W' page

출처 : http://mwultong.blogspot.com/2006/10/kst-linux-timezone.html

          http://nicolasjo.tistory.com/24

Cent OS 7 을 설치하다 보면 실수로 타임존 설정을 건너뛰곤 한다.

리눅스를 설치할 때 시간대(타임존;Timezone)를 맞추지 않으면, 컴퓨터 시계가 미국 시간인 EST로 나온다.

이 때에는 ntp 를 설치하여 서버 시간을 맞추려 한들 소용이 없다. 서버 자체의 timezone 을 바꿔야만 한다.

이것을 한국 표준시인 KST 로 변경할 필요가 있다.

정상

# date

Tue Jan 27 00:24:08 KST 2015

비정상

# date

Tue Jan 26 09:24:08 EST 2015

서울의 timezone 정보가 담긴 파일을 찾아 서버 시간으로 연결해줘야 한다.

# ls /usr/share/zoneinfo/Asia

이 안에 보면 Seoul 이라는 파일이 존재한다. 이제 이 파일을 서버 시간을 맞춰주는 파일에 심볼릭 링크를 걸어줘야 한다.

먼저 원래 파일 백업한 뒤 심볼릭 링크를 만들어준다.

# mv /etc/localtime /etc/localtime_org

# ln -s /usr/share/zoneinfo/Asia/Seoul /etc/localtime

(백업 없이 덮어씌우려면 -f 명령어를 추가하면 된다.)

이제 date 명령어를 치면 제대로 된 시간이 나오는 것을 확인할 수 있다.

# date

Tue Jan 27 00:24:08 KST 2015

[Tip] date 명령어로 시간 및 날짜 바꾸기

시간 바꾸기 - (24시간제로 입력)

# date -s 00:21:21

날짜 바꾸기

# date -s '2015-1-27 00:21:21'

- 2015.01.26

[DHCP 듀얼망 2번 문제]

# 현재 Server1에서 DHCP 서비스 중

# 각 팀에는 스위치(네트워크 장비)가 2개 씩 존재

# 영업팀 두 개의 스위치(네트워크 장비) 100.100.100.X대역 할당

# 경영팀 두 개의 스위치(네트워크 장비) 

200.200.200.X대역 할당

[Tip]

1) 새로 추가한 SW (NIC) 마다 IP 설정 필요

2) 각 대역대 마다 DHCP 설정은 1개씩만 진행

[도메인 사용자 감사 정책 with AD 문제]

# 짝궁과 실습

# 브릿지 네트워크

1. 서로 Server1에 AD DS 설치

 - 서로 원하는 도메인으로 설정

2. itbank1~5까지 사용자 생성

 - 비밀번호 :  P@ssw0rd  (대문자P 숫자0 나머지 소문자)

3. Client1을 짝궁의 도메인에 합류

4. Client1로 itbank1~5 중 랜덤으로 짝궁의 사용자로 로그인 후 짝궁에게 어떤 계정으로 로그인 했는지 찾아보라 하고 서로 어떤 계정으로 로그인 했는지 찾아보기.

## 이벤트 뷰어에서 보안 탭에서 찾을 수 있습니다.

==============================================================

# 현재 진행했던 상태로 이어서 진행

# itbank1~5 사용자를 여러분의 이름으로 그룹생성 후 구성원으로 추가

1. Server1에 파일서버 구축(공유 폴더 이용)

 - C:에 본인이름으로 폴더 만들어서 그 폴더 공유

 - 본인이름 그룹으로 공유 및 보안 설정

 - 폴더 않에 itbank1부터 5까지 텍스트 파일 총 다섯개 만들기

2. 본인이름 폴더에 파일 삭제 감사 

3. 짝궁의 공유 폴더로 접속 후 itbank1~5중 랜덤으로 로그인 후 

텍스트 파일 삭제 후 짝궁에게 말하여 어떤 계정으로 접속하여 어떤 파일을 삭제 했는지 찾아보기

[Tip]

1) 파일 삭제 기록 로그 남기기

    폴더 속성 - 보안 - 고급 - 감사 - 편집 - 추가 - 삭제의 성공 체크

    그룹 정책 - Default Domain Policy - 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책

       - 감사 정책 - 개체 액세스 감사 - 성공 체크 후 확인   : 파일 삭제 기록 확인 가능

2) 감사 정책 - 로그온 이벤트 감사 - 성공 체크 후 확인   : 로그인 기록 확인 가능

3) 로그온 로그 바로 아래 있는 Kerberos 서비스 티켓 작업 보면 로그온 ip 도 확인할 수 있다.

