Contingut 1 Benvinguts 1.1 Apunts 1.1.1 Instal·lació del JAVA 1.1.2 Instal·lació Gosa Ubuntu 11.10 1.1.3 Instal·lació WebFaltes Explotació 1.1.3.1 Pas a pas 1.1.3.1.1 Instal·lació de l'ubuntu server 11.10. 1.1.3.1.2 Instal·lació del LAMP 1.1.3.1.3 Obtenir l'aplicació webfaltes des del subversion de l'institut 1.1.3.1.4 Configuració del servidor web Apache 1.1.3.1.5 Instal·lació de LDAP 1.1.3.1.5.1 Instal·lació de la base de dades de demostració(LDAP) 1.1.3.1.6 Configuració de Mysql 1.1.3.1.7 Configuració de l'aplicació webfaltes 1.1.3.1.7.1 Configuració de l'accés a Mysql. webfaltes_con.php 1.1.3.1.7.2 Configuració de l'accés a Ldap. webfaltes_ldap_con.php 1.1.3.1.7.3 Possible error 1.1.4 VPN 1.2 Vegeu també

Benvinguts

Apunts

• Muntar Servidor Guifi

Instal·lació del JAVA

• Ubuntu 11.10 oneiric

sudo add-apt-repository ppa:ferramroberto/java
sudo apt-get update
sudo apt-get install sun-java6-jdk sun-java6-plugin

Instal·lació Gosa Ubuntu 11.10

• Comanda instal·lació gosa i els seus plugins:

$ sudo apt-get update && sudo apt-get install gosa && sudo apt-get install gosa-plugin-* gosa-help-en gosa-dev gosa-schema

• Instal3lació dels esquemes

$ sudo -s
# cd /etc/ldap/slapd.d/cn=config/cn=schema
# rm -rf *
# wget http://acacha.org/~sergi/gosa/gosa-2.7-ldifs.tar.gz 
# tar xvzf gosa-2.7-ldifs.tar.gz

• Una vegada descomprimit donarem els permisos pertinents:

$ chown openldap:openldap -R *

• I reiniciarem el servei slapd

$ sudo service slapd restart

• Si es fa qualsevol canvi a l'arxiu gosa hem d'utilitzar la comanda:

$ sudo update-gosa

Instal·lació WebFaltes Explotació

Pas a pas

Instal·lació de l'ubuntu server 11.10.

Instal·lació del LAMP

• Instal·lar dependències:

sudo apt-get install imagemagick php5-ldap libphp-adodb smarty smarty-gettext php-gettext libphp-phpmailer php-fpdf

Obtenir l'aplicació webfaltes des del subversion de l'institut

$ sudo apt-get install subversion
$ sudo svn co http://www.iesebre.com/subversion/projectes/webfaltes/trunk webfaltes
$ cd webfaltes
$ sudo make install

NOTA: S'ha de tenir en compte d'instal·lar la comanda make en l'ubuntu server 11.10

Configuració del servidor web Apache

• Crearem l'arxiu següent:

$ sudo joe /etc/apache2/sites-available/webfaltes

• i afegirem el següent:

Alias /webfaltes /usr/share/webfaltes

<IfModule mod_php5.c>
<Location /webfaltes>
   php_admin_flag register_globals off
</Location>
</IfModule>

• Per activar l'Alias:

$ sudo a2ensite webfaltes

• I reinciarem el servei Apache2

$ sudo service apache2 restart

Instal·lació de LDAP

$ sudo apt-get install slapd ldap-utils

• Una vegada instal·lat el reconfigurarem amb la comanda:

$ sudo dpkg-reconfigure slapd

• Ens sortirà un assistent a on afegirem les dades corresponents.

• Afegir els esquemes del gosa per poder importar les dades de la Demo de informàtica.

http://acacha.org/~sergi/gosa/gosa-2.7-ldifs.tar.gz

$ sudo -s
# cd /etc/ldap/slapd.d/cn=config/cn=schema
# rm -rf *
# wget http://acacha.org/~sergi/gosa/gosa-2.7-ldifs.tar.gz 
# tar xvzf gosa-2.7-ldifs.tar.gz

• Tots els esquemes hauràn de ser de l'usuari openldap

# chown openldap:openldap -R *

• Ara reiniciarem el servei LDAP.

