Linux网络管理实 验 指 导

Linux网络管理

实

验

指

导

● 掌握Linux下TCP/IP网络的设置方法。

● 学会使用命令检测网络配置。

● 学会启用和禁用系统服务。

某企业新增了Linux服务器，在但还没有配置TCP/IP网络参数，请设置好各项TCP/IP参数，并连通网络。

练习Linux系统下TCP/IP网络设置，网络检测方法。

● 查看网络接口eth0的配置信息。

● 为此网络接口设置IP地址、广播地址、子网掩码、并启动此网络接口。利用ifconfig命令查看系统中已经启动的网络接口。仔细观察所看到的现象，记录启动的网络接口。

● 显示系统的路由设置。

● 设置默认路由。并再次显示系统的路由设置，确认设置成功。

● 显示当前的主机名设置；并以自己姓名缩写重新设置主机名。再次显示当前的主机名设置，确认修改成功。

●  ping网关的IP地址，检测网络是否连通。

● 用netstat命令显示系统核心路由表。

● 用netstat命令查看系统开启的TCP端口。

● 编辑/etc/hosts文件，加入要进行静态域名解析的主机的IP地址和域名。

● 用ping命令检测上面设置好的网关的域名，测试静态域名解析是否成功。

● 编辑/etc/resolv.conf文件，加入域名服务器的IP地址，设置动态域名解析。

● 编辑/etc/host.conf文件，设置域名解析顺序为：hosts,bind。

● 用nslookup命令查询一个网址对应的IP地址，测试域名解析的设置。

● 用service命令查看守护进程sshd的状态。

● 如果显示sshd处于停用状态，可以试着用ssh命令来连接本地系统，看看是否真的无法登录。

● 然后用service命令启动sshd，再用ssh命令连接本地系统，看看sshd服务是否真的已经启动。

● 用ntsysv命令设置sshd在系统启动时自动启动。

● 用service命令停止sshd守护进程。

1．当无法连接远程主机的时候，例如，用telnet命令无法连接到远程主机remost.net，此时应该按什么顺序，用什么方法，分别检测系统中的哪些设置？

2．静态域名解析和动态域名解析有什么区别？分别在哪些文件里进行设置？系统如何决定用哪种方式对一个域名进行解析？

3．利用ifconfig和route命令配置的IP地址、子网掩码和默认网关等信息和利用netcofig及编辑/etc/syscofig/network-scripts/if-eth0文件配置的IP地址、子网掩码和默认网关等信息有什么不同？

● 掌握Linux与Windows的资源共享和互访方法。

● 掌握Samba服务器的安装和配置方法。

● 了解使用Samba共享用户认证和文件系统。

某公司有system、develop、productdesign和test等4个小组，个人办公机操作系统为Windows2000/XP/2003，少数开发人员采用Linux操作系统，服务器操作系统为RHEL 4，需要设计一套建立再RHEL 4之上的安全文件共享方案。每个用户都有自己的网络磁盘，develop组到test组有共用的网络硬盘，所有用户（包括匿名用户）有一个只读共享资料库；所有用户（包括匿名用户）要有一个存放临时文件的文件夹。网络拓扑如下图所示。

