Service d'annuaire avec LDAP [2]: NTP et dnsmasq

Salut les amis!. Nous avons commencé à implémenter et configurer des services. Bien sûr, il est nécessaire que notre simple Service d'annuaire basé OpenLDAP, disposent des services de base pour fonctionner correctement. Parmi eux, nous avons les services DNS ou «Domain Name Système«, DHCP ou " Dynamique Host Cconfiguration Pprotocole", Et à NTP ou «NEtwork Time Pprotocole«.

Le système d'exploitation de base que nous utiliserons est le Debian 6 "Squeeze". La plupart des méthodes décrites peuvent être utilisées pour Ubuntu 12.04 "Précis"et dans Debian 7 "Wheezy".

Bien que cela semble une bagatelle - en fait nos articles font un peu long - les définitions, et leur étude par les lecteurs sont nécessaires. Vous pouvez et certains ne les lisent même pas et allez directement à "poulet et riz au poulet". Grosse erreur. Et je ne parle pas des expérimentés, car ils savent, dès qu'ils voient le titre, s'ils sont intéressés ou non.

Nous nous référons à ceux qui débutent dans la direction des réseaux d'entreprises. Nous leur demandons de lire les définitions et de suivre les liens, de se plonger dans les parties conceptuelles qui ne sont pas nécessairement des lignes de commande ou du code, puis de suivre le reste de l'article.

De cette manière, nous gagnerons beaucoup de temps pour eux et pour nous, en posant et en répondant à des questions dont les réponses sont précisément dans la partie de ces définitions et introductions. 🙂

Nous voulons également dire une fois pour toutes que le langage de programmation fondamental et le plus important pour un administrateur réseau ou pour un informaticien est la langue anglaise. :-). Nous ne pouvons pas toujours fournir des traductions, car nous ne sommes pas des experts de la langue anglaise.

Bien sûr, avant de continuer, nous vous recommandons vivement de lire le Introduction à cette série d'articles.

Définitions nécessaires

Tiré de Wikipedia:

dnsmasq. Il s'agit d'un serveur DNS, TFTP et DHCP léger. Son objectif est de fournir des services DNS et DHCP à un réseau local. Il s'agit d'une implémentation gratuite du protocole DNS qui reçoit les requêtes des clients demandant une adresse IP basée sur le nom d'une machine. Le serveur répondra à ces demandes en fournissant l'adresse IP.

DNS Domain Name System (o DNS, en espagnol, système de nom de domaine). Il s'agit d'un système de nomenclature hiérarchique pour les ordinateurs, les services ou toute ressource connectée à Internet ou à un réseau privé. Ce système associe diverses informations aux noms de domaine attribués à chacun des participants. Sa fonction la plus importante est de traduire (résoudre) les noms lisibles par l'homme en identifiants binaires associés aux ordinateurs connectés au réseau, ceci afin de pouvoir localiser et adresser ces ordinateurs dans le monde entier.

DHCP (acronyme de Dynamique Host Cconfiguration Protocol) est un protocole réseau qui permet aux nœuds sur un réseau IP obtenir ses paramètres de configuration automatiquement. C'est un protocole de type serveur client dans lequel un serveur dispose généralement d'une liste d'adresses IP dynamiques et les attribue aux clients à mesure qu'ils deviennent libres, sachant à tout moment qui est en possession de cette adresse IP, depuis combien de temps elle la possède et à qui elle a été attribuée puis.

NTP o Network Time Protocol, est un protocole conçu pour synchroniser les horloges des postes de travail sur le réseau. La version 3 de ce protocole est un projet de norme Internet, formalisé dans la RFC 1305. Le protocole NTP version 4 est une révision importante de la norme mentionnée, et il est en cours de développement, mais n'a pas encore été formalisé dans une RFC. Une version simple de NTP (SNTP) version 4 est décrite dans la RFC 2030

SERVEUR ISC-DHCP (Serveur DHCP Internet Software Consortium). Un serveur DHCP est un serveur qui est une implémentation gratuite du protocole DHCP qui reçoit des demandes de clients demandant une configuration de réseau IP. Le serveur répondra à ces demandes en fournissant les paramètres permettant aux clients de se configurer. Pour qu'un PC demande la configuration à un serveur, dans la configuration réseau du PC, sélectionnez l'option permettant d'obtenir automatiquement l'adresse IP.

