Здравейте приятели!. Започнахме да внедряваме и конфигурираме услуги. Разбира се необходимо е нашите прости Директорска услуга въз основа на OpenLDAP, имат основните услуги, за да функционират правилно. Сред тях имаме услугите DNS или "Dосновно NAME SИСТЕМА", DHCP или " Dинамична HOST Cконфигурация Pротокол", И към NTP или "NМРЕЖА TИПИ Pротокол".
Основната операционна система, която ще използваме, е Debian 6 "Изстискване". Повечето от описаните методи могат да бъдат използвани за Ubuntu 12.04 "Прецизно"и в Debian 7 "Хриптене".
Въпреки че изглежда дреболия - всъщност нашите статии са малко по-дълги - определенията и изучаването им от читателите са необходими. Можете, а някои дори не ги четат и отиват направо на „пиле и ориз с пиле“. Голяма грешка. И нямам предвид опитните, тъй като те, щом видят заглавието, знаят дали ги интересува или не.
Имаме предвид тези, които започват да ръководят Business Networks. Ние ги молим да прочетат дефинициите и да последват връзките, да се задълбочат в концептуалните части, които не са непременно командни редове или код, и след това да следват останалата част от статията.
Така ще спестим много време, както на тях, така и на нас, в задаването и отговарянето на въпроси, чиито отговори са именно в частта от тези определения и уводи.
Ние също така искаме да кажем веднъж завинаги, че основният и най-важен език за програмиране за мрежов администратор или за компютърен учен е английският език. :-). Не винаги можем да осигурим преводи, тъй като не сме експерти по английски език.
Разбира се, преди да продължите, силно препоръчваме да прочетете Въвеждане към тази поредица от статии.
Необходими са определения
Взето от Уикипедия:
dnsmasq. Това е лек DNS, TFTP и DHCP сървър. Целта му е да предоставя DNS и DHCP услуги на локална мрежа. Това е безплатна реализация на DNS протокол, който получава заявки от клиенти, които искат IP адрес въз основа на името на машина. Сървърът ще отговори на тези искания, като предостави IP.
DNS Domain Name System (o DNS, на испански, система с имена на домейни). Това е йерархична номенклатурна система за компютри, услуги или всеки ресурс, свързан с интернет или частна мрежа. Тази система свързва различна информация с имена на домейни, присвоени на всеки от участниците. Неговата най-важна функция е да превежда (разрешава) разбираеми от човека имена в двоични идентификатори, свързани с компютрите, свързани към мрежата, за да се намерят и адресират тези компютри по целия свят.
DHCP (съкращение от Dинамична HOST Cконфигурация Protocol) е мрежов протокол, който позволява възли в мрежата IP получавате автоматично конфигурационните си параметри. Това е протокол от тип клиентски сървър в който сървърът обикновено има списък с динамични IP адреси и ги присвоява на клиенти, когато те станат свободни, знаейки по всяко време кой е притежавал този IP, колко време са го имали и на кого е бил присвоен тогава.
NTP o Network Time Protocol, е протокол, предназначен за синхронизиране на часовниците на работни станции в мрежата. Версия 3 на този протокол е Internet Draft Standard, формализиран в RFC 1305. Протоколът NTP версия 4 е важна ревизия на споменатия стандарт и е в процес на разработка, но все още не е официализиран в RFC. Една проста версия на NTP (SNTP) версия 4 е описана в RFC 2030
ISC-DHCP-СЪРВЪР (Интернет софтуерен консорциум DHCP сървър). DHCP сървърът е сървър, който представлява безплатна реализация на DHCP протокол, който получава заявки от клиенти, изискващи конфигурация на IP мрежа. Сървърът ще отговори на тези заявки, като предостави параметрите, които позволяват на клиентите да се конфигурират сами. За да може компютър да поиска конфигурацията от сървър, в мрежовата конфигурация на компютъра изберете опцията за автоматично получаване на IP адрес.
Kerberos е система за удостоверяване на потребител, която има двойна цел:
- Предотвратете изпращането на ключовете през мрежата с последващия риск от тяхното разкриване.
- Централизирайте удостоверяването на потребителя, поддържайки една потребителска база данни за цялата мрежа.
Kerberos като протокол за защита използва криптография на симетричен ключ, което означава, че ключът, използван за криптиране, е същият ключ, използван за декриптиране или удостоверяване на потребителите. Това позволява на два компютъра в несигурна мрежа да доказват сигурно своята идентичност един на друг. След това Kerberos ограничава достъпа само до оторизирани потребители и удостоверява заявките за услуги, като приема отворена разпределена среда, в която потребителите, разположени на работни станции, имат достъп до тези услуги на сървъри, разпределени в мрежа.
Каква реализация на DNS и DHCP услугите ще разработим?
Ще разработим две: тази, базирана на dnsmasq, и в следващите членове този, съответстващ на Обвързване9 и ISC-DHCP-сървър. За тези, които искат да научат подробно как да внедрят и конфигурират DNS, препоръчваме да прочетете статията «Как да инсталирате и конфигурирате първичен главен DNS за LAN на Debian 6.0»
Защо се нуждаем от DNS, DHCP и NTP услуги?