项目目标：

●  System组具有管理所有Samba空间的权限。

● 各部门的私有空间：各小组拥有自己的空间，除了小组成员及system组有权限以外，其他用户不可访问（包括列表、读和写）。

● 资料库：所有用户（包括匿名用户）都具有读权限而不具有写入数据的权限。

●  Develop组与test组的共享空间，develop组与test组之外的用户不能访问。

● 公共临时空间：让所有用户可以读取、写入、删除。

练习Linux系统Samba服务器配置与访问方法。

各目录说明如下：

/data/share：管理员目录，负责管理其下所有目录。

/data/share/develop：develop的主目录，除了用户本身和system之外，其他用户都是不可读不可写。

/data/share/productdesign：productdesign的主目录，除了用户本身和system组以外，其他用户都是不可读不可写。

/data/share/test：test的主目录，除了用户本身和system组以外，其他用户都是不可读不可写。

/data/share/library：资料库目录，所有用户（除了system组有权限写入外）只读目录。

/data/share/develop_testrw：develop组和test组的共享空间，develop组与test组之外的用户不能访问。

/data/share/temp：用于所有用户（包括匿名用户）的可读可写。

● 添加用户组。

● 添加用户。

● 添加Samba用户。

● 配置相关目录的权限与归属。

●全局环境配置。

● 资料库共享资源的配置。

● 公共临时共享空间的配置。

●develop组与test组的共享空间。

●各部门的私有空间。

1．Samba服务的主要守护进程有哪些？Samba服务的功能是什么？

2．建立Samba服务器，并根据一下要求配置Samba服务器。

●  设置Samba服务器所述的群组名称为student。

●  设置可访问Samba服务器的子网为192.168.0.0/24。

●  设置Samba服务器监听的网卡为eth0。

● 掌握Linux系统之间资源共享和互访方法。

● 掌握企业NFS服务器和客户端的安装与配置方法。

某企业的销售部有一个局域网，域名为xs.mq.cn。网络拓扑图如下图所示。网内有一台Linux的共享资源服务器shareserver，域名为shareserver.xs.mq.cn。现要在shareserver上配置NFS服务器，使销售部内的所有主机都可以访问shareserver服务器中的/share共享目录中的内容，但不允许客户机更改共享资源的内容。同时，让主机china在每次系统启动时自动挂载shareserver的/share目录中的内容到china3的/share1目录下。

练习Linux系统NFS服务器与NFS客户端的配置方法。

● 检测系统是否安装了NFS服务器对应的软件包，如果没有安装的话，进行安装。

●按照项目背景的要求，配置NFS服务器。

●启动NFS服务。

● 按照项目背景的要求，配置NFS的客户端。

●重新启动NFS客户端，将会自动加载到/share1目录下。

1．在利用chkconfig--list命令检测nfs服务器的自启动状态时，该服务在哪个运行级别下是开启的，哪个运行级别下是关闭的。试想除了利用chkconfig命令之外还有哪些命令可以设置nfs服务的自启动状态。

2．在nfs客户端利用命令mount和通过配置/etc/fstab文件挂载nfs服务器的共享目录的区别是什么？

3．简述exportfs命令的格式及功能。

● 掌握Linux下DHCP服务器的安装和配置方法。

● 掌握Linux下DHCP客户端的配置。

某企业计划构建一台 DHCP服务器来解决IP地址动态分配的问题，要求能够分配 IP地址以及网关、DNS等其它网络属性信息。同时要求DHCP服务器为DNS、WEB、Samba服务器分配固定IP 地址。该公司网络拓扑图如下图所示。

假设企业DHCP服务器IP地址为192.168.1.2。DNS服务器的域名为dns.jnrp.cn，IP地址为192.168.1.3；WEB服务器IP地址为192.168.1.10；Samba服务器IP地址为192.168.1.5；网关地址为192.168.1.254；地址范围为192.168.1.3到192.168.1.150，掩码为255.255.255.0。

练习Linux系统DHCP服务器与DHCP客户端的配置方法。

● 检测系统是否安装了dhcp服务器对应的软件包，如果没有安装的话，进行安装。

● 按照项目背景的要求，配置DHCP服务器。

● 利用“servicedhcpd start”命令，启动dhcpd服务。

● 以root账号登录系统。

● 使用命令“vi /etc/sysconfig/network-scripts/ifcfg-eth0”打开网卡配置文件，找到语句“BOOTPROTO=none”，将其改为“BOOTPROTO=dhcp”。

● 使用命令“ifdown eth0; ifup eth0”重新启动网卡。

● 使用命令“ifconfig eth0”测试DHCP客户端是否已配置好。

1．Windows操作系统下通过什么命令可以知道本地主机当前获得的IP地址。

2．描述DHCP服务的地址分配过程。

● 掌握Linux系统中主DNS服务器的配置。

● 掌握Linux下辅助DNS服务器的配置。

某企业有一个局域网（192.168.1.0/24），网络拓扑如下图所示。该企业中已经有自己的网页，员工希望通过域名来进行访问，同时员工也需要访问Internet 上的网站。该企业已经申请了域名 jnrplinux.com，公司需要Internet 上的用户通过域名访问公司的网页。为了保证可靠，不能因为DNS的故障，导致网页不能访问。

