STANDAR KOMPETENSI 8: Mengadministrasi server dalam jaringan
1. Uraian Materi a Samba
Samba adalah server yang sangat powerful yang dapat membuat sistem berbasis Unix (seperti Linux) untuk melakukan resource sharing dengan sistem berbasis Windows. Hal ini tentu sangat berguna pada sebuah LAN yang terdiri atas beberapa workstation dengan platform sistem operasi Linux dan Windows sehingga dapat lebih efisien dengan adanya pembagian resource, seperti file dan printer, untuk dapat digunakan secara bersama-sama.
Protokol server message block (SMB) ini dapat membuat sebuah komputer dengan sistem operasi Unix menjadi file atau printserver atau seperti ftpclientuntuk mengakses share SMB baik di Samba server atau di sever lain yang kompatibel seperti Windows NT, mendukung
nameserving dan browsing NetBIOS, dan lain-lain. b. Mekanisme SMB
1. Username dan Password
Untuk memahami hubungan antara Linux/Samba/Windows, kita harus mempelajari sistem file, printer, dan user pada kedua operatingsystem. Beberapa manajemen pengaturan username dan passworddapat dilakukan sebagai berikut:
- Linux Password Authentication Module (PAM) , akan membuat autentikasi user dengan PDC sehingga kita tetap mempunyai dua user, satu di lokal dan satu lagi di PDC , tapi user hanya perlu menyimpan password hanya dalam sistem Windows.
- Samba sebagai PDC, akan menyimpan login dan password pada sistem Linux.
- Membuat solusi sendiri dengan Perl. Hal ini dilakukan dengan menggunakan Winperl dan modul-modul Perl yang memungkinkan pengubahan pada Security Access Manager (SAM), untuk meng-update daftar password PDC. Script Perl pada sisi Linux dapat berkomunikasi dengan script WinPerl untuk menjaga sinkronisasi account.
2. Encrypted Password
Sejak Windows NT 4, Windows 98, dan Windows 95 OSR2, Windows menggunakan password terenkripsi saat berkomunikasi menggunakan PDC dan setiap server yang memerlukan autentikasi (termasuk Linux dan Samba).
Alogoritma enkripsi Windows berbeda dengan UNIX, sehingga tidak kompatibel. Untuk menangani hal itu, kita dapat melakukan pilihan-pilihan sebagai berikut :
- Mengedit Registry pada klien Windows untuk men-disable penggunaan password terenkripsi. Bagian registry yang harus diubah terdapat pada direktori docs paket Samba.
- Mengkonfigurasi Samba agar mengunakan password terenkripsi Windows.
Pilihan pertama mempunyai kelebihan dengan tidak adanya pola password yang lebih kompleks. Pada sisi lain, kita harus membuat registry yang tetap pada semua klien. Untuk pilihan kedua sebaliknya, yakni sedikit lebih kompleks pada sisi server, tapi kita tidak usah mengubah bagian klien.
c. Instalasi Paket Samba Server
Paket Samba rilis terbaru bisa dilihat di homepage Samba :
http://us1.samba.org/samba/samba.html. Bila tersedia, paket juga bisa diambil melalui ftp site-ftp site terdekat. Pada modul ini, kita akan menginstal paket : samba-2.0.7.tar.gz. Pastikan file source ini sudah di-download dan diletakkan di direktori /usr/local/src (atau direktori lainnya). d. Konfigurasi Samba Server
Setelah melakukan instalasi server Samba maka dilakukan beberapa konfigurasi yang diper- lukan untuk menyiapkan layanan dari server tersebut. Dalam membuat konfigurasi Samba server ini sangat bergantung pada kebutuhan dan arsitektur dari jaringan komputer kita. Misalkan Samba server ini bisa dikonfigurasikan hanya terkoneksi satu klien atau bahkan terkoneksi dengan 1000 klien. Untuk menjalankan Samba server, dibutuhkan file-file berikut ini dan harus dibuat atau dikopi pada direktori-direktori yang cocok pada server.
1. Konfigurasi file smb.conf
File konfigurasi utama untuk Samba server ini adalah /usr/ local/samba/lib/smb.conf , dimana kita dapat menentukan direktori yang ingin kita akses dari komputer Windows, IP Address mana yang diijinkan, dan sebagianya. Pada file ini juga terdapat banyak sekali option (pilihan). Untuk informasi lebih lanjut tentang berbagai setting dan parameter dapat dilihat di dokumentasi Samba.
2. Konfigurasi file /etc/Imhosts
File /etc/lmhosts adalah file untuk memetakan nama NetBIOS Samba ke IP Address. Format file ini mirip /etc/hosts , tapi komponen dari hostname harus sesuai dengan format penamaan NetBIOS. Pertama-tama kita harus membuat file:
/etc/ lmhosts ini. # touch /etc/lmhosts
Pada file ini, tambahkan host-host klien sbb: # pico /etc/lmhosts
127.0.0.1 Localhost 192.168.1.1 PLPG115
Teruskan pengisian file di atas untuk semua hosts yang ada dalam network kita.
