Dobrý den, přátelé!. Začali jsme implementovat a konfigurovat služby. Samozřejmě je nutné, aby naše jednoduché Adresářová služba na základě OpenLDAP, mít základní služby pro správné fungování. Mezi nimi máme i služby DNS nebo «Dhlavní Name Systém", DHCP nebo » Dynamický Host Configurace Protokol«, A do NTP nebo «NEtwork TIme Protokol".
Základní operační systém, který budeme používat, je Debian 6 „Squeeze“. Většinu popsaných metod lze použít Ubuntu 12.04 „Precise“a v Debian 7 „Dýchavičnost“.
Ačkoli se to zdá být maličkost - ve skutečnosti jsou naše články trochu dlouhé - definice a jejich prostudování čtenáři je nutné. Můžete a někteří je ani nečtou a přejdou rovnou na „kuře a rýže s kuřetem“. Velký omyl. A nemluvím o těch zkušených, protože jakmile uvidí název, vědí, zda mají zájem nebo ne.
Mluvíme o těch, kteří začínají ve vedení obchodních sítí. Požádáme je, aby si přečetli definice a sledovali odkazy, ponořili se do koncepčních částí, které nemusí nutně znamenat příkazové řádky nebo kód, a poté pokračovali ve zbytku článku.
Ušetříme tak spoustu času jim i nám při kladení a odpovídání na otázky, jejichž odpovědi jsou právě v části těch definic a úvodů.
Chceme také jednou provždy říct, že základním a nejdůležitějším programovacím jazykem pro správce sítě nebo pro počítačového vědce je anglický jazyk. :-). Nemůžeme vždy poskytnout překlad, protože nejsme odborníci v anglickém jazyce.
Před pokračováním samozřejmě důrazně doporučujeme přečíst Úvod k této sérii článků.
Vyžadují se definice
Převzato z Wikipedie:
dnsmasq. Jedná se o lehký server DNS, TFTP a DHCP. Jeho účelem je poskytovat služby DNS a DHCP místní síti. Jedná se o bezplatnou implementaci protokolu DNS, který přijímá požadavky od klientů požadujících adresu IP na základě názvu počítače. Server bude na tyto požadavky reagovat poskytnutím IP.
DNS Domain Name System (o DNS, ve španělštině, systém doménových jmen). Jedná se o systém hierarchické nomenklatury pro počítače, služby nebo jakýkoli prostředek připojený k internetu nebo soukromé síti. Tento systém přidružuje různé informace k doménovým jménům přiřazeným každému z účastníků. Jeho nejdůležitější funkcí je převést (vyřešit) lidsky srozumitelná jména na binární identifikátory spojené s počítači připojenými k síti, aby bylo možné tyto počítače najít a oslovit po celém světě.
DHCP (zkratka pro Dynamický Host Configurace Protocol) je síťový protokol, který umožňuje uzly v síti IP získat jeho konfigurační parametry automaticky. Je to protokol typu klient-server ve kterém má server obvykle seznam dynamických IP adres a přiděluje je klientům, jakmile se stanou volnými, kdykoli ví, kdo má tuto IP adresu, jak dlouho ji má a komu byla přidělena pak.
NTP o Network Time Protocol, je protokol určený k synchronizaci hodin pracovních stanic v síti. Verze 3 tohoto protokolu je internetový návrhový standard, formalizovaný v RFC 1305. Protokol NTP verze 4 je důležitou revizí uvedeného standardu a je ve vývoji, ale dosud nebyl formalizován v RFC. Jednoduchá verze NTP (SNTP) verze 4 je popsána v RFC 2030
ISC-DHCP-SERVER (Internet Software Consortium DHCP Server). Server DHCP je server, který je bezplatnou implementací protokolu DHCP, který přijímá požadavky od klientů požadujících konfiguraci sítě IP. Server bude na tyto požadavky reagovat zadáním parametrů, které klientům umožní konfigurovat se sami. Chcete-li, aby počítač vyžadoval konfiguraci ze serveru, v síťové konfiguraci počítače vyberte možnost automatického získání adresy IP.
Kerberos je systém ověřování uživatelů, který má dvojí cíl:
- Zabraňte odeslání klíčů po síti s následným rizikem jejich odhalení.
- Centralizujte ověřování uživatelů a udržujte databázi jednoho uživatele pro celou síť.
Kerberos jako bezpečnostní protokol používá kryptoměnu Symmetric Key Cryptography, což znamená, že klíč používaný k šifrování je stejný klíč, který se používá k dešifrování nebo autentizaci uživatelů. To umožňuje dvěma počítačům v nezabezpečené síti navzájem si bezpečně prokázat svou identitu. Kerberos poté omezuje přístup pouze na autorizované uživatele a ověřuje požadavky na služby za předpokladu otevřeného distribuovaného prostředí, ve kterém uživatelé umístění na pracovních stanicích přistupují k těmto službám na serverech distribuovaných v síti.
