RHCE253實(shí)驗(yàn)（服務(wù)管理）試驗(yàn)2域名系統(tǒng)估計(jì)時(shí)間： 2個(gè)小時(shí)目標(biāo)： 安裝和配置一個(gè)DNS 服務(wù)器試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝介紹本次實(shí)驗(yàn)指導(dǎo)您通過(guò)使用Berkeley Int

RHCE253實(shí)驗(yàn)（服務(wù)管理）

試驗(yàn)2

域名系統(tǒng)

估計(jì)時(shí)間： 2個(gè)小時(shí)

目標(biāo)： 安裝和配置一個(gè)DNS 服務(wù)器

試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝

介紹

本次實(shí)驗(yàn)指導(dǎo)您通過(guò)使用Berkeley Internet Name守護(hù)進(jìn)程來(lái)配置域名服務(wù)。使用模板文件作為指導(dǎo)，您將 實(shí)現(xiàn)一個(gè)僅有緩存的域名服務(wù)器

配置named 作為example.com 的從域名服務(wù)器

配置named 作為主域名服務(wù)器用于轉(zhuǎn)發(fā)和IP 反查詢

在整個(gè)試驗(yàn)中，您使用的機(jī)器名稱和域名將基于您使用的機(jī)器的IP 地址。如果下面的試驗(yàn)出現(xiàn)了X 字樣的名稱，您應(yīng)該把X 字樣的名稱替換成您的工作站的號(hào)碼（您的IP 地址的最后一個(gè)部分）。例如，如果您的工作站的IP 的地址是192.168.0.3，您應(yīng)該將stationX.domainX.example.com 轉(zhuǎn)換成station3.domain3.example.com 。

將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux 內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。

本次試驗(yàn)中以root 身份來(lái)使用下面命令達(dá)成上面的要求：

service iptables stop

chkconfig iptables off

初始化安裝

A. 獲得必要的文件

需要bind,bind-utils 和caching-nameserver 軟件包。使用｀rpm –q ｀來(lái)決定這些軟件包是否被安裝。如果沒(méi)有被安裝，通過(guò)輸入如下命令來(lái)安裝（以root 身份）：

mkdir /mnt/server1; mount server1:/var/ftp/pub /mnt/server1

rpm –Uvh /mnt/server1/RedHat/RPMS/bind-9*

rpm –Uvh /mnt/server1/RedHat/RPMS/bind-utils*

rpm –Uvh /mnt/server1/RedHat/RPMS/caching-nameserver*

RPM 軟件包bind 包括DNS 守護(hù)進(jìn)程和支持腳本，但是沒(méi)有配置和區(qū)域文件。caching-nameserver 提供了一個(gè)通用的配置和區(qū)域文件。

B. 配置本地的解析器

配置您的主機(jī)使得它能夠被用來(lái)作為域名服務(wù)，而不是192.168.0.254。

注意：直到您的域名服務(wù)器被正確安裝和配置，您的機(jī)器的DNS 服務(wù)不會(huì)奏效。您也應(yīng)該注意到當(dāng)您的系統(tǒng)重新啟動(dòng)的時(shí)候或者重新設(shè)定您的網(wǎng)絡(luò)的時(shí)候您的/etc/resolve.conf將會(huì)被改寫(xiě)（除非您對(duì)您的網(wǎng)絡(luò)界面設(shè)定了在本講座中提及的PEERDNS ）

按照如下編輯您的解析器配置文件

/etc/resolv.conf

search domainX.example.comnameserver 192.168.0.X

(記住將X 替換成您的工作站的號(hào)碼)

第一行定義了如果出現(xiàn)簡(jiǎn)單的不符合完整域名的主機(jī)名稱時(shí)默認(rèn)添加的缺省域。第二行指定了將主機(jī)192.168.0.X (您的機(jī)器) 來(lái)作為DNS 查詢的解析器。

為了簡(jiǎn)化情況，將除了localhost 主機(jī)名稱的定義從您的主機(jī)名稱配置文件中刪除。

/etc/hosts

127.0.0.1 localhost localhost.localdomain

該步驟并不是必需的，但是可以簡(jiǎn)化DNS 的調(diào)式。有時(shí)候安裝程序會(huì)將符合完整域名的主機(jī)名放在localhost 的這一行，這樣一來(lái)會(huì)使得您無(wú)法準(zhǔn)確的確定您的域名服務(wù)器配置是否正確。