4) 로그 파일 확인 : 시작 - 관리 도구 - 이벤트 뷰어 - Windows 로그 - 보안

5) 로그 검색 시 Ctrl+F 눌러 찾을 수 있다.

6) 각 시스템별 로그 기록은 중앙으로 모이지 않고 각 시스템 로그에 남는다.

openstack icehouse 버전 설치를 쉽게 할 수 있다고 한다.

0. 사전 설치

[Cent OS 6.6 minimal 설치]

[update & ntp 설치]

서버 시간 동기화를 위해 ntp 설치 및 Cent OS update

# yum install -y ntp

# yum update -y

# service ntpd start

# chkconfig ntpd on

[System 설정]

Selinux 및 방화벽 끄기 - 앞 단의 방화벽에서 처리할 것이므로..

# service iptables stop

# chkconfig iptables off

# vi /etc/sysconfig/selinux

disabled

기타 모든 설정이 제대로 작동하기 위해 (Selinux 는 꼭 재부팅이 필요하다.) 시스템 재부팅

# reboot

[Network 설정]

꼭 필요한 것만 적었다.

# vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

ONBOOT=yes

BOOTPROTO=none

NETMASK=255.255.255.0

IPADDR=10.10.15.11

GATEWAY=10.10.15.1

1. 설치

[계정 설정]

stack 이라는 user가 필요하다.

# useradd stack

# passwd stack

stack 계정에게 sudo 명령어를 패스워드 없이 사용할 수 있게 해줘야한다.

그러기 위해 /etc/sudoers 에 쓰기 권한을 주고 수정 후 다시 쓰기 권한을 회수

# chmod u+w /etc/sudoers

# echo "stack ALL=(ALL) ALL" >> /etc/sudoers

# chmod u-w /etc/sudoers

[설치]

stack 계정으로 진행하여 openstack 설치에 필요한 패키지 설치

# su stack

$ sudo yum install -y http://repos.fedorapeople.org/repos/openstack/openstack-icehouse/rdo-release-icehouse-3.noarch.rpm

$ sudo yum install openstack-packstack

자동으로 openstack 설치에 필요한 옵션 스크립트 작성

(현재 위치하는 디렉터리에 옵션 스크립트가 작성되니 고급 설치를 하고자 하면 해당 파일 수정)

$ packstack --gen-answer-file my_answers.txt

All-in-one 설치~를 하기 전에 내가 경험한, 문제가 됬던 패키지를 미리 설치하고 진행하자.

$ sudo yum install -y mariadb-galera-server-5.5.40-1.el6.x86_64 puppet openssh-clients tar nc rubygem-json openstack-cinder

$ packstack --allinone

- 2015.01.23

1. DHCP 릴레이 에이전트 

DHCP 서버 장애 시 서브 DHCP 서버로 그 역할을 넘기는 기능이다. 

[역할 추가] 

서버관리자 - 역할 - 역할 추가 - 네트워크 정책 및 액세스 서비스 체크 - 라우팅 및 원격 액세스 서비스 체크 - 설치 

시작 - 관리도구 - 라우팅 및 원격 액세스 - SERVER1 우클릭 - 라우팅 및 원격 액세스 구성 및 사용 - 사용자 지정 구성 

  - LAN 라우팅 - 마침 - 서비스 시작 

=> SERVER1 왼쪽 그림에 초록 위 화살표 생김 : 정상적으로 활성화 됨 

SERVER1 - IPv4 - 일반 우클릭 - 새 라우팅 프로토콜 - DHCP 릴레이 에이전트

   - DHCP 릴레이 에이전트 우클릭 - 새 인터페이스 - 릴레이 시킬 인터페이스 선택 

                                                              - 홉 수 임게값 : 서버와 서버 사이의 네트워크 장치 개수. ex) S1 - SW - SW - S2 인 경우 홉은 3 

                                                              - 부팅 임계값 : 내 DHCP 서버가 정상 작동하는지 기다릴 시간

   - DHCP 릴레이 에이전트 우클릭 - 속성 - 넘겨줄 대상 서버의 IP 입력 

[DHCP 릴레이 에이전트 문제] 

[Tip] 

1) DHCP 릴레이 에이전트의 새 인터페이스는 DHCP가 돌아가는 인터페이스를 지정 

2) DHCP 릴레이 에이전트 속성에서 적을 IP는 100.100.100.120 이다. 

