Hakemistopalvelu LDAP: llä [2]: NTP ja dnsmasq

Hei ystävät!. Aloimme toteuttaa ja konfiguroida palveluja. Tietenkin on välttämätöntä, että yksinkertainen Hakemistopalvelu perustuu OpenLDAP, on peruspalvelut toimimaan kunnolla. Niiden joukossa meillä on palvelut DNS tai «DERF repressor domain Name System", DHCP tai » Ddynaaminen Host Configuration Protocol«Ja NTP tai «Network Time Protocol".

Peruskäyttöjärjestelmä, jota käytämme, on Debian 6 "Purista". Suurinta osaa kuvatuista menetelmistä voidaan käyttää Ubuntu 12.04 "Tarkka"ja Debian 7 "Wheezy".

Vaikka näyttää siltä, ​​että asia on pieni asia - itse asiassa artikkelimme tekevät siitä hieman pitkiä - määritelmät, ja lukijoiden on tutkittava niitä. Voit ja jotkut eivät edes lue niitä ja menevät suoraan kohtaan "kana ja riisi kanan kanssa". Iso virhe. En tarkoita kokeneita, koska he heti, kun näkevät otsikon, tietävät, ovatko he kiinnostuneita vai eivät.

Tarkoitamme niitä, jotka aloittavat Business Networksin johtamisen. Pyydämme heitä lukemaan määritelmät ja seuraamaan linkkejä, perehtymään käsitteellisiin osiin, jotka eivät välttämättä ole komentorivejä tai koodia, ja seuraamaan sitten muuta artikkelia.

Tällä tavoin säästämme paljon aikaa sekä heille että meille kysyttäessä ja vastaamalla kysymyksiin, joiden vastaukset ovat juuri näiden määritelmien ja johdantojen osassa. 🙂

Haluamme myös kertoa lopullisesti, että verkon ylläpitäjän tai tietojenkäsittelytieteen tutkijan perus ja tärkein ohjelmointikieli on englannin kieli. :-). Emme voi aina tarjota käännöksiä, koska emme ole englannin kielen asiantuntijoita.

Tietenkin, ennen kuin jatkat, suosittelemme, että luet Esittely tähän artikkelisarjaan.

Tarvittavat määritelmät

Otettu Wikipediasta:

dnsmasq. Se on kevyt DNS-, TFTP- ja DHCP-palvelin. Sen tarkoituksena on tarjota DNS- ja DHCP-palveluja lähiverkolle. Se on ilmainen DNS-protokollan toteutus, joka vastaanottaa pyyntöjä asiakkailta, jotka pyytävät IP-osoitetta koneen nimen perusteella. Palvelin vastaa näihin pyyntöihin antamalla IP-osoitteen.

DNS Domain Name System (o DNS(espanjaksi, verkkotunnusjärjestelmä). Se on hierarkkinen nimikkeistöjärjestelmä tietokoneille, palveluille tai mille tahansa Internetiin tai yksityiseen verkkoon liitetylle resurssille. Tämä järjestelmä yhdistää erilaisia ​​tietoja kullekin osallistujalle osoitettuihin verkkotunnuksiin. Sen tärkein tehtävä on kääntää (ratkaista) ihmisille ymmärrettävät nimet binaaritunnisteiksi, jotka liittyvät verkkoon kytkettyihin tietokoneisiin, jotta nämä tietokoneet voidaan löytää ja osoite maailmanlaajuisesti.

DHCP (lyhenne sanoista Ddynaaminen Host Configuration Protocol) on verkkoprotokolla, joka sallii verkon solmut IP saada konfigurointiparametrit automaattisesti. Se on tyyppinen protokolla asiakas / palvelin jossa palvelimella on yleensä luettelo dynaamisista IP-osoitteista ja määrittää ne asiakkaille, kun he tulevat vapaiksi, tietäen aina, kenellä on ollut kyseinen IP, kuinka kauan heillä on ollut ja kenelle se on annettu.