步驟1：配置一個(gè)僅有緩存的域名服務(wù)器

第一個(gè)配置您將建立一個(gè)僅有緩存的域名服務(wù)器。這種類型的域名服務(wù)器對(duì)于任何區(qū)域都不授權(quán)。僅有緩存的域名服務(wù)器被設(shè)定為主域名服務(wù)器。當(dāng)主機(jī)名稱或者IP 地址需要被解析的時(shí)候，僅有緩存的域名服務(wù)器將查詢請(qǐng)求轉(zhuǎn)發(fā)到另外一臺(tái)域名服務(wù)器或者到根域名服務(wù)器來(lái)決定授權(quán)的用來(lái)解析的域名服務(wù)器。一旦解析完成，僅有緩存的域名服務(wù)器在緩存中存儲(chǔ)解析的信息，該解析信息有一段的生存周期。以后的查詢將會(huì)變得很快。

您已經(jīng)安裝完對(duì)于此項(xiàng)配置所有必須的文件。按照如下步驟來(lái)配置域名服務(wù)器：

1． 在由caching-nameserver 提供的/etc/named.conf中的“option ”區(qū)域添加下面的內(nèi)容：

forwarders {192.168.0.254; };

forward only;

這將導(dǎo)致您工作站上的僅有緩存的域名服務(wù)器轉(zhuǎn)發(fā)其不能解析的DNS 查詢到在192.168.0.254的域名服務(wù)器，并且如果超時(shí)，不與根域名服務(wù)器直接聯(lián)系。

2． 啟動(dòng)named: service named start

3． 測(cè)試您的配置使用host 或者dig 來(lái)查詢一些example.com 名稱和一些真實(shí)的Internet 域名（如果您有Internet 訪問(wèn)接口的話）

步驟2：配置一個(gè)從域名服務(wù)器

一個(gè)從域名服務(wù)器將為一個(gè)區(qū)域提供授權(quán)的回答, 但不是區(qū)域的授權(quán)開(kāi)始。您現(xiàn)在將重新配置您的域名服務(wù)器作為example.com 區(qū)域和0.168.192.in-addr.arpa 區(qū)域的從域名服務(wù)器。

1． 在您的/etc/named.conf文件中添加如下行

zone “example.com” {

type slave;

masters { 192.168.0.254; };

file “slave-example.com.zone”;

};

zone “0.168.192.in-addr.arpa” {

type slave;

masters { 192.168.0.254; };

file “slave-192.168.0.zone”;

};

2． 重新啟動(dòng)named: servcie named restart

3． 檢查slave-example.com.zone 和slave-192.168.0.zone 文件。這些文件應(yīng)該包含了從位于192.168.0.254的主域名服務(wù)器傳過(guò)來(lái)的區(qū)域數(shù)據(jù)庫(kù)的副本。

確保所有的正確工作。在您開(kāi)始下一個(gè)部分之前，去除您剛才在第一步中在/etc/named.conf中加入的兩個(gè)從區(qū)域。 步驟3：配置一個(gè)主域名服務(wù)器

現(xiàn)在您將配制您的域名服務(wù)器來(lái)負(fù)責(zé)對(duì)于區(qū)域“domainX.example.com ”的解析工作。您將同樣負(fù)責(zé)向?qū)?yīng)的反查區(qū)域。將采用如下的步驟：

A. 編輯配置文件（named.conf ）

B. 準(zhǔn)備區(qū)域“domainX.example.com ”和區(qū)域“X.0.168.192.in-addr.arpa ”的數(shù)據(jù)庫(kù)文件。

C. 重新啟動(dòng)域名服務(wù)器

D. 測(cè)試您的配置

為了您能夠準(zhǔn)備您的配置文件和區(qū)域文件，我們提供了模板文件。您可以通過(guò)匿名ftp 方式從以下地址獲得： ftp://192.168.0.254/pub/namedfiles/

在如下的步驟中，記得將范例文件中中每一出出現(xiàn)的X 替換成您的工作站的號(hào)碼。

E. 主配置文件

下面是我們應(yīng)該考慮的三個(gè)區(qū)域

1． “. ”（根級(jí)別）區(qū)域

“. ”區(qū)域是DNS 層次中的最高層。根服務(wù)器提供了哪些服務(wù)器對(duì)于給定的域享有授權(quán)?！? ”節(jié)應(yīng)該以如下的方式出現(xiàn)： zone “.” {

type hint;

file “named.ca”;

};

2． “domainX.example.com ”（正向查詢）區(qū)域

添加如下的行，使得您的域名服務(wù)器成為區(qū)域的主服務(wù)器。

zone “domainX.exmaple.com” {

type master;

file “domainX.example.com.zone”;

};

