Usluga direktorija sa LDAP-om [2]: NTP i dnsmasq

fico

12 minuta

Pozdrav prijatelji! Počeli smo implementirati i konfigurirati usluge. Naravno da je neophodno da naše jednostavno Usluga direktorija na osnovu OpenLDAP, imaju osnovne usluge za pravilno funkcionisanje. Među njima imamo i usluge DNS ili «DOmain NAme System« DHCP ili » Ddinamičan Host Ckonfiguracija Protocol«, I do NTP ili «Network Time Protocol".

Osnovni operativni sistem koji ćemo koristiti je Debian 6 "Stisni". Većina opisanih metoda može se koristiti za Ubuntu 12.04 "Precizno"i u Debian 7 "Wheezy".

Iako se čini sitnicom - u stvari se naši članci čine pomalo dugačkim - definicije su neophodne i proučavanje čitatelja. Možete, a neki ih i ne čitaju i idu direktno "na piletinu i pirinač sa piletinom". Velika greška. I ne mislim na one iskusne, jer oni, čim vide naslov, znaju jesu li zainteresirani ili ne.

Mislimo na one koji započinju u vođenju poslovnih mreža. Tražimo od njih da pročitaju definicije i slijede veze, udube se u konceptualne dijelove koji nisu nužno naredbeni redovi ili kod, a zatim slijede ostatak članka.

Na taj način uštedjet ćemo puno vremena i njima i nama, postavljajući i odgovarajući na pitanja čiji su odgovori upravo u dijelu ovih definicija i uvoda. 🙂

Takođe želimo jednom zauvijek reći da je osnovni i najvažniji programski jezik za mrežnog administratora ili informatičara engleski jezik. :-). Ne možemo uvijek pružiti prijevode, jer nismo stručnjaci za engleski jezik.

Naravno, prije nastavka, toplo preporučujemo čitanje Uvod ovoj seriji članaka.

Potrebne definicije

Preuzeto sa Wikipedije:

dnsmasq. To je lagani DNS, TFTP i DHCP server. Njegova je svrha pružanje DNS i DHCP usluga lokalnoj mreži. To je besplatna implementacija DNS protokola koji prima zahtjeve od klijenata koji traže IP adresu na osnovu imena računara. Server će odgovoriti na ove zahtjeve davanjem IP adrese.

DNS Domain Name System (o DNS, na španskom, sistem imena domena). To je hijerarhijski sistem nomenklature za računare, usluge ili bilo koji resurs povezan sa Internetom ili privatnom mrežom. Ovaj sistem povezuje različite informacije sa imenima domena dodijeljenim svakom od učesnika. Njegova najvažnija funkcija je prevesti (razriješiti) razumljiva imena čovjeku u binarne identifikatore povezane s računalima povezanim na mrežu, kako bi se pronašli i adresirali ovi računari širom svijeta.

DHCP (akronim za Ddinamičan Host Ckonfiguracija Protocol) je mrežni protokol koji omogućava čvorove na mreži IP automatski dobiti njegove konfiguracijske parametre. To je protokol tipa klijent / server u kojem poslužitelj uglavnom ima listu dinamičkih IP adresa i dodjeljuje ih klijentima kad postanu slobodni, znajući u svakom trenutku tko je posjedovao tu IP adresu, koliko dugo je posjeduju i kome je dodijeljena onda.

NTP o Mrežni protokol vremena je protokol dizajniran za sinhronizaciju satova radnih stanica putem mreže. Verzija 3 ovog protokola je Internet nacrt standarda, formalizovan u RFC 1305. Protokol NTP verzije 4 važna je revizija spomenutog standarda i u fazi je izrade, ali još nije formaliziran u RFC-u. Jednostavna verzija NTP (SNTP) verzije 4 opisana je u RFC 2030

ISC-DHCP-SERVER (DHCP server internetskog softverskog konzorcija). DHCP poslužitelj je poslužitelj koji je besplatna implementacija DHCP protokola koji prima zahtjeve od klijenata koji traže konfiguraciju IP mreže. Poslužitelj će odgovoriti na ove zahtjeve davanjem parametara koji omogućavaju klijentima da se sami konfiguriraju. Da bi PC zatražio konfiguraciju od servera, u mrežnoj konfiguraciji računara odaberite opciju za automatsko dobivanje IP adrese.