NTP o Network Time Protocol on protokolla, joka on suunniteltu synkronoimaan työasemien kellot verkon kautta. Tämän protokollan versio 3 on Internet-luonnosstandardi, joka on virallistettu RFC 1305: ssä. NTP-version 4 protokolla on tärkeä muutos mainitussa standardissa, ja sitä kehitetään parhaillaan, mutta sitä ei ole vielä virallistettu RFC: ssä. Yksinkertainen versio NTP (SNTP) -versiosta 4 on kuvattu standardissa RFC 2030

ISC-DHCP-PALVELIN (Internet-ohjelmistokonsortio DHCP-palvelin). DHCP-palvelin on palvelin, joka on ilmainen DHCP-protokollan toteutus, joka vastaanottaa pyyntöjä asiakkailta, jotka pyytävät IP-verkkoasetuksia. Palvelin vastaa näihin pyyntöihin toimittamalla parametrit, joiden avulla asiakkaat voivat määrittää itsensä. Jos tietokone pyytää konfigurointia palvelimelta, valitse tietokoneen verkkokokoonpanossa vaihtoehto IP-osoitteen saamiseksi automaattisesti.

Kerberos on käyttäjän todennusjärjestelmä, jolla on kaksinkertainen tavoite:

• Estä avainten lähettäminen verkon kautta, mikä johtaa niiden paljastumisen riskiin.
• Keskitä käyttäjien todennus ylläpitämällä yhtä käyttäjätietokantaa koko verkolle.

Kerberos käyttää suojausprotokollana symmetrisen avaimen salausta, mikä tarkoittaa, että salaukseen käytetty avain on sama avain, jota käytetään käyttäjien salauksen purkamiseen tai todentamiseen. Tämä antaa kahden turvattomassa verkossa olevan tietokoneen todistaa henkilöllisyytensä turvallisesti toisilleen. Kerberos rajoittaa tällöin vain valtuutettujen käyttäjien pääsyä ja todentaa palvelupyynnöt olettaen avoimen hajautetun ympäristön, jossa työasemilla olevat käyttäjät käyttävät näitä palveluja verkon kautta jaetuilla palvelimilla.

Mitä DNS- ja DHCP-palvelujen toteutuksia kehitämme?

Kehitämme kaksi: yhden, joka perustuu dnsmasq, ja seuraavissa artikkeleissa vastaava Sidonta9 ja ISC-DHCP-palvelin. Niille, jotka haluavat oppia yksityiskohtaisesti DNS: n käyttöönotosta ja määrittämisestä, suosittelemme lukemaan artikkelin «Ensisijaisen pää-DNS: n asentaminen ja määrittäminen lähiverkolle Debian 6.0: ssa»

Miksi tarvitsemme DNS-, DHCP- ja NTP-palveluja?

• DNS: Ylläpitää tietokantaa, joka sisältää isäntien nimet ja heidän IP-osoitteensa, tietokoneisiin, jotka yhdistetään yritysverkkoomme, jotta voimme soittaa heille heidän nimillään IP-osoitteiden sijaan.
• DHCP: Vältä siirtymistä asiakastietokoneen sijaintiin konfiguroidaksesi sen IP-osoitteen ja siihen liittyvät parametrit. DHCP: n avulla määritämme automaattisesti asiakkaan IP-osoitteen, sen aliverkon peitteen, yhdyskäytävän, DNS-palvelimen, jota sen tulisi pyytää, lähiverkon sähköpostipalvelimen IP-osoitteen, solmun tyypin, NetBIOS-nimipalvelimen ja monet muut parametrit . Ilmeisesti tällä palvelulla voimme välttää tällaiset tärkeät manuaaliset määritysvirheet asiakastietokoneissa.
• NTP: Jos lähitulevaisuudessa päätämme integroida Kerberos LDAP-palvelimeemme, tarvitsemme tätä palvelua. Kerberos luottaa vahvasti NTP-protokollaan ja DNS-palveluihin.

Integroidaanko DNS- ja DHCP-palvelut LDAP-palvelimeen?

Vastaus on toistaiseksi EI. Aluksi EI. OpenLDAP-aihe on itsessään vähän tekninen. Ja jos monimutkaistamme elämämme tällaisella integraatiolla alusta alkaen, emme pääse kovin pitkälle. Huomaa, että ClearOS, käytä dnsmasq. zentyal sillä välin käyttää Sidonta9 ja DHCP Palvelin integroimatta niitä palvelimeen LDAP.