3． “X.0.168.192.-in-addr.arpa ”（反向查詢）區(qū)域

現(xiàn)在添加如下的行，使得您的域名服務(wù)器成為反查區(qū)域的主服務(wù)器。

zone “X.0.168.192.in-addr.arpa” {

type master;

file “192.168.0.X.zone”;

};

下面是位于192.168.0.2的station2的樣例配置文件

/etc/named.conf

options {directory “/var/named”;forwarders {192.168.0.254; };forward only;};zone “.” { type hint; file “named.ca”;};zone "localhost" IN { type master; file "localhost.zone";};zone "0.0.127.in -addr.arpa" IN { type master; file "named.local";};zone “domain2.exmaple.com” { type master; file

“domain2.example.com.zone”;};zone “2.0.168.192.in-addr.arpa” { type master; file “192.168.0.2.zone”;}; F. 數(shù)據(jù)庫(kù)文件

您的主要配置文件指定了/var/named為數(shù)據(jù)庫(kù)所在的目錄。您現(xiàn)在必須在這個(gè)目錄下面為您區(qū)域和反查區(qū)域建立數(shù)據(jù)庫(kù)文件。這些數(shù)據(jù)庫(kù)文件包括您的SOA ，NS ，A ，CNAME ，MX ，PTR 和其他的可能的記錄。所有的數(shù)據(jù)文件以如下的行開(kāi)頭： $TTL 86400

該數(shù)值是缺省的以秒計(jì)的生存期間，該數(shù)值對(duì)所有在該域中的記錄有效

1． 區(qū)域“domainX.example.com ”

在主配置文件中, 區(qū)域“domainX.example.com ”數(shù)據(jù)庫(kù)文件被存放在/var/named/domainX.example.com。這個(gè)文件含有類似的如下的記錄

開(kāi)始授權(quán)記錄

@ IN SOA stationX.domainX.example.com. root.stationX.domainX.example.com. (

2001101100; Serial

28800 ;Refresh

14400 ;Retry

3600000 ;Expire

0) ;Negative

“開(kāi)始授權(quán)”（SOA ）記錄是數(shù)據(jù)庫(kù)文件的第一個(gè)資源記錄，但是它可能帶了一個(gè)前導(dǎo)符$TTL（缺省存活時(shí)間）。SOA 記錄使得數(shù)據(jù)庫(kù)文件稱為該區(qū)域的授權(quán)的信息源。第一個(gè)標(biāo)記是后繼記錄適合的域，通常以“@”簡(jiǎn)化形式出現(xiàn)，如果擴(kuò)展開(kāi)來(lái)那就是在named.conf 文件中“zone ”節(jié)中所指明的域名（或者是在文件通過(guò)$ORIGIN定義的當(dāng)前區(qū)域，如果該定義存在的話）。

第四個(gè)標(biāo)記使該域的主域名服務(wù)器，第五個(gè)是負(fù)責(zé)維護(hù)這個(gè)數(shù)據(jù)庫(kù)的系統(tǒng)管理員的電子郵件的地址，注意第一個(gè)分隔符替換了第一個(gè)標(biāo)記的@符號(hào)（你能解釋為什么嗎？）。接下來(lái)在記錄中的條目指定了交互解析域名服務(wù)器的動(dòng)態(tài)特性。 域名服務(wù)器記錄

@ IN NS stationX.domainX.example.com.

域名服務(wù)器（NS ）標(biāo)識(shí)了主機(jī)作為特定域的授權(quán)的域名服務(wù)器。他們對(duì)于這個(gè)區(qū)域指定了主和從服務(wù)器和代表授權(quán)的子域的其他的服務(wù)器（例如，server1.example.com 對(duì)于所有domainX.example.com 的域名服務(wù)器有一個(gè)NS 記錄）。正如您對(duì)于“domainX.example.com ”只能有一個(gè)單一的域名服務(wù)器，您也只能有一個(gè)單一的NS 記錄。

地址記錄

domainX.example.com IN A 192.168.0.X

stationX.domainX.example.com IN A 192.168.0.X

www IN A 192.168.0.X

ftp IN A 192.168.0.X

pop IN A 192.168.0.X

地址（A ）記錄將主機(jī)名稱映射到IP 地址（域名服務(wù)器的主要功能）。一個(gè)數(shù)據(jù)庫(kù)文件通常包含A 記錄對(duì)應(yīng)著許多IP 地址。然而在我們的教室的環(huán)境里，在您的區(qū)域里面只有一臺(tái)主機(jī)。注意第一個(gè)A 記錄設(shè)定了域的“缺省的IP 地址”。接下來(lái)的A 記錄建立了多個(gè)主機(jī)名稱對(duì)應(yīng)一個(gè)IP 地址。

主機(jī)名稱可以是一個(gè)完全符合標(biāo)準(zhǔn)的名稱（FQDN ），也可以是一個(gè)縮寫(xiě)。所有的不以點(diǎn)號(hào)結(jié)尾的主機(jī)名稱都將被視為縮寫(xiě)，并且區(qū)域名稱被附加到主機(jī)名稱的后面。例如，第三個(gè)A 記錄就是主機(jī)名稱www.domainX.example.com .