Kerberos je sistem za autentifikaciju korisnika koji ima dvostruki cilj:

  • Sprečite slanje ključeva putem mreže, što dovodi do rizika njihovog otkrivanja.
  • Centralizirajte autentifikaciju korisnika, održavajući jednu korisničku bazu podataka za cijelu mrežu.

Kerberos kao sigurnosni protokol koristi kriptografiju simetričnog ključa, što znači da je ključ koji se koristi za šifriranje isti ključ koji se koristi za dešifriranje ili autentifikaciju korisnika. To omogućava dva računara na nesigurnoj mreži da međusobno sigurno dokazuju svoj identitet. Kerberos tada ograničava pristup samo ovlaštenim korisnicima i ovjerava zahtjeve za usluge, pretpostavljajući otvoreno distribuirano okruženje, u kojem korisnici smješteni na radnim stanicama pristupaju tim uslugama na serverima distribuiranim preko mreže.

Kakvu ćemo implementaciju DNS i DHCP usluga razviti?

Razvit ćemo dvije: onu zasnovanu na dnsmasq, a u sljedećim člancima onaj koji odgovara bind9 y el ISC-DHCP-poslužitelj. Za one koji žele detaljno naučiti kako implementirati i konfigurirati DNS, preporučujemo čitanje članka «Kako instalirati i konfigurirati Primarni glavni DNS za LAN na Debianu 6.0»

Zašto su nam potrebne DNS, DHCP i NTP usluge?

  • DNS: Održavanje baze podataka s imenima hostova i njihovim IP adresama, računara koji će biti povezani na našu korporativnu mrežu, tako da ih možemo zvati njihovim imenima, umjesto njihovim IP adresama.
  • DHCP: Izbjegavajte premještanje na mjesto gdje se nalazi klijentski računar da biste konfigurirali njegovu IP adresu i povezane parametre. Putem DHCP-a automatski konfiguriramo klijentovu IP adresu, njegovu masku podmreže, mrežni prolaz, DNS server s kojim se treba obratiti, IP adresu poštanskog servera na našem LAN-u, tip čvora, NetBIOS server imena i mnogi drugi parametri. Očito je da ovom uslugom možemo izbjeći pogreške ručne konfiguracije tako važnog aspekta na klijentskim računalima.
  • NTP: Ako u bliskoj budućnosti odlučimo integrirati Kerberos na naš LDAP poslužitelj, trebat će nam ova usluga. Kerberos se u velikoj mjeri oslanja na NTP protokol i DNS usluge.

Hoćemo li integrirati DNS i DHCP usluge na LDAP server?

Za sada je odgovor NE. U početku NE. Tema OpenLDAP-a je pomalo tehnička. A ako si zakompliciramo život takvom vrstom integracije, nećemo daleko stići. Imajte na umu da ClearOS, koristite dnsmasq. zentyal u međuvremenu koristi bind9 y el DHCP Server bez njihove integracije sa serverom LDAP.

Idemo od jednostavnog ka složenom kako ne bismo ušli konjima među noge. 🙂

Primjer mreže

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq server

Instaliramo i konfigurišemo:

: ~ # aptitude instalirajte dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Uređujemo datoteku koja je sada prazna /etc/dnsmasq.conf i ostavljamo ga sa sljedećim sadržajem:

: ~ # nano /etc/dnsmasq.conf
# Nikada ne prosljeđujte obična imena bez tačke # ili dijela domene potreban domen domain = friends.cu # Ne prosljeđujte adrese u neupravičenom # adresnom prostoru. lažni-priv # Ispitajte servere imena u # redoslijedom u kojem se pojavljuju u datoteci # /etc/resolv.conf strict-order # Odgovori na upite dolazit će samo iz # / etc / hosts ili iz DHCP-a. lokalno = / localnet /
# OČI SA INTERFEJSEM
sučelje = eth1
expand-hosts # Promijenite opseg prema vašim potrebama #, kao i vrijeme zakupa # IP adrese
dhcp-range = 10.10.10.150,10.10.10.200,12h # Opcije za RANGE # Time server
dhcp-option = option: ntp-server, 10.10.10.15

# IP NTP poslužitelja je isti kao i dnsmasq
dhcp-opcija = 42,0.0.0.0

# Sljedeće opcije su one koje Samba preporučuje
# ISC-DHCP-Server serveri na vašoj stranici
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Prilagođeni su slučaju da Samba server # radi na istom dnsmasq serveru. # Možete nekomentirati neke ili sve njih ako na vašem LAN-u koristite # Windows klijente i Samba server. # dhcp-option = 19,0 # opcija ip-prosljeđivanje isključeno dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP server imena. POBJEDE
dhcp-option = 45,0.0.0.0 # NetBIOS poslužitelj distribucije datagrama dhcp-option = 46,8 # NetBIOS tip čvora

Da biste saznali više o dnsmasq, preporučujemo pažljivo čitanje datoteke dnsmasq.conf, koje nazivamo kako dnsmasq.conf.original. To je Biblija o tjestenini o ovoj usluzi. Na engleskom je.

Ponovo pokrećemo uslugu:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

U datoteci deklariramo fiksne IP adrese servera na našem LAN-u / etc / hosts sa samog servera gdje je dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Svaki put kad dodamo ime i IP datoteci / etc / hosts , moramo prisiliti ponovno učitavanje usluge tako da dodani host prepozna naredbe domaćin, dig y nlookup, kako na samom serveru, tako i za ostale radne stanice koje su stekle IP od ovog servera:

: ~ # usluga dnsmasq prisilno ponovno učitavanje

nota: Datoteka u kojoj je dnsmasq pohranjuje dodijeljene IP adrese ili «Zakupi», je li on /var/lib/misc/dnsmasq.leases.

NTP server

Konsultovan primarni izvor: «Konfiguracija servera sa GNU / Linuxom. Izdanje iz januara 2012. Autor: Joel Barrios Dueñas ».

Instaliramo i konfigurišemo:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Uređujemo datoteku koja je sada prazna /etc/ntp.conf i ostavljamo ga sa sljedećim sadržajem:

# Zadana je politika postavljena za bilo koji # vremenski poslužitelj koji se koristi: vremenska sinhronizacija # s izvorima je dozvoljena, ali ne dopuštajući izvoru # da postavlja upit (noquery) ili mijenja uslugu na # sistemu (nomodify) i odbija unesite # poruke dnevnika (notrap). ograniči zadani nomodify notrap noquery # Omogući sav pristup sučelju system # return. ograniči 127.0.0.1 # Lokalnoj mreži je dozvoljeno da se sinhronizira s poslužiteljem #, ali ne dopuštajući im da mijenjaju konfiguraciju sistema #, i bez da ih koristi kao sinhronizaciju. restrict 10.10.10.0 maska ​​255.255.255.0 nomodify notrap # Nediscipliniran lokalni sat. # Ovo je emulirani upravljački program koji se koristi samo kao # sigurnosna kopija kada nijedan stvarni font nije dostupan. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Datoteka varijacije. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## AKO IMATE PRISTUP INTERNETU # Spisak vremenskih servera 1 ili 2. # Preporučuje se da su navedena najmanje 3 servera. # Još servera na: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Ako imate pristup Internetu, komentirajte od sljedeća 3 retka #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Dozvole koje treba dodijeliti za svaki vremenski poslužitelj. # U primjerima izvorima nije dopušteno postavljati upite, # mijenjati uslugu na sistemu ili slati # registracione poruke. ## Ako imate pristup Internetu, raskomentirajte sljedeća 3 retka #restrict 0.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery # Aktivirano je širenje kupcima
emiterclient

