Könyvtárszolgáltatás LDAP-val [2]: NTP és dnsmasq

Hello barátok!. Elkezdtük a szolgáltatások bevezetését és konfigurálását. Természetesen szükséges, hogy az egyszerű Directory Service alapján OpenLDAP, rendelkezzenek az alapvető szolgáltatásokkal a megfelelő működéshez. Köztük vannak a szolgáltatások DNS vagy «Dfő- Name System”, DHCP vagy » Ddinamikus Host Configuration Protocol«És NTP vagy «NHálózat- Time Protocol”.

Az alap operációs rendszer, amelyet használni fogunk, a Debian 6 "Squeeze". A leírt módszerek többsége felhasználható Ubuntu 12.04 "Pontos", és a Debian 7 "Wheezy".

Bár apróságnak tűnik - valójában cikkeink kissé elhúzódnak - a definíciók, és az olvasók tanulmányozása szükséges. Tudja, és néhányan nem is olvassák el őket, és közvetlenül a "csirkéhez és a csirkés rizzsel" mennek. Nagy hiba. És nem a tapasztaltakra gondolok, mert ők, amint meglátják a címet, tudják, érdekli-e őket.

Azokra hivatkozunk, akik az üzleti hálózatok vezetésében indulnak. Arra kérjük őket, olvassák el a definíciókat, kövessék a hivatkozásokat, mélyítsék el azokat a fogalmi részeket, amelyek nem feltétlenül parancssorok vagy kódok, majd kövessék a cikk többi részét.

Ily módon sok időt fogunk megtakarítani mind nekik, mind nekünk, olyan kérdések feltevésében és megválaszolásában, amelyekre a válaszok éppen ezek a definíciók és bevezetések részei. 🙂

Azt is szeretnénk egyszer és mindenkorra elmondani, hogy a hálózati rendszergazda vagy egy informatikus számára az alapvető és legfontosabb programozási nyelv az angol nyelv. :-). Nem mindig tudunk fordításokat biztosítani, mivel nem vagyunk szakértők az angol nyelvben.

Természetesen a folytatás előtt nagyon ajánljuk a Bevezetés erre a cikksorozatra.

Szükséges meghatározások

A Wikipédiából származik:

dnsmasq. Ez egy könnyű DNS, TFTP és DHCP szerver. Célja DNS és DHCP szolgáltatások nyújtása egy helyi hálózat számára. A DNS-protokoll ingyenes megvalósítása, amely IP-címet kérő ügyfelektől kéréseket fogad a gép neve alapján. A szerver válaszol ezekre a kérésekre az IP megadásával.

DNS Domain Name System (o DNS(spanyolul, domain név rendszer). Ez egy hierarchikus nómenklatúra-rendszer számítógépekhez, szolgáltatásokhoz vagy bármilyen erőforráshoz, amely az internethez vagy a magánhálózathoz csatlakozik. Ez a rendszer különféle információkat társít az egyes résztvevőkhöz rendelt domain nevekhez. Legfontosabb funkciója az ember számára érthető nevek bináris azonosítókká történő lefordítása (feloldása), amelyek a hálózathoz csatlakozó számítógépekhez társulnak, hogy ezeket a számítógépeket világszerte megkereshessék és megszólítsák.

DHCP (betűszó: Ddinamikus Host Configuration Protocol) egy hálózati protokoll, amely lehetővé teszi a hálózat csomópontjait IP automatikusan megkapja a konfigurációs paramétereit. Ez egy típusú protokoll kliens / szerver amelyben egy kiszolgáló általában rendelkezik egy dinamikus IP-címmel, és hozzárendeli őket az ügyfelekhez, amikor szabaddá válnak, tudva mindenkor, hogy ki birtokolta azt az IP-t, meddig volt birtokában és kinek lett akkor rendelve.