規(guī)范名稱（別名）記錄

www1 IN CNAME stationX.domainX.example.com.

www2 IN CNAME stationX.domainX.example.com.

www3 IN CNAME stationX.domainX.example.com.

別名（CNAME ）記錄建立了主機(jī)名稱的別名。注意到別名映射到主機(jī)名稱而不是IP 地址。

CNAME 不應(yīng)該出現(xiàn)在右邊的數(shù)據(jù)區(qū)域作為真實(shí)的主機(jī)名稱，對(duì)于多重別名的解析的速度會(huì)很慢。

郵件交換記錄

@ IN MX 10 stationX.domainX.example.com.

domainX.example.com IN MX 10 stationX.domainX.example.com.

郵件交換記錄（MX ）記錄了一個(gè)主機(jī)它將會(huì)處理給定的域或者主機(jī)郵件的轉(zhuǎn)發(fā)。當(dāng)一個(gè)郵件傳遞代理（MTA ）試圖投遞信件的時(shí)候，它將首先試圖在DNS 中查找目的主機(jī)的MX 記錄。如果該MX 記錄存在，那么將直接發(fā)送到MX 記錄指定的主機(jī)。反之，如果不存在MX 記錄，MTA 對(duì)于目的主機(jī)進(jìn)行標(biāo)準(zhǔn)的DNS 查詢，并且直接投遞到該主機(jī)上去。MX 記錄用來(lái)建立郵件的網(wǎng)關(guān)，和作為缺省的對(duì)于域的郵件的目的地。

2． 區(qū)域“X.0.168.192.in-addr.arpa ”

在/etc/named.conf中，我們指定了/var/named/192.168.0.X.zone作為區(qū)域X.0.168.192.in-addr.arpa 的反查區(qū)域數(shù)據(jù)庫(kù)文件。他應(yīng)該包含SOA 記錄，NS 記錄，和對(duì)應(yīng)的PTR 記錄。

開(kāi)始授權(quán)記錄

@ IN SOA stationX.domainX.example.com. root.stationX.domainX.example.com. (

4;

10800；

3600；

604800；

86400）

IN NS stationX.domainX.example.com.

SOA 和NS 記錄與前面的區(qū)域文件中的名稱應(yīng)該相同。

注意在NS 記錄開(kāi)頭的空白的地方是非常特別的，并且被解釋為“和上一條記錄相同”的縮寫(xiě)。在本例中，上一條記錄為符號(hào)“@”，其本身就是在主配置文件中定義的域名的縮寫(xiě)。

指針記錄

X.0.168.192.IN-ADDR.ARPA. IN PTR stationX.domainX.example.com.

指針（PTR ）記錄通過(guò)間接的機(jī)制將名稱映射到IP 地址。作為分離的技術(shù)來(lái)進(jìn)行IP 地址的反查詢的替代，BIND 采用了一種修改的對(duì)于特定主機(jī)名稱的正向查詢的方式。這種“反向域名查詢”以反轉(zhuǎn)的IP 地址后面添加“in-addr.arpa ”域的形式出現(xiàn)。這將允許域名服務(wù)器使用相同的機(jī)制進(jìn)行正反兩方面的查詢。

3． 把他們放在一起

下面是位于192.168.0.2的station2的樣例配置文件：

/var/named/domain2.example.com.zone

$TTL 86400@ IN SOA station2.domain2.example.com. root.station2.domain2.example.com. ( 2001101100; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 0) ; Negative @ IN NS station2.domain2.example.com. @ IN A

192.168.0.2station2.domain2.example.com. IN A 192.168.0.2www IN A 192.168.0.2ftp IN A 192.168.0.2pop IN A 192.168.0.2www1 IN CNAME station2.domain2.example.com.www2 IN CNAME station2.domain2.example.com.www3 IN CNAME station2.domain2.example.com.@ IN MX 10 station2.domain2.example.com.station2 IN MX 10

station2.domain2.example.com.

/var/named/192.168.0.2.zone

$TTL 86400@ IN SOA station2.domain2.example.com. root.station2.domain2.example.com. (4 10800 3600 604800 86400） IN NS station2.domain2.example.com.2.0.168.192.IN-ADDR.ARPA. IN PTR station2.domain2.example.com.

