Ciao amici!. Abbiamo iniziato a implementare e configurare i servizi. Ovviamente è necessario che il nostro semplice Servizio directory basato su OpenLDAP, disporre dei servizi di base per funzionare correttamente. Tra questi abbiamo i servizi DNS o «Dprincipale Name Ssistema', DHCP o " Ddinamico Host Configurazione Pprotocollo«, E a NTP o «NRETE Time Pprotocollo«.
Il sistema operativo di base che useremo è il Debian 6 "Squeeze". È possibile utilizzare la maggior parte dei metodi descritti Ubuntu 12.04 "Preciso"e in Debian 7 "Wheezy".
Anche se sembra un po 'insignificante - in effetti i nostri articoli sono un po' lunghi - le definizioni e il loro studio da parte dei lettori sono necessarie. Puoi e alcuni non li leggono nemmeno e vai direttamente a "pollo e riso con pollo". Grosso errore. E non mi riferisco agli esperti, perché loro, appena vedono il titolo, sanno se sono interessati o meno.
Ci riferiamo a coloro che iniziano nella leadership di Business Networks. Chiediamo loro di leggere le definizioni e seguire i collegamenti, approfondire le parti concettuali che non sono necessariamente linee di comando o codice, quindi seguire il resto dell'articolo.
In questo modo risparmieremo molto tempo sia per loro che per noi, nel porre e rispondere a domande le cui risposte sono proprio nella parte di quelle definizioni e introduzioni. 🙂
Vogliamo anche dire subito che il linguaggio di programmazione fondamentale e più importante per un amministratore di rete o per un informatico, è la lingua inglese. :-). Non sempre possiamo fornire traduzioni, poiché non siamo esperti in lingua inglese.
Ovviamente prima di continuare consigliamo vivamente di leggere il Introduzione a questa serie di articoli.
Definizioni necessarie
Tratto da Wikipedia:
dnsmasq. È un server DNS, TFTP e DHCP leggero. Il suo scopo è fornire servizi DNS e DHCP a una rete locale. È un'implementazione gratuita del protocollo DNS che riceve richieste dai client che richiedono un indirizzo IP basato sul nome di una macchina. Il server risponderà a queste richieste fornendo l'IP.
DNS Domain Name System (o DNS, in spagnolo, sistema di nomi di dominio). È un sistema di nomenclatura gerarchica per computer, servizi o qualsiasi risorsa connessa a Internet oa una rete privata. Questo sistema associa varie informazioni ai nomi di dominio assegnati a ciascuno dei partecipanti. La sua funzione più importante è tradurre (risolvere) nomi comprensibili dall'uomo in identificatori binari associati ai computer connessi alla rete, questo al fine di individuare e indirizzare questi computer in tutto il mondo.
DHCP (acronimo di Ddinamico Host Configurazione Protocol) è un protocollo di rete che consente i nodi su una rete IP ottenere automaticamente i suoi parametri di configurazione. È un protocollo di tipo client / server in cui un server ha generalmente un elenco di indirizzi IP dinamici e li assegna ai client non appena diventano liberi, sapendo in ogni momento chi è stato in possesso di quell'IP, da quanto tempo e chi è stato assegnato poi.
NTP o Network Time Protocol, è un protocollo progettato per sincronizzare gli orologi delle workstation attraverso la rete. La versione 3 di questo protocollo è un Internet Draft Standard, formalizzato in RFC 1305. Il protocollo NTP versione 4 è un'importante revisione dello standard citato ed è in fase di sviluppo, ma non è stato ancora formalizzato in un RFC. Una versione semplice di NTP (SNTP) versione 4 è descritta in RFC 2030
SERVER ISC-DHCP (Server DHCP di Internet Software Consortium). Un server DHCP è un server che è un'implementazione gratuita del protocollo DHCP che riceve richieste dai client che richiedono una configurazione di rete IP. Il server risponderà a queste richieste fornendo i parametri che consentono ai client di configurarsi da soli. Affinché un PC richieda la configurazione da un server, nella configurazione di rete del PC, selezionare l'opzione per ottenere automaticamente l'indirizzo IP.
Kerberos è un sistema di autenticazione degli utenti, che ha un doppio obiettivo:
- Impedire che le chiavi vengano inviate attraverso la rete, con il conseguente rischio della loro divulgazione.
- Centralizza l'autenticazione dell'utente, mantenendo un unico database utente per l'intera rete.