现要求在企业内部构建一台 DNS服务器，为局域网中的计算机提供域名解析服务。DNS服务器管理 jnrplinux.com 域的域名解析，DNS服务器的域名为dns.jnrplinux.com，IP地址为192.168.1.2。辅助DNS服务器的IP地址为192.168.1.3。同时还必须为客户提供Internet上的主机的域名解析。要求分别能解析以下域名：财务部（cw.jnrplinux.com：192.168.1.11），销售部(xs.jnrplinux.com：192.168.1.12)，经理部(jl.jnrplinux.com：192.168.1.13)，OA系统(oa.jnrplinux.com：192.168.1.13)。

练习Linux系统下主及辅助DNS服务器的配置方法。

● 检查DNS服务对应的软件包是否安装，如果没有安装的话，安装相应的软件包。

● 编辑/etc/named.conf文件，添加“jnrplinux.com”正向区域及“1.168.192.in-addr.arpa”反向区域。

● 创建/var/named/chroot/var/named/jnrplinux.com.zone正向数据库文件。

● 创建/var/named/chroot/var/named/1.zone反向数据库文件。

● 启动服务。

●在192.168.1.3辅助DNS服务器上，编辑/etc/named.conf文件，添加jnrplinux.com区域。

●在192.168.1.2主DNS服务器上，编辑/etc/named.conf文件的options选项，设置允许进行区域传输。

1．简单叙述域名解析的工作过程。

2．简单叙述主DNS、辅助DNS和转发器DNS服务器的配置过程。

● 掌握Linux系统中Apache服务器的安装与配置。

● 掌握个人主页、虚拟目录、基于用户和主机的访问控制及虚拟主机的实现方法。

假如你是某学校的网络管理员，学校的域名为www.king.com，学校计划为每位教师开通个人主页服务，为教师与学生之间建立沟通的平台。该学校网络拓扑图如下图所示。

学校计划为每位教师开通个人主页服务，要求实现如下功能：

（1）网页文件上传完成后，立即自动发布，URL为http://www.king.com/~用户名。

（2）在Web服务器中建立一个名为private的虚拟目录，其对应的物理路径是/data/private。并配置Web服务器对该虚拟目录启用用户认证，只允许kingma用户访问。

（3）在Web服务器中建立一个名为的虚拟目录，其对应的物理路径是/dir1 /test，并配置Web服务器仅允许来自网络jnrp.net域和192.168.1.0/24网段的客户机访问该虚拟目录。

（4）使用192.168.1.2和192.168.1.3两个IP地址，创建基于IP地址的虚拟主机。其中IP地址为192.168.1.2的虚拟主机对应的主目录为/var/www/ip2，IP地址为192.168.1.3的虚拟主机对应的主目录为/var/www/ip3。

（5）创建基于www.mlx.com和www.king.com两个域名的虚拟主机，域名为www.mlx.com虚拟主机对应的主目录为/var/www/mlx，域名为www.king.com虚拟主机对应的主目录为/var/www/king。

练习Linux系统下WEB服务器的配置方法。

●安装Apache服务。

●Apache服务的启动与停止。

●启动Apache服务之后，从客户端看到的测试效果。

●编辑httpd.conf文件，设置用户个人主页。

●设置用户个人主页所在目录的访问权限。

●创建存放用户个人主页空间的目录。

●创建个人主页空间的默认首页文件。

●编辑httpd.conf文件，将UserDir的值设置为public_html。

●重新启动httpd服务。

●编辑httpd.conf文件，添加/private虚拟目录并设置用户访问控制。

●利用htpasswd命令生成用户密码文件，并为kingma用户设置登录密码。

●编辑httpd.conf文件，添加/test虚拟目录并设置基于主机的访问控制。

●重新启动httpd服务，即可。

●分别创建“/var/www/ip2”和“/var/www/ip3”两个主目录和默认首页文件。 

●在httpd.conf文件中，设置基于IP地址的虚拟主机，配置内容如下。 

●重新启动httpd服务，即可。

●分别创建“/var/www/mlx”和“/var/www/king”两个主目录和默认文件。  

●在httpd.conf文件中，设置基于域名的虚拟主机，配置内容如下。

●重新启动httpd服务，即可。

1．怎样改变Apache服务器的监听端口？如何在Apache服务器中使用SSL功能？

2．在配置用户认证的时候，如果密码文件中包含多个用户，如何设置只允许其中的某几个用户访问一个认证区域？

3．请将本实验的子项目4使用.htaccess文件重新进行配置。

● 掌握Vsftpd服务器的配置方法。

● 熟悉FTP客户端工具的使用。

● 掌握常见的FTP服务器的故障排除。

某企业网络拓扑图如下图所示，该企业想构建一台FTP服务器，为企业局域网中的计算机提供文件传送任务，为财务部门、销售部门和OA系统提供异地数据备份。要求能够对 FTP 服务器设置连接限制、日志记录、消息、验证客户端身份等属性，并能创建用户隔离的FTP站点。