Kerberos est un système d'authentification des utilisateurs, qui a un double objectif:

• Empêchez les clés d'être envoyées via le réseau, avec le risque consécutif de leur divulgation.
• Centralisez l'authentification des utilisateurs en conservant une base de données utilisateur unique pour l'ensemble du réseau.

Kerberos, en tant que protocole de sécurité, utilise la cryptographie à clé symétrique, ce qui signifie que la clé utilisée pour chiffrer est la même que celle utilisée pour déchiffrer ou authentifier les utilisateurs. Cela permet à deux ordinateurs sur un réseau non sécurisé de prouver mutuellement leur identité en toute sécurité. Kerberos restreint ensuite l'accès aux seuls utilisateurs autorisés et authentifie les demandes aux services, en supposant un environnement distribué ouvert, dans lequel les utilisateurs situés sur des postes de travail accèdent à ces services sur des serveurs répartis sur un réseau.

Quelle implémentation des services DNS et DHCP allons-nous développer?

Nous en développerons deux: celui basé sur DNSmasq, et dans les articles suivants celui correspondant à Lier9 et l' Serveur ISC-DHCP. Pour ceux qui veulent apprendre en détail comment un DNS est implémenté et configuré, nous vous recommandons de lire l'article «Comment installer et configurer un DNS principal principal pour un LAN sur Debian 6.0»

Pourquoi avons-nous besoin de services DNS, DHCP et NTP?

• DNS: Maintenir une base de données avec les noms des hôtes et leurs adresses IP, des ordinateurs qui seront connectés à notre réseau d'entreprise, afin que nous puissions les appeler par leurs noms, plutôt que par leurs adresses IP.
• DHCP: Évitez de vous déplacer vers l'endroit où se trouve l'ordinateur client, pour configurer son adresse IP et les paramètres associés. Grâce à DHCP, nous configurons automatiquement l'adresse IP du client, son masque de sous-réseau, la passerelle, le serveur DNS auquel il doit consulter, l'adresse IP du serveur de messagerie sur notre LAN, le type de nœud, le serveur de noms NetBIOS et de nombreux autres paramètres. Évidemment, avec ce service, nous pouvons éviter des erreurs de configuration manuelle d'un aspect aussi important sur les ordinateurs clients.
• NTP: Si dans un proche avenir nous décidons d'intégrer Kerberos à notre serveur LDAP, nous aurons besoin de ce service. Kerberos s'appuie fortement sur le protocole NTP et les services DNS.

Allons-nous intégrer les services DNS et DHCP au serveur LDAP?

La réponse pour l'instant est NON. Initialement NON. Le sujet OpenLDAP est un peu technique en soi. Et si nous compliquons nos vies avec ce type d'intégration au départ, nous n'irons pas très loin. Notez que le ClearOS, utilisez le dnsmasq. zentyal utilise en attendant le Lier9 et l' DHCP Serveur sans les intégrer au serveur LDAP.

Passons du simple au complexe pour ne pas passer entre les jambes des chevaux. 🙂

Exemple de réseau

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Serveur Dnsmasq

Nous installons et configurons:

: ~ # aptitude installer dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Nous éditons le fichier qui est maintenant vide /etc/dnsmasq.conf et nous le laissons avec le contenu suivant:

: ~ # nano /etc/dnsmasq.conf
# Ne transmettez jamais de noms simples sans le point # ou la partie de domaine domain-required domain = friends.cu # Ne transmettez pas les adresses dans l'espace d'adresse # non routé. bogus-priv # Interroge les serveurs de noms dans # l'ordre dans lequel ils apparaissent dans le fichier # /etc/resolv.conf strict-order # Les réponses aux requêtes ne proviendront que de # / etc / hosts ou de DHCP. local = / localnet /
# OEIL AVEC L'INTERFACE
interface = eth1
expand-hosts # Changez la plage en fonction de vos besoins # et aussi de la durée de location de # l'adresse IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # Options pour RANGE # Serveur de temps
option dhcp = option: serveur ntp, 10.10.10.15

# L'adresse IP du serveur NTP est la même que celle du dnsmasq
option dhcp = 42,0.0.0.0

# Les options suivantes sont celles que Samba recommande pour
# Serveurs ISC-DHCP-Server sur votre page
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Ils sont adaptés au cas où le serveur Samba # tourne sur le même serveur dnsmasq. # Vous pouvez décommenter certains d'entre eux ou tous, si vous # utilisez les clients Windows et le serveur Samba sur votre LAN. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # Serveur de noms NetBIOS-over-TCP / IP. WINS
dhcp-option = 45,0.0.0.0 # Serveur de distribution de datagrammes NetBIOS dhcp-option = 46,8 # Type de nœud NetBIOS

Pour en savoir plus sur le dnsmasq, nous vous recommandons de lire attentivement le fichier dnsmasq.conf, que nous nommons comment dnsmasq.conf.original. C'est la Bible des pâtes à propos de ce service. C'est en anglais.

Nous redémarrons le service:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


Nous déclarons les adresses IP fixes des serveurs de notre LAN dans le fichier / Etc / hosts du serveur lui-même où le dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Chaque fois que nous ajoutons un nom et une adresse IP au fichier / Etc / hosts , il faut forcer le rechargement du service pour que l'hôte ajouté soit reconnu par les commandes hôte, creuser y nslookup, à la fois sur le serveur lui-même et pour les autres postes de travail ayant acquis une adresse IP de ce serveur:

: ~ # service dnsmasq force-reload

Note: Le fichier où le dnsmasq stocke les adresses IP accordées ou «Baux», Est-ce que /var/lib/misc/dnsmasq.leases.

Serveur NTP

Source principale consultée"Configuration du serveur avec GNU / Linux. Edition de janvier 2012. Auteur: Joel Barrios Dueñas ».

Nous installons et configurons:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Nous éditons le fichier qui est maintenant vide /etc/ntp.conf et nous le laissons avec le contenu suivant:

# La politique par défaut est définie pour tout # serveur de temps utilisé: la synchronisation de # l'heure avec les sources est autorisée, mais sans permettre à la source # d'interroger (noquery), ou de modifier le service sur le # système (nomodify) et en déclin fournir les # messages du journal (notrap). restreindre la valeur par défaut nomodify notrap noquery # Autoriser tous les accès à l'interface de retour du système. restrict 127.0.0.1 # Le réseau local est autorisé à se synchroniser avec le serveur # mais sans leur permettre de modifier la configuration du # système, et sans les utiliser comme égaux pour se synchroniser. restreindre 10.10.10.0 masque 255.255.255.0 nomodify notrap # Horloge locale indisciplinée. # Ceci est un pilote émulé utilisé uniquement comme # sauvegarde lorsqu'aucune des polices réelles n'est # disponible. fudge 127.127.1.0 strate 10 serveur 127.127.1.0 # Fichier de variation. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## SI VOUS AVEZ UN ACCÈS INTERNET # Liste des serveurs de temps de strate 1 ou 2. # Il est recommandé d'avoir au moins 3 serveurs répertoriés. # Plus de serveurs sur: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Si vous avez accès à Internet, décommentez des 3 lignes suivantes #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Autorisations à attribuer à chaque serveur de temps. # Dans les exemples, les sources ne sont pas autorisées à interroger, # modifier le service sur le système ou envoyer des # messages d'enregistrement. ## Si vous avez accès à Internet, décommentez les 3 lignes suivantes #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org masque 255.255.255.255 nomodify notrap noquery # La diffusion aux clients est activée
client de diffusion

