Ubuntu16.04でOpenVPNを使用してイントラネットを作成する方法
序章
イントラネットは、通信とデータ転送を容易にするために組織によって作成されたプライベートネットワークです。 イントラネットは、世界中の複数のネットワークを接続して新しい仮想ネットワークを作成することで構築されます。 イントラネットに接続しているユーザーは、特定の内部Webサイトにアクセスしたり、イントラネット上の他のネットワークサービスやコンテンツにアクセスしたりできます。 たとえば、オフサイトの従業員が雇用主のメインネットワークにある機密情報にアクセスしたい場合、その従業員はオフィスのメインネットワークにあるVPNサーバーに接続します。 このVPN接続により、従業員とオフィスの間に安全なトンネルが作成されます。 ネットワーク上では、従業員の接続は、オフサイト接続を使用せずにメインネットワークにローカルに接続されているように見えます。
このチュートリアルでは、ファイル共有やWebサイトなど、VPNに接続しているクライアントのみが利用できるサービスを構成し、それらのリソースへのアクセスを管理する方法を学習します。 完了すると、ニーズに合わせて簡単に拡張できる基本的なイントラネットができあがります。
前提条件
このチュートリアルを完了するには、次のものが必要です。
- 新しいUbuntu16.04サーバー。
sudo
権限を持つ標準ユーザーアカウント。 Ubuntu 16.04を使用したサーバーの初期設定チュートリアルの手順2と3に従って、標準アカウントを設定できます。
- サーバーにインストールおよび構成されたOpenVPN。 先に進む前に、 Ubuntu16.04でOpenVPNサーバーをセットアップする方法チュートリアルを完了してください。 VPNサーバーはVPNのIPアドレス
10.8.0.1
にあり、OpenVPNチュートリアルで使用されているアドレスであり、ローカルマシンからVPNに接続できると想定します。 - 登録されたドメイン名とDNSエントリを追加するためのアクセス。 このチュートリアルでは
example.com
を使用し、DigitalOceanのDNSサービスを使用します。 ドメインでDigitalOceanのDNSサービスを使用するには、 DigitalOceanでホスト名を設定する方法チュートリアルの手順1と2に従って、ドメイン名をDigitalOceanのネームサーバーにポイントします。 - ドメイン用に構成された2つの仮想ホストとともにインストールされたApache。 チュートリアルUbuntu16.04 でApache仮想ホストをセットアップする方法に従って、
example.com
およびintranet.example.com
と呼ばれる2つの仮想ホストをセットアップします。それぞれデフォルトのHTMLページがあります。
ステップ1—Sambaファイルサーバーのインストールと設定
イントラネット上のユーザーがファイルを共有できるようにSambaを設定することから始めましょう。 Sambaは、Webインターフェイスやストレージ制限がないという点でDropboxのような他のファイル共有アプリケーションとは異なります。 代わりに、Sambaはサーバー自体でディレクトリとファイルを共有するため、制御していない外部サーバーにデータをアップロードする必要はありません。
2つの共有ディレクトリを作成します。 最初のディレクトリには、プライベートネットワーク上のすべてのユーザーがアクセスできます。 2番目のディレクトリには、指定したユーザーのみがアクセスできます。 これらの共有にそれぞれAllusers
とRestricted
という名前を付けます。
まず、次のコマンドを使用してSambaとその前提条件をインストールします。
sudo apt-get install samba samba-common python-glade2 system-config-samba
次に、後で変更するときに間違えた場合に備えて、Samba構成ファイルのバックアップを作成します。
sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.backup
Sambaもファイアウォールを介してアクセスする必要があるため、Sambaトラフィックのルールを追加します。
sudo ufw allow samba
次に、共有するディレクトリを作成します。 まず、allusers
ディレクトリを作成します。
sudo mkdir -p /samba/allusers
次に、restricted
ディレクトリを作成します。
sudo mkdir -p /samba/restricted
それでは、Samba構成ファイルを編集して、サービスをセットアップし、共有を定義しましょう。 Samba構成ファイルを開きます。
sudo nano /etc/samba/smb.conf
次に、すべてのコンテンツを削除します。これは、独自の構成を1つずつ作成するためです。
まず、Sambaサーバーのグローバル設定をいくつか指定します。 構成ファイルに次の行を追加します。
