Guía B3 Instalación y configuración servicio NFS en Windows Server 2012

(1)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 1 de 22

Guía B3 – Instalación y configuración servicio NFS en Windows Server

2012

Contenido de la Guía

I. Descripción de la guía ... 2

1.1 Consideraciones Previas ... 2

1.2 Descripción del escenario ... 2

II. Desarrollo de la guía. ... 3

2.1 Configurar el servicio SMB/CIFS ... 3

Pasos previos ... 3

Paso 1 – Instalar el servidor SMB/CIFS ... 5

2.2 Crear usuarios, grupos y directorios ... 7

Paso 1. Crear usuarios y grupos de usuarios... 7

Paso 2. Compartir la estructura de los contenedores ... 11

Paso 3. Definir los permisos de acceso vía SMB/CIFS ... ¡Error! Marcador no definido. Paso 4 – Definir los permisos del sistema operativo (NTFS) ... 14

Paso 5. Verificar los permisos desde los clientes. ... 19

Anexos ... 21

Objetivo general de la guía.

 Mostrar el procedimiento para configurar el servicio NFS en un servidor Windows 2012 R2

Objetivos específicos.

 Configurar recursos compartidos en la red.

Nomenclatura de la guía:

En esta guía se ha utilizado el siguiente formato:

 Fuente courrier en negrita para los comandos que deben digitarse, por ejemplo: root@front-end:~#

ps aux |grep sshd

 Texto con resaltado en amarillo, para la información que debe visualizar cuando realice algún procedimiento o comando. Puede contener color rojo dentro del fondo amarillo.

root@front-end:~# mcedit /etc/resolv.conf

search empresay.com.sv

nameserver 192.168.2.1

 Las notas o consideraciones se destacan con:



Nota:Para esta guía se ha utilizado

La información aquí presentada ha sido creada por Víctor Cuchillac (padre), cualquier uso o referencia debe citarse al autor.

(2)

I. Descripción de la guía

1.1 Consideraciones Previas

Para el desarrollo de la guía será necesario lo siguiente:

 Un Equipo o MV con dos tarjetas de red para la instalación y configuración del router01.

 La conexión a Internet.

 Un servidor FreeNAS con dos LUN compartidos.

 Un servidor Windows 2012 R2 con conexión iSCSI a un LUN de FreeNAS

 Un servidor CentOS 7.X con conexión iSCSI a un LUN de FreeNAS

 Un cliente Windows 10

 Un cliente Linux Ubuntu 16.04 LTS

 Un cliente Android x86 (de preferencia)

 Herramientas de administración para SSH:

o MaSSHandra

o KiTTY para Windows.

o WinSCP o FileZilla para Windows.

o Notepad+++ para Windows (opcional)

1.2 Descripción del escenario

El administrador de la red de la EMPRESAY ha contratado los servicios profesionales de su equipo de trabajo para la instalación y configuración del servicio “Servidor de Archivos” en un contexto NAS basado en NFS.

En la EMPRESAY existen por el momento cuatro departamentos: Ventas, Compras, Bodega, Contabilidad. Para cada departamento existen tres usuarios. (Ver cuadro No.1), La interacción del servicio de archivos entre los usuarios, los recursos compartidos y los permisos se detalla a continuación.

(3)

II. Desarrollo de la guía.

2.1 Configurar el servicio SMB/CIFS

Pasos previos

0.1 Verificar la comunicación con el datastore01 0.2 Verificar que el iniciador esté conectado al target

Presione: Win + R Escriba: iscsicpl

Comprobar que aparezca el indicador “Conectado”, si no estuviera conectado, establezca los parámetros de conexión (es de recordar que se utiliza la autenticación CHAP

(4)

0.3 Verificar que aparezca el disco duro correspondiente al LUN del target

Presione: Win + R Escriba: diskmgmt.msc

(5)

Paso 1 – Instalar el servidor NFSSMB/CIFS

1.1 Dar un clic en el administrador del servidor 1.2 Seleccionar Panel

1.3 Clic en agregar roles y características 1.4 Seleccionar como tipo de instalación:

Instalación basada en características o en roles. Dar clic en botón siguiente

1.5 seleccionar el servidor

Srv2012

1.6 Seleccionar servicios

Ubicar: “Servicios de archivos”