Jakou implementaci služeb DNS a DHCP budeme vyvíjet?
Vyvineme dva: jeden založený na dnsmasq, a v následujících článcích ten, který odpovídá Vázat9 a Server ISC-DHCP. Pro ty, kteří se chtějí podrobně naučit, jak implementovat a konfigurovat DNS, doporučujeme přečíst si článek «Jak nainstalovat a nakonfigurovat primární hlavní DNS pro LAN v Debianu 6.0»
Proč potřebujeme služby DNS, DHCP a NTP?
- DNS: Udržovat databázi se jmény hostitelů a jejich IP adresami počítačů, které budou připojeny k naší podnikové síti, abychom je mohli volat jejich jmény, nikoli jejich IP adresami.
- DHCP: Nehýbejte se na místo, kde se nachází klientský počítač, abyste nakonfigurovali jeho IP adresu a související parametry. Prostřednictvím DHCP automaticky konfigurujeme IP adresu klienta, jeho masku podsítě, bránu, server DNS, s nímž by měl konzultovat, IP adresu poštovního serveru v naší síti LAN, typ uzlu, jmenný server NetBIOS a mnoho dalších parametrů. Je zřejmé, že s touto službou se můžeme vyhnout chybám ruční konfigurace tak důležitého aspektu na klientských počítačích.
- NTP: Pokud se v blízké budoucnosti rozhodneme integrovat Kerberos na náš server LDAP, budeme tuto službu potřebovat. Kerberos do značné míry spoléhá na protokol NTP a služby DNS.
Budeme integrovat služby DNS a DHCP na server LDAP?
Odpověď prozatím zní NE. Zpočátku NE. Téma OpenLDAP je samo o sobě trochu technické. A pokud si od začátku zkomplikujeme život tímto typem integrace, nedostaneme se příliš daleko. Všimněte si, že ClearOS, použijte dnsmasq. zentyal zatím používá Vázat9 a DHCP Server bez jejich integrace se serverem LDAP.
Pojďme od jednoduchého ke složitému, abychom se nedostali mezi nohy koní.
Příklad sítě
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Dnsmasq server
Instalujeme a konfigurujeme:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Upravíme soubor, který je nyní prázdný /etc/dnsmasq.conf a necháme to s následujícím obsahem:
: ~ # nano /etc/dnsmasq.conf # Nikdy nepředávejte obyčejná jména bez tečky # nebo části domény potřebná doména domain = friends.cu # Neposílejte adresy v nevyřízeném # adresním prostoru. bogus-priv # Dotaz na jmenné servery v # pořadí, v jakém se objevují v souboru # /etc/resolv.conf strict-order # Odpovědi na dotazy budou pocházet pouze z # / etc / hosts nebo z DHCP. local = / localnet / # OČI S ROZHRANÍM interface = eth1 expand-hosts # Změňte rozsah podle svých potřeb # a také dobu pronájmu # IP adresy dhcp-range = 10.10.10.150,10.10.10.200,12h # Možnosti pro RANGE # Časový server dhcp-option = volba: ntp-server, 10.10.10.15 # IP adresa NTP serveru je stejná jako IP adresy dnsmasq dhcp-option = 42,0.0.0.0 # Následující možnosti jsou ty, které Samba doporučuje # Servery ISC-DHCP-Server na vaší stránce # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Jsou přizpůsobeny pro případ, kdy server Samba # běží na stejném serveru dnsmasq. # Některé nebo všechny můžete odkomentovat, pokud ve své LAN používáte # klientů Windows a serveru Samba. # dhcp-option = 19,0 # volba ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP name server. WINS dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # Typ uzlu NetBIOS
Chcete-li se dozvědět více o dnsmasq, doporučujeme si soubor pečlivě přečíst dnsmasq.conf, což pojmenujeme jak dnsmasq.conf.original. Je to Pasta Bible o této službě. Je v angličtině.
Restartujeme službu:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
V souboru deklarujeme pevné IP adresy serverů v naší LAN / Etc / hosts ze samotného serveru, kde dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww
Pokaždé, když do souboru přidáme jméno a IP / Etc / hosts , musíme vynutit opětovné načtení služby, aby byl přidaný hostitel rozpoznán pomocí příkazů hostitel, kopat y nslookup, a to jak na samotném serveru, tak i na ostatních pracovních stanicích, které získaly IP adresu z tohoto serveru:
: ~ # service dnsmasq force-reload
poznámka: Soubor, kde dnsmasq ukládá přidělené IP adresy nebo «Leasingy», je /var/lib/misc/dnsmasq.lease.
NTP server
Konzultován primární zdroj"Konfigurace serveru s GNU / Linux. Vydání z ledna 2012. Autor: Joel Barrios Dueñas ».