Kerberos, come protocollo di sicurezza, utilizza Symmetric Key Cryptography, il che significa che la chiave utilizzata per crittografare è la stessa chiave utilizzata per decrittografare o autenticare gli utenti. Ciò consente a due computer su una rete non sicura di dimostrare reciprocamente la propria identità in modo sicuro. Kerberos limita quindi l'accesso solo agli utenti autorizzati e autentica le richieste ai servizi, presupponendo un ambiente distribuito aperto, in cui gli utenti che si trovano nelle workstation accedono a questi servizi sui server distribuiti su una rete.
Quale implementazione dei servizi DNS e DHCP svilupperemo?
Ne svilupperemo due: quello basato su dnsmasq, e negli articoli seguenti quello corrispondente a lega 9 e il Server ISC-DHCP. Per chi vuole apprendere nel dettaglio come implementare e configurare un DNS, consigliamo la lettura dell'articolo «Come installare e configurare un Primary Master DNS per una LAN su Debian 6.0»
Perché abbiamo bisogno dei servizi DNS, DHCP e NTP?
- DNS: Per mantenere un database con i nomi degli host e dei loro indirizzi IP, dei computer che saranno collegati alla nostra rete aziendale, in modo che possiamo chiamarli con i loro nomi, invece che con i loro indirizzi IP.
- DHCP: Evitare di spostarsi nel luogo in cui si trova il computer client, per configurare il suo indirizzo IP ei relativi parametri. Tramite DHCP configuriamo automaticamente l'indirizzo IP del client, la sua subnet mask, il gateway, il server DNS a cui deve consultare, l'indirizzo IP del server di posta sulla nostra LAN, il tipo di nodo, il server dei nomi NetBIOS e molti altri parametri. Ovviamente, con questo servizio, possiamo evitare errori di configurazione manuale di un aspetto così importante sui computer client.
- NTP: Se nel prossimo futuro decidiamo di integrare Kerberos nel nostro server LDAP, avremo bisogno di questo servizio. Kerberos fa molto affidamento sul protocollo NTP e sui servizi DNS.
Integreremo i servizi DNS e DHCP nel server LDAP?
La risposta per ora è NO. Inizialmente NO. L'argomento OpenLDAP è di per sé un po 'tecnico. E se complichiamo le nostre vite con quel tipo di integrazione all'inizio, non andremo molto lontano. Nota che il ClearOS, utilizzare il dnsmasq. zential nel frattempo usa il lega 9 e il DHCP Server senza integrarli con il server LDAP.
Passiamo dal semplice al complesso per non metterci tra le gambe dei cavalli. 🙂
Rete di esempio
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Server Dnsmasq
Installiamo e configuriamo:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Modifichiamo il file che ora è vuoto /etc/dnsmasq.conf e lo lasciamo con il seguente contenuto:
: ~ # nano /etc/dnsmasq.conf # Non passare mai nomi semplici senza il punto # o la parte di dominio domain-required domain = friends.cu # Non passare indirizzi nello spazio degli indirizzi # non instradati. bogus-priv # Interroga i server dei nomi # nell'ordine in cui appaiono nel file # /etc/resolv.conf strict-order # Le risposte alle domande verranno # solo da # / etc / hosts o da DHCP. local = / localnet / # OCCHIO CON L'INTERFACCIA interfaccia = eth1 expand-hosts # Cambia l'intervallo in base alle tue esigenze # e anche il tempo di # locazione dell'indirizzo IP dhcp-range = 10.10.10.150,10.10.10.200,12h # Opzioni per RANGE # Time server dhcp-option = opzione: ntp-server, 10.10.10.15 # L'IP del server NTP è lo stesso di dnsmasq opzione dhcp = 42,0.0.0.0 # Le seguenti opzioni sono quelle consigliate da Samba # Server ISC-DHCP-Server sulla tua pagina # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Sono adattati al caso in cui il server Samba # venga eseguito sullo stesso server dnsmasq. # Puoi decommentare alcuni o tutti, se usi # client Windows e il server Samba sulla tua LAN. # opzione dhcp = 19,0 # opzione inoltro ip disattivato opzione dhcp = 44,0.0.0.0 # server dei nomi NetBIOS-over-TCP / IP. WINS dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Node Type
Per saperne di più sul dnsmasq, consigliamo di leggere attentamente il file dnsmasq.conf, che chiamiamo come dnsmasq.conf.originale. È la Bibbia di Pasta su questo servizio. È in inglese.