/etc/samba/smb.conf
[global] workgroup = WORKGROUP server string = Samba Server %v netbios name = ubuntu security = user map to guest = bad user dns proxy = no interfaces = 10.8.0.1/8 bind interfaces only = yes
各設定を分解してみましょう。
workgroup
設定は、クライアントからの照会時にサーバーが表示されるワークグループを指定します。 デフォルトのグループはWindowsの場合はWORKGROUP
ですが、使用しているワークグループ名がすでにある場合は変更できます。
server string
行とnetbios
行は、それぞれSambaサーバーとそのプラットフォームの名前を指定します。
security
設定は、これが独自のユーザーアカウントを持つスタンドアロンのファイルサーバーになることを指定します。 map to guest
設定は、無効なユーザー名またはパスワードを使用するすべてのログインをゲストユーザーとして扱い、dns proxy
設定は、このために独自のDNSを実行していないため、ドメイン名を解決しようとしないようにSambaに指示します。イントラネット。
interfaces
設定では、VPNサーバーのIPを使用した接続のみをリッスンし、パブリックにアクセス可能なIPはリッスンしないことを指定します。 bind interface
は、VPNから発信されたリクエストのみをリッスンするようにSambaに指示します。
次に、Sambaのログ設定を指定する必要があります。 この構成ブロックをファイルの[global]
セクションに追加します。
/etc/samba/smb.conf
[global] ... ## Logging log level = 2 log file = /var/log/samba.log.%m max log size = 50 debug timestamp = yes
log level
設定は、ログファイルに必要な詳細レベルを決定します。 これらのレベルの範囲は1〜10ですが、比較的軽いデバッグレベルであるため、レベル2を使用します。 log file
設定は、ログファイルのファイルパスと名前を指定し、max log size
はログファイルのサイズを制限します。 debug timestamp
設定には、ログにタイムスタンプが含まれます。
これで、サーバーのグローバル設定が処理されます。 次に、実際の共有定義を作成しましょう。 これらの設定は、共有するファイルと、それらのファイルへのアクセスを許可するユーザーを指定します。
2株が必要です。 1つはAllusers
と呼ばれ、もう1つはRestricted
と呼ばれます。 最初にAllusers
共有を定義しましょう。 この共有では、ユーザーは/samba/allusers
ディレクトリ内のファイルを参照、書き込み、および読み取ることができます。 この構成をファイルに追加します。
/etc/samba/smb.conf
#============ Share Defenitions ================== [Allusers] path = /samba/allusers browsable = yes writable = yes guest ok = yes read only = no force user = nobody
[Allusers]
ブロックは、以下の設定がAllusers
共有にのみ適用可能であることを示します。 また、ユーザーに表示される共有の名前も定義します。 path
設定は、イントラネット上で共有するフォルダーのファイルディレクトリを指定します。 browsable
およびwritable
をyes
に設定すると、ユーザーはそのフォルダー内を参照したり、ファイルを読み書きしたりすることができます。
サーバーにユーザーアカウントがない場合でも、すべてのユーザーがこの共有にアクセスできるようにします。 global
セクションで、map to guest
設定を指定したことを思い出してください。つまり、アカウントまたは有効なログイン資格情報を持たないユーザーは、ゲストとして共有されているファイルに引き続きアクセスできます。 guest ok
をyes
に設定することで、これらのゲストがこの共有にアクセスできるようにします。次に、そのユーザーにnobody
とforce user = nobody
のIDを想定させます。
nobody
ユーザーグループは、Linuxシステムの既知のデフォルトユーザーグループです。 /samba/allusers
フォルダーに必要なアクセス許可をnobody
ユーザーに設定できます。 次に、Sambaを使用して、複数のゲストがそのIDを使用できるようにします。 このようにして、システムへのゲストユーザーアクセスを簡単に管理できます。