NTP o Network Time Protocol, a munkaállomások óráinak szinkronizálására szolgáló protokoll. Ennek a protokollnak a 3. verziója egy internetes szabványtervezet, amelyet az RFC 1305 formalizált. Az NTP 4-es protokoll az említett szabvány fontos felülvizsgálata, fejlesztés alatt áll, de még nem formalizálták egy RFC-ben. Az NTP (SNTP) 4. verziójának egyszerű verzióját az RFC 2030 írja le

ISC-DHCP-SZERVER (Internet Software Consortium DHCP Server). A DHCP-kiszolgáló egy olyan kiszolgáló, amely a DHCP-protokoll ingyenes megvalósítása, amely IP-konfigurációt kérő ügyfelektől érkező kéréseket fogad. A szerver ezekre a kérésekre válaszolva megadja azokat a paramétereket, amelyek lehetővé teszik az ügyfelek számára, hogy konfigurálják magukat. Annak érdekében, hogy a számítógép a szervertől kérje a konfigurációt, a számítógép hálózati konfigurációjában válassza az IP-cím automatikus megszerzésének lehetőségét.

Kerberos egy felhasználói hitelesítési rendszer, amelynek kettős célja van:

  • Akadályozzuk meg a kulcsok hálózaton keresztüli küldését, és ennek következtében felmerülhet a kockázat.
  • Központosítsa a felhasználói hitelesítést, egyetlen felhasználói adatbázis fenntartásával a teljes hálózat számára.

A Kerberos biztonsági protokollként a szimmetrikus kulcsú titkosítást használja, ami azt jelenti, hogy a titkosításhoz használt kulcs ugyanaz a kulcs, amelyet a felhasználók visszafejtésére vagy hitelesítésére használnak. Ez lehetővé teszi, hogy a nem biztonságos hálózaton található két számítógép biztonságosan igazolja egymásnak személyazonosságát. Ezután a Kerberos csak az engedélyezett felhasználók számára korlátozza a hozzáférést, és hitelesíti a szolgáltatások iránti kérelmeket, feltételezve egy nyitott elosztott környezetet, amelyben a munkaállomásokon található felhasználók a hálózaton elosztott szervereken férnek hozzá ezekhez a szolgáltatásokhoz.

Milyen megvalósítást fogunk fejleszteni a DNS és DHCP szolgáltatásokkal?

Kettőt fogunk fejleszteni: az egyiket dnsmasq, és a következő cikkekben a megfelelő Kötés9 és ISC-DHCP-kiszolgáló. Azok számára, akik részletesen szeretnék megismerni a DNS megvalósítását és konfigurálását, javasoljuk elolvasni a cikket «Hogyan lehet telepíteni és konfigurálni az elsődleges fő DNS-t egy LAN-hoz a Debian 6.0-on»

Miért van szükségünk DNS, DHCP és NTP szolgáltatásokra?

  • DNS: Adatbázis karbantartása a gazdagépek nevével és IP-címeivel, a vállalati hálózatunkhoz csatlakozó számítógépek nevével, hogy az IP-címek helyett a nevükön hívhassuk őket.
  • DHCP: Kerülje el azt a helyet, ahol az ügyfélszámítógép található, az IP-cím és a kapcsolódó paraméterek konfigurálásához. A DHCP-n keresztül automatikusan konfiguráljuk az ügyfél IP-címét, az alhálózati maszkját, az átjárót, a DNS-kiszolgálót, akivel konzultálnia kell, a LAN-on levő levelezőszerver IP-címét, a csomópont típusát, a NetBIOS névszervert és sok más paramétert. . Nyilvánvaló, hogy ezzel a szolgáltatással elkerülhetjük az ügyfélszámítógépek ilyen fontos szempontú manuális konfigurációs hibáit.
  • NTP: Ha a közeljövőben úgy döntünk, hogy integráljuk a Kerberost az LDAP szerverünkre, akkor szükségünk lesz erre a szolgáltatásra. A Kerberos nagyban támaszkodik az NTP protokollra és a DNS szolgáltatásokra.

Integráljuk a DNS és a DHCP szolgáltatásokat az LDAP kiszolgálóval?

A válasz egyelőre NEM. Kezdetben NO. Az OpenLDAP téma önmagában kissé technikai jellegű. És ha már az elején bonyolítjuk az életünket egy ilyen típusú integrációval, akkor nem jutunk túl messzire. Vegye figyelembe, hogy a ClearOS, használja a dnsmasq. zentyal közben használja a Kötés9 és DHCP Szerver anélkül, hogy integrálná őket a szerverrel LDAP.

