikami.
Info: *GiB = 1000MB
W ramach beta testu serwera:
Prekonfiguracja:
Utwórz dla całej firmy hostingowej prostą stornę www (wystarczy sam plik index.html z dowolną treścią) , pod nazwą domeny digitalairlines.com, w celu poprawnej weryfikacji pracy serwera www i domeny, nadaj nazwę serwera „webhost1”, sprawdz czy po wydaniu komendy ping „webhost1.digitalairlines.com” odpowiada żądany adres ip serwera. W konfiguracji sieci przypisz nazwę komputera do lokalnego interfejsu pętli. Sprawdź czy w plikach odpowiedzialnych za poprawne przeszukiwanie nazw domeny są właściwe wpisy, zabiegi te mają na celu wykluczenie błędnego wyszukiwania domen. Pamiętaj też o poprawnym skonfigurowaniu wyszukiwania hostów innych niż żadane w domenie.
Test:.
Dla klientów klientbiznesowy, klient1 i klient2 utwórz odpowiednio subdomeny wykorzystując dowolny serwer www, który współpracuje z usługą katalogową i ma możliwość tworzenia vhostów. Odpowiednio dla klienta1 vhost (subdomena) firmaklient1.digitalairlines.com, dla klienta2 firmaklient2.digitalairlines.com, dla klientbiznesowy firma3biznes.digitalairlines.com. Oczekiwane jest aby po wpisaniu w przeglądarkę z dowolnego komputera w sieci w której wykonujesz administrację tj. konfigurację usług po wpisaniu w przeglądarkę zadanych domen wyświetlała się strona odpowiednio przygotowana dla danej firmy, wykorzystaj w tym celu pliku index.html z wpisem nazwy domeny vhosta w postaci np. <h1> firmaklient1.digitalairlines.com </h1>. Każdy z tych klientów ma mieć możliwość połączenia się do danej subdomeny do konta poprzez usługę ftp, która po zalogowani się użytkownika zamyka go w jego katalogu domowym, dając mu możliwość pełnej kontroli nad plikami, dostęp do tych folderów również musi być zagwarantowany poprzez usługę samby dla sieci MS Windows z poziomu Windows 7 i ścieżek UNC, po wpisaniu nazwy \\webhost1 komputer ma zażądać loginu i hasła dostępu do zasobu, podając login i hasło użytkownika uzyskujemy dostęp do katalogu domowego użytkownika z pełnymi prawami modyfikacji.
Zlecenie dyrektora:
Podczas twojej pracy przyszedł dyrektor, i zażądał abyś utworzył zasób www o nazwie vhosta
data.firma3biznes.digitalairlines.com dla klienta biznesowego, do której ma być dostęp poprzez login i hasło to samo co w usłudze katalogowej lub innej metody uwierzytelniania, tj. w momencie wpisania nazwy w dowolnej przeglądarki internetowej w sieci w której pracujesz przeglądarka powinna poprosić o login i hasło, umieść przykładowe pliki do pobrania i nadaj możliwość pobrania plików.
Uprzejmy kolega:
Kiedy uporałeś się już z powyższymi zadaniami twój kolega webdeveloper zażądał od ciebie podniesienia poziomu bezpieczeństwa całego systemu, stwierdzając że nie możliwym jest określenie w jakim stanie jest zapora typu firewall, tak więc zarzucił wam , że jeśli w momencie 30 minut nie poprawisz poziomu bezpieczeństwa usług, raport z jakości obsługi twojej pracy trafi do dyrektora. Masz za zadanie podnieść poziom bezpieczeństwa pracy systemów www, ftp, samby, zamieniając domyślne żądania serwera www na protokole HTTP na HTTPS, certyfikat wygeneruj w CA lub poprzez funkcje openssl, ftp możesz zamienić na sftp lub inną korzystającą z certyfikacji, LDAP na LDAPS, wyłącznie odpowiedniej funkcji w serwerze LDAP, oraz zezwalając tylko i wyłącznie na dostęp do tych usługi i z sieci wewnętrznej i zewnętrznej, (włącz firewall dla wszystkich stref) i zezwól na zadane usługi, pamiętaj że dostęp po ssh również będzie ci potrzebny.
Podpowiedź:
Pamiętaj, że każda usługa zazwyczaj posiada nasłuchiwanie na portach bezpiecznych z certyfikatem lub bez np. LDAP 389, LDAPS 686, gdzie blokując LDAP na firewall, również zwiększamy bezpieczeństwo.
W trakcie pracy serwera w ramach testów:
Niestety jako administratorzy sieci, musicie pracować w środowiskach hybrydowych, mając na myśli pracę w środowiskach nie tylko wirtualnych, ale z rodziny różnych producentów oprogramowania. Taka sytuacja zdarzyła się ponieważ dyrektor zatrudnił nowego pracownika, Panią Beatkę, która jest grafikiem komputerowym. Zażądała, aby jej komputer był z preinstalowanym systemem Windows 7, i ona również chce mieć dostęp do zasobów systemowych które przechowywane są na serwerze, a ponieważ jest grafikiem, musi mieć również możliwość realizacji zadań powierzonych od klientów. Oczekiwania jakie stawiane są w takiej sytuacji przed administratorami to podłączenie komputera z Windows 7 do domeny PDC realizowanej w usłudze SAMBY w SLES. Utworzenie konta beatka w SLES i dodaniu go do użytkowników PDC lub wykonaniu integracji istniejących kont. Katalog domowy użytkownika beatka przechowywany jest w /lvm/raid1/users/beatka i posiada linki symboliczne do katalogów klientów $homedir/private_graph.
Zadano wam pytanie po wykonaniu wszystkich testów i raportowaniu, czy aby na pewno dane nie będą utracone nawet w momencie uszkodzenia dwóch dysków RAID1 w tym samym czasie, użyjcie systemu SLES na wirtualnej maszynie jako serwera backup’ów w katalogu serwera kopii /raid1-backup/ robiąc synchronizację raz dziennie.
Okazało się również, że dyrektor żąda od was raz dziennie raportu z logowań klientów do systemu SLESsp3 serwera głównego w katalogu /raporty/%data-dnia-wykonania-backup’u%
Po czasie testów i sprawdzania jakości obsługi serwera, klient biznesowy poprosił o wykupienie usługi przekierowania strony www, na inną stronę w sieci internet. Macie za zadanie wykonać przekierowanie domeny klienta biznesowego pod nazwą vhosta onet.firma3biznes.digitalairlines.com na serwis informacyjny http://onet.pl.
Jeśli udało się Wam skończyć przed czasem wykonanie wszystkich zadań, możecie być z siebie dumni!!!! Proszę zgłoście to prowadzącemu konkurs poprzez podniesienie ręki.
KONIEC ZADAŃ KONKURSU