Mennään yksinkertaisesta monimutkaiseen, jotta emme pääse hevosten jalkojen väliin. 🙂

Esimerkkiverkko

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq-palvelin

Asennamme ja konfiguroimme:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Muokkaamme nyt tyhjää tiedostoa /etc/dnsmasq.conf ja jätämme siihen seuraavan sisällön:

: ~ # nano /etc/dnsmasq.conf
# Älä koskaan välitä tavallisia nimiä ilman pistettä # tai verkkotunnusosaa toimialueelle tarvittava domain = friends.cu # Älä välitä osoitteita reitittämättömässä # osoitetilassa. bogus-priv # Kysele nimipalvelimia # siinä järjestyksessä kuin ne esiintyvät tiedostossa # /etc/resolv.conf strict-order # Vastaukset kyselyihin tulevat vain # / etc / hosts tai DHCP: ltä. paikallinen = / localnet /
# SILMÄ LIITÄNNÄLLÄ
rajapinta = eth1
expand-hosts # Muuta aluetta tarpeidesi mukaan # ja myös # IP-osoitteen vuokra-ajan mukaan
dhcp-range = 10.10.10.150,10.10.10.200,12h # RANGE-vaihtoehdot # Aikapalvelin
dhcp-option = vaihtoehto: ntp-palvelin, 10.10.10.15

# NTP-palvelimen IP on sama kuin dnsmasq
dhcp-option = 42,0.0.0.0

# Samba suosittelee seuraavia vaihtoehtoja
# ISC-DHCP-palvelinpalvelimia sivullasi
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Ne on mukautettu tapaukseen, jossa Samba-palvelin # toimii samalla dnsmasq-palvelimella. # Voit poistaa osan tai kaikki kommentista, jos käytät lähiverkossa # Windows-asiakasta ja Samba-palvelinta. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-TCP / IP-nimipalvelin. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS-solmutyyppi

Jos haluat lisätietoja dnsmasq, suosittelemme tiedoston lukemista huolellisesti dnsmasq.conf, jonka nimeämme miten dnsmasq.conf.original. Se on Pasta-raamattu tästä palvelusta. Se on englanniksi.

Käynnistämme palvelun uudelleen:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


Ilmoitamme tiedostossa lähiverkkomme palvelimien kiinteät IP-osoitteet / Etc / hosts palvelimelta itseltä, missä dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 paikallinen isäntä 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Joka kerta, kun lisätään tiedostoon nimi ja IP-osoite / Etc / hosts , meidän on pakotettava palvelun uudelleenlataus niin, että komennot tunnistavat lisätyn isännän isäntä, kaivaa y nslookup, sekä itse palvelimessa että muissa työasemissa, jotka ovat saaneet IP-osoitteen tältä palvelimelta:

: ~ # service dnsmasq pakota uudelleen

Huomata: Tiedosto, jossa dnsmasq tallentaa myönnetyt tai «Vuokrasopimukset», onko hän /var/lib/misc/dnsmasq.leasing.

NTP-palvelin

Ensisijainen lähde kuultu"Palvelimen määritykset GNU / Linuxin kanssa. Tammikuun painos 2012. Kirjoittaja: Joel Barrios Dueñas ».

Asennamme ja konfiguroimme:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Muokkaamme nyt tyhjää tiedostoa /etc/ntp.confia ja jätämme siihen seuraavan sisällön:

# Oletuskäytäntö on määritetty kaikille käytetyille # aikapalvelimille: ajan synkronointi # lähteiden kanssa on sallittua, mutta antamatta lähde #: n kysyä (ei kyselyä) tai muokata palvelua # järjestelmässä (nimetä) ja hylätä toimituslokia # viestit (notrap). rajoita oletusarvoista nomodify notrap noquery # Salli kaikki käyttöoikeudet järjestelmän # return-käyttöliittymään. rajoita 127.0.0.1 # Paikallinen verkko saa synkronoitua palvelimen # kanssa, mutta antamatta heidän muokata järjestelmän kokoonpanoa # ja käyttämättä niitä tasa-arvoisina synkronoinnissa. rajoita 10.10.10.0 -maski 255.255.255.0 nomodify notrap # Ohjaton paikallinen kello # Tämä on emuloitu ohjain, jota käytetään vain # varmuuskopiona, kun mikään todellisista kirjasimista ei ole käytettävissä #. fudge 127.127.1.0 stratum 10 -palvelin 127.127.1.0 # Muunnelmatiedosto. driftfile / var / lib / ntp / drift broadcastdayay 0.008 ## JOS SINULLA ON Internet-yhteys # Luettelo stratum 1 tai 2 aikapalvelimista. # On suositeltavaa, että luettelossa on vähintään 3 palvelinta. # Lisää palvelimia: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Jos sinulla on internetyhteys, kommentoi seuraavat 3 riviä #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Kullekin aikapalvelimelle annettavat oikeudet. # Esimerkeissä lähteet eivät saa tehdä kyselyjä, # muokata palvelua järjestelmässä tai lähettää rekisteröinti # -sanomaa. ## Jos sinulla on internetyhteys, poista seuraavat kolme riviä: #restrict 3.pool.ntp.org -maski 0 nomodify notrap noquery #restrict 255.255.255.255.pool.ntp.org -maski 1 nomodify notrap noquery #restrict 255.255.255.255.pool .ntp.org-peite 2 nomodify notrap noquery # Levitys asiakkaille on aktivoitu
lähetysasiakkaalle