Menjünk az egyszerűtől a komplexumig, hogy ne kerüljünk a lovak lába közé. 🙂

Példa hálózatra

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq szerver

Telepítjük és konfiguráljuk:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Szerkesztjük az üres fájlt /etc/dnsmasq.conf és a következő tartalommal hagyjuk:

: ~ # nano /etc/dnsmasq.conf
# Soha ne adja át a sima neveket a dot # vagy a tartományrész nélkül a szükséges domain = friends.cu # Ne adja át a címeket az irányítatlan # címtérben. bogus-priv # A névszervereket # a # /etc/resolv.conf fájlban megjelenő sorrendben kell lekérdezni # A lekérdezésekre csak a # / etc / hosts vagy a DHCP válaszok érkeznek. helyi = / localnet /
# SZEM AZ INTERFÉZEL
interfész = eth1
expand-hosts # Változtassa meg a tartományt igényei szerint # és az # IP-cím bérleti idejét is
dhcp-range = 10.10.10.150,10.10.10.200,12h # A RANGE beállításai # Idõszerver
dhcp-option = opció: ntp-server, 10.10.10.15

# Az NTP szerver IP-je megegyezik a dnsmasqéval
dhcp-option = 42,0.0.0.0

# A Samba a következő lehetőségeket ajánlja
# ISC-DHCP-Server kiszolgáló az oldalon
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Olyan esetekre vannak adaptálva, amikor a Samba szerver # ugyanazon a dnsmasq szerveren fut. # Néhányat vagy mindegyiket megszüntetheti, ha # Windows klienst és Samba szervert használ a LAN-on. # dhcp-option = 19,0 # opció ip-továbbítás ki dhcp-option = 44,0.0.0.0 # NetBIOS-TCP / IP névszerver. NYER
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS csomópont típusa

Ha többet szeretne megtudni a dnsmasq, javasoljuk, hogy figyelmesen olvassa el a fájlt dnsmasq.conf, amelyet hogyan nevezünk meg dnsmasq.conf.original. Ez a tészta Biblia erről a szolgálatról. Angolul van.

Újraindítjuk a szolgáltatást:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

A fájlban deklaráljuk a LAN-on lévő szerverek fix IP-címeit / Etc / hosts magáról a szerverről, ahol a dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Minden alkalommal, amikor nevet és IP-t adunk a fájlhoz / Etc / hosts , meg kell kényszerítenünk a szolgáltatás újratöltését, hogy a parancsok felismerjék a hozzáadott gazdagépet vendéglátó, ás y nslookup, mind a kiszolgálón, mind a munkaállomások többi részén, amelyek IP-címet szereztek a szervertől:

: ~ # service dnsmasq kényszer-újratöltés

jegyzet: A fájl, ahol a dnsmasq tárolja a megadott IP-címeket, vagy «Lízingek», ő /var/lib/misc/dnsmasq.leasing.

NTP szerver

Elsődleges forrás konzultált"Szerver konfiguráció GNU / Linux rendszerrel. 2012. januári kiadás. Szerző: Joel Barrios Dueñas ».

Telepítjük és konfiguráljuk:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Szerkesztjük az üres fájlt /etc/ntp.conf és a következő tartalommal hagyjuk:

# Az alapértelmezett házirend minden # használt kiszolgálóhoz meg van adva: az idő szinkronizálása a forrásokkal megengedett, de anélkül, hogy engedélyezné a forrás # lekérdezését (noquery), vagy a szolgáltatás módosítását a # rendszerben (nomodify) és az ellátási napló csökkenését üzenetek (notrap). korlátozza az alapértelmezett nomodify notrap noquery # Engedélyezzen minden hozzáférést a system # return interfészhez. korlátozza a 127.0.0.1 # A helyi hálózatot szabad szinkronizálni a # kiszolgálóval, de anélkül, hogy módosítanák a # rendszer konfigurációját, és anélkül, hogy szinkronizálásként egyenlőnek kellene őket használni. korlátozza a 10.10.10.0 maszkot 255.255.255.0 nomodify notrap # Fegyelmezetlen helyi óra. # Ez egy emulált illesztőprogram, amelyet csak # biztonsági másolatként használnak, ha a tényleges betűkészletek egyike sem # elérhető. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Variációs fájl. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## HA INTERNET-HOZZÁFÉRÉSE van # Az 1 vagy 2 idõs szerver listája # Legalább 3 szervert ajánlott felsorolni. # További szerverek: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Ha rendelkezik internet-hozzáféréssel, akkor a 3 sor követése # kiszolgáló 0.pool.ntp.org # kiszolgáló 1.pool.ntp.org # kiszolgáló 2.pool.ntp.org # Minden egyes kiszolgálóhoz hozzárendelhető engedélyek. # A példákban a források nem kérdezhetnek, # módosíthatják a szolgáltatást a rendszeren, vagy regisztrációs # üzeneteket küldhetnek. ## Ha rendelkezik interneteléréssel, szüntesse meg a következő 3 sor megjegyzését: #restrict 0.pool.ntp.org maszk 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maszk 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org maszk 255.255.255.255 nomodify notrap noquery # Aktiválódik az ügyfelekkel történő terjesztés
műsorszolgáltató