3) DHCP 서버의 고장은 DHCP 비활성화로 구현한다. 

4) Server1 에서 DHCP 릴레이 에이전트의 서비스를 중지 해도 Server2 에서 DHCP를 받아온다. 

        => Client1 에서 DIscovery 메세지를 Broadcast 로 날리기 때문이다. 즉 이 문제는 불완전한 문제. 

[진짜 DHCP 릴레이 에이전트 문제] 

GNS3 - VMware 연동하여 진행

In GNS3 

클라우드 - 라우터 - 클라우드 

        l                            l 

    VM1                       VM4 

클라우드 우클릭 - 설정 에서 VMware 아답타를 선택하여 진행

⊙

systemctl [option] [데몬명]

[option]

start      ;  service start [데몬명]

stop      ;  service stop [데몬명]

reload   ;

restart   ;   service restart [데몬명]

status    ;  service status [데몬명]

enable   ;  chkconfig on [데몬명]

disable  ;  chkconfig off [데몬명]

실행중인 service list 보기

    # systemctl -t service 

enabled, disabled 된 service, socket, target 보기

    # systemctl list-unit-files

일부 SysV services 상태 확인. 6 와 마찬가지로 chkconfig off 가능.

# chkconfig --list

⊙

# ip addr show        ; ifconfig

⊙

커널이 업데이트 되면서 ; 의 역할을 + 으로 표시.

# find / -name abc -exec ls -al {} ;

        => # find / -name abc -exec ls -al {} +

- 2015.1.22

1. DHCP server

[DHCP 설명]

TCP/IP 자동 설정

     사용자 컴퓨터의 IP 주소가 자동으로 설정된다.

     정확한 네트워크 구성이 보장된다.

     사용자 컴퓨터의 네트워크 구성 정보가 자동으로 업데이트 된다.

     네트워크 상에서 발생할 수 있는 일반적인 문제들이 제거된다.

TCP/IP 수동 설정

     IP 주소를 사용자가 직접 지정

     IP 주소를 잘 못 입력할 수 있다.

     잘못된 네트워크 구성은 네트워크 통신의 문제를 일으킨다.

     컴퓨터를 자주 이동시킬 경우 관리 작업의 부하를 가져온다.

[DHCP 임대 생성 과정]

1) Discover

DHCP 서버를 찾는 패킷을 Broadcast 함. 클라이언트는 서버에 대한 정보를 모른다.

     => 아무나 정상적인 서버라 속일 수 있다. (DHCP Snoofing)

2) Offer

Discover 메시지를 받은 DHCP 서버가 IP Address 정보를 담고 있는 패킷을 Broadcast 함. 여러 서버가 클라이언트에게 Offer 신호를 보냈다면 클라이언트는 선착순으로 먼저 온 신호를 채택해서 사용한다.

3) Request

DHCP 클라이언트는 임대 받은 IP Address로 임대 해 준 서버의 IP Address를 담은 패킷을 Broadcast 함.

4) Ack

자신이 보낸 IP Address가 채택되지 않은 서비스는 해당 주소를 IP Database에 유지하고, 자신이 보낸 IP Address가 채택 된 서비스는 IP 임대기간, DNS, Default Gateway 등의 DHCP 옵션 값을 담은 패킷을 Broadcast 함.

IP Address 임대 받지 못하면 APIPA(Automatic Private IP Address)가 진행되며,

169.254.0.0 대역대의 주소 중 하나를 선택하여 자신의 IP Address로 설정

[DHCP 임대 갱신]

DHCP로 맨 처음 IP를 받아오면 특정 시간 만큼 임대를 받는다.

