Verzeichnisdienst mit LDAP [2]: NTP und dnsmasq

Hallo Freunde!. Wir haben begonnen, Dienste zu implementieren und zu konfigurieren. Natürlich ist es notwendig, dass unsere einfach Verzeichnisdienst basierend OpenLDAPhaben die grundlegenden Dienste, um richtig zu funktionieren. Unter ihnen haben wir die Dienste DNS oder «DOMain Name System« DHCP oder " Ddynamisch Host CKonfiguration PProtokoll«Und zu NTP oder «NEtwork Time PProtokoll«.

Das Basisbetriebssystem, das wir verwenden werden, ist das Debian 6 "Squeeze". Die meisten der beschriebenen Methoden können verwendet werden Ubuntu 12.04 "Präzise"und in Debian 7 "Wheezy".

Obwohl es eine Kleinigkeit zu sein scheint - tatsächlich sind unsere Artikel etwas lang -, sind die Definitionen und das Studium dieser durch die Leser notwendig. Sie können und einige lesen sie nicht einmal und gehen direkt zu "Huhn und Reis mit Huhn". Großer Fehler. Und ich beziehe mich nicht auf die Erfahrenen, weil sie, sobald sie den Titel sehen, wissen, ob sie interessiert sind oder nicht.

Wir beziehen uns auf diejenigen, die in der Führung von Business Networks beginnen. Wir bitten sie, die Definitionen zu lesen und den Links zu folgen, sich mit den konzeptionellen Teilen zu befassen, die nicht unbedingt Befehlszeilen oder Code sind, und dann dem Rest des Artikels zu folgen.

Auf diese Weise sparen wir sowohl ihnen als auch uns viel Zeit beim Stellen und Beantworten von Fragen, deren Antworten genau im Teil dieser Definitionen und Einführungen enthalten sind. 🙂

Wir möchten auch ein für alle Mal sagen, dass die grundlegende und wichtigste Programmiersprache für einen Netzwerkadministrator oder einen Informatiker die englische Sprache ist. :-). Wir können nicht immer Übersetzungen bereitstellen, da wir keine Experten für die englische Sprache sind.

Natürlich, bevor Sie fortfahren, Wir empfehlen das Lesen der Einführung zu dieser Artikelserie.

Definitionen erforderlich

Entnommen aus Wikipedia:

dnsmasq. Es ist ein leichter DNS-, TFTP- und DHCP-Server. Der Zweck besteht darin, DNS- und DHCP-Dienste für ein lokales Netzwerk bereitzustellen. Es ist eine kostenlose Implementierung des DNS-Protokolls, das Anforderungen von Clients empfängt, die eine IP-Adresse basierend auf dem Namen eines Computers anfordern. Der Server antwortet auf diese Anforderungen mit der Angabe der IP.

DNS Domain Name System (o DNS, auf Spanisch Domain Name System). Es ist ein hierarchisches Nomenklatursystem für Computer, Dienste oder Ressourcen, die mit dem Internet oder einem privaten Netzwerk verbunden sind. Dieses System ordnet verschiedene Informationen Domainnamen zu, die jedem der Teilnehmer zugewiesen sind. Seine wichtigste Funktion besteht darin, von Menschen verständliche Namen in binäre Bezeichner zu übersetzen (aufzulösen), die den mit dem Netzwerk verbundenen Computern zugeordnet sind, um diese Computer weltweit lokalisieren und adressieren zu können.

DHCP (Abkürzung für Ddynamisch Host CKonfiguration Protocol) ist ein Netzwerkprotokoll, das Knoten in einem Netzwerk zulässt IP Holen Sie sich die Konfigurationsparameter automatisch. Es ist ein Protokoll vom Typ Kundenserver In diesem Fall verfügt ein Server im Allgemeinen über eine Liste dynamischer IP-Adressen und weist diese Clients zu, sobald sie frei sind. Dabei muss jederzeit bekannt sein, wer diese IP besessen hat, wie lange sie sie hat und wem sie zugewiesen wurde dann.