Ubicar: “Servicios de iSCSI y archivos” Seleccionar: “Servidor para NFS”

Si aparece una pantalla para agregar la característica “Servicios para herramientas administración Network File System”, dar clic en el botón “Agregar características”

(6)

1.7 Seleccionar características

De forma predeterminada el asistente ha agregado “Servicios para herramientas administración Network File System”,

Dar clic en botón siguiente

1.8 Verificar componentes a instalar

Dar clic en botón “Instalar” Dar clic en botón “Cerrar”

(7)

2.2 Crear usuarios, grupos y directorios



Nota:Omita todo el paso si ya tiene creados las cuentas de usuarios y grupos de usuarios

Paso 1. Crear usuarios y grupos de usuarios.

Para este escenario se utilizarán las siguientes cuentas usuarios y grupos de usuarios:

ID Grupo miembros Otros

1 vendedores usu01/123456, usu02/123456, usu03/123456 Contraseña no caduca 2 compradores usu04/123456, usu05/123456, usu06/123456 Contraseña no caduca 3 bodegueros usu07/123456, usu08/123456, usu09/123456 Contraseña no caduca 4 contadores usu10/123456, usu11/123456, usu12/123456 Contraseña no caduca

Cuadro 01 – listado de usuarios y grupos de usuarios

1.1 Modificar las políticas de seguridad para permitir contraseñas sencillas

/Panel de control / Sistema y seguridad / Herramientas administrativas / Directivas de seguridad local

/ Configuración de seguridad / Directivas de cuenta / Directivas de contraseña / La ontraseña debe cumplir con los requisitos de complejidad  No.

1.2 Crear las cuentas de usuario.

Puede utilizar la GUI de las herramientas administrativas o crear el usuario utilizando el siguiente comando

C:>\ net user usu01 123456 /fullname:"usu01" /comment:"usu01" /passwordch:no /expires:never /add

Se ha completado el comando correctamente.

(8)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 8 de 22 Si se desea crear los usuarios de forma gráfica utilice el administrador de equipos.

1.3 Verificar que se hayan creado los usuarios

Digite el siguiente comando:

C:\>net users

Cuentas de usuario de \\SRV2012

--- Administrador Invitado usu01

usu02 usu03 usu04 usu05 usu06 usu07 usu08 usu09 usu10 usu11 usu12

(9)

1.4 verificar grupos locales existentes.

Digite el siguiente comando

C:|\net localgroup

Alias para \\SRV2012

--- *Access-Denied Assistance Users

*Administradores

*Administradores de Hyper-V *Certificate Service DCOM Access *Duplicadores

*IIS_IUSRS *Invitados

*Lectores del registro de eventos *Operadores criptogr ficos

*Operadores de asistencia de control de acceso *Operadores de configuraci¢n de red

*Operadores de copia de seguridad *Opers. de impresi¢n

*Servidores de acceso remoto RDS *Servidores de administraci¢n RDS *Servidores de extremo RDS

*Usuarios

*Usuarios avanzados

*Usuarios COM distribuidos

*Usuarios de administraci¢n remota *Usuarios de escritorio remoto *Usuarios del monitor de sistema *Usuarios del registro de rendimiento *vendedores

*WinRMRemoteWMIUsers__

1.5 Crear los grupos de cuentas de usuario.

Utilizando la información del cuadro 1 digite los siguientes comandos

C:\>net localgroup vendedores /comment:"usuarios depto. ventas" /add

C:\>net localgroup compradores /comment:"usuarios depto. compras" /add

C:\>net localgroup bodegueros /comment:"usuarios depto. bodegas" /add

C:\>net localgroup contadores /comment:"usuarios depto. contabilidad" /add

(10)

1.6 Verificar que se hayan creado los grupos de cuentas de usuarios.

C:\>net localgroup |findstr "ores"