Ponovo pokrećemo NTP uslugu:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP klijent

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Uređujemo datoteku koja je sada prazna /etc/ntp.conf i ostavljamo ga sa sljedećim sadržajem:

server mildap.amigos.cu

Provjerava klijenta

Na primjer, uzmimo našeg klijenta debian7.amigos.cu, na koji smo prethodno instalirali paket openssh-server.

root @ debian7: ~ # ssh-debian7
lozinka root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Opseg: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX paketi: 4967 greške: 0 ispušteno: 0 prekoračenja: 0 frame: 0 TX paketa: 906 grešaka: 0 ispuštenih: 0 prekoračenja: 0 nosač: 0 sudara: 0 txqueuelen: 1000 RX bajtova: 6705409 (6.3 MiB) TX bajtova: 93635 (91.4 KiB) Prekid: 10 Osnovna adresa: 0x6000 lo Encap veze: Lokalni Loopback inet addr: 127.0.0.1. 255.0.0.0 Maska: 6 inet1 addr: :: 128/16436 Opseg: Host UP LOOPBACK RUNNING MTU: 1 Metric: 8 RX paketi: 0 grešaka: 0 ispuštenih: 0 prekoračenja: 0 frame: 8 TX paketa: 0 grešaka: 0 ispuštenih : 0 prekoračenja: 0 nosač: 0 sudara: 0 txqueuelen: 480 RX bajtova: 480.0 (480 B) TX bajtova: 480.0 (XNUMX B)

Već smo potvrdili da ste od IP-a dobili IP adresu dnsmasq instaliran na našem OpenLDAP serveru. Stoga ta usluga ispravno radi. Sada provjerimo NTP uslugu koja može potrajati nekoliko sekundi:

: ~ # ntpdate -u mildap.amigos.cu
25 sij 20:07:00 ntpdate [4608]: korak vremena poslužitelja 10.10.10.15 pomak -0.633909 sek

Što se tiče NTP usluge, sve funkcionira u redu.

Ostale provjere:

root @ debian7: ~ # kopati gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; ODJELJAK ZA PITANJE :; gandalf.amigos.cu. U [----] ;; ODJELJAK ODGOVORA: gandalf.amigos.cu. 0 U 10.10.10.1 [----] root @ debian7: ~ # kopati gandalf
[----] ;; ODJELJAK ZA PITANJA :; gandalf. U [----] ;; ODJELJAK ODGOVORA: gandalf. 0 U 10.10.10.1 [----] root @ debian7: ~ # kopati miwww
[----] ;; ODJELJAK ZA PITANJA :; miwww. U [----] ;; ODJELJAK ODGOVORA: miwww. 0 U 10.10.10.5 [----] root @ debian7: ~ # recimo debian7
[----] ;; ODJELJAK ZA PITANJA :; debian7. U [----] ;; ODJELJAK ODGOVORA: debian7. 0 U 10.10.10.153 [----] root @ debian7: ~ # domaćin mildap
mildap.amigos.cu ima adresu 10.10.10.15 Domaćin mildap.amigos.cu nije pronađen: 5 (ODBIJAN) Domaćin mildap.amigos.cu nije pronađen: 5 (ODBIJEN) root @ debian7: ~ # domaćin mildap.amigos.cu
adresa mildap.amigos.cu je 10.10.10.15 Domaćin mildap.amigos.cu.amigos.cu nije pronađen: 5 (ODBIJENO) Domaćin mildap.amigos.cu.amigos.cu nije pronađeno: 5 (ODBIJENO)

A s obzirom da dvije instalirane i konfigurirane usluge funkcioniraju vrlo dobro, mi danas zatvaramo komunikaciju do sljedeće dionice članka o tome kako implementirati DNS i DHCP usluge ažuriranjem DNS-a, na osnovu Bind9 i ISC-DHCP-servera, za one koji upravljaju malo većim i složenijim mrežama.

Do sljedećeg puta, prijatelji !!!