임대기간 1/2 시점에 자신이 쓰던 IP로 DHCP 갱신 요청을 보내 DHCP 갱신을 한다.

DHCP 갱신 요청이 실패되면 임대 시간 7/8 지점에서 DHCP 작업을 처음부터 다시 한다.

만약 DHCP server가 2개 이상 경우, DHCP의 Offer 메세지가 빨리 도착한 것을 이용한다.

=> 공격자 server 가 Offer 패킷을 계속 보내는 공격을 할 수 있다.

    PC는 평소에 ㅇㅇㅇㅇㅇ 임대갱신 신호를 보내면 해당 패킷을 받아 공격자 server가 주는 ip를 받는다.

    Active Directory 인증 절차를 이용하면 Active Directory 에 인증 된 DHCP server 만 PC에 패킷을 보낼 수 있다.

[DHCP 기능 추가]

서버 관리자 - 역할 - 역할 추가 - DHCP 서버 체크

 - 네트워크 연결 바인딩 선택 에 IP 체크  (DHCP 신호를 주고 받을 네트워크 주소)

 - 기본 셋팅으로 진행 - DHCPv6 사용 안함 체크 - 설치

[DHCP 설정]

시작 - 관리도구 - DHCP - server1

IPv4 우클릭 - 새 범위 - 이름 지정

 - 시작 IP 주소 및 끝 IP 주소 입력 - 기타 다른 설정은 하지 말고 다음 눌러 설정 마침

 - 새로 만들어진 범위를 보면 아래 화살표가 되어있다. -> 비활성화라는 뜻. 우클릭 해서 활성화

주소 임대

     임대 된 DHCP들의 정보를 확인할 수 있다.

범위 옵션

     라우터 : 기본 Gateway 주소

     DNS 서버 : DNS 서버를 지정해준다. 추가 시 DNS 서비스가 서비스 중인지 유효성검사를 한다.

필터 - 허용

     허용 필터에 허용할 MAC 주소 입력하면 된다. -> 활성화 필요

     허용 필터를 사용하게 되면 해당 MAC 주소 외에는 DHCP 사용이 불가하다.

          => 인가된 PC만 사용 가능하도록 할 수 있음.

     허용 필터를 사용하게 된다면 구지 거부 필터를 사용할 필요가 없다.

[DHCP 문제]

# Server1에 DHCP 역할 추가

 - IP Address Pool : 200.200.200.200 ~ 200.200.200.250/24

   제외 주소 : 200.200.200.201

 - 옵션 : DNS Server IP 200.200.200.50

            게이트 웨이 200.200.200.254

 - 예약 주소 : Server2 예약 200.200.200.249

====================================

확인 방법 :

Server2 에서 DHCP 사용 설정 후 IP 200.200.200.249로 받아오면 성공

Client1 에서 DHCP 사용 설정 후 확인

 - IP 200.200.200.200

 - 게이트웨이 200.200.200.254

 - DNS 주소 200.200.200.50

[Tip]

1) cmd 창에서 복사 : 우클릭 - 표시 누른 뒤 드래그 하면 자동으로 클립보드에 복사 됨

2) 예약 구성을 하는 경우, 추가 옵션을 따로 지정해줄 수 있다.

3) 예약 구성 시 실제 그 주소를 받아 갔는지 알 수 없으며 ip 주소가 충돌될 수도 있다.

2. DHCP dual server 구축

랜카드 1개를 더 붙인다.

시작 - DHCP - server1 우클릭 - 바인딩 추가/제거 - 추가된 네트워크 카드 체크

새로운 범위 추가해서 진행하면 됨

[DHCP dual server 문제]

1. Server1에서 네트워크 인터페이스 하나 추가

 - 네트워크 어댑터 이름 변경 

 # 로컬 영역 연결 -> 경영팀

 # 로컬 영역 연결 -> 기술팀

2. Server1에서 DHCP 역할 추가 

 - 경영팀 망으로 DHCP 설정

 # IP Address : 100.100.100.10~30

 # 게이트 웨이 : 100.100.100.254

 # DNS 서버 : 100.100.100.200

 - 기술팀 망으로 DHCP 설정

 # IP Address : 200.200.200.10~30

 # 게이트 웨이 : 200.200.200.254

 # DNS 서버 : 200.200.200.200

3. Server2 에서 경영팀 망으로 DHCP 정보 할당

4. Client1 에서 기술팀 망으로 DHCP 정보 할당

[Tip]