*Administradores

*Administradores de Hyper-V *compradores

*contadores *Duplicadores

*Operadores criptogr ficos

*Operadores de asistencia de control de acceso *Operadores de configuraci¢n de red

*Operadores de copia de seguridad *Servidores de acceso remoto RDS *Servidores de administraci¢n RDS *Servidores de extremo RDS

*vendedores

Verificar para grupo bodegueros

1.7 Agregar las cuentas de usuarios a los grupos

C:\>net localgroup vendedores usu01 usu02 usu03 /add

(11)

Paso 2. Crear la estructura de los contenedores

Se crearán los siguientes directorios y serán compartidos acorde al siguiente cuadro. ID Alias Ruta física Acceso desde

0 compa E:\archivos\repo00 192.168.50.0

1 ventas E:\archivos\repo01 192.168.50.0 2 compras E:\archivos\repo02 192.168.50.0 3 bodega E:\archivos\repo03 192.168.50.0 4 conta$ E:\archivos\repo04 192.168.50.0

Cuadro No. 2 – recursos compartidos en la red



Nota:Cada recurso compartido deberá tener como máximo 3 conexiones concurrentes.

2.1 crear los directorios

Digite los siguientes comandos

C:\>e:

E:\>mkdir archivos

E:\>mkdir archivos\repo00 archivos\repo01 archivos\repo02 archivos\repo03 archivos\repo04

2.2 Verificar que el directorio y subdirectorios se crearon correctamente.

E:\>tree

Listado de rutas de carpetas para el volumen Nuevo vol El n£mero de serie del volumen es 0000000A 480F:53BF E:. └───archivos ├───repo00 ├───repo01 ├───repo02 ├───repo03 └───repo04

(12)

Paso 3 – Compartir los recursos con NFS

3.1 Verificar los recursos compartidos

C:\Users\Administrador>nfsshare

El espacio en blanco indica que no hay recursos compartidos por NFS

3.2 Compartir los recursos acordes al cuadro No. 1

Utilizando la interfaz gráfica. Abrir el administrador de Archivos

Seleccionar el subdirectorio /archivos/repo00

Seleccionar la ficha “Uso compartido de la ficha NFS” Dar clic en botón “Administrar uso compartido de NFS …” En la pantalla emergente “Uso compartido avanzado de NFS”

 Habilitar el recurso compartido

 Definir el alias según cuadro No. 2

 Definir codificación ANSI

 Seleccionar “Sin autenticación de servidor (Auth_SYS)”

Dar clic en botón “Permisos”.

En la pantalla emergente, dar clic en botón “Agregar”

 Definir las direcciones de red: Para este caso 192.168.50.0

 Tipo de codificación: ANSI Dar clic en botón “Aceptar”. Dar clic en botón “Aceptar”.

(13)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 13 de 22 Dar clic en botón “Cerrar”.

2.5 Verificar que se están compartiendo los directorios

C:\Users\Administrador>nfsshare

compa = E:\archivos\repo00

Si se desea observar los recursos por la interfaz gráfica

Abrir “Administrador del servidor” \ Seleccionar “Servidor de Archivos y almacenamiento” \ seleccionar “Recursos Compartidos” \ Listar por protocolos (clic en la etiqueta protocolo)

(14)

Paso 4 – Definir los permisos del sistema operativo (NTFS)

Para los permisos NTFS se utilizarán los permisos definidos en el siguiente cuadro: ID Alias Usuario owner Depto. ventas Depto. compras Depto. Bodega Depto. Conta Otros 0 compa Administrador W W W M --- 1 ventas usu01 M W R --- --- 2 compas usu04 W M R --- --- 3 bodega usu07 W RX M --- --- 4 conta$ usu10 --- --- --- M ---

Cuadro No. 4 – Permisos para acceso en NTFS Derechos simples:

F = Acceso total

M = Acceso de modificación RX = lectura y ejecución de acceso R = Acceso de sólo lectura

W = Acceso de sólo escritura Derechos específicos:

D = Eliminar

RC = Control de lectura WDAC = Escribir DAC WO = Escribir propietario) S = sincronizar)

AS = Seguridad de acceso del sistema) MA = el máximo permitido GR = lectura genérica GW = escritura genérica GE = ejecución genérica GA = todo genérico RD = directorio de la lista de datos lectura.