NTP o Network Time Protocol (Netzwerkzeitprotokoll) ist ein Protokoll, mit dem die Uhren von Arbeitsstationen über das Netzwerk synchronisiert werden. Version 3 dieses Protokolls ist ein Internet Draft Standard, der in RFC 1305 formalisiert wurde. Das NTP-Protokoll der Version 4 ist eine wichtige Überarbeitung des genannten Standards und befindet sich in der Entwicklung, wurde jedoch noch nicht in einem RFC formalisiert. Eine einfache Version von NTP (SNTP) Version 4 ist in RFC 2030 beschrieben

ISC-DHCP-SERVER (DHCP-Server des Internet Software Consortium). Ein DHCP-Server ist ein Server, bei dem es sich um eine kostenlose Implementierung des DHCP-Protokolls handelt, das Anforderungen von Clients empfängt, die eine IP-Netzwerkkonfiguration anfordern. Der Server antwortet auf diese Anforderungen, indem er die Parameter bereitstellt, mit denen Clients sich selbst konfigurieren können. Damit ein PC die Konfiguration von einem Server anfordert, wählen Sie in der Netzwerkkonfiguration des PCs die Option zum automatischen Abrufen der IP-Adresse aus.

Kerberos ist ein Benutzerauthentifizierungssystem, das ein doppeltes Ziel verfolgt:

• Verhindern Sie, dass die Schlüssel über das Netzwerk gesendet werden, mit dem daraus resultierenden Risiko ihrer Offenlegung.
• Zentralisieren Sie die Benutzerauthentifizierung und verwalten Sie eine einzelne Benutzerdatenbank für das gesamte Netzwerk.

Kerberos verwendet als Sicherheitsprotokoll die Kryptografie mit symmetrischen Schlüsseln. Dies bedeutet, dass der zum Verschlüsseln verwendete Schlüssel derselbe Schlüssel ist, der zum Entschlüsseln oder Authentifizieren von Benutzern verwendet wird. Auf diese Weise können zwei Computer in einem unsicheren Netzwerk ihre Identität untereinander sicher nachweisen. Kerberos beschränkt dann den Zugriff nur auf autorisierte Benutzer und authentifiziert Dienstanforderungen unter der Annahme einer offenen verteilten Umgebung, in der Benutzer an Arbeitsstationen auf diese Dienste auf Servern zugreifen, die über ein Netzwerk verteilt sind.

Welche Implementierung der DNS- und DHCP-Dienste werden wir entwickeln?

Wir werden zwei entwickeln: die basierend auf DNS-Maske, und in den folgenden Artikeln den entsprechenden Bindung9 und ISC-DHCP-Server. Für diejenigen, die detailliert lernen möchten, wie ein DNS implementiert und konfiguriert wird, empfehlen wir den Artikel «So installieren und konfigurieren Sie einen primären Master-DNS für ein LAN unter Debian 6.0»

Warum brauchen wir DNS-, DHCP- und NTP-Dienste?

• DNS: Um eine Datenbank mit den Namen der Hosts und ihrer IP-Adressen sowie der Computer zu verwalten, die mit unserem Unternehmensnetzwerk verbunden werden, damit wir sie nach ihren Namen anstatt nach ihren IP-Adressen aufrufen können.
• DHCP: Vermeiden Sie es, an den Ort zu wechseln, an dem sich der Client-Computer befindet, um seine IP-Adresse und die zugehörigen Parameter zu konfigurieren. Über DHCP konfigurieren wir automatisch die IP-Adresse des Clients, seine Subnetzmaske, das Gateway, den DNS-Server, den er konsultieren soll, die IP-Adresse des Mailservers in unserem LAN, den Knotentyp und den NetBIOS-Nameserver und viele andere Parameter. Mit diesem Service können wir natürlich manuelle Konfigurationsfehler vermeiden, die auf Clientcomputern einen so wichtigen Aspekt haben.
• NTP: Wenn wir uns in naher Zukunft für die Integration von Kerberos in unseren LDAP-Server entscheiden, benötigen wir diesen Service. Kerberos ist stark auf das NTP-Protokoll und die DNS-Dienste angewiesen.

Werden wir DNS- und DHCP-Dienste in den LDAP-Server integrieren?

Die Antwort lautet vorerst NEIN. Anfangs NEIN. Das OpenLDAP-Thema ist an sich etwas technisch. Und wenn wir unser Leben zu Beginn mit dieser Art der Integration komplizieren, werden wir nicht weit kommen. Notiere dass der ClearOSVerwenden Sie die dnsmasq. Zental mittlerweile nutzt die Bindung9 und DHCP Server ohne sie in den Server zu integrieren LDAP.