Nous redémarrons le service NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

Client NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Nous éditons le fichier qui est maintenant vide /etc/ntp.conf et nous le laissons avec le contenu suivant:

serveur mildap.amigos.cu

Vérifications sur le client

Par exemple, prenons notre client debian7.amigos.cu, sur lequel nous avons précédemment installé le package openssh-server.

root @ debian7: ~ # ssh-debian7
Mot de passe root @ debian7: [----] root @ debian7: ~ # i
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          adr inet: 10.10.10.153 Bcast: 10.10.10.255 Masque: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Portée: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrique: 1 paquets RX: 4967 erreurs: 0 abandonné: 0 dépassements: 0 trame: 0 paquets TX: 906 erreurs: 0 abandonné: 0 dépassements: 0 porteuse: 0 collisions: 0 txqueuelen: 1000 octets RX: 6705409 (6.3 Mio) octets TX: 93635 (91.4 Kio) Interruption: 10 Adresse de base: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Masque: 6 inet1 addr: :: 128/16436 Portée: Host UP LOOPBACK RUNNING MTU: 1 Métrique: 8 paquets RX: 0 erreurs: 0 abandonné: 0 dépassements: 0 trame: 8 paquets TX: 0 erreurs: 0 abandonné : 0 dépassements: 0 porteuse: 0 collisions: 0 txqueuelen: 480 octets RX: 480.0 (480 B) octets TX: 480.0 (XNUMX B)

Nous avons déjà vérifié que vous avez acquis une adresse IP auprès du dnsmasq installé sur notre serveur OpenLDAP. Par conséquent, ce service fonctionne correctement. Voyons maintenant le service NTP, qui peut prendre plusieurs secondes:

: ~ # ntpdate -u mildap.amigos.cu
25 janvier 20:07:00 ntpdate [4608]: serveur de temps pas à pas 10.10.10.15 offset -0.633909 sec

En ce qui concerne le service NTP, tout fonctionne bien.

Autres contrôles:

root @ debian7: ~ # creuser gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SECTION DES QUESTIONS :; gandalf.amigos.cu. DANS UN [----] ;; SECTION RÉPONSE: gandalf.amigos.cu. 0 DANS UN 10.10.10.1 [----] root @ debian7: ~ # creuser gandalf
[----] ;; SECTION DES QUESTIONS :; gandalf. DANS UN [----] ;; SECTION DE RÉPONSE: gandalf. 0 DANS UN 10.10.10.1 [----] root @ debian7: ~ # creuser miwww
[----] ;; SECTION DES QUESTIONS :; miwww. DANS UN [----] ;; SECTION RÉPONSE: miwww. 0 DANS UN 10.10.10.5 [----] root @ debian7: ~ # creuser debian7
[----] ;; SECTION QUESTION :; debian7. DANS UN [----] ;; SECTION RÉPONSE: debian7. 0 DANS UN 10.10.10.153 [----] root @ debian7: ~ # hôte mildap
mildap.amigos.cu a l'adresse 10.10.10.15 Hôte mildap.amigos.cu introuvable: 5 (REFUSÉ) Hôte mildap.amigos.cu introuvable: 5 (REFUSÉ) root @ debian7: ~ # hôte mildap.amigos.cu
mildap.amigos.cu a l'adresse 10.10.10.15 Hôte mildap.amigos.cu.amigos.cu introuvable: 5 (REFUSÉ) Hôte mildap.amigos.cu.amigos.cu introuvable: 5 (REFUSÉ)

Et comme les deux services installés et configurés fonctionnent très bien, nous fermons les communications pour aujourd'hui jusqu'au prochain épisode de l'article sur la façon d'implémenter les services DNS et DHCP en mettant à jour DNS, basé sur Bind9 et ISC-DHCP-Server, pour ceux qui gèrent légèrement réseaux plus vastes et plus complexes.

Jusqu'à la prochaine fois, mes amis !!!