练习Linux系统下Vsftpd服务器的配置方法及FTP客户端工具的使用。

//修改本地权限，使匿名用户对/var/ftp目录具有写入权限

[root@RHEL4 var]# chmod o+w /var/ftp

[root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf

//添加下面两行：

anon_upload_enable=YES

anon_mkdir_write_enable=YES

 [root@RHEL4 var]#vi /etc/vsftpd.ftpusers

//添加下面的行：

user1

//重新启动vsftpd服务，即可。

//以user2用户登录系统，并进入user2用户家目录/home/user2目录下的dir1目录

[user2@RHEL4 dir]$cd ~/dir

//新建.message文件并输入”welcome”

[user2@RHEL4 dir]$ echo "welcome">.message

//以下为测试结果

[user2@RHEL4 dir]$ ftp 192.168.1.2

Name (192.168.1.2:user2): user2

Password:

ftp> cd dir             //切换到dir目录

250-welcome           //显示.message文件的内容

250 Directory successfully changed.

//修改vsftpd.conf文件，做如下设置

[root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf

chroot_list_enable=NO          //修改该参数的取值为NO

chroot_local_user=YES           //修改该参数的取值为YES

//重新启动vsftpd服务即可

//测试部分略

//将例14-1中/etc/vsftpd.ftpusers文件中的user1删除

//修改vsftpd.conf文件，做如下设置

[root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf

userlist_enable=YES          //修改该参数的取值为YES

usrelist_deny=NO            //添加此行

userlist_file=/etc/vsftpd.user_list   //添加此行

//利用vi编辑器打开/etc/vsftpd.user_list文件

[root@RHEL4 ~]# vi /etc/vsftpd.user_list

//添加如下两行并保存退出：

user1

user2

//重新启动vsftpd服务即可

//测试部分略

实现如下功能：

● 拒绝192.168.6.0/24访问。

● 对域jnrp.net和192.168.2.0/24内的主机不做连接数和最大传输速率限制。

● 对其他主机的访问限制每IP的连接数为1，最大传输速率为20KB/S

//修改vsftpd.conf文件

[root@RHEL4 ~]# vi  /etc/vsftpd/vsftpd.conf

tcp_wrappers=YES           //确保支持tcp_wrappers  

//添加如下两行并保存退出：

local_max_rate=20000

anon_max_rate=20000

max_per_ip=1

//编辑/etc/host.allow文件

[root@RHEL4 ~]# vi /etc/hosts.allow

//添加下面两行：

vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf

vsftpd:192.168.6.0/24:DENY

//编辑/etc/vsftpd/vsftpd_tcp_wrap.conf文件

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf

//添加下面三行：

local_max_rate=0

anon_max_rate=0

max_per_ip=0

//重新启动vsftpd服务即可

//测试部分略

● 创建虚拟用户口令库文件。

//生成建立口令库文件的文本文件

[root@RHEL4 ~]# cat /root/login.txt

peter              //此行指定虚拟用户peter

123456           //此行设置peter用户的FTP密码

tom              //此行指定虚拟用户tom

213456           //此行设置tom用户的FTP密码

//使用db_load命令生成口令库文件

[root@RHEL4 /]# db_load -T -t hash -f /root/login.txt /etc/vsftpd/vsftpd_login.db

//修改数据库文件的本地权限

[root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db

● 生成虚拟用户所需的PAM配置文件/etc/pam.d/vsftpd。

[root@RHEL4 ~]#vi /etc/pam.d/vsftpd

//添加如下两行

auth       required    /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

account    required   /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login