C. 重新啟動(dòng)域名服務(wù)器

再一次，我們將重新啟動(dòng)域名服務(wù)器。然后通過(guò)運(yùn)行pidof 命令來(lái)確定其被運(yùn)行：

service named restart

pidof named

查看一下服務(wù)器添加到/var/log/messages文件中的條目。確定您的域名在調(diào)入的時(shí)候沒(méi)有發(fā)生錯(cuò)誤。

如果您已經(jīng)有一個(gè)域名服務(wù)器在運(yùn)行并且不想重新啟動(dòng)它，您可以使用service named reload 來(lái)重新裝入配置文件，這樣子對(duì)于停止和啟動(dòng)服務(wù)器而言都比較快。

D. 測(cè)試域名服務(wù)器

進(jìn)行如下DNS 查詢，您能夠解釋所有的結(jié)果么？

host stationX

dig stationX.example.com

dig stationX.example.com @192.168.0.254

dig stationX.example.com

host server1.example.com

host 192.168.0.X

dig –x 192.168.0.X

dig –x 192.168.0.254

host www

host www1

記住dig 期望給與一個(gè)FQDN 作為查詢，然而host 則通過(guò)查看位于文件/etc/resolv.conf的查詢信息。試著在別的人的域名服務(wù)器和子域上進(jìn)行附加的查詢。如果設(shè)定正確，您將能夠在其他教室系統(tǒng)上進(jìn)行正向和反向查詢。

挑戰(zhàn)性的項(xiàng)目

通過(guò)增加多個(gè)“A ”記錄使得一個(gè)主機(jī)名稱對(duì)應(yīng)著不同的IP 地址來(lái)配置一個(gè)“輪轉(zhuǎn)”的主機(jī)名稱。域名服務(wù)器該如何處理這種情況？提示： 試圖嘗試設(shè)定這些的A 記錄的TTL 為0。

在您的域中增加子域“support.somainX.example.com ”。增加合適的資源記錄使得它能夠反向指向您的IP 地址。

與另一臺(tái)工作站合作，成為另一臺(tái)工作站的從域名服務(wù)器，在您的區(qū)域中為您的工作站增加一個(gè)新的CNAME ，確保這個(gè)改變能夠傳播到從服務(wù)器。

收尾工作

接下來(lái)的試驗(yàn)就較為簡(jiǎn)單了，一旦您重新啟動(dòng)您的工作站，所有的DNS 查詢將會(huì)重新設(shè)定到教室中的服務(wù)器上。為了確保收尾，確保您重新設(shè)定/etc/resolve.conf到其初始的狀態(tài)。

/etc/resolv.conf

search example.comnameserver 192.168.0.254

/etc/hosts

127.0.0.1 localhost localhost.localdomain localhost192.168.0.X stationX.example.com

(如果您關(guān)閉后啟動(dòng)eth0接口，DHCP 將會(huì)自動(dòng)為您設(shè)定配置文件)

試驗(yàn)3

Samba 服務(wù)

估計(jì)時(shí)間： 1個(gè)小時(shí)

目標(biāo)： 使用samba 共享用戶認(rèn)證和文件系統(tǒng)

試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝

將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉。缺省的安裝將會(huì)有一個(gè)文件叫做“/etc/sysconfig/iptables”，該文件配置了iptable 的功能。運(yùn)行“chkconfig iptables off”。為了去除空間中所有的規(guī)則，運(yùn)行“service iptables stop”

步驟1：Samba 的用戶連接的配置

任務(wù)

1. 安裝samba,samba-common 和samba-client RPM 軟件包并且啟動(dòng)smb 服務(wù)。一個(gè)缺省的配置將會(huì)被應(yīng)用. 使用如下的命令確定Samba 是在正確的工作：

smbclient –L localhost –N

您可以從服務(wù)器獲得回應(yīng)，但是并不代表文件共享可用。（確保smbd 在運(yùn)行，否則該命令無(wú)法工作）

2．在您的系統(tǒng)中增加幾個(gè)用戶（karl,joe,mary 和jen ），但是并不給他們?cè)O(shè)定密碼。這些用戶僅能夠從samba 服務(wù)訪問(wèn)服務(wù)器。為了使得他們?cè)趕hadow 中不含有密碼，這些用戶的shell 應(yīng)該設(shè)定為/sbin/nologin

3．缺省的samaba 是被配置用來(lái)接收加密的密碼的，但是在文件/etc/samba/smbpasswd中沒(méi)有設(shè)定任何密碼。如果加密的密碼在/etc/samba/smb.conf被設(shè)定，smbclient 將發(fā)送加密的密碼，所以為了在您的系統(tǒng)上測(cè)試samba 服務(wù)，您應(yīng)該首先建立smbpasswd 文件，然后為每一個(gè)用戶在該文件中添加密碼。