Újraindítjuk az NTP szolgáltatást:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP kliens

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Szerkesztjük az üres fájlt /etc/ntp.conf és a következő tartalommal hagyjuk:

szerver mildap.amigos.cu

Az Ügyfél ellenőrzése

Vegyük például az ügyfelünket debian7.amigos.cu, amelyre korábban telepítettük az openssh-server csomagot.

root @ debian7: ~ # ssh-debian7
root @ debian7 jelszava: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 közvetítés: 10.10.10.255 Maszk: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Hatókör: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrika: 1 RX csomag: 4967 hiba: 0 elejtett: 0 túlfutás: 0 keret: 0 TX csomag: 906 hiba: 0 elejtett: 0 túllépés: 0 hordozó: 0 ütközés: 0 txqueuelen: 1000 RX byte: 6705409 (6.3 MiB) TX bájt: 93635 (91.4 KiB) Megszakítás: 10 Alapcím: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Maszk: 6 inet1 addr: :: 128/16436 Hatókör: Host UP LOOPBACK RUNNING MTU: 1 Metrika: 8 RX csomag: 0 hiba: 0 elejtett: 0 túllépés: 0 keret: 8 TX csomag: 0 hiba: 0 eldobott : 0 túllépés: 0 hordozó: 0 ütközés: 0 txqueuelen: 480 RX bájt: 480.0 (480 B) TX bájt: 480.0 (XNUMX B)

Már ellenőriztük, hogy IP-címet szerzett-e a dnsmasq telepítve van az OpenLDAP szerverünkre. Ezért ez a szolgáltatás megfelelően működik. Most ellenőrizzük az NTP szolgáltatást, amely több másodpercig is eltarthat:

: ~ # ntpdate -u mildap.amigos.cu
Január 25., 20:07:00 ntpdate [4608]: lépésidő-kiszolgáló 10.10.10.15 eltolás -0.633909 sec

Az NTP szolgáltatással kapcsolatban minden rendben működik.

Egyéb ellenőrzések:

root @ debian7: ~ # ásni gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; KÉRDÉS SZEKCIÓ :; gandalf.amigos.cu. IN A [----] ;; VÁLASZ SZEKCIÓ: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # ásni gandalf
[----] ;; KÉRDÉS SZEKCIÓ :; gandalf. IN A [----] ;; VÁLASZ SZEKCIÓ: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # ásni miwww
[----] ;; KÉRDÉS SZEKCIÓ :; miwww. IN A [----] ;; VÁLASZ SZEKCIÓ: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # mondjuk debian7
[----] ;; KÉRDÉS SZEKCIÓ :; debian7. IN A [----] ;; VÁLASZ SZEKCIÓ: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # házigazda mildap
A mildap.amigos.cu címe 10.10.10.15. A mildap.amigos.cu gazdagép nem található: 5 (REFUSED) A gazdagép mildap.amigos.cu nem található: 5 (REFUSED) root @ debian7: ~ # gazda mildap.amigos.cu
Az mildap.amigos.cu címe 10.10.10.15. A gazdának mildap.amigos.cu.amigos.cu nem található: 5 (REFUSED) A gazdának mildap.amigos.cu.amigos.cu nem található: 5 (REFUSED)

És mivel a két telepített és konfigurált szolgáltatás nagyon jól működik, bezárjuk a mai kommunikációt a cikk következő részéig, amely arról szól, hogy miként lehet a DNS és DHCP szolgáltatásokat megvalósítani a Bind9 és ISC-DHCP-Server alapú DNS frissítésével a BindXNUMX és ISC-DHCP-Server alapon, azok számára, akik kissé kezelik nagyobb és bonyolultabb hálózatok.