- DNS: Да поддържаме база данни с имената на хостовете и техните IP адреси, на компютрите, които ще бъдат свързани към нашата корпоративна мрежа, така че да можем да ги наричаме с техните имена, вместо с техните IP адреси.
- DHCP: Избягвайте да се придвижвате до мястото, където се намира клиентският компютър, за да конфигурирате неговия IP адрес и свързани параметри. Чрез DHCP ние автоматично конфигурираме IP адреса на клиента, неговата маска на подмрежата, шлюза, DNS сървъра, с когото трябва да се консултира, IP адреса на пощенския сървър в нашата локална мрежа, типа възел, сървъра за име NetBIOS и много други параметри. Очевидно е, че с тази услуга можем да избегнем грешки в ръчната конфигурация на толкова важен аспект на клиентските компютри.
- NTP: Ако в близко бъдеще решим да интегрираме Kerberos към нашия LDAP сървър, ще ни е необходима тази услуга. Kerberos разчита много на NTP протокола и DNS услугите.
Ще интегрираме ли DNS и DHCP услуги към LDAP сървъра?
Засега отговорът е НЕ. Първоначално НЕ. Темата за OpenLDAP е малко техническа сама по себе си. И ако в началото усложним живота си с такъв тип интеграция, няма да стигнем много далеч. Обърнете внимание, че ClearOS, използвайте dnsmasq. Зентиал междувременно използва Обвързване9 и DHCP Сървър, без да ги интегрирате със сървъра LDAP.
Да преминем от простото към сложното, за да не попаднем между краката на конете.
Примерна мрежа
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Dnsmasq сървър
Инсталираме и конфигурираме:
: ~ # aptitude инсталирайте dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Редактираме файла, който вече е празен /etc/dnsmasq.conf и го оставяме със следното съдържание:
: ~ # nano /etc/dnsmasq.conf # Никога не предавайте обикновени имена без точката # или част от домейна, необходим домейн домейн = amigos.cu # Не предавайте адреси в нерутираното # адресно пространство. фалшив-priv # Запитване към сървърите на имена в # реда, в който се показват във файла # /etc/resolv.conf стриктен ред # Отговорите на заявките ще идват само от # / etc / hosts или от DHCP. local = / localnet / # ОЧЕ С ИНТЕРФЕЙСА интерфейс = eth1 expand-hosts # Променете обхвата според вашите нужди #, а също и времето за наем на # IP адреса dhcp-range = 10.10.10.150,10.10.10.200,12h # Опции за RANGE # Time server dhcp-option = option: ntp-сървър, 10.10.10.15 # IP на NTP сървъра е същият като този на dnsmasq dhcp-опция = 42,0.0.0.0 # Следните опции са тези, които Samba препоръчва # ISC-DHCP-сървърни сървъри на вашата страница # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Те са адаптирани за случая, когато сървърът Samba # работи на същия dnsmasq сървър. # Можете да коментирате някои или всички от тях, ако използвате # клиенти на Windows и сървъра Samba във вашата LAN. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP име сървър. WINS dhcp-option = 45,0.0.0.0 # NetBIOS сървър за разпределение на дейтаграми dhcp-option = 46,8 # Тип възел NetBIOS
За да научите повече за dnsmasq, препоръчваме внимателно да прочетете файла dnsmasq.conf, които наричаме как dnsmasq.conf.original. Това е Библията за паста за тази услуга. На английски е.
Рестартираме услугата:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
Декларираме във файла фиксираните IP адреси на сървъри в нашата локална мрежа / Etc / hosts от самия сървър, където dnsmasq.
: ~ # нано / и т.н. / хостове 27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 mi www.amigos.cu miwww
Всеки път, когато добавяме име и IP към файла / Etc / hosts , трябва да принудим презареждането на услугата, така че добавеният хост да бъде разпознат от командите домакин, копаят y nslookup, както на самия сървър, така и за останалите работни станции, които са придобили IP от този сървър:
: ~ # услуга dnsmasq принудително презареждане
Внимание: Файлът, в който dnsmasq съхранява предоставените IP адреси или «Лизинг», е /var/lib/misc/dnsmasq.leases.
NTP сървър
Консултиран първичен източник"Конфигурация на сървъра с GNU / Linux. Издание от януари 2012 г. Автор: Joel Barrios Dueñas ».