4．注意到第一個(gè)在/etc/samba/smb.conf設(shè)定的共享[home]并沒(méi)有指定路徑。該共享被配置用來(lái)當(dāng)用戶連接并且認(rèn)證通過(guò)以后共享用戶的home 目錄。瀏覽一個(gè)或者兩個(gè)用戶的home 目錄。上傳一個(gè)文件到j(luò)oe 的home 目錄。

可用的結(jié)果

一個(gè)工作的samba 服務(wù)可以被多個(gè)用戶通過(guò)smbclient 訪問(wèn)。

步驟2： 提供給組目錄訪問(wèn)的權(quán)限

場(chǎng)景／故事

為了使得我們的四個(gè)用戶除了有他們自己的在服務(wù)器上的共享，我們這四位用戶同時(shí)在同一個(gè)部門(mén)工作并且需要一個(gè)地方來(lái)存儲(chǔ)部門(mén)的文件。我們將需要一個(gè)Linux 用戶組，建立一個(gè)目錄給這些用戶來(lái)存儲(chǔ)它們的內(nèi)容，并且配置samba 服務(wù)器來(lái)共享目錄。

任務(wù)

1． 建立一個(gè)對(duì)于擁有g(shù)id 為30000的用戶叫做legal 的新組并且使用usermod 命令將這些用戶加到組里去。

2． 建立一個(gè)目錄/home/depts/legal。對(duì)于這個(gè)目錄設(shè)定擁有權(quán)限，使得在legal 組中的用戶可以在這個(gè)目錄中添加／刪除文件，然而其他的人不可以。并且設(shè)定SGID 和粘滯位使得所有在這個(gè)目中建立的文件都擁有同legal 組的權(quán)限并且組中其他的的人不能夠刪除該用戶建立的文件。

3． 在/etc/samba/smb.conf中建立一個(gè)samba 共享叫做[legal]。只有l(wèi)egal 組中的用戶才能夠訪問(wèn)該共享。并且確保在

[legal]中存放的文件的被建立的許可權(quán)限為0600。

4． 重新啟動(dòng)smb 服務(wù)并且使用smbclient ；來(lái)進(jìn)行測(cè)試。

可用的結(jié)果

1． 只有l(wèi)agal 組能夠訪問(wèn)和使用一個(gè)Linux 目錄。

2． 一個(gè)samba 共享只有l(wèi)egal 組的用戶能夠訪問(wèn)并且編輯

步驟3：為打印機(jī)提供訪問(wèn)

場(chǎng)景／故事

在samba 中除了可以共享文件以外，另外一個(gè)重要的功能就是提供共享打印隊(duì)列，該打印隊(duì)列已經(jīng)在您的Linux 機(jī)器上定義。實(shí)際上，缺省的，所有在Linux 機(jī)器上配置的打印隊(duì)列通過(guò)[printers]共享到網(wǎng)絡(luò)上去。在該步驟中，您將建立一個(gè)打印隊(duì)列，通過(guò)samba 服務(wù)器進(jìn)行共享。然后通過(guò)smbclient 來(lái)查看共享的打印機(jī)。

任務(wù)

1． 使用redhat-config-printer 建立一個(gè)新的打印隊(duì)列。把打印隊(duì)列命名為printerX （其中X 為您的工作站的號(hào)碼）。配置打印機(jī)到本地連接的打印機(jī)/dev/lp0。配置打印隊(duì)列確保任何遞交的打印作業(yè)將保留在隊(duì)列中。不要忘記重新啟動(dòng)samba 服務(wù)器。

2． 通過(guò)smbclient 來(lái)連接samba 服務(wù)器上共享的printerX 。使用print 命令來(lái)遞交打印作業(yè)到隊(duì)列中去。檢查作業(yè)已排隊(duì)否。

可用的結(jié)果

1. 一個(gè)定義的Linux 打印隊(duì)列printerX

2. 一個(gè)Samba 服務(wù)器允許授權(quán)的用戶打印到共享打印機(jī)printerX

挑戰(zhàn)1：安全和備份Samba/SMB

現(xiàn)在所有的東西都可以運(yùn)行了，我們應(yīng)該考慮在Samba 服務(wù)器上的網(wǎng)絡(luò)安全和數(shù)據(jù)的可靠性了。

任務(wù)

1． 定義并且保護(hù)對(duì)于samba 服務(wù)器而言合法的連接。在文件/etc/samba/smb.conf中使用hosts allow 參數(shù)來(lái)確定所有教室里的子網(wǎng)和本地回環(huán)子網(wǎng)。