WD= escribir archivo de datos o agregar

AD = anexar datos/Agregar subdirectorio

REA = (leer atributos extendidos) AEM = (atributos extendidos de escritura)

X = ejecutar o recorrer)

Controlador de dominio (eliminar secundario) RA (los atributos de lectura)

WA (atributos de escritura)

Los derechos de herencia pueden preceder a cualquiera de los derechos de los archivos y se aplican sólo a directorios: OI: herencia de objeto

CI: herencia de contenedor IO: heredar sólo

(15)

4.1 Verificar los permisos de los directorios

Revisando los derechos asignados por comandos

E:\>icacls archivos/repo00

archivos/repo00 BUILTIN\Administradores:(F) BUILTIN\Administradores:(I)(OI)(CI)(F) NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F) CREATOR OWNER:(I)(OI)(CI)(IO)(F) BUILTIN\Usuarios:(I)(OI)(CI)(RX) BUILTIN\Usuarios:(I)(CI)(AD) BUILTIN\Usuarios:(I)(CI)(WD)

Se procesaron correctamente 1 archivos; error al procesar 0 archivos

Revisando los permisos por medio de las herramientas gráficas

\ Panel de control\Sistema y seguridad \ Herramientas administrativas \ Administrador de equipos \ Carpetas compartidas \ Recursos compartidos

Seleccionar recursos compartidos Dar doble clic en el recurso “compa” Seleccionar ficha “Seguridad” Dar clic en el botón Editar

(16)

4.2 Quitar herencia

Por criterios de seguridad se quitará la herencia, es importante verificar si un grupo o usuario de sistema necesita tener permisos.

Por consola

E:\>icacls archivos\repo00 /inheritance:r

archivo procesado: archivos\repo00

Por interfaz gráfica

Seleccionar recursos compartidos Dar doble clic en el recurso “compa” Seleccionar ficha “Seguridad”

(17)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 17 de 22 Dar clic en botón deshabilitar herencia

Dar clic e botón “Aceptar”

Seleccionar la opción “Quitar todos los permisos de este objeto”

Dar clic en el botón “Aplicar” Dar clic en el botón “Aceptar” Dar clic en el botón “Aceptar”

4.3 Asignar los permisos

Utilice la información del cuadro No. 4 Por consola

E:\>icacls E:\archivos\repo00 /T /grant administrador:(OI)(CI)F /grant

vendedores:(OI)(CI)W /grant compradores:(OI)(CI)W /grant bodegueros:(OI)(CI)W /grant contadores:(OI)(CI)M

archivo procesado: E:\archivos\repo00

(18)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 18 de 22 Por interfaz gráfica

Seleccionar recursos compartidos Dar doble clic en el recurso “compa” Seleccionar ficha “Seguridad” Dar clic en el botón Editar

Agregar solo los usuarios y grupos del Cuadro No. 4

4.4 Verificar los permisos

Por Consola

E:\>icacls E:\archivos\repo00

E:\archivos\repo00 SRV01\contadores:(OI)(CI)(M) SRV01\bodegueros:(OI)(CI)(W) SRV01\compradores:(OI)(CI)(W) SRV01\vendedores:(OI)(CI)(W) SRV01\Administrador:(OI)(CI)(F)



Nota:Otros comandos útiles

 Restablecer permisos a las opciones predeterminadas, con /T se utiliza (opción tree  árbol)

E:\>icacls archivos\repo00 /T /reset  Para reemplazar todos los permisos anteriores

E:\>icacls archivos\repo00 /T /grant:r permisos

Por interfaz gráfica repita paso 4.3

(19)

Paso 5. Verificar los permisos desde los clientes.