Инсталираме и конфигурираме:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Редактираме файла, който вече е празен /etc/ntp.conf и го оставяме със следното съдържание:
# Политиката по подразбиране е зададена за всеки използван # сървър за време: разрешена е синхронизация на време # с източниците, но без да се позволява на източника # да заявява (noquery) или да променя услугата в системата # (nomodify) и да намалява предоставяне на регистрационни # съобщения (notrap). ограничаване по подразбиране nomodify notrap noquery # Разрешаване на целия достъп до системния # интерфейс за връщане. ограничи 127.0.0.1 # Локалната мрежа има право да синхронизира със сървъра #, но без да им позволява да променят системната конфигурация # и без да ги използва като равни за синхронизиране. ограничи 10.10.10.0 маска 255.255.255.0 nomodify notrap # Недисциплиниран местен часовник. # Това е емулиран драйвер, който се използва само като # архивиране, когато няма налични # от действителните шрифтове. fudge 127.127.1.0 stratum 10 сървър 127.127.1.0 # Файл с вариация. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## АКО ИМАТЕ ДОСТЪП ДО ИНТЕРНЕТ # Списък на сървъри от 1 или 2 времеви сървъра. # Още сървъри на: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Ако имате достъп до интернет, коментирайте от следните 3 реда #server 3.pool.ntp.org #server 0.pool.ntp.org #server 1.pool.ntp.org # Разрешения, които трябва да бъдат зададени за всеки сървър за време. # В примерите на източниците няма право да правят заявки, # да променят услугата в системата или да изпращат # съобщения за регистрация. ## Ако имате достъп до интернет, коментирайте следните 2 реда #restrict 3.pool.ntp.org mask 0 nomodify notrap noquery #restrict 255.255.255.255.pool.ntp.org mask 1 nomodify notrap noquery #restrict 255.255.255.255.pool.ntp.org маска 2 nomodify notrap noquery # Разпространението до клиентите е активирано клиент за излъчване
Рестартираме услугата NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
NTP клиент
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Редактираме файла, който вече е празен /etc/ntp.conf и го оставяме със следното съдържание:
сървър mildap.amigos.cu
Проверки на клиента
Да вземем например нашия клиент debian7.amigos.cu, към който преди това сме инсталирали пакета openssh-server.
root @ debian7: ~ # ssh-debian7
парола на root @ debian7: [----] root @ debian7: ~ # фоп
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Маска: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Обхват: Link UP BADKAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 4967 error: 0 drop: 0 overruns: 0 frame: 0 TX packets: 906 error: 0 отпаднали: 0 превишения: 0 превозвач: 0 сблъсъци: 0 txqueuelen: 1000 RX байта: 6705409 (6.3 MiB) TX байта: 93635 (91.4 KiB) Прекъсване: 10 Базов адрес: 0x6000 lo Капачка на връзката: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Маска: 6 inet1 addr: :: 128/16436 Обхват: Host UP LOOPBACK RUNNING MTU: 1 Metric: 8 RX пакети: 0 грешки: 0 отпаднали: 0 превишения: 0 кадър: 8 TX пакети: 0 грешки: 0 отпаднали : 0 превишения: 0 носител: 0 сблъсъци: 0 txqueuelen: 480 RX байта: 480.0 (480 B) TX байта: 480.0 (XNUMX B)
Вече проверихме, че сте придобили IP адрес от dnsmasq инсталиран на нашия OpenLDAP сървър. Следователно тази услуга работи правилно. Сега нека проверим услугата NTP, която може да отнеме няколко секунди:
: ~ # ntpdate -u mildap.amigos.cu 25 януари 20:07:00 ntpdate [4608]: сървър за стъпково време 10.10.10.15 компенсира -0.633909 сек
По отношение на услугата NTP, всичко работи добре.
Други проверки:
root @ debian7: ~ # копайте gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; ВЪПРОСЕН РАЗДЕЛ :; gandalf.amigos.cu. В [----] ;; СЕКЦИЯ ОТГОВОР: gandalf.amigos.cu. 0 В 10.10.10.1 [----] корен @ debian7: ~ # копай гандалф [----] ;; ВЪПРОСЕН РАЗДЕЛ:; gandalf. В [----] ;; СЕКЦИЯ ОТГОВОР: gandalf. 0 В 10.10.10.1 [----] корен @ debian7: ~ # копайте miwww [----] ;; ВЪПРОСЕН РАЗДЕЛ :; miwww. В [----] ;; ОТГОВОР СЕКЦИЯ: miwww. 0 В 10.10.10.5 [----] корен @ debian7: ~ # копайте debian7 [----] ;; ВЪПРОСЕН РАЗДЕЛ :; debian7. В [----] ;; СЕКЦИЯ ОТГОВОР: debian7. 0 В 10.10.10.153 [----] корен @ debian7: ~ # домакин mildap mildap.amigos.cu има адрес 10.10.10.15 Хост mildap.amigos.cu не е намерен: 5 (ОТКАЗАН) Хост mildap.amigos.cu не е намерен: 5 (ОТХВЪРЛЕН) root @ debian7: ~ # домакин mildap.amigos.cu mildap.amigos.cu има адрес 10.10.10.15 Хост mildap.amigos.cu.amigos.cu не е намерен: 5 (ОТКАЗАН) Хост mildap.amigos.cu.amigos.cu не е намерен: 5 (ОТКАЗ)
И тъй като двете инсталирани и конфигурирани услуги работят много добре, ние затваряме комуникациите за днес до следващата част от статията за това как да внедрите DNS и DHCP услуги чрез актуализиране на DNS, базиран на Bind9 и ISC-DHCP-сървър, за тези, които управляват малко по-големи и по-сложни мрежи.
До следващия път, приятели !!!