1) Edit - Virtual Network Editor - Use local DHCP service to distribute IP address to VMs 체크

2) 기존 실습에서 허용해놨던 필터 비활성

3) 범위 추가 후 범위 활성화

4) 새로 추가한 랜카드에 해당 대역대의 고정 ip 입력 후 바인딩 추가/제거 설정

출처 : http://attiadmin.guyweb.co.kr/server/dhcp.html

0. Cent OS minimal 설치

1. 필요 PKG 설치

dhcp server 설치 되어있는지 확인

# rpm -qa | grep dhcp

=> Client인 dhcp.common만 설치되어있다.

dhcp PKG 설치 & 서버는 시간이 중요하기 때문에 ntp도 설치

# yum install -y dhcp* ntp

2. NIC (Network Interface Card) 확인

먼저는 이더넷 카드에서 멀티캐스팅이 지원되는지 확인해야한다.

ifconfig 명령어를 이용하여 내가 사용하고자 하는 카드에 UP BROADCAST RUNNING MULTICAST 가 있는지 확인

# ifconfig

미지원 시 google 통해 해결... -_-ㅋ;;

3. dhcp 환경설정

dhcp 설정을 위해 설정 파일에 들어가보자.

# vi /etc/dhcp/dhcpd.conf

      1 #

      2 # DHCP Server Configuration file.

      3 #   see /usr/share/doc/dhcp*/dhcpd.conf.sample

      4 #   see 'man 5 dhcpd.conf'

      5 #

/usr/share/doc/dhcp*/dhcpd.conf.sample 파일을 참조하거나 man 5 dhcpd.conf 를 참조하면 될듯하다.

(minimal 설치의 경우 man 파일도 없다. man 부터 설치)

# yum install man

# man 5 dhcpd.conf

매뉴얼 본 뒤 먼저 샘플 파일을 /etc/dhcp/ 로 복사 (나의 경우 dhcp의 버전은 4.1.1)

# cp /usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample /etc/dhcp/

이제 샘플 파일을 수정해보자. 아래 내용 이외의 것은 지우거나 주석처리했다.

# vi /etc/dhcp/dhcpd.conf.sample

#ddns-update-style interim;                       # 왜 사용하는지 이유를 모르기에 일단 주석 처리

#ignore client-updates;

#......................

# 아래 subnet {} 에 묶이지 않는 부분은 기본 설정. 각 subnet 마다 특정한 값으로 재설정 가능

#option domain-name "example.org";                                                 # 네임서버를 도메인으로 찾을 경우 사용

option domain-name-servers 168.126.63.1, 168.126.63.2, 8.8.8.8;      # 네임서버, 도메인도 가능

option subnet-mask 255.255.255.0;                                                   # 서브넷 마스크

option routers 20.20.20.254;                                                              # Gate Way Address

option broadcast-address 20.20.20.255;                                             # Broadcast addrestt

default-lease-time 600;                                                                     # 할당된 ip주소를 가질 수 있는 시간

max-lease-time 7200;                                                                       # 할당 받은 ip 주소를 가지고 있을 수 있는 최대 시간

#..............................

# Client에게 할당할 네트워크 주소 및 netmask

subnet 20.20.20.0 netmask 255.255.255.0 {

  range dynamic-bootp 20.20.20.1 20.20.20.253;                                 # 주소를 할당해 줄 범위

# 위에서 설정한 기본 옵션과 다르게 설정 가능

#  default-lease-time 600;

#  max-lease-time 7200;

  # mac 주소 - 고정 ip  설정

  #host ns {

#        hardware ethernet xx:xx:xx:xx:xx:xx;

#        fixed-address 20.20.20.x;

# }

}

#...................................