nobody
ユーザーの詳細については、 UbuntuwikiおよびStackExchangeのこの回答にアクセスしてください。
次に、Restricted
ファイル共有を作成します。このファイル共有には、smbrestricted
グループのメンバーのみがアクセスできます。
/etc/samba/smb.conf
[Restricted] path = /samba/restricted valid users = @smbrestricted guest ok = no writable = yes browsable = yes
ここでも、allusers
共有の場合と同じように、共有するディレクトリを指定し、参照と書き込みのアクセス許可を付与することから始めます。 次に、valid users = @smbrestricted
を設定します。これにより、グループsmbrestricted
のメンバーのみが共有にアクセスできるようにSambaに指示します。 このグループはまもなく作成されます。
smb.conf
ファイルについてはこれで完了です。 ファイルは次の例のようになります。
/etc/samba/smb.conf
[global] workgroup = WORKGROUP server string = Samba Server %v netbios name = ubuntu security = user map to guest = bad user dns proxy = no interfaces = 10.8.0.1/8 bind interfaces only = yes ## Logging log level = 2 log file = /var/log/samba.log.%m max log size = 50 debug timestamp = yes #============ Share Defenitions ================== [Allusers] path = /samba/allusers browsable = yes writable = yes guest ok = yes read only = no force user = nobody [Restricted] path = /samba/restricted valid users = @smbrestricted guest ok = no writable = yes browsable = yes
Samba構成が整ったら、smbrestricted
グループを作成し、最初のユーザーを作成できます。
ステップ2—Samba共有へのアクセスを構成する
共有へのアクセスを許可するには、ユーザーアカウントを作成し、共有する予定のフォルダーに適切なアクセス許可を適用する必要があります。
まず、次のコマンドを使用してsmbrestricted
グループを作成します。
sudo addgroup smbrestricted
次に、サーバー上にユーザーアカウントを作成し、それをsmbrestricted
グループに追加します。 client1
のアカウントを作成します。これは、前提条件のチュートリアルで作成されたVPN接続の名前と一致します。
sudo useradd client1 -G smbrestricted
最後に、client1
にSambaパスワードを割り当てる必要があります。 セットアップした構成では、Sambaは通常のLinuxシステムの検証システムとは別の独自の資格証明システムを使用します。 これは、マシン自体にログインするためのアクセス権をユーザーに付与せずに、Sambaとのファイル共有にアクセスできるユーザーを作成できるため便利です。
次のコマンドを使用して、client1
ユーザーのSambaパスワードを作成します。
sudo smbpasswd -a client1
注:システムにSamba共有にもアクセスできるユーザーがいる場合は、ログインシステムが分離されているため、それらのユーザーのSambaパスワードも作成する必要があります。この構成で。
次に、共有するディレクトリのアクセス許可を設定します。 まず、allusers
ディレクトリの権限を設定します。
sudo chmod -R 766 /samba/allusers sudo chown -R nobody:nogroup /samba/allusers
これにより、ディレクトリの所有者に完全なアクセス許可が付与され、グループと他のすべてのユーザーに読み取りと書き込みのアクセス許可のみが付与されます。次に、共有ディレクトリの所有者とグループをnobody:nogroup
にchown
で変更します。指図。
ただし、所有者とグループをnobody:nogroup
に変更することには小さな問題があります。 chmod -R 766
コマンドは、/samba/allusers
ディレクトリ内の現在および新しいファイル/ディレクトリに対して、それらのファイルまたはディレクトリの作成者に関係なく、読み取りおよび書き込み権限のみを付与します。 これは、内の /samba/allusers