● 修改vsftpd.conf文件。

[root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf

//保证具有下面三行

guest_enable=YES    //启用虚拟用户功能

guest_username=ftp   //将虚拟用户映射成ftp帐号，利用虚拟用户登录后，会在ftp用户所在目录下。

pam_service_name=vsftpd  //指定PAM配置文件是vsftpd

● 利用下面的命令重新启动vsftpd服务即可。

[root@RHEL4 ~]# service vsftpd restart

● 测试。

1．简单叙述FTP服务器的配置过程。

2．简单说一下FTP服务器中的文件在Linux系统本身的权限和通过FTP访问时的权限之间的关系。

● 能熟练完成企业POP3邮件服务器的安装与配置。

● 能熟练完成企业Sendmail邮件服务器的安装与配置。

企业需求：企业需要构建自己的邮件服务器供员工使用；本企业已经申请了域名jyg.com，要求企业内部员工的邮件地址为 [email protected] 格式。员工可以通过浏览器或者专门的客户端软件收发邮件。除此之外，最好可以提供网络硬盘、反垃圾邮件，自动回复等功能。

任务：假设邮件服务器的IP地址为192.168.1.2，域名为mail.jyg.com。请构建POP3 和SMTP 服务器，为局域网中的用户提供电子邮件；邮件要能发送到 Internet 上，同时 Internet 上的用户也能把邮件发到企业内部用户的邮箱。要设置邮箱的最大容量为20M，邮箱内邮件数不得超过500封，单个邮件不得超过4M。之外希望能提供邮件自动回复功能，提供反垃圾邮件功能。

练习Linux系统下邮件服务器的配置方法。

●安装sendmail服务。

●启动与停止sendmail服务。

●编辑/etc/mail/sendmail.mc文件，修改邮件服务器的监听IP。

将：

修改为：

●利用m4宏编译工具将sendmail.mc文件编译生成新的sendmail.cf文件。

●修改/etc/mail/local-host-names文件，设置本地邮件服务器所投递的域。

●向系统中添加测试帐号yuangong1和yuangong2，并分别设置密码。

●修改DNS服务器的MX资源记录，将MX资源记录修改为mail.jyg.com。

●修改好之后，重新启动sendmail服务即可。

●插入RHEL4的第四张安装，安装dovecot软件。

●修改/etc/dovecot.conf配置文件，使其支持POP3服务。

●启动dovecot服务，使其支持POP3服务。

1．如果在sendmail中，开放了对远程服务器的中继权限，同时又设置了SMTP认证，则在远程服务器通过本地Mail服务器发送邮件时，本地服务器将首先应用哪一种控制策略？如何检验？

2．停止了Sendmail服务后，能否继续通过本地服务器向外发送邮件？

● 能熟练完成利用Iptables架设企业NAT服务器。

● 能熟练完成企业Squid代理服务器的架设与维护。

项目1：假如某公司需要Internet接入，由ISP分配IP地址202.112.113.112。采用iptables作为NAT服务器接入网络，内部采用192.168.1.0/24地址，外部采用202.112.113.112地址。为确保安全需要配置防火墙功能，要求内部仅能够访问Web、DNS及Mail三台服务器；内部Web服务器192.168.1.100通过端口映象方式对外提供服务。网络拓扑结构如下图所示。

项目2：某公司用Squid作代理服务器（内网IP地址为192.168.1.2），该代理服务器配置为奔腾1.6G/512M/80G，公司所用IP地址段为192.168.1.0/24，并且想用8080作为代理端口。

练习Linux系统下NAT及Iptables防火墙的配置。

●载入相关模块。

●设置WEB服务器。

●设置DNS服务器。

●设置邮件服务器。

●设置不回应ICMP封包。

●防止网络扫描。

●允许管理员以SSH方式连接到防火墙修改设定。

●编辑/etc/squid/squid.conf文件，内容如下。

●启动Squid代理服务。

●配置代理服务器的客户端。

1．如果设置Iptables防火墙进行记录？

2．如何使Iptables将日志传递到系统日志文件，而不是控制终端？

● 能熟练完成企业Squid代理服务器的架设与维护。

某公司用Squid作代理服务器（内网IP地址为192.168.1.2），该代理服务器配置为奔腾1.6G/512M/80G，公司所用IP地址段为192.168.1.0/24，并且想用8080作为代理端口。