3. Membuat password Client Samba terenkripsi
File /etc/smbpasswd adalah file password Samba yang terenkripsi. File ini berisi username, UID, password terenkripsi masing-masing user yang dapat mengakses Samba. Untuk membuat account Samba, user-user Samba harus sudah ada dalam file /etc/passwd Linux. Untuk
menambahkan nama userdapat dilakukan sebagai berikut: # adduser smbclient
# passwd smbclient
Changing password for user smbclient New UNIX password: Retype new UNIX password:
passwd:all authentication tokens updated successfully
Setelah kita menambahkan semua client Samba pada file /etc/passwd , kita dapat membuat file /etc/smbpasswd dari file /etc/passwd dengan perintah sbb:
# cat /etc/passwd | mksmbpasswd.sh > /etc/smbpasswd
Kemudian kita harus membuat account user Samba pada file /etc/smbpasswd sebelum kita dapat menggunakannya.
# smbpasswd a smbclient New SMB password:
Retype new SMB password: Added user smbclient
Password changed for user smbclient.
Untuk menjalankan dan menghentikan daemon Samba, nmbd dan smbd secara otomatis kita dapat menjalankan script file /etc/ rc.d/ init.d/smb.
e. Menjalankan Samba
Sebelum menjalankan Samba kita harus membuat direktori seperti yang sudah didefinisikan pada file Makefile. Direktori ini tidak secara otomatis dibuat saat perintah make install.
# mkdir /usr/local/samba/var
Samba dapat dijalankan dengan dua macam cara. Pertama dijalankan sebagai daemon dan kedua menjalankannya dari inetd. Samba yang dijalankan sebagai daemon akan sedikit lebih cepat dalam melayani permintaan client jika dibandingkan dengan Samba yang dijalankan dari inetd. Untuk menjalankan Samba kita harus menjalankan daemon smbd dan nmbd.
# /usr/local/samba/bin/smbd D # /usr/local/samba/bin/nmbd D
Agar Samba selalu dijalankan setiap kali Linux melakukan booting, kita dapat menambahkan baris-baris di atas pada file /etc/rc.d/rc.local :
# pico /etc/rc.d/rc.local /usr/local/samba/bin/smbd D # /usr/local/samba/bin/startsmb
Untuk mematikan Samba, kill proses smbd dengan cara sbb : # ps ax|grep smbd
Dengan perintah di atas akan tampak proses smbd beserta nomor PID-nya. # kill -9 [nomor PID smbd]
2. Rangkuman
Samba adalah server yang sangat powerful untuk membuat sistem berbasis Unix (seperti Linux) dalam melakukan sharing resource dengan sistem berbasis Windows. Hal ini tentu sangat berguna pada sebuah LAN yang terdiri atas beberapa workstation dengan sistem operasi Linux dan Windows. Samba merupakan sebuah software aplikasi buatan Andrew Tridgel dari ANU (Australian National University) dengan mengimplementasikan protokol SMB (Server Message Block) pada sistem operasi Unix. Protokol SMB ini dapat membuat sebuah komputer dengan sistem operasi Unix menjadi file atau printserver menjadi file atau printserver atau seperti klien ftp untuk mengakses share SMB.
3. Tugas
Buatlah sebuah group dan beberapa user pada server dengan password terenkripsi. Uji apakah password dapat dilihat dengan menggunakan packet sniffing.
Kegiatan Belajar 3
Mengecek kondisi server melalui log file
1. Uraian Materi
Untuk mengelola server secara efektif dibutuhkan umpan balik tentang aktifitas dan kinerja server serta setiap masalah yang mungkin muncul. Server web yang dibangun dengan
menggunakan Apache menyediakan kemampuan pencatatan (logging) yang lengkap dan fleksibel. Berikut ini dijelaskan cara mengkonfigurasi kemampuan pencatatan (logging) dan menjelaskan isi dari masing-masing catatan (log). Pencatatan yang dilakukan pada server Apache meliputi: security warning, error log, access log, log rotation, piped logs, virtual hosts, dan log lainnya.
a. Security Warning
Siapapun yang dapat menulis ke direktori dimana Apache menuliskan file log dapat menguat-kan aksesnya ke tempat dimana server mulai bekerja yang umumnya adalah root. Jangan pernah memberikan akses ke direktori dimana file log disimpan tanpa memperhitungkan konsekuensinya. File log mungkin berisi informasi yang dikirimkan secara langsung oleh klien sehingga dimungkin-kan bagi seorang klien memasukkan karakter-karakter kontrol dalam file log untuk melakukan perusakan.
b. Error Log
Pencatatan kesalahan server (server error log), dimana nama dan lokasinya diatur oleh ErrorLog directive, adalah file log yang paling penting. File pencatatan ini adalah tempat dimana Apache http akan mengirimkan informasi diagnostik dan merekam semua kesalahan (error) yang terjadi selama memproses permintaan akses. File ini merupakan tempat pertama yang dilihat jika sebuah kesalahan terjadi saat server mulai bekerja atau ketika server sedang bekerja karena file ini seringkali berisi detil dari apa yang telah berlaku salah dan bagaimana memperbaikinya.