# exit
$ sudo /etc/init.d/slapd restart

• A continuació crearem l'arxiu acl.ldif amb el següent contingut.

dn: olcDatabase={1}hdb,cn=config
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=iesebre,dc=com" write by '''dn="cn=webfaltes,dc=iesebre,dc=com"  read'''  
olcAccess: {1}to dn.subtree="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=iesebre,dc=com" write by * read

• Executarem la següent comanda:

ldapmodify -x -D cn=admin,cn=config -W -f acl.ldif

• L'usuari que hem indicat a les ACL que té permisos per llegir tots els camps és:

cn=webfaltes,dc=iesebre,dc=com

• Per tal de crear aquest usuari podeu utilitzar el següent fitxer usuari.ldif.

$ joe usuari.ldif
version: 1

dn: cn=webfaltes,dc=iesebre,dc=com
objectClass: inetOrgPerson
cn: webfaltes
sn: webfaltes
uid: webfaltes
userPassword: {MD5}sac43R48I+13VCvWpQribA==

• Per generar la contrasenya(negreta) segueix els passos:

$ slappasswd -h {MD5}
New password: 
Re-enter new password: 
{MD5}sac43R48I+13VCvWpQribA==

• Modifica l'script anterior amb la paraula de pas generada i després executa el ldapadd.

# ldapadd -x -D "cn=admin,dc=iesebre,dc=com" -W -f usuari.ldif 
Enter LDAP Password: 
adding new entry "cn=webfaltes,dc=iesebre,dc=com"

Instal·lació de la base de dades de demostració(LDAP)

• Descarregar la base de dades des d'un fitxer ldif:

http://www.iesebre.com/subversion/projectes/webfaltes/trunk/usr/share/doc/webfaltes/ldap/ldap_demo_inf_1.ldif

• Primer aturarem el servidor LDAP amb :

$ sudo /etc/init.d/slapd stop

• Llavors ja podrem passar a restaurar o importar la base de dades amb per exemple :

$ sudo slapadd -c -l ldap_demo_inf_1.ldif

• I per últim tornarem a arrancar el servidor LDAP :

$ sudo /etc/init.d/slapd start

Configuració de Mysql

• Primer accedirem dins al mysql amb (la contrasenya ens l'ha demanat a la instal·lació):

$ mysql -u root -p

NOTA: La -p s'haurà de posar per a que ens demani la contrasenya de MySQL al entrar, si no la posem ens podria donar un error.

• Una vegada hem entrat dins del MySQL haurem de crear la base de dades buida copiant aquesta comanda SQL:

mysql> CREATE DATABASE webfaltes;
mysql> exit;

• A continuació li passarem l'esquema de la base de dades.

$ mysql -u root -p webfaltes < /usr/share/doc/webfaltes/examples/database/webfaltes-schema.sql

• I li afegim les dades amb la següent comanda:

$ mysql -u root -p webfaltes < /usr/share/doc/webfaltes/examples/database/webfaltes.sql

Configuració de l'aplicació webfaltes

Configuració de l'accés a Mysql. webfaltes_con.php

• Cal modificar el fitxer:

$ sudo joe /etc/webfaltes/webfaltes_mysql_con.php

• Canviarem les dades deixant-les d'aquesta forma:

$MM_ConTut_HOSTNAME = "localhost"; // Nom de la màquina o IP servidor
$MM_ConTut_DBTYPE   = "mysql";     // Tipus de base de dades
$MM_ConTut_DATABASE = "webfaltes";   // Nom de la base de dades
$MM_ConTut_USERNAME = "root";      // Usuari per accedir a la BD
$MM_ConTut_PASSWORD = "webfaltes";    // Contrasenya per accés a la BD      
$QUB_Caching = false;


$ConTut = &ADONewConnection($MM_ConTut_DBTYPE);

// Petits ajustos per connectar-nos a Acces o ODBC /IBASE / i altres.
if($MM_ConTut_DBTYPE == "access" || $MM_ConTut_DBTYPE == "odbc"){
        $ConTut->Connect($MM_ConTut_DATABASE, $MM_ConTut_USERNAME,
        $MM_ConTut_PASSWORD);        
} else if($MM_ConTut_DBTYPE == "ibase") {                
        $ConTut->Connect($MM_ConTut_HOSTNAME.":".$MM_ConTut_DATABASE,                
        $MM_ConTut_USERNAME,$MM_ConTut_PASSWORD);                        
} else {                                
        $ConTut->Connect($MM_ConTut_HOSTNAME,$MM_ConTut_USERNAME,                                
        $MM_ConTut_PASSWORD,$MM_ConTut_DATABASE);                                      
} 