练习Linux系统下Squid代理服务器的配置。

●编辑/etc/squid/squid.conf文件，内容如下。

●启动Squid代理服务。

●配置代理服务器的客户端。

1．如果设置Iptables防火墙进行记录？

2．如何使Iptables将日志传递到系统日志文件，而不是控制终端？

 能熟练完成企业LDAP服务器的安装、配置、管理与维护。

练习Linux系统下LDAP服务器的配置方法。

工作目录在/usr/share/openldap/migration

配置/etc/openldap/slapd.conf

[root@RHCE5 migration]# slappasswd -s 1234567 －－－ ldap server 密码加密

{SSHA}D+Pgu8OZ+0rhLhbjSXtYwSbMAn6oGABC

 [root@RHCE5 migration]# vi /etc/openldap/slapd.conf

# added by wyong 2008.5.27

database bdb

suffix "dc=wyong,dc=net" ---注意这里要不能用dc=ns,dc=wyong,dc=net

rootdn"cn=Manager,dc=ns,dc=wyong,dc=net"

rootpw secret

rootpw {SSHA}iAloxgWwl+ImMHdfNaJhN2xOdaE8jslY

2.开启服务

[root@RHCE5 migration]# /etc/init.d/ldap start

 [root@RHCE5 migration]# ldapsearch -x -b '' -sbase '(objectclass=*)' namingContexts

3.帐号迁移

Red Hat 所提供的openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我们将使用这些工具将数据从 Linux 系统文件（例如 /etc/group 和 /etc/password）转换成 LDAP LDIF 格式，这是数据库信息的一种文本格式的表示。这种格式是行界定、冒号分隔的属性-值对。

有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们的目的来说，只需要修改命名前缀的变量来使用条目的识别名就足够了，如下所示：

$DEFAULT_BASE = "dc=wyong,dc=net"

在进行这些修改之后，请运行脚本 migrate_base.pl，它会创建根项，并为 Hosts、Networks、Group 和People 等创建低一级的组织单元

[root@RHCE5 migration]# vi migrate_common.ph

# modified by wyong 2008.5.27

# Default DNS domain

#$DEFAULT_MAIL_DOMAIN = "padl.com";

$DEFAULT_MAIL_DOMAIN ="ns.wyong.net";

# Default base #$DEFAULT_BASE = "dc=padl,dc=com";

$DEFAULT_BASE ="dc=ns,dc=wyong,dc=net";

添加数据库“树干“

 [root@RHCE5 migration]# ./migrate_base.pl >base.ldif

[root@RHCE5 migration]# vi base.ldif

［编辑 base.ldif，删除除wyong,people,group之外的所有条目：］在 LDAP 服务器上，使用 OpenLDAP 客户机工具 ldapadd 将以下条目插入到数据库中。简单身份验证必须要使用 -x 选项指定。在 slapd.conf 中定义的 rootdn 身份验证识别名是“cn=Manager,dc=ns,dc=wyong,dc=net”。对于简单身份验证来说，必须使用密码。选项 -W 强制提示输入密码。这个密码就是在 slapd.conf 文件中指定的 rootpw 参数的值。包含这些条目的 LDIF 文件是使用 -f 选项指定的：

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f base.ldif －－－ -v选项将输出更详细的内容

Enter LDAP Password:

adding new entry "dc=wyong,dc=net"

adding new entry"dc=ns,dc=wyong,dc=net"

adding new entry"ou=People,dc=ns,dc=wyong,dc=net"

adding new entry"ou=Group,dc=ns,dc=wyong,dc=net"

[root@RHCE5 migration]# passwd ldap －－－ 激活ldap用户

Changing password for user ldap.

New UNIX password:

BAD PASSWORD: it is too short

Retype new UNIX password:

passwd: all authentication tokens updatedsuccessfully修改ldap目录权限，否则可能会引起某些问题

[root@RHCE5 migration]# chown -R ldap.ldap /var/lib/ldap添加group和user数据库

方法一：单独添加，例如添加ldap

[root@RHCE5 migration]# grep ldap /etc/group> ldapuser.group

[root@RHCE5 migration]# ./migrate_group.plldapuser.group > ldapgroup.ldif

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldapgroup.ldif Enter LDAP Password:

adding new entry"cn=ldap,ou=Group,dc=ns,dc=wyong,dc=net"

[root@RHCE5 migration]# grep ldap /etc/passwd>ldapuser.passwd

[root@RHCE5 migration]# ./migrate_passwd.plldapuser.passwd >ldappasswd.ldif

[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldappasswd.ldif

Enter LDAP Password:

adding new entry"uid=ldap,ou=People,dc=ns,dc=wyong,dc=net"