Pencatatan kesalahan (error log) biasanya dilakukan ke sebuah file (error_log pada Unix dan error.log pada Windows dan OS/2). Pada sistem Unix dimungkinkan juga sebuah server mengirimkan ke syslog atau meneruskannya ke sebuah program (/#piped).
Format dari pencatatan kesalahan relatif bebas dan deskriptif. Tetapi terdapat informasi tertentu yang terdapat dalam sebagian besar masukan catatan kesalahan. Perhatikan contoh berikut:
[Wed Oct 11 14:32:52 2000] [error] [client 127.0.0.1] client denied by server configuration: /export/home/live/ap/htdocs/test
Item pertama dalam catatan tersebut adalah tanggal dan waktu dari pesan. Item kedua adalah keparahan kesalahan yang akan dilaporkan. Direktif LogLevel digunakan untuk mengontrol jenis-jenis kesalahan yang akan dikirimkan ke catatan kesalahan dengan memperhatikan tingkat keparahannya. Item ketiga adalah alamat IP dari klien yang mengakibatkan kesalahan. Di luar itu adalah pesan itu sendiri, yang dalam hal ini menunjukkan bahwa server telah dikonfigurasi untuk menolak akses klien. Server melaporkan path file sistem (sebagai lawan dari jalan web) dari dokumen yang diminta.
Berbagai macam pesan yang sangat berbeda dapat muncul dalam errorlog.Kebanyakan terlihat mirip dengan contoh di atas. Error log juga akan berisi keluaran debugging dari CGI script. Setiap informasi ditulis ke stderr oleh scriptCGI akan disalin langsung ke error log.
Hal ini tidak mungkin untuk menyesuaikan log kesalahandengan menambahkan atau menghapus informasi. Namun, entri log kesalahan berhubungan dengan permintaan tertentu memiliki entri yang sesuai dalam log akses. Misalnya, masuknya contoh di atas sesuai dengan entri log akses dengan kode status 403.Karena itu adalah mungkin untuk menyesuaikan log akses, Anda dapat memperoleh informasi lebih lanjut tentang kondisi kesalahan menggunakan filelog.Selama pengujian, seringkali berguna untuk terus memantau error log untuk setiap masalah. Pada sistem UNIX, Anda dapat mencapai hal ini menggunakan:
tail -f error_log c. Access Log
Log akses server merekam semua permintaan diproses oleh server. Lokasi danisi dari log akses dikendalikan oleh direktif CustomLog. Format log direktif dapat digunakan untuk
menyederhana-kan pemilihan isi log. Bagian ini menjelaskan cara mengkonfigurasi server untuk mencatat informasi pada log akses.
Tentu saja, menyimpan informasi dalam log akses hanya awal manajemen log.Langkah berikutnya adalah untuk menganalisis informasi ini untuk menghasilkan statistik yang bermanfaat. Analisis log pada umumnya adalah di luar lingkupdokumen ini, dan tidak benar- benar bagian dari pekerjaan dari server web itu sendiri. Untuk informasi lebih lanjut tentang topik ini, dan untuk aplikasi yang melakukan analisa log, periksa Open Directory atau Yahoo.
Berbagai versi dari Apache httpd telah menggunakan modul lain dan arahanuntuk mengontrol akses masuk, termasuk mod_log_referer, mod_log_agent, danTransfer direktif. Direktif CustomLog sekarang subfungsionalitas darisemua arahan yang lebih tua.
Format dari log akses sangat dapat dikonfigurasi. Format ini ditentukan dengan mengguna- kan format string yang terlihat seperti stringC-style printf(1) format.Beberapa contoh disajikan dalam bagian berikutnya. Untuk daftar lengkap darikemungkinan isi dari string format, lihat dokumentasi mod_log_config.
Sebuah konfigurasikhas untuklog aksesmungkin terlihatsebagai berikut.
LogFormat "%h %l %u %t \"%r\" %>s %b" common CustomLog logs/access_log common Perintah ini mendefinisikan julukan umum dan rekan dengan string format log
tertentu.Format string terdiri dari arahan persen, masing-masing memberitahu server untuk login bagian tertentu dari informasi. Karakter literal juga dapat ditempatkan dalam format string dan akan disalin langsung ke output log. Karakter quote (") harus diganti dengan menempatkan back- slash sebelumnya untuk mencegah dari yang ditafsirkan sebagai akhir dari format string. Format string juga mengandung karakter kontrol khusus." \N "untuk baris baru dan "\t" untuk tab.
2. Rangkuman
Seluruh aktifitas server dicatat dalam file log yang berguna dalam mengelola server. Ng Security warning atau peringatan keamanan perli diperhatikan karena siapapun yang dapat mengakses file log atau direktori yang ditempatinya akan memiliki akses ke sistem keamanan server. Seluruh kesalahan yang terjadi pada server dicatat dalam ErrorLog sementara itu seluruh akses menuju server tertentu dicatat dalam AccessLog.
3. Tugas
Jelaskan sebuah entry pada AccessLog ditunjukkan berikut ini:
127.0.0.1 - frank [10/Oct/2000:13:55:36 -0700] "GET /apache_pb.gif HTTP/1.0" 200 2326