Käynnistämme NTP-palvelun uudelleen:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-asiakas

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Muokkaamme nyt tyhjää tiedostoa /etc/ntp.confia ja jätämme siihen seuraavan sisällön:

palvelin mildap.amigos.cu

Asiakkaan tarkastukset

Otetaan esimerkiksi asiakkaamme debian7.amigos.cu, johon olemme aiemmin asentaneet openssh-server-paketin.

root @ debian7: ~ # ssh debian 7
root @ debian7: n salasana: [----] root @ debian7: ~ # ifconfig
eth0-linkkikotelo: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Lähetys: 10.10.10.255 Naamio: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Laajuus: Linkitä LÄHETYSLAITTEEN AJON MULTICAST MTU: 1500 Metrinen: 1 Vastaanottopaketti: 4967 virhettä: 0 pudotettu: 0 Ylityksiä: 0 kehys: 0 TX-paketteja: 906 virheitä: 0 pudotettua: 0 ylitystä: 0 kantaja: 0 törmäystä: 0 txqueuelen: 1000 RX-tavua: 6705409 (6.3 MiB) TX-tavua: 93635 (91.4 KiB) Keskeytys: 10 Perusosoite: 0x6000 lo Linkin kapasiteetti: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 peite: 6 inet1 addr: :: 128/16436 Laajuus: Isäntä YLÖS LOOPBACK RUNNING MTU: 1 Metriikka: 8 Vastaanottopaketit: 0 virhettä: 0 pudotettu: 0 ylityksiä: 0 kehys: 8 TX-paketteja: 0 virheitä: 0 pudonnut : 0 ylityksiä: 0 kantaja: 0 törmäystä: 0 txqueuelen: 480 RX-tavua: 480.0 (480 B) TX-tavua: 480.0 (XNUMX B)

Olemme jo vahvistaneet, että hankit IP-osoitteen dnsmasq asennettu OpenLDAP-palvelimellemme. Siksi kyseinen palvelu toimii oikein. Tarkistetaan nyt NTP-palvelu, joka voi kestää useita sekunteja:

: ~ # ntpdate -u mildap.amigos.cu
25. tammikuuta 20:07:00 ntpdate [4608]: askelpalvelin 10.10.10.15 offset -0.633909 s

NTP-palvelun osalta kaikki toimii kunnolla.

Muut tarkastukset:

root @ debian7: ~ # kaivaa gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; KYSYMYSOSA :; gandalf.amigos.cu. JONKIN SISÄLLÄ [----] ;; VASTAUSOSA: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kaivaa gandalf
[----] ;; KYSYMYSOSA :; gandalf. JONKIN SISÄLLÄ [----] ;; VASTAUSOSA: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kaivaa miwww
[----] ;; KYSYMYSOSA :; miwww. JONKIN SISÄLLÄ [----] ;; VASTAUSOSA: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # kaivaa debian 7
[----] ;; KYSYMYSOSA :; debian7. JONKIN SISÄLLÄ [----] ;; VASTAUSOSA: debian 7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # isäntä mildap
mildap.amigos.cu: lla on osoite 10.10.10.15 Isäntää mildap.amigos.cu ei löytynyt: 5 (Hylätty) Isäntää mildap.amigos.cu ei löydy: 5 (Hylätty) root @ debian7: ~ # isäntä mildap.amigos.cu
mildap.amigos.cu: lla on osoite 10.10.10.15 Isäntää mildap.amigos.cu.amigos.cu ei löytynyt: 5 (Hylätty) Isäntää mildap.amigos.cu.amua.cu ei löytynyt: 5 (REFUSED)

Ja koska kaksi asennettua ja määritettyä palvelua toimivat erittäin hyvin, lopetamme viestinnän tämän päivän artikkelin seuraavaan erään saakka, kuinka DNS- ja DHCP-palvelut otetaan käyttöön päivittämällä DNS Bind9: n ja ISC-DHCP-Serverin perusteella niille, jotka hallinnoivat hieman suurempia ja monimutkaisempia verkkoja.

Seuraavaan kertaan, ystävät !!!