ディレクトリにあるフォルダ内に新しいファイルを作成しようとするとすぐに、不十分な権限エラーが発生することを意味します。 Allusers
共有内で作業しているときは、nobody
のIDを想定しており、nobody
のアクセス許可は非常に制限されていることに注意してください。
この問題を克服するために、アクセス制御リストまたはACLを利用します。 ACLルールを使用すると、ユーザーやグループのアクセス許可を、新しく作成されたファイルやディレクトリに自動的に割り当てることができます。
次のコマンドを使用して、/samba/allusers
フォルダーのACLルールを設定します。
sudo setfacl -dm g:nogroup:rw /samba/allusers/ sudo setfacl -dm u:nobody:rw /samba/allusers/
コマンドsetfacl -dm
は、ディレクトリまたはファイルの新しいアクセス許可ルールを定義しており、将来、これらのアクセス許可を新しく作成されたオブジェクトにも適用する必要があることを示します。 g:nogroup:rw
およびu:nobody:rw
は、nobody
ユーザーおよびグループnogroup
のメンバーに読み取りおよび書き込み権限を付与する新しいACLルールです。
ACLの詳細については、 UbuntuWikiを参照してください。
これでゲストシェアが決まります。 これで、restricted
ディレクトリの権限を設定できます。
sudo chmod -R 770 /samba/restricted sudo chown root:smbrestricted /samba/restricted
今回は、chmod 770
のsmbrestricted
グループの所有者とメンバーを除いて、このディレクトリへのアクセスを完全にブロックします。 認証されたユーザーアカウントを使用しているため、アクセス許可はこの共有フォルダー内で通常機能するため、ACLルールを設定する必要はありません。
共有が構成されたので、新しい構成ファイルを使用するようにSambaサーバーを再起動します。
sudo service smbd restart
これで、Sambaサーバーに接続してファイルをアップロードまたはダウンロードできます。
ステップ3—クライアントからSambaサーバーに接続する
イントラネットの目標は、メインネットワークに接続されているかのように、安全な環境でファイルにアクセスして共有することです。 クライアントがSambaに接続すると、そのクライアントのファイルエクスプローラーに共有ディレクトリがマウントされます。 これをテストしてみましょう。
Windowsから接続する
Windowsから接続するには、Windowsエクスプローラーを開きます。 ナビゲーションバーにSambaサーバーのアドレス\\10.8.0.1
を入力し、Enter
キーを押します。
Windowsが接続するまでに少し時間がかかる場合があります。 接続が成功すると、イントラネットでホストされている共有フォルダが表示されます。
クイックアクセスツールバーのネットワークタブの下に新しいネットワークマウントポイントが作成されていることに注意してください。 マウントポイントの名前は10.8.0.1
で、VPNのIPと同じです。
クレデンシャルは必要ないため、他のフォルダと同じようにAllusers
共有にアクセスします。 フォルダをダブルクリックするだけで、その内容が表示されます。
Restricted
共有にアクセスするには、Restricted
という名前のフォルダーをダブルクリックします。 Windowsセキュリティポップアップが表示され、アクセスするにはネットワーククレデンシャルが必要であることが示されます。
作成したユーザーのユーザー名とパスワードを入力し、オプションでチェックボックスをオンにして資格情報を記憶します。 次に、OKをクリックして接続します。
接続したら、新しいファイルやフォルダーを作成したり、フォルダーをサーバーにドラッグしてアップロードしたりすることもできます。
Ubuntuから接続する
Ubuntuから接続するには、ファイルエクスプローラーを開き、左側のサイドバーにあるサーバーに接続オプションを選択します。 これにより、サーバーアドレスを入力できる新しい画面が開きます。
smb://10.8.0.1/
と入力し、右下のConnectボタンをクリックします。 接続速度によっては、PCがサーバーに接続するまでに数秒かかる場合があります。 接続すると、サーバー上のすべての共有ディレクトリを示す画面が表示されます。
Allusers
共有にアクセスするには、フォルダをダブルクリックするだけです。 ユーザー名とパスワードを尋ねるログイン画面が表示されます。 Allusers
共有にはユーザー名とパスワードは必要ないため、接続オプションには匿名を選択する必要があります。 接続をクリックすると、共有ディレクトリが開きます。