# 세세하게, 혹은 추가로 더 나눌 수도 있다.

#subnet 10.5.5.0 netmask 255.255.255.224 {

#  range 10.5.5.26 10.5.5.30;

#  option domain-name-servers ns1.internal.example.org;

#  option domain-name "internal.example.org";

#  option routers 10.5.5.1;

#  option broadcast-address 10.5.5.31;

#}

설정한 설정 파일을 실제 설정 파일로 덮어쓰기.

# cp /etc/dhcp/dhcpd.conf.sample /etc/dhcp/dhcpd.conf

dhcp 요청을 받아 들일 인터페이스 설정

# vi /etc/sysconfig/dhcpd

# Command line options here

DHCPDARGS=eth1

4. dhcp 서버 실행

dhcp 및 ntp 서비스 시작 & 리눅스 부팅 시 자동 실행되도록 설정

# service dhcpd.start

# service ntpd start

# chkconfig dhcpd on

# chkconfig ntpd on

임대 정보 확인

# cat /var/lib/dhcpd/dhcpd.leases

※ dhcp server는 udp 67 port를, client는 udp 68 port를 사용한다.

5. test

dhcp server 와 같은 네트워크 카드에 CentOS dhcp client (라고 해봤자 minimal) 설치.

dhcp 로 주소 잘 받아 오는 것 확인했다~!

[Trouble Shooting]

설정 도중 network 를 시작하는 도중 start fail 을 겪었다.

그 이유는 Cent OS NIC Priority 에 관한 것 때문이라고 하며, 1개의 server 에는 1개의 gateway 만 설정되어있어야 한다.

출처 : https://www.centos.org/forums/viewtopic.php?t=39436

[Memo]

Hyper-V 의 network 설정을 내부 network로, 즉 외부와의 통신이 두절되게 만들었는데

이러한 두절된 통신에 NAT 설정을 추가로 하면 여기에서도 외부로 통신이 가능하다.

그것에 대해 나중에 도전할 예정인데 관련 글들을 메모한다.

Cent OS dhcp & nat

http://blog.pages.kr/311

http://blog.naver.com/brown00/80095329275

     => http://cdral.net/754

구체적인(?) 설명

http://blog.naver.com/dlrud2539/220203979671

Windows dhcp & nat

http://blog.pages.kr/312

- 2015-01-21

1. Active directory 계정 관리

[Tip]

Local PC 의 DNS cache table 날리는 명령어 : ipconfig /flushdns

[계정 및 PC 사용 중지]

Users - 사용자 우클릭 - 계정 사용 안함 -> 사람 그림에 아래 화살표 생김

Computers - PC 우클릭 - 계정 사용 안함 -> PC 그림에 아래 화살표 생김

[계정 설정]

계정 우클릭 - 속성 - 계정

계정 만료일 설정 : 계정 만료 - 다음 날짜까지 사용

로그온 가능 시간 설정 : 로그온 시간 - 블럭 잡아 설정

로그온 가능한 PC 설정 : 로그온 대상 - Computers 에 나오는 PC 이름 추가

[ 액티브 디렉토리 도메인 서비스 문제 ]

1. Server1에 AD 도메인 서비스 역할 추가

 - dcpromo 실행하여 설치 진행 

 - 도메인은 samadal.com

 - DNS 서버 같이 설치

2. Server1에 samadal라는 그룹 생성(구성원 : test1, test2)

3. Server1에 test1, test2 이라는 사용자 추가 

4. Client1과 Server2 itbnak.com 이라는 도메인 합류 후

5. 로컬 로그인과 도메인 로그인 두가지 방법으로 로그인 시도

6. Server1에서 서버관리자에서 Server2 로그인 못 하게 차단

7. Server2에서 도메인 로그인 다시 시도시 차단 되면 성공

8. AD DS Server에서 test2 계정 로그온 불가능 시간을

수요일 전체로 설정

9. clinet1에서 test2 계정 로그인 시도시 차단 되면 성공

[AD DS 사용자 계정 관리 문제]