Legközelebb, barátok !!!


9 hozzászólás, hagyd a tiedet

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.

  1.   dijo

    Mentem PDF-be, hogy később jobban olvashassam: / elég hosszú

  2.   csontok dijo

    Nem tudom, miért gondoltam a "dnsmasq" olvasására, hogy "dnscrypt" volt, felfedeztem a perseo blogjának elolvasásával, és minden esetre megvalósítottam
    Üdvözlet

  3.   tűzeset dijo

    Köszönöm barátom, mindig is azt mondtam, hogy a hozzászólásaid nagyon oktatóak és nagyon érdekesek, nagyon értékelem az együttműködésedet, a tudás megosztásáról beszélve, a többit nagyon köszönöm, Üdvözlet

    1.    Federico dijo

      @firecold, nagyon köszönöm a megfontoló szavakat, amit írok. Löknek, hogy folytassam.

      Köszönet mindenkinek a hozzászólásokért

  4.   vadász dijo

    Ezzel a cikksorozattal felveszem a nadrágomat, hátha kijövök a 389-ből olyan munkából, amely már több fejfájást okoz, mint másnaposság.

    Üdvözlet, Fico!

    1.    Federico dijo

      Helló barátom @dhunter !!!. Tegyük fel, hogy a 389 Directory Server (Kerberost használó) és a Samba a DHCP-vel és a DNS-sel együtt a Windows ügyfeleket kínálják a hálózaton, nagyjából a Windows 2003 tartományvezérlővel elérhető funkcionalitás. Olyan, mintha a nagyon összetettből indulnánk ki, ha megoldást valósítanánk meg a kis- és középvállalkozások hálózatában. És ezt gyakorlatilag a legtöbb rendszergazda megszokta.

      A cikkekben megpróbálom és megpróbálom az egyszerűtől a komplexumig haladni, hogy az emberek rájöjjenek, hogy egy számítógépes hálózatban a Microsoft hálózatok filozófiája nem szükséges vagy elengedhetetlen. Valójában a WWW Village egyáltalán nem használja.

      Kövesse a cikkeket, és meglátja. Egészségére

  5.   vidagnu dijo

    Helló, egy lekérdezés, az ügyfél és az ntp kiszolgáló egyetlen kiszolgálón futtatható, vagyis hogy az ntp szerver szinkronban van az internetes szerverekkel, és hogy ezzel egyidejűleg az ügyfelet használja ugyanazon szerver idejének frissítésére?

    Látom, hogy itt van egy ntp.conf fájl az ügyfél számára és egy másik a kiszolgáló számára, hogyan érhetem el, hogy minden ugyanazon a számítógépen fusson?

    Üdvözlet

    1.    Federico dijo

      @vidagnu: Ha újra és lassan olvas, rájön, hogy az NTP szerver szinkronizálható az internet többi NTP szerverével is.

      Vállalati vagy magánhálózatban az a logikus, hogy az ügyfelek az órát a hálózat NTP szerverével szinkronizálják, nem pedig az internetéval.

      Ily módon csökken a forgalom, és a LAN működik azzal az idővel, amelyet a helyi NTP szerver szinkronizált az Internet szerverekkel.

      Úgy néz ki, mint egy nyelvcsavaró, de az. Kaszkád szinkronizálás létrehozásáról van szó. Más szavakkal, a helyi NTP-kiszolgáló szinkronizálja az óráját az interneten található NTP-kiszolgálókkal, a LAN-on lévő kliensek pedig a helyi szerverükkel.

  6.   Raiden dijo

    Jó estét, olvastam néhány kiadványodat, és ezek kiválónak tűnnek, de ebben egy kicsit kétségbe vonom, melyik pillanatban adok DHCP-címzést a debian7 csapatnak, azt gondolom, hogy a DHCP által kért IP-hozzárendelés alapján a csapat megadja neki az mildap szervert, ha igen, nem sikerült, elnézést az okozott kellemetlenségért, üdvözletet.