Riavvia il servizio:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
Dichiariamo nel file gli indirizzi IP fissi dei server sulla nostra LAN / Etc / hosts dal server stesso in cui il file dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww
Ogni volta che aggiungiamo un nome e un IP al file / Etc / hosts , dobbiamo forzare il ricaricamento del servizio in modo che l'host aggiunto venga riconosciuto dai comandi host, dig y nslookup, sia sul server stesso, sia per il resto delle workstation che hanno acquisito un IP da questo server:
: ~ # service dnsmasq force-reload
Nota: Il file in cui il file dnsmasq memorizza gli indirizzi IP concessi o «Locazioni», È il /var/lib/misc/dnsmasq.leases.
Server NTP
Fonte primaria consultata"Configurazione del server con GNU / Linux. Edizione gennaio 2012. Autore: Joel Barrios Dueñas ».
Installiamo e configuriamo:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Modifichiamo il file che ora è vuoto /etc/ntp.conf e lo lasciamo con il seguente contenuto:
# Il criterio predefinito è impostato per ogni # server dell'ora utilizzato: la sincronizzazione # dell'ora con le sorgenti è consentita, ma senza consentire alla # sorgente di interrogare (noquery) o modificare il servizio sul # sistema (nomodify) e rifiutare fornire log # messaggi (notrap). limitare il valore predefinito nomodify notrap noquery # Consente tutti gli accessi all'interfaccia # di ritorno del sistema. restringere 127.0.0.1 # La rete locale può sincronizzarsi con il server # ma senza consentire loro di modificare la configurazione del sistema # e senza usarli come uguali per la sincronizzazione. restringere 10.10.10.0 mask 255.255.255.0 nomodify notrap # Orologio locale non disciplinato. # Questo è un driver emulato che viene utilizzato # solo come backup quando nessuno dei caratteri # effettivi è disponibile. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # File di variazione. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## SE HAI ACCESSO A INTERNET # Elenco dei time server dello strato 1 o 2. # Si raccomanda di avere almeno 3 server elencati. # Altri server su: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Se si dispone di accesso a Internet, rimuovere il commento dal seguendo 3 righe #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Autorizzazioni da assegnare per ogni time server. # Negli esempi, le fonti non sono autorizzate a interrogare, # modificare il servizio sul sistema o inviare # messaggi di registrazione. ## Se hai accesso a Internet, rimuovi il commento dalle seguenti 3 righe #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org mask 255.255.255.255 nomodify notrap noquery # Viene attivata la diffusione ai clienti client di trasmissione
Riavvia il servizio NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
Client NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Modifichiamo il file che ora è vuoto /etc/ntp.conf e lo lasciamo con il seguente contenuto:
servermildap.amigos.cu
Controlli sul cliente
Ad esempio, prendiamo il nostro cliente debian7.amigos.cu, su cui abbiamo precedentemente installato il pacchetto openssh-server.
root @ debian7: ~ # ssh-debian7
password di root @ debian7: [----] root @ debian7: ~ # ifconfig
Encap collegamento eth0: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Mask: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Scope: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrica: 1 RX pacchetti: 4967 errori: 0 eliminati: 0 overruns: 0 frame: 0 TX pacchetti: 906 errori: 0 scartati: 0 overruns: 0 portante: 0 collisioni: 0 txqueuelen: 1000 RX bytes: 6705409 (6.3 MiB) TX bytes: 93635 (91.4 KiB) Interrupt: 10 Indirizzo di base: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Maschera: 6 inet1 addr: :: 128/16436 Ambito: Host UP LOOPBACK RUNNING MTU: 1 Metrica: 8 pacchetti RX: 0 errori: 0 eliminati: 0 overruns: 0 frame: 8 pacchetti TX: 0 errori: 0 eliminati : 0 overruns: 0 portante: 0 collisioni: 0 txqueuelen: 480 RX byte: 480.0 (480 B) TX byte: 480.0 (XNUMX B)
Abbiamo già verificato che hai acquisito un indirizzo IP dal dnsmasq installato sul nostro server OpenLDAP. Pertanto, quel servizio funziona correttamente. Ora controlliamo il servizio NTP, che può richiedere diversi secondi:
: ~ # ntpdate -u Mildap.amigos.cu 25 gen 20:07:00 ntpdate [4608]: step time server 10.10.10.15 offset -0.633909 sec
Per quanto riguarda il servizio NTP, tutto funziona correttamente.