Instalujeme a konfigurujeme:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Upravíme soubor, který je nyní prázdný /etc/ntp.conf a necháme to s následujícím obsahem:
# Výchozí zásada je nastavena pro jakýkoli # použitý server času: synchronizace času # se zdroji je povolena, ale bez povolení zdroje # dotazovat (noquery) nebo upravovat službu v systému # (nomodify) a klesat poskytnout zprávy protokolu # (notrap). omezit výchozí nomodify notrap noquery # Povolit veškerý přístup k systému # návratové rozhraní. omezit 127.0.0.1 # Místní síť má povoleno synchronizovat se serverem #, ale bez toho, aby jim umožnila upravit konfiguraci systému #, a bez jejich použití jako rovnocenných pro synchronizaci. omezit 10.10.10.0 masku 255.255.255.0 nomodify notrap # Nedisciplinované místní hodiny. # Toto je emulovaný ovladač, který se používá pouze jako # záloha, pokud není k dispozici žádné ze skutečných písem. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # soubor variace. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## POKUD MÁTE INTERNETOVÝ PŘÍSTUP # Seznam stratových 1 nebo 2 časových serverů. # Doporučuje se mít uvedeny alespoň 3 servery. # Více serverů na: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Pokud máte přístup k internetu, odkomentujte z následujících 3 řádků #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Oprávnění, která mají být přiřazena každému časovému serveru. # V příkladech nesmí zdroje dotazovat, # upravovat službu v systému nebo posílat registrační # zprávy. ## Pokud máte přístup k internetu, odkomentujte následující 3 řádky #restrict 0.pool.ntp.org maska 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska 255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org maska 255.255.255.255 nomodify notrap noquery # Šíření k zákazníkům je aktivováno vysílací klient
Restartujeme službu NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
Klient NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Upravíme soubor, který je nyní prázdný /etc/ntp.conf a necháme to s následujícím obsahem:
server mildap.amigos.cu
Kontroly klienta
Vezměme si například našeho klienta debian7.amigos.cu, do kterého jsme dříve nainstalovali balíček openssh-server.
root @ debian7: ~ # ssh-debian7
heslo uživatele root @ debian7: [----] root @ debian7: ~ # ifconfig
ether0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Rozsah: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 RX packets: 4967 errors: 0 drops: 0 overruns: 0 frame: 0 TX packets: 906 errors: 0 zrušeno: 0 překročení: 0 dopravce: 0 kolize: 0 txqueuelen: 1000 RX bajtů: 6705409 (6.3 MiB) TX bajtů: 93635 (91.4 KiB) Přerušení: 10 Základní adresa: 0x6000 lo Zakrytí odkazu: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Scope: Host UP LOOPBACK RUNNING MTU: 1 Metric: 8 RX packets: 0 errors: 0 drops: 0 overruns: 0 frame: 8 TX packets: 0 errors: 0 drops : 0 překročení: 0 nosič: 0 kolize: 0 txqueuelen: 480 RX bajtů: 480.0 (480 B) TX bajtů: 480.0 (XNUMX B)
Již jsme ověřili, že jste získali adresu IP od společnosti dnsmasq nainstalován na našem serveru OpenLDAP. Proto tato služba funguje správně. Podívejme se nyní na službu NTP, která může trvat několik sekund:
: ~ # ntpdate -u mildap.amigos.cu 25. ledna 20:07:00 ntpdate [4608]: krokový server 10.10.10.15 offset -0.633909 s
Pokud jde o službu NTP, vše funguje dobře.
Další kontroly:
root @ debian7: ~ # kopat gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; ODDÍL OTÁZKY :; gandalf.amigos.cu. V [----] ;; SEKCE ODPOVĚĎ: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopat Gandalfa [----] ;; ODDÍL OTÁZKY :; gandalf. V [----] ;; SEKCE ODPOVĚĎ: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopat miwww [----] ;; SEKCE OTÁZEK :; miwww. V [----] ;; SEKCE ODPOVĚĎ: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # kopat debian7 [----] ;; SEKCE OTÁZEK :; debian7. V [----] ;; SEKCE ODPOVĚĎ: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # hostitel Mírná mapa mildap.amigos.cu má adresu 10.10.10.15 Hostitel mildap.amigos.cu nebyl nalezen: 5 (ODMÍTNUTO) Hostitel mildap.amigos.cu nebyl nalezen: 5 (ODMÍTNUTÍ) root @ debian7: ~ # hostitel mildap.amigos.cu mildap.amigos.cu má adresu 10.10.10.15 Hostitel mildap.amigos.cu.amigos.cu nebyl nalezen: 5 (ODMÍTNUTO) Hostitel mildap.amigos.cu.amigos.cu nebyl nalezen: 5 (ODMÍTNUTO)
A protože obě nainstalované a nakonfigurované služby fungují velmi dobře, uzavíráme komunikaci pro dnešek až do dalšího pokračování článku o implementaci služeb DNS a DHCP aktualizací DNS na základě Bind9 a ISC-DHCP-Server, pro ty, kteří spravují o něco větší a složitější sítě.
Do příště, přátelé !!!