2． 使用testparm 測(cè)試/etc/samba/smb.conf的語(yǔ)法。這個(gè)是否顯示出一些應(yīng)該考慮的安全上的漏洞呢？

3． 對(duì)您的鄰居的[legal] 共享進(jìn)行備份。通過(guò)用戶karl 的帳戶建立一個(gè)共享的數(shù)據(jù)打包，使用或者smbtar 命令或者smbclient 的-T 選項(xiàng)。

可用的結(jié)果

1．samba 服務(wù)器能夠識(shí)別來(lái)自允許的子網(wǎng)或者主機(jī)的連接

2．一個(gè)SMB 或者Samba 共享的備份數(shù)據(jù)打包

一種解決方案

步驟1

l rpm –ivh ftp://server1.exmaple.com/pub/RedHat/RPMS/samba-c*

rpm –ivh ftp://server1.exmaple.com/pub/RedHat/RPMS/samba-2*

service smb start

smbclient –L localhost –N

l useradd –s /bin/false karl

useradd –s /bin/false joe

useradd –s /bin/false mary

useradd –s /bin/false jen

l smbpasswd –a karl

smbpasswd –a joe

smbpasswd –a mary

smbpasswd –a jen

l smbclient //localhost/joe –U joe

您應(yīng)該看到smb:>提示符

put /etc/hosts hosts

步驟2

l groupadd –g 30000 legal

usermod –G legal karl

usermod –G legal joe

usermod –G legal mary

usermod –G legal jen

l mkdir –p /home/depts/legal

chgrp legal /home/depts/legal

chmod 3770 /home/depts/legal

l 在文件/etc/samba/smb.conf文件中，共享定義部分：

[legal]

commnet = Legal’s files

path = /home/depts/legal

public = no

write list = @legal

create mask =0660

l service smb restart

步驟3：

l redhat-config-printer

l service smb restart

l smbclient //localhost/printerX –u joe

復(fù)習(xí)問(wèn)題

1． 在ftp 和smbclient 之間有什么相同的地方？您使用ftp 的時(shí)候永什么命令進(jìn)行上傳？ftp 和smbclient 之間上傳操作之間有什么不同。

2． 命令nmblookup *的作用是什么

3． smbtar命令是干什么的？

4． testparm /etc/samba/smb.conf 33.44.55.66 是做什么用的？

5． 使用smbmount 命令該使用什么語(yǔ)法？

試驗(yàn)4

電子郵件

估計(jì)時(shí)間： 2個(gè)小時(shí)

目標(biāo)： 建立基本的MTA 的配置的技能

試驗(yàn)的起點(diǎn)： 標(biāo)準(zhǔn)的Red Hat Linux安裝

指導(dǎo)教師:確保在Server1上的sednmail.mc 文件中的DAEMON_OPTIONS被注釋并且重新編譯sendmail.cf 文件使得能構(gòu)接受來(lái)自其他主機(jī)的電子郵件。

介紹

本次實(shí)驗(yàn)作為一個(gè)安裝和配置MTA 的介紹。在介紹中我們將提及sendmail 和postfix 。您可以選擇任何一個(gè)MTA ，如果時(shí)間允許，您兩個(gè)都可以做一下試驗(yàn)。在接下來(lái)的步驟中，您將

安裝并且驗(yàn)證sendmail 的“發(fā)件箱”

為您的sendmail 的按渣添加新的別名

使用m4工具來(lái)改變您的轉(zhuǎn)發(fā)行為

安裝POP3服務(wù)器并且配置POP 客戶端

在整個(gè)試驗(yàn)中，主機(jī)和域名取決于您的機(jī)器的IP 地址。如果下面的試驗(yàn)出現(xiàn)了X 字樣的名稱，您應(yīng)該把X 字樣的名稱替換成您的工作站的號(hào)碼（您的IP 地址的最后一個(gè)部分）。例如，如果您的工作站的IP 的地址是192.168.0.2，您應(yīng)該將stationX.domainX.example.com 轉(zhuǎn)換成station2.domain2.example.com 。

將數(shù)據(jù)包過(guò)濾設(shè)定為無(wú)效狀態(tài)。在本次試驗(yàn)開(kāi)始之前，請(qǐng)您確保您的主機(jī)上的所有包過(guò)濾已被關(guān)閉（顯然，在實(shí)際使用中您可以利用Linux 內(nèi)核的防火墻機(jī)制，然而我們?cè)谶@里關(guān)掉它是為了減少潛在的問(wèn)題）。