配置 LDAP 客户机

一种快速而简单的方法是运行 /usr/sbin/authconfig，并在两个屏幕中输入信息。（authconfig-gtk图形化配置很简单就不说了）

另外一种方法是通过编辑客户机 LDAP 配置文件 /etc/ldap.conf，然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和/etc/pam.d/system-auth。

PAM 和 NSS 模块使用的基本配置文件是 /etc/ldap.conf。host 选项指定 LDAP 服务器，base选项指定这个目录使用的 DN，最初我们希望关闭加密功能：

host ns.wyong.net

base dc=wyong,dc=net

ssl off

要让 NSS 服务使用OpenLDAP 服务器，需要将 “ldap” 添加到/etc/nsswitch.conf 文件的 passwd、shadow和 group 行中，如下所示：

passwd: files ldap

shadow: files ldap

group: files ldap

要让 PAM 身份验证服务使用OpenLDAP 服务器，请将 pam_ldap 行加入到/etc/pam.d/system-auth 中，位置在对应的标准 pam_unix.so 条目之后。

● 能熟练完成企业VPN服务器的安装、配置、管理与维护。

某企业需要搭建一台VPN服务器。使公司的分支机构以及SOHO员工可以从Internet访问内部网络资源（访问时间：09:00-17:00）。

练习Linux系统下VPN服务器的配置方法。

步骤1：编辑/etc/pptpd.conf文件，设置虚拟专用连接的地址池。

步骤2：编辑/etc/pptpd/chap-secrets文件，设置远程登陆VPN客户端拨入时所使用的用户名、密码和分配给该用户的IP地址。

步骤3：设置/etc/ppp/options-pptpd文件。

[root@RHEL4 ~]# grep -v "#" /etc/ppp/options.pptpd

name pptpd           //相当于身份验证时的域，一定要和/etc/ppp/chap-secrets中的内容对应

refuse-pap            //拒绝pap身份验证

refuse-chap           //拒绝chap身份验证

refuse-mschap        //拒绝mschap身份验证

require-mschap-v2     //采用mschap-v2身份验证方式

require-mppe-128      //在采用mschap-v2身份验证方式时要使用MPPE进行加密

ms-dns 192.168.0.9    //给客户端分配DNS服务器地址

ms-wins 192.168.1.1   //给客户端分配WINS服务器地址

proxyarp             //启动ARP代理

步骤4：启动Linux的路由转发功能。

步骤5：启动VPN服务器。

步骤6：设置VPN服务器穿透防火墙。

步骤7：VPN客户端的设置。

（1）在桌面上右击【网上邻居】并从弹出的快捷菜单中点击【属性】，接着在弹出的窗口中点击【新建连接】，打开【网络连接向导】对话框，如图所示。

（2）单击“下一步”，在该对话框中选择网络的连接类型为“通过Internet连接到专用网络”，如图所示。

（3）单击“下一步”，选择VPN客户端接入Internet网络的连接方式。在此选择“不拨初始连接”，如图所示。

（4）单击“下一步”，设置VPN服务器的地址，在此输入VPN服务器的IP地址或主机名，然后单击“下一步”，如图所示。

（5）单击“下一步”，设置是否允许所有用户使用此连接，在此我们选择“所有用户使用此连接”，如图所示。

（6）单击“下一步”，打开“完成网络连接向导”在此设置此虚拟连接的名称，在此输入“jnrp-vpn”，如图所示。单击完成按钮，即可完成该向导。

（7）在下图所示的对话框中输入登录VPN服务器的用户名和密码，单击“连接按钮”，这时客户端就开始与VPN服务器建立连接，完成用户名和密码的核对，网络注册等工作。分别如图16-9和16-10所示。

（8）在连接成功之后在VPN客户端利用ipconfig命令可以看到多了一个ppp连接，如图所示。

（9）在VPN服务器端利用ifconfig命令可以看到多了一个ppp0连接，如图所示。

1．如果在sendmail中，开放了对远程服务器的中继权限，同时又设置了SMTP认证，则在远程服务器通过本地Mail服务器发送邮件时，本地服务器将首先应用哪一种控制策略？如何检验？

2．停止了Sendmail服务后，能否继续通过本地服务器向外发送邮件？