1. Server1에 AD DS 설치 (dcpromo)

 - 포리스트 도메인 : samadal.com

 - DNS 설치

2. Server2, Client1에서 samadal.com 이라는 도메인에 합류

3. AD DS 서버에서 계정 생성(test1, test2)

 - test1 계정 : Server2에만 로그인 가능

 - test2 계정 : client1에만 로그인 가능

=================

설정 적용 됐는지 확인 후 다음 진행

=================

4. AD DS 서버에서 Server2 컴퓨터로 로그인 불가능 하게 차단

==================

Server2에서 AD User로 로그인 시도시 차단 되면 성공

2. Active Directory 그룹 정책 관리

시작 - 관리 도구 - 그룹 정책 관리 - samadal.com - Default Domain Policy 우클릭 - 편집

(만약 Default Domain Policy 가 안들어가진다면 권한이 없는 것, Administrator 로 실행할 것)

컴퓨터 구성 - 정책 - Windows 설정 - 원하는 정책 우클릭 - 속성 - 이 정책 설정 정의 체크

설정한 뒤 그룹 정책 관리 편집기를 닫고 Default Domain Policy 우클릭 - 적용

계정 정책은 5분마다 적용이 되지만, 명령어로도 바로 적용 가능하다. : gpupdate /force

[AD DS 그룹 정책 관리 문제]

1. Server1에서 그룹 정책 관리에서 정책 설정

# 암호 정책

 - 암호는 복잡성을 만족해야 함 : 사용

 - 최근 암호 기억 : 0개 암호 기억됨

 - 최대 암호 사용 기간 :  7일

 - 최소 암호 길이 : 10 문자

 - 최소 암호 사용 기간 : 0일

 - 해독 가능한 암호화를 사용하여 암호 저장 : 사용 안 함

#계정 잠금 정책

 - 계정 잠금 임계값 1번의 잘못된 로그온

 - 계정 잠금 기간 : 30분

 - 다음 시간 후 계정 잠금 수를 원래대로 설정 : 30분

# 시스템 종료 권한 설정      

 - test1 계정만 사용

# 시간변경 권한 설정

 - test2 계정만 사용

[Tip]

1) 암호 정책 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 계정 정책

2) 계정 잠금 정책 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 계정 정책

3) 시스템 종료 권한 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책 - 사용자 권한 할당

4) 시스템 시간 변경 : 컴퓨터 구성 - 정책 - Windows 설정 - 보안 설정 - 로컬 정책 - 사용자 권한 할당

출처 : http://docs.openstack.org/developer/devstack/guides/single-machine.html

          http://naleejang.tistory.com/116

이제껏 Ubuntu 14.04 나 CentOS 6.6 으로 수도 없이 시도했지만 설치 조차 실패했었다.

헌데 CentOS 6.6 에서 update를 하다 보니 커널 업데이트로 인해 많은 명령어들이 바뀐 것을 확인했다.

그말인 즉, 현재의 openstack 은 가장 최신 버전의 리눅스와 궁합이 맞는 것 같다는 생각이 들었고,

Cent OS 최신 버전인 7 으로 설치까지 성공하였다.

설치 성공 후 리눅스를 껐다 키니 정상적으로 작동이 안된다. rejoin 하려 해도 진행이 안된다.

그래서 성공한 방법으로 설치를 시도했지만..... 이전과 다른 오류를 뿜으며 실패...

또한 kvm 가상 머신을 설치해보려 했지만 계속해서 kvm 모듈이 작동하지 않는다.

여러 번의 시도 끝에... 가상화로 돌리는 서버 위에서의 가상화는 지원이 되지 않는 듯하다.

나중에 가상화 지원되는 CPU 있는 리얼 서버로 제대로 시도 해보고 싶다...

==== '설치는' 성공한 방법 ====

(root 계정으로 진행)

stack 이라는 사용자가 필요하단다. 사용자 추가 후 비밀번호 변경

# useradd stack

# passwd stack

stack 이 sudo 명령어를 쓸 때 비밀번호 없이 사용하게 하는 명령어

# echo "stack ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers

devstack 다운로드 시 필요한 git 과 서버의 시간을 맞춰주는 ntp 설치, ntp 는 서비스 시작 및 부팅 시 자동 실행 설정

# yum install -y git ntp

# chkconfig ntpd on

# service ntpd start

stack 사용자로 변경, 홈 디렉토리로 가서 devstack 설치 파일 다운로드

# su stack

$ cd ~

$ git clone https://git.openstack.org/openstack-dev/devstack

환경설정 후 설치 스크립트 실행

$ cd ./devstack

$ vi local.conf

[[local|localrc]]