本次試驗(yàn)中以root 身份來(lái)使用下面命令達(dá)成上面的要求：

service iptables stop

chkconfig iptables off

初始化安裝－安裝必要的軟件包

下列軟件包對(duì)于sendmail 是必需的： sendmail,sendmail-cf,sendmail-doc,m4和procmail 。對(duì)于postfix 而言，您需要: postfix 。如果需要他們，從CD 上進(jìn)行檢視和安裝，server1的NFS 安裝點(diǎn)，從: ftp://server1/pub/RedHat/RPMS/ 步驟1：配置MTA 來(lái)收取郵件

為了安全的原因，sendmail 和postfix 的缺省的配置允許發(fā)郵件但是不允許從網(wǎng)絡(luò)上接收郵件（缺省的它們只接受從回環(huán)接口上的連接）。按照如下配置您選擇的MTA 使得它接受傳入的連接：

1. 對(duì)于sendmail: 修改 /etc/mail/sendmail.mc

使用dnl 注釋在下面的行之前，就象這樣：

dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')

2. 將您的sendmail.cf 文件做一個(gè)備份：

cp /etc/mail/sendmail.cf /etc/mail/sendmail.cf.orig

3. 在同一個(gè)目錄下，編譯sendmail.cf

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

4. 重新啟動(dòng)sendmail, 通過(guò)

service sendmail restart

對(duì)于postfix:修改/etc/postfix/main.cf

A. 找到并注釋如下行

inet_interfaces = localhost

B. 取消注釋該行：

inet_interfaces = all

C. 保存文件并且進(jìn)行到步驟2 的結(jié)束的地方。找到和上面一樣的對(duì)應(yīng)于postfix 的配置的地方。

步驟2： 啟動(dòng)和校驗(yàn)MTA 操作

對(duì)于sendmail: 有幾個(gè)步驟您應(yīng)該采用，以確保sendmail 被正確安裝。

A. 確信sendmail 已經(jīng)被在適當(dāng)?shù)倪\(yùn)行級(jí)別上運(yùn)行

檢查您的sendmail 被適當(dāng)?shù)呐渲们夷軌蛟谥匦聠?dòng)以后其能夠運(yùn)行。使用chkconfig 是比較方便的。

chkconfig -–list sendmail

sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off

如果sendmail 在標(biāo)準(zhǔn)的用戶運(yùn)行級(jí)別時(shí)無(wú)效，使用chkconfig, ntsysv 或者serviceconf 之類的工具來(lái)激活服務(wù)。

B. 確定sendmail 沒(méi)有在啟動(dòng)的時(shí)候出現(xiàn)錯(cuò)誤

Red Hat Linux安裝的時(shí)候使用提供的syslog 工具來(lái)記錄所有的信息到文件/var/log/maillog中去。檢查此文件中的最后出現(xiàn)“starting ”的地方以確保sendmail 在啟動(dòng)的時(shí)候沒(méi)有任何錯(cuò)誤。

sendmail 可執(zhí)行文件位于/usr/sbin/sendmail。為了確定sendmail 是否正確標(biāo)識(shí)您的主機(jī)名稱，通過(guò)命令行開(kāi)關(guān)開(kāi)啟其調(diào)試模式并且設(shè)定為0：

sendmail –d0 < /dev/null

Version 8.11.6

Compiled with: LDAPMAP MAP_REGEX LOG MATCHGECOS MIME7TO8 MIME8TO7

NAMED_BIND NETINET NETINET6 NETUNIX NEWDB NIS QUEUE SASL SCANF

SMTP TCPWRAPPERS USERDB

============ SYSTEM IDENTITY (after readcf) ============

(short domain name) $w = station2

(canonical domain name) $j = station2.example.com

(subdomain name) $m = station2

(node name) $k = station2.example.com

========================================================

Recipient names must be specified

如果sendmail 返回您的主機(jī)名稱為localhost, 您可能錯(cuò)誤配置了/etc/hosts文件。檢查您的/etc/hosts文件，刪除所有的但記住留下localhost 的指向。如果/etc/hosts文件是正確的，那么檢查一下在/etc/sysconfig/netwoek中的HOSTNAME 的定義。

試圖向root@server1發(fā)送簡(jiǎn)單的郵件。您可以看到一個(gè)合理的您的主機(jī)的轉(zhuǎn)發(fā)服務(wù)器的SMTP 交換。

echo “hello root” | mail –v –s hello root@server1 root@server1... Connecting to [127.0.0.1] via relay...

220 localhost.localdomain ESMTP Sendmail 8.12.8/8.12.8; Mon, 22 Sep 2003 14:29:24 0800

>>> EHLO localhost.localdomain