Gehen wir vom Einfachen zum Komplexen, um nicht zwischen die Beine der Pferde zu gelangen. 🙂

Beispielnetzwerk

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq Server

Wir installieren und konfigurieren:

: ~ # aptitude installiere dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Wir bearbeiten die Datei, die jetzt leer ist /etc/dnsmasq.conf und wir belassen es mit folgendem Inhalt:

: ~ # nano /etc/dnsmasq.conf
# Übergeben Sie niemals einfache Namen ohne den Punkt # oder den Domain-Teil Domain-benötigt domain = friends.cu # Übergeben Sie keine Adressen im nicht gerouteten # Adressraum. bogus-priv # Fragen Sie die Nameserver in der Reihenfolge ab, in der sie in der Datei # /etc/resolv.conf angezeigt werden. strikte Reihenfolge # Antworten auf Abfragen kommen nur von # / etc / hosts oder von DHCP. local = / localnet /
# AUGE MIT DER SCHNITTSTELLE
Schnittstelle = eth1
expand-hosts # Ändern Sie den Bereich entsprechend Ihren Anforderungen und der Lease-Zeit der IP-Adresse
dhcp-range = 10.10.10.150,10.10.10.200,12h # Optionen für RANGE # Zeitserver
dhcp-option = option: ntp-server, 10.10.10.15

# Die IP des NTP-Servers entspricht der des dnsmasq
dhcp-option = 42,0.0.0.0

# Die folgenden Optionen werden von Samba empfohlen
# ISC-DHCP-Server-Server auf Ihrer Seite
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Sie sind für den Fall angepasst, dass der Samba-Server # auf demselben dnsmasq-Server ausgeführt wird. # Sie können einige oder alle auskommentieren, wenn Sie # Windows-Clients und den Samba-Server in Ihrem LAN verwenden. # dhcp-option = 19,0 # option IP-Weiterleitung aus dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP-Nameserver. GEWINNT
dhcp-option = 45,0.0.0.0 # NetBIOS-Datagrammverteilungsserver dhcp-option = 46,8 # NetBIOS-Knotentyp

Um mehr über die zu erfahren dnsmasqWir empfehlen, die Datei sorgfältig zu lesen dnsmasq.conf, die wir wie nennen dnsmasq.conf.original. Es ist die Pasta-Bibel über diesen Dienst. Es ist in Englisch.

Wir starten den Service neu:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


Wir deklarieren die festen IP-Adressen der Server in unserem LAN in der Datei / Etc / hosts vom Server selbst, wo die dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Jedes Mal, wenn wir der Datei einen Namen und eine IP hinzufügen / Etc / hosts müssen wir das Neuladen des Dienstes erzwingen, damit der hinzugefügte Host von den Befehlen erkannt wird Gastgeber, graben y nslookup, sowohl auf dem Server selbst als auch für die übrigen Workstations, die eine IP von diesem Server erhalten haben:

: ~ # service dnsmasq force-reload

Hinweis:: Die Datei, in der die dnsmasq speichert die gewährten IP-Adressen oder «Mietverträge», Ist das /var/lib/misc/dnsmasq.leases.

NTP-Server

Primärquelle konsultiert"Serverkonfiguration mit GNU / Linux. Ausgabe Januar 2012. Autor: Joel Barrios Dueñas ».

Wir installieren und konfigurieren:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Wir bearbeiten die Datei, die jetzt leer ist /etc/ntp.conf und wir belassen es mit folgendem Inhalt:

# Die Standardrichtlinie wird für jeden # verwendeten Zeitserver festgelegt: Die Zeitsynchronisation # mit den Quellen ist zulässig, ohne dass die Quelle # abfragen (keine Abfrage) oder den Dienst auf dem # System ändern (nomodify) und das Bereitstellungsprotokoll # ablehnen kann Nachrichten (Notrap). Standard-Nomodify-Notrap-Noquery einschränken # Den gesamten Zugriff auf die System-Return-Schnittstelle zulassen. einschränken 127.0.0.1 # Das lokale Netzwerk darf mit dem Server # synchronisieren, ohne jedoch die Systemkonfiguration # ändern zu dürfen und ohne sie als gleichwertig für die Synchronisierung zu verwenden. einschränken 10.10.10.0 Maske 255.255.255.0 nomodify notrap # Undisziplinierte lokale Uhr. # Dies ist ein emulierter Treiber, der nur als # Backup verwendet wird, wenn keine der # tatsächlichen Schriftarten verfügbar ist. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Variationsdatei. driftfile / var / lib / ntp / drift Broadcast-Verzögerung 0.008 ## WENN SIE INTERNETZUGRIFF HABEN # Liste der Schicht 1 oder 2 Zeitserver. # Es wird empfohlen, mindestens 3 Server aufzulisten. # Weitere Server unter: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Wenn Sie über einen Internetzugang verfügen, kommentieren Sie das aus folgenden 3 Zeilen #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Berechtigungen, die für jeden Zeitserver zugewiesen werden. # In den Beispielen dürfen Quellen nicht abfragen, # den Dienst im System ändern oder # Registrierungsnachrichten senden. ## Wenn Sie über einen Internetzugang verfügen, kommentieren Sie die folgenden 3 Zeilen aus: #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org Maske 255.255.255.255 nomodify notrap noquery # Die Weitergabe an Kunden ist aktiviert
Broadcastclient