これらの共有ディレクトリにアクセスした後、これらの共有ディレクトリがファイルシステムにどのようにマウントされているかに注目してください。 Allusers
共有は、他のローカルドライブと一緒にネットワークドライブとしてマウントされます。
システムが再起動されるか、ドライブがアンマウントされるまで、ドライブはマウントされたままになります。
Restricted
共有にアクセスするには、ログインに有効なユーザー名とパスワードが必要です。 Restricted
共有をダブルクリックすると、ログイン画面が再度表示されます。 接続オプションで登録ユーザーを選択し、ドメインオプションをそのままにして、適切なフィールドにユーザー名とパスワードを入力します。 次に、接続をクリックすると、共有ファイルにアクセスできるようになります。
Macから接続する
Macから接続するには、Finderを開き、 Go メニューを選択し、サーバーに接続…を選択します。 次に、サーバーアドレスにsmb://10.8.0.1/
を使用します。
残りの接続プロセスは、LinuxまたはWindowsから接続するためのプロセスと同じです。 ユーザー名とパスワードの入力を求められ、利用可能な共有を表示して接続できるようになります。
これでファイルサーバーが処理されます。 次に、同じサーバー上で内部および外部のWebサイトをホストするようにApacheを構成する方法を見てみましょう。
ステップ4—Apache仮想ホストへのアクセスを設定する
このチュートリアルの前に、サーバーで使用するために構成する2つの仮想ホストを作成しました。 最初のホストexample.com
は、一般の人々がアクセスできるようになります。 これは、ドメインのメインの公開Webサイトである可能性があります。 2番目のホストintranet.example.com
には、イントラネットに接続されているクライアントのみがアクセスできます。
intranet.example.com
へのアクセスを制限するために、その仮想ホストの構成ファイルを編集します。 ファイル/etc/apache2/sites-available/intranet.example.com.conf
を開きます。
sudo nano /etc/apache2/sites-available/intranet.example.com.conf
次に、VirtualHost
宣言を次のように変更します。
/etc/apache2/sites-available/intranet。<^>example.com<^>。conf
<VirtualHost *:80>
これに:
/etc/apache2/sites-available/intranet。<^>example.com<^>。conf
<VirtualHost 10.8.0.1:80>
変更前は、Apacheはすべてのネットワークインターフェイスでinternal.example.com
のリクエストを処理していました。 この変更後は、イントラネットインターフェイスでのみリクエストを処理します。 これは、Sambaに使用した構成に似ています。
ファイルを保存し、Apacheサービスを再起動します。
sudo systemctl restart apache2
また、Apacheが正しく機能するには、UFWを介した接続を許可する必要があります。 まだ実行していない場合は、次のコマンドを実行して、Apacheのファイアウォールを通過するトラフィックを許可します。
sudo ufw allow http
また、HTTPSトラフィックを許可する場合は、今すぐ許可するか、後で次のように構成します。
sudo ufw allow https
次に、リソースに簡単にアクセスできるようにドメイン名を構成しましょう。
ステップ5—ドメイン名の構成
このステップでは、公的にアクセス可能なWebサイトにもサービスを提供しながら、イントラネットのトラフィックをリダイレクトするようにドメイン名を構成します。 この記事を始める前に、ドメイン名をDigitalOceanのネームサーバーに向けておく必要があります。
注:独自のネームサーバーがある場合は、代わりにDNSプロバイダーのコントロールパネルでこれらの設定を行うことをお勧めします。
DigitalOceanアカウントにログインし、トップバーのNetworkingタブをクリックします。 次に、次のような画面が表示されます。
DigitalOceanアカウントにドメインを追加するには、ドメインの追加見出しの下の最初のボックスにドメイン名を入力します。 2番目のボックスにイントラネットサーバーのパブリックIPと入力し、レコードの作成ボタンをクリックします。
新しいドメイン名は、2番目の図のようにドメインの小見出しの下に表示されます。 次に、使用するドメインの横にある More をクリックし、 Viewdomainを選択します。
これにより、その特定のドメインの設定ページが開きます。
このドメインに3つのレコードを追加する必要があります。 1つはイントラネット用で、もう2つは公開Webサイトのリクエストが正しく解決されるようにするためのものです。