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   fega rekao je
    čini 10 godina

    Spremam ga u PDF da bih ga kasnije bolje pročitao: / prilično je dug

    Odgovorite Fegi
  2.   Kosti rekao je
    čini 10 godina

    Ne znam zašto čitajući "dnsmasq" mislio sam da piše "dnscrypt", otkrio sam ga čitajući blog Persoa i implementirao za svaki slučaj
    Saludos

    Odgovorite na Bones
  3.   vatra hladna rekao je
    čini 10 godina

    Hvala prijatelju, uvijek sam govorio da su vaši postovi vrlo edukativni i vrlo zanimljivi, zaista cijenim vašu suradnju, govoreći o razmjeni znanja, na ostalom puno hvala

    Odgovoriti na firecold
    1.    federico rekao je
      čini 10 godina

      @firecold, Hvala vam puno na riječima razmatranja onoga što pišem. Guraju me da nastavim.

      Hvala SVIMA na komentaru

      Odgovoriti federico
  4.   dhunter rekao je
    čini 10 godina

    Ovom serijom članaka navući ću svoje kratke hlače da vidim da li ću se izvući iz posla koji 389 već zadaje više glavobolje nego mamurluku.

    Pozdrav, Fico!

    Odgovori dhunteru
    1.    federico rekao je
      čini 10 godina

      Pozdrav prijatelju @dhunter !!!. Pretpostavimo da poslužitelj direktorija 389 (koristi Kerberos) i Samba, zajedno s DHCP-om i DNS-om, nude Windows klijente na mreži, uglavnom funkcionalnost koju biste dobili sa Windows 2003 kontrolerom domene. To je kao da se krene od vrlo složenog uvođenja rješenja u mrežu za mala i srednja preduzeća. I to je praktično ono na što je većina administratora navikla.

      Pokušavam i pokušat ću u člancima prijeći od jednostavnog do složenog kako bi ljudi shvatili da u računarskoj mreži filozofija Microsoftovih mreža nije potrebna ili bitna. U stvari, WWW Village ga uopće ne koristi.

      Slijedite članke i vidjet ćete. Živjeli

      Odgovoriti federico
  5.   vidagnu rekao je
    čini 10 godina

    Pozdrav, upit, klijent i ntp server mogu se izvoditi na jednom serveru, to jest, ntp server je sinhroniziran s internetskim serverima i da istovremeno koristi klijenta za ažuriranje vremena istog servera?

    Vidim da ovdje imate datoteku ntp.conf za klijenta i drugu za server, kako da sve pokrenem na istom računaru?

    Saludos

    Odgovori na vidagnu
    1.    federico rekao je
      čini 10 godina

      @vidagnu: Ako ponovo budete čitali polako, shvatit ćete da se NTP poslužitelj također može sinkronizirati s drugim NTP poslužiteljima na Internetu.

      U korporativnoj ili privatnoj mreži logično je da klijenti sinhroniziraju sat sa NTP serverom na toj mreži, a ne s onim na Internetu.

      Na taj se način smanjuje promet i LAN radi s vremenom koje je lokalni NTP poslužitelj sinkronizirao s internetskim serverima.

      Izgleda kao uvrtanje jezika, ali je. Radi se o uspostavljanju kaskadne sinhronizacije. Drugim riječima, NTP poslužitelj na LAN-u sinkronizira svoj sat s NTP poslužiteljima na Internetu, a klijenti na LAN-u to čine sa svojim lokalnim serverom.

      Odgovoriti federico
  6.   Raiden rekao je
    čini 10 godina

    Dobro veče, pročitao sam neke od vaših publikacija i čine mi se izvrsnima, ali u ovoj malo sumnjam, u kojem trenutku dajem DHCP adresiranje timu debian7, mislim da prema onome što razumijem IP dodjeljivanje timu DHCP daje mildap poslužitelju, ako je tako nisam mogao to učiniti, izvinite na neugodnosti, pozdrav.

    Odgovoriti Raidenu