<?php

Configuració de l'accés a Ldap. webfaltes_ldap_con.php

• Cal modificar el fitxer:

$ sudo joe /etc/webfaltes/webfaltes_ldap_con.php

• Canviarem les dades deixant-les d'aquest forma:

<?php
define("_LDAP_SERVER", "localhost");
define("_LDAP_PORT", NULL);
define("_LDAP_USER", "cn=webfaltes,ou=people,ou=acls,dc=iesebre,dc=com");
define("_LDAP_PASSWORD", "webfaltes");
define("_LDAP_GROUP", "physicaldeliveryofficename");
define("_LDAP_USER_ID", "employeenumber");
define("_LDAP_STUDENT_BASE_DN", "ou=Alumnes,ou=All,dc=iesebre,dc=com");
define("_LDAP_TEACHER_BASE_DN", "ou=Profes,ou=All,dc=iesebre,dc=com");
?>

Possible error

• A continuació si anem a la url: http://localhost/webfaltes ens sortirà el següent error:

Warning: require_once(/usr/share/gosa/include/utils/class_msgPool.inc): failed to open stream: No such file or directory in /usr/share/webfaltes/setup/functions.inc on line 159 Fatal error: require_once(): Failed opening required '/usr/share/gosa/include/utils/class_msgPool.inc' (include_path='.:/usr/share/webfaltes/include:/usr/share/webfaltes/include/utils/excel:/usr/share/php') in /usr/share/webfaltes/setup/functions.inc on line 159 

• Per solucionar el problema crearem el següent fitxer buit:

$ sudo touch /etc/webfaltes/webfaltes.conf

VPN

• Fer esquema de VPN per guifi.
• OENVPN necesitarà un client VPN
• El client tindrà un usuari i password, per poder xifrar la connexió entre el client i el servidor.
• S'han de crecertificats:

• PKI
• Public key infraesctructure
• Com a mínim hi han 3 certificats:

• CA: Certificate Authority.
• CS: Certificat servidor.
• Certificat client.

• Criptografia híbrida.

• OpenVPN

• Els passos a seguir són:

• Obtenir els certificats SSL necessaris per a la infraestructura de clau pública (PKI)
• Configurar un pool d'adreces IP per als clients OpenVPN.
• Configuració del firewall i del NAT (opcional)
• Configuració del servidor OpenVPN
• Configuració dels usuaris

• Per crear VPN:

Instal3lar VPN:

sudo apt-get install openvpn

Assegurar-nos d'instal·lar també d'instal·lar el openssl

sudo apt-get install openvpn

• Desprès copiarem el directori següent:

$ sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa

• Anirem al següent arxiu:

sudo joe vars

# easy-rsa parameter settings

# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="/etc/openvpn/easy-rsa"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"


# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="/etc/openvpn/easy-rsa"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid.  This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=36500

# In how many days should certificates expire?
export KEY_EXPIRE=36500

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="ES"
export KEY_PROVINCE="Tarragona"
export KEY_CITY="Tortosa"
export KEY_ORG="Institut de l'Ebre"
export KEY_EMAIL="fmendoza@iesebre.com"

Hem de crear la carpeta on guardareu les claus:

$ sudo mkdir /etc/openvpn/keys

Ara canvieu temporalment a superusuari:

$ sudo su -
# cd /etc/openvpn/easy-rsa

# . ./vars 
# ./clean-all

Ara anem a crear el CA ( Certificate Authority )

./build-ca

Els certificats estaràn creats al directori /etc/openvpn/keys que és el que hem indicat anteriorment.

Una vegada creat el certificat, per instalr-lo al mikrotik haurem de canviar l'extensió de la clau de *.key a *.pem.

openssl rsa -in /etc/openvpn/keys/tortosa.key -out /etcc/openvpn/keys/tortosa.pem

Per importar el certificat a la routerboard utilitzarem la següent comanda:

$ scp ca.crt ovpn-server.crt ovpn-server.key admin@{IP_of_Router}:.

Vegeu també