Wir starten den NTP-Dienst neu:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-Client

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Wir bearbeiten die Datei, die jetzt leer ist /etc/ntp.conf und wir belassen es mit folgendem Inhalt:

Server mildap.amigos.cu

Überprüft den Client

Nehmen wir zum Beispiel unseren Kunden debian7.amigos.cu, auf dem wir zuvor das openssh-server-Paket installiert haben.

root @ debian7: ~ # ssh-debian7
root @ debian7 Passwort: [----] root @ debian7: ~ # ifconfig
eth0 Link-Kapselung: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maske: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Geltungsbereich: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrik: 1 RX-Pakete: 4967 Fehler: 0 verworfen: 0 Überläufe: 0 Frame: 0 TX-Pakete: 906 Fehler: 0 gelöscht: 0 Überläufe: 0 Träger: 0 Kollisionen: 0 txqueuelen: 1000 RX-Bytes: 6705409 (6.3 MiB) TX-Bytes: 93635 (91.4 KiB) Interrupt: 10 Basisadresse: 0x6000 lo Verbindungskapsel: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Maske: 6 inet1 addr: :: 128/16436 Umfang: Host UP LOOPBACK RUNNING MTU: 1 Metrik: 8 RX-Pakete: 0 Fehler: 0 verworfen: 0 Überläufe: 0 Frame: 8 TX-Pakete: 0 Fehler: 0 verworfen : 0 Überläufe: 0 Träger: 0 Kollisionen: 0 txqueuelen: 480 RX-Bytes: 480.0 (480 B) TX-Bytes: 480.0 (XNUMX B)

Wir haben bereits überprüft, dass Sie eine IP-Adresse von der erhalten haben dnsmasq auf unserem OpenLDAP-Server installiert. Daher funktioniert dieser Dienst ordnungsgemäß. Überprüfen wir nun den NTP-Dienst, der einige Sekunden dauern kann:

: ~ # ntpdate -u mildap.amigos.cu
25 Jan 20:07:00 ntpdate [4608]: Schrittzeitserver 10.10.10.15 Offset -0.633909 Sek

In Bezug auf den NTP-Dienst funktioniert alles in Ordnung.

Sonstige Kontrollen:

root @ debian7: ~ # graben gandalf.amigos.cu

;; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; FRAGE ABSCHNITT:; gandalf.amigos.cu. IN EINEM [----] ;; ANTWORT ABSCHNITT: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # graben gandalf
[----] ;; FRAGE ABSCHNITT :; gandalf. IN EINEM [----] ;; ANTWORT ABSCHNITT: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # grabe miwww
[----] ;; FRAGE ABSCHNITT:; miwww. IN EINEM [----] ;; ANTWORT ABSCHNITT: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # grabe debian7
[----] ;; FRAGE ABSCHNITT:; debian7. IN EINEM [----] ;; ANTWORT ABSCHNITT: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # Host Mildap
mildap.amigos.cu hat die Adresse 10.10.10.15 Host mildap.amigos.cu nicht gefunden: 5 (VERWEIGERT) Host mildap.amigos.cu nicht gefunden: 5 (VERWEIGERT) root @ debian7: ~ # Host mildap.amigos.cu
mildap.amigos.cu hat die Adresse 10.10.10.15 Host mildap.amigos.cu.amigos.cu nicht gefunden: 5 (VERWEIGERT) Host mildap.amigos.cu.amigos.cu nicht gefunden: 5 (VERWEIGERT)

Und da die beiden installierten und konfigurierten Dienste sehr gut funktionieren, schließen wir die Kommunikation für heute bis zur nächsten Ausgabe des Artikels über die Implementierung von DNS- und DHCP-Diensten durch Aktualisierung von DNS auf Basis von Bind9 und ISC-DHCP-Server für diejenigen, die leicht verwalten größere und kompliziertere Netzwerke.

Bis zum nächsten Mal, Freunde !!!