Para probar que se cumplan las especificaciones del escenario (sección 1.2), cree los siguientes archivos con cualquier texto:

No. Directorio Archivos Usuario creador 1 archivos/repo00 lt00doc01.txt lt00doc02.txt lt00doc03.txt Administrador 2 archivos/repo01 d01doc01.txt d01doc02.txt d01doc03.txt usu01 3 archivos/repo02 d02doc01.txt d02doc02.txt d02doc03.txt usu04 4 archivos/repo03 d03doc01.txt d03doc02.txt d03doc03.txt usu07 5 archivos/repo04 rep04doc01.txt rep04doc02.txt rep04doc03.txt usu10

5.1 Ingrese desde el cliente Windows 10 o Windows 7

Puede utilizar instalar un cliente NFS versión 3 o 4

Puede utilizar las opciones de cliente NFS si su versión de Windows las tiene.

5.2 Ingrese desde el cliente Linux

Si es Ubuntu Desktop puede utilizar el explorador de archivos Desde cualquier Linux puede conectarse por medio de la consola

root@clielin:~# useradd usu01 root@clielin:~# passwd usu01

root@clielin:~# usermod -aG sudo usu01

root@clielin:~# mkdir /mnt/enlace/ -p

root@clielin:~# chown usu01:users /mnt/enlace -R root@clielin:~# chmod 777 /mnt/enlace -R

root@clielin:~# ls -l /mnt/

root@clielin:~# su usu01

usu01@clielin:/root$ sudo mount -t nfs 192.168.50.3:/compa /mnt/enlace/

usu01@clielin:/root$ ls -l /mnt total 5

drwxrwxrwx 2 4294967294 4294967294 64 oct 16 05:29 enlace drwxr-xr-x 2 root root 4096 mar 30 2015 hgfs

(20)

usu01@clielin:/root$ ls -l /mnt/enlace/ total 1

--- 1 4294967294 4294967294 15 oct 16 05:29 prueba1.txt.txt

usu01@clielin:~$ cat /mnt/enlace/prueba1.txt.txt sdsak

kAJSKA sdsdd

5.3 Ingrese a los recursos desde el cliente Android

(21)

Anexos

Sitios de información técnica Especificación técnica para NFS

Versión 4.1 https://tools.ietf.org/html/rfc5661 Versión 3.0 https://tools.ietf.org/html/rfc1813 Versión 2.0 https://tools.ietf.org/html/rfc1813

Información sobre servicio NFS de MS

https://msdn.microsoft.com/es-es/library/jj574143(v=ws.11).aspx

root@clielin:~# useradd usu01 root@clielin:~# passwd usu01

root@clielin:~# usermod -aG sudo usu01 root@clielin:~# mkdir /mnt/enlace/ -p

root@clielin:~# ls -l /mnt/ root@clielin:~# su usu01

usu01@clielin:/root$ sudo mount -t nfs 192.168.50.3:compa /mnt/enlace/ usu01@clielin:/root$ ls -l /mnt

total 5

--- 1 4294967294 4294967294 15 oct 16 05:29 prueba1.txt.txt usu01@clielin:/root$ cat /mnt/enlace/prueba1.txt.txt

cat: /mnt/enlace/prueba1.txt.txt: Permiso denegado root@clielin:~# mkdir /mnt/enlace/ -p

root@clielin:~# ls -l /mnt/ total 8

drwxrwxrwx 2 usu01 users 4096 oct 16 04:43 enlace drwxr-xr-x 2 root root 4096 mar 30 2015 hgfs root@clielin:~# su usu01

usu01@clielin:/root$ sudo mout -t nfs 192.168.50.3:compa /mnt/enlace/ sudo: mout: command not found

usu01@clielin:/root$ sudo mount -t nfs 192.168.50.3:compa /mnt/enlace/ usu01@clielin:/root$ ls -l /mnt

total 5

(22)

Elaborado por Ing. Víctor Cuchillac (padre) – Página 22 de 22 --- 1 4294967294 4294967294 15 oct 16 05:29 prueba1.txt.txt

usu01@clielin:/root$ cat /mnt/enlace/prueba1.txt.txt cat: /mnt/enlace/prueba1.txt.txt: Permiso denegado usu01@clielin:/root$