まず、イントラネットのレコードを作成します。
- レコードタイプの選択の下にあるオレンジ色の[A]ボックスをクリックします。
- EnterNameフィールドに
intranet
と入力します。 - IPアドレスには、サーバーのプライベートIPアドレスを入力します。これは
10.8.0.1
である必要があります。
次に、イントラネット以外のトラフィックを適切な場所に誘導するレコードが必要です。 別の「A」レコードを作成し、名前を@
に設定し、IPをサーバーの publicIPに設定します。
最後に、www
のCNAMEレコードを作成します。 上隅にある[CNAME]タブをクリックし、名前をwww
に設定して、ドメイン名(example.com
をホスト名として入力)を入力します。
完了すると、ドメインレコードは次の画像のようになります。
intranet
Aレコードは、VPNサーバーから発信された場合にのみintranet.example.com
にリクエストを送信します。 これは、VPNに接続されているクライアントのみがintranet.example.com
でホストされているWebコンテンツにアクセスできることを意味します。 2番目の「A」レコードとCNAMEレコードは、イントラネットにアクセスできない直接トラフィックを公開されているWebサイトに記録します。
注:これらのDNS変更が反映されるまでに最大72時間かかる場合があります。
ブラウザに移動し、VPNに接続せずにhttp://intranet.example.com
にアクセスします。 エラーを返すためだけにブラウザがWebページを読み込もうとしているのが見えるはずです。 次に、 VPN に接続し、Webページをリロードします。 これで、DNSエントリが解決されるため、Webページにアクセスできます。
イントラネットを完全に構成してテストしたので、この新しく作成されたネットワークへのアクセスを管理する方法を見てみましょう。
ステップ6—イントラネットへのアクセスの管理
このチュートリアルの最後のステップでは、イントラネットとその共有ファイルへのアクセスを管理します。 まず、VPNアクセスのクライアント証明書を取り消す方法を見ていきます。 次に、smbrestrictedグループからユーザーを削除する方法を見ていきます。 最後に、ユーザーを追加して、必要なアクセス権を取得する方法を確認します。
VPNアクセスの取り消し
VPNへのアクセスを取り消すには、クライアントの証明書を取り消します。 これにより、他のクライアントやサーバーの新しい証明書を生成せずに、イントラネットへのアクセスを拒否できます。
まず、VPNサーバーの構成ファイルに行を追加して、元のCA証明書またはサーバー証明書を変更せずにクライアント証明書を取り消せるようにする必要があります。 これにより、他のクライアント接続を中断することなく、オンザフライで単一の証明書を簡単に取り消すことができるため、アクセス制御がはるかに簡単になります。
VPN構成ファイルを開きます。
sudo nano /etc/openvpn/server.conf
ファイルの最後に次のコード行を追加します。
/etc/openvpn/server.conf
crl-verify crl.pem
これは、VPNサーバーに、証明書失効リストであるファイルcrl.pem
を探すように指示します。 これには、VPNへのアクセスが許可されなくなったすべての証明書のリストが含まれます。
構成ファイルを保存して閉じますが、サーバーはまだ再起動しないでください。 構成が探しているcrl.pem
ファイルを作成する必要があります。
このファイルを作成するには、サーバーの~/openvpn-ca/
ディレクトリに移動します。
cd ~/openvpn-ca/
client1 の証明書は組織で機能しなくなったため、それらを取り消す必要があるとしましょう。 これを行うには、次のコマンドを実行します。
source vars ./revoke-full client1
次の出力が表示されます。
OutputUsing configuration from /home/intranetexapmle/openvpn-ca/openssl-1.0.0.cnf Revoking Certificate 02. Data Base Updated Using configuration from /home/intranetexample/openvpn-ca/openssl-1.0.0.cnf client1.crt: C = US, ST = NY, L = New-York City, error 23 at 0 depth lookup:certificate revoked
出力の最後の行は、常にがエラー23を示しているはずです。 このエラーは、証明書が取り消されたことを確認するだけです。
これにより、~/openvpn-ca/keys/
ディレクトリにcrl.pem
も作成されます。 証明書が取り消されていることを確認するには、keys/index.txt