HOST_IP=192.168.1.10

FLOATING_RANGE=192.168.1.224/27

FIXED_RANGE=10.11.12.0/24

FIXED_NETWORK_SIZE=256

FLAT_INTERFACE=eth0

ADMIN_PASSWORD=supersecret

MYSQL_PASSWORD=iheartdatabases

RABBIT_PASSWORD=flopsymopsy

SERVICE_PASSWORD=iheartksl

SERVICE_TOKEN=servicetoken

$ cp local.conf localrc

$ ./stack.sh

[Trouble Shooting]

CentOS 7  뿐 아니라 이전에 설치하면서 겪게된 여러 Trouble Shooting 들을 모아보았다.

나의 경우, CentOS 7  에서는 1번만 발생하였다.

1)

git call failed: [git clone' git://git.openstack.org/openstack/keystone.git '/opt/stack/keystone]'

=> 수동으로 진행, 설치

$ cd /opt/stack/keystone/   

$ ./run_tests.sh

$ cd ~

$ cd devstack/

$ ./stack.sh

2)

/usr/lib/python2.6/site-packages/keystoneclient/access.py:20: DeprecationWarning: The oslo namespace package is deprecated. Please use oslo_utils instead.

  from oslo.utils import timeutils

/usr/lib/python2.6/site-packages/keystoneclient/i18n.py:21: DeprecationWarning: The oslo namespace package is deprecated. Please use oslo_i18n instead.

  from oslo import i18n

/usr/lib/python2.6/site-packages/keystoneclient/session.py:20: DeprecationWarning: The oslo namespace package is deprecated. Please use oslo_config instead.

  from oslo.config import cfg

/usr/lib/python2.6/site-packages/keystoneclient/session.py:21: DeprecationWarning: The oslo namespace package is deprecated. Please use oslo_serialization instead.

$ sudo vi /usr/lib/python2.6/site-packages/keystoneclient/session.py

     20 from oslo_config import cfg

     21 from oslo_serialization import jsonutils

     22 from oslo_utils import importutils

$ ./stack.sh

To rejoin this session type 'screen -x stack'.

$ screen -x stack

Cannot open your terminal '/dev/pts/0' - please check.

root 계정에서 su stack 으로 stack 계정을 사용중이어서 그랬단다.

(출처 : http://makandracards.com/makandra/2533-solve-screen-error-cannot-open-your-terminal-dev-pts-0-please-check)

모두 logoff 하고 stack 으로 접속하여 진행

$ screen -x stack

하다가 중간에 멈췄다.

$ ./unstack.sh

$ ./stack.sh

3)

Hostname 이 정해진게 없어서 Error => 내가 가진 ip 에 대한 hostname 지정

$ sudo vi /etc/hosts

      3 192.168.1.10 devstack

4)

Missing packages detected 라길래 위에를 보니 qemu-img 이 없단다.

qemu 공식 홈페이지 통해 최신 PKG 설치 (http://wiki.qemu.org/Download)

$ git clone git://git.qemu-project.org/qemu.git

$ cd qemu

$ ./configure

ERROR: glib-2.12 gthread-2.0 is required to compile QEMU

$ sudo yum install -y glib glib2-devel

$ sudo yum install -y pixman

$ git submodule update --init pixman

$ cd pixman

$ ./configure; make; make install

(오류 보면서 진행했지만,,, 해결 되는 듯 싶더니 결국 안됨.)

개인 Blog

공개SW로 Private Cloud 구축하기 - OpenStack : http://www.oss.kr/oss_repository9/41708

Nalee의 IT 이야기 : http://naleejang.tistory.com/116

위 블로그대로 설치한 다른 블로그 : http://algo79.tistory.com/entry/openstack-%EC%84%A4%EC%B9%98%ED%95%98%EA%B8%B0

devstack - openstack.org

devstack 설치 메인 페이지 : http://docs.openstack.org/developer/devstack/

All-In-One Single Machine 설치 : http://docs.openstack.org/developer/devstack/guides/single-machine.html

자세한 local.conf 설정 : http://docs.openstack.org/developer/devstack/configuration.html