Altri controlli:
root @ debian7: ~ # scavare gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SEZIONE DOMANDA :; gandalf.amigos.cu. IN UN [----] ;; SEZIONE RISPOSTA: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # scavare gandalf [----] ;; SEZIONE DOMANDA :; gandalf. IN UN [----] ;; SEZIONE RISPOSTA: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # scavare miwww [----] ;; SEZIONE DOMANDA :; miwww. IN UN [----] ;; SEZIONE RISPOSTA: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # scavare debian7 [----] ;; SEZIONE DOMANDA :; debian7. IN UN [----] ;; SEZIONE RISPOSTA: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # host Mildap mildap.amigos.cu ha indirizzo 10.10.10.15 Host mildap.amigos.cu non trovato: 5 (RIFIUTATO) Host mildap.amigos.cu non trovato: 5 (RIFIUTATO) root @ debian7: ~ # hostmildap.amigos.cu mildap.amigos.cu ha indirizzo 10.10.10.15 Host mildap.amigos.cu.amigos.cu non trovato: 5 (RIFIUTATO) Host mildap.amigos.cu.amigos.cu non trovato: 5 (RIFIUTATO)
E poiché i due servizi installati e configurati funzionano molto bene, chiudiamo le comunicazioni per oggi fino alla prossima puntata dell'articolo su come implementare i servizi DNS e DHCP aggiornando DNS, basato su Bind9 e ISC-DHCP-Server, per chi se la cava leggermente reti più grandi e complicate.
Alla prossima, amici !!!
Lo salvo in PDF per leggerlo meglio in seguito: / è piuttosto lungo
Non so perché leggendo "dnsmasq" pensavo dicesse "dnscrypt", l'avevo scoperto leggendo il blog di perseo e l'ho implementato per ogni evenienza
saluti
Grazie Amico, ho sempre detto che i tuoi post sono molto educativi e molto interessanti, apprezzo molto la tua collaborazione, parlando di condivisione della conoscenza, altrimenti grazie mille, Saluti
@firecold, grazie mille per le tue parole di considerazione per ciò che scrivo. Mi spingono a continuare.
Grazie a TUTTI per aver commentato
Con questa serie di articoli mi metto i pantaloncini per vedere se esco da 389 dal lavoro che già dà più mal di testa che postumi di una sbornia.
Saluti, Fico!
Ciao amico @dhunter !!!. Supponiamo che il 389 Directory Server (usa Kerberos) e Samba, insieme a DHCP e DNS, offrano client Windows su una rete, praticamente la funzionalità che otterresti con un controller di dominio Windows 2003. È come partire da un ambiente molto complesso per implementare una soluzione in una rete per piccole e medie imprese. Ed è quello a cui è abituata praticamente la maggior parte degli amministratori.
Cerco e cercherò negli articoli di camminare dal semplice al complesso in modo che le persone si rendano conto che, in una rete di computer, la filosofia delle reti Microsoft non è necessaria o essenziale. In effetti, il WWW Village non lo usa affatto.
Segui gli articoli e vedrai. Saluti
Ciao, una query, il client e il server ntp possono essere eseguiti su un unico server, cioè il server ntp è sincronizzato con i server Internet e che allo stesso tempo utilizza il client per aggiornare l'ora dello stesso server?
Vedo che qui hai un file ntp.conf per il client e un altro per il server, come faccio a far funzionare tutto sullo stesso computer?
saluti
@vidagnu: Se leggi di nuovo e lentamente ti renderai conto che il server NTP può essere sincronizzato anche con altri server NTP su Internet.
In una rete aziendale o privata, la cosa logica è che i client sincronizzino l'orologio con il server NTP di quella rete, non con quelli di Internet.
In questo modo il traffico viene ridotto e la LAN lavora con l'ora in cui il server NTP locale si è sincronizzato con i server Internet.
Sembra uno scioglilingua ma lo è. Si tratta di stabilire una sincronizzazione a cascata. In altre parole, il server NTP sulla LAN sincronizza il suo orologio con i server NTP su Internet, ei client sulla LAN lo fanno con il loro server locale.
Buonasera, ho letto alcune delle vostre pubblicazioni e sembrano eccellenti, ma in questa ho un piccolo dubbio, in quale momento do l'indirizzo DHCP al team debian7, penso che da quello che ho capito l'assegnazione IP da DHCP al team sia il server di Mildap, se è così non ho potuto farlo, scusate per il disagio, saluti.