ファイルを任意のテキストエディタで開くか、その内容をcat
で表示します。
cat keys/index.txt
証明書を取り消したクライアントの横に「R」が表示されます。
OutputV 260904153313Z 01 unknown /C=US/ST=NY/L=New York/O=DigitalOcean/OU=Community/CN=server/name=server/[email protected] R 260904172539Z 160915150543Z 02 unknown /C=US/ST=NY/L=New York/O=DigitalOcean/OU=Community/CN=client1/name=server/[email protected]
次に、crl.pem
ファイルを/etc/openvpn/
ディレクトリにコピーします。このディレクトリで、OpenVPNサーバーにファイルを探すように指示しました。
sudo cp keys/crl.pem /etc/openvpn/
次に、OpenVPNサーバーを再起動して、証明書を取り消すオプションを有効にします。
sudo systemctl restart openvpn@server
OpenVPNサーバーは、サーバーへの新しい接続が確立されるたびにcrl.pem
ファイルを参照します。 クライアントの証明書を取り消すたびに、古いcrl.pem
ファイルを新しいファイルに置き換えます。 サーバーを再起動する必要はありません。
VPN証明書が取り消されると、それを将来再利用することはできないことに注意することが重要です。 VPN証明書が取り消されたクライアントがネットワークに再度接続できるようにするには、新しい証明書が必要になります。
制限付き共有へのユーザーのアクセスをブロックします。
smbrestrictedグループのユーザーのみがアクセスできる共有ディレクトリを作成しました。 そのグループにすでに含まれているユーザーのアクセスを拒否するには、そのグループからユーザーを削除します。 たとえば、 client1 を削除するには、次のコマンドを使用します。
sudo deluser client1 -G smbrestricted
次の出力が表示されます。
OutputRemoving user `client1' from group `smbrestricted' ... Done.
ユーザーがすでにグループに含まれているかどうかわからない場合、またはユーザーが削除されているかどうかを再確認する場合は、members
コマンドを使用できます。
sudo apt-get install members members smbrestricted
グループ内のすべてのユーザーが画面に表示されます。
イントラネットに新しいユーザーを追加する
イントラネットの新しいユーザーごとに独自のVPN証明書が必要になるため、 Ubuntu 16.04でOpenVPNサーバーをセットアップする方法チュートリアルの手順に従って、各ユーザーの前提条件を確認してください。 たとえば、client2
というユーザーを作成するには、次のようにします。
まず、キーを作成します。
cd ~/openvpn-ca ./build-key client2
次に、クライアント構成を生成します。
cd ~/client-configs ./make_config.sh client2
次に、ローカルマシンで、クライアント構成をダウンロードします。
sftp sammy@openvpn_server_ip:client-configs/files/client2.ovpn ~/
新しいユーザーに制限付きファイルへのアクセスを許可するには、このチュートリアルのSambaセクションでclient1に使用したのと同じ手順に従います。
- ユーザーを作成し、
smbrestricted
グループに追加します。 smbpassword
を使用してユーザーのSambaパスワードを作成します。- 接続をテストします。
次に、追加する必要のあるユーザーごとにこのプロセスを繰り返します。
結論
これで、OpenVPN、Samba、およびApacheを使用して、独自のプライベートイントラネットを正常に作成および保護できました。 内部Webサイトと2つのファイル共有があります。
次に進む場所は、イントラネットを何に使用するかによって異なります。 ほとんどのサーバーアプリケーションはWebページを使用して情報を表示するため、このチュートリアルで行ったのと同じように、仮想ホスト構成を使用してそのページへのアクセスを制限できます。 いくつか例を挙げると、内部ソーシャルネットワーク、Wiki、または電子メールサービスから複数のサービスをホストすることにより、ネットワークを拡張できます。 また、共有ファイルをさらに効率的に管理するために、SambaWeb管理ツールをダウンロードしてインストールできます。 ここで学んだことを使用して、新しいイントラネットで使用するサービスをいくつでも構成できるはずです。