שירות מדריכים עם LDAP [2]: NTP ו- dnsmasq

שלום חברים!. התחלנו ליישם ולהגדיר שירותים. כמובן שזה הכרחי שהפשוט שלנו שירות מדריכים מבוסס על OpenLDAP, יש את השירותים הבסיסיים כדי לתפקד כראוי. ביניהם יש לנו את השירותים DNS או «Dלהימנע Name System", DHCP או » Dynamic Host Cתצורה Pרוטוקול", ול NTP או «Network TIME Pרוטוקול".

מערכת ההפעלה הבסיסית בה נשתמש היא דביאן 6 "לסחוט". ניתן להשתמש ברוב השיטות המתוארות אובונטו 12.04 "מדויק", וב דביאן 7 "Wheezy".

למרות שזה נראה זוטות - למעשה המאמרים שלנו מתארכים מעט - ההגדרות ולימוד הקוראים בהן נחוצים. אתם יכולים וחלקם אפילו לא קוראים אותם והולכים ישירות "לעוף ואורז עם עוף." טעות גדולה. ואני לא מתייחס למנוסים, מכיוון שהם, ברגע שהם רואים את התואר, הם יודעים אם הם מעוניינים או לא.

אנו מתייחסים לאלה שמתחילים בהנהגה של רשתות עסקיות. אנו מבקשים מהם לקרוא את ההגדרות וללכת על הקישורים, להתעמק בחלקים הרעיוניים שאינם בהכרח שורות פקודה או קוד, ואז לעקוב אחר המשך המאמר.

באופן זה נחסוך זמן רב, גם הם וגם אנחנו, לשאול ולענות על שאלות שהתשובות שלהם הן בדיוק בחלק מההגדרות וההקדמות הללו. 🙂

אנו רוצים לומר בבת אחת ששפת התכנות הבסיסית והחשובה ביותר עבור מנהל רשת או עבור מדען מחשבים, היא השפה האנגלית. :-). לא תמיד אנו יכולים לספק תרגומים מכיוון שאיננו מומחים בשפה האנגלית.

כמובן, לפני שתמשיך, אנו ממליצים בחום לקרוא את מבוא לסדרת המאמרים הזו.

יש צורך בהגדרות

לקוח מוויקיפדיה:

דנסמסק. זהו שרת DNS, TFTP ו- DHCP קל משקל. מטרתו לספק שירותי DNS ו- DHCP לרשת מקומית. זהו יישום חינם של פרוטוקול ה- DNS שמקבל בקשות מלקוחות המבקשים כתובת IP על פי שם המכונה. השרת יגיב לבקשות אלה על ידי מתן ה- IP.

DNS מערכת Domain Name (o DNS, בספרדית, מערכת שמות מתחם). זוהי מערכת מינוח היררכית למחשבים, שירותים או כל משאב המחובר לאינטרנט או לרשת פרטית. מערכת זו משייכת מידע שונה לשמות דומיינים המוקצים לכל אחד מהמשתתפים. תפקידו החשוב ביותר הוא לתרגם (לפתור) שמות מובנים אנושיים למזהים בינאריים המשויכים למחשבים המחוברים לרשת, זאת על מנת להיות מסוגלים לאתר מחשבים אלה ולטפל בהם ברחבי העולם.

DHCP (ראשי תיבות של Dynamic Host Cתצורה Protocol) הוא פרוטוקול רשת המאפשר צמתים ברשת IP לקבל את פרמטרי התצורה שלה באופן אוטומטי. זהו פרוטוקול מסוג לקוח / שרת שבו לשרת בדרך כלל יש רשימה של כתובות IP דינמיות ומקצה אותם ללקוחות כשהם הופכים לחופש, תוך שהוא יודע בכל עת מי היה ברשותו IP זה, כמה זמן היה להם ולמי הוקצה אז.

NTP o Network Time Protocol, הוא פרוטוקול שנועד לסנכרן את שעוני תחנות העבודה ברחבי הרשת. גרסה 3 של פרוטוקול זה היא תקן טיוטת אינטרנט, פורמלי ב- RFC 1305. פרוטוקול NTP גרסה 4 הוא עדכון חשוב של התקן שהוזכר, והוא נמצא בפיתוח, אך טרם פורמל ב- RFC. גרסה פשוטה של ​​NTP (SNTP) גרסה 4 מתוארת ב- RFC 2030

שרת ISC-DHCP (שרת DHCP של תוכנת האינטרנט Consortium). שרת DHCP הוא שרת המהווה יישום חופשי של פרוטוקול DHCP שמקבל בקשות מלקוחות המבקשים תצורת רשת IP. השרת יגיב לבקשות אלה על ידי מתן הפרמטרים המאפשרים ללקוחות להגדיר את עצמם. על מנת שמחשב אישי יבקש את התצורה משרת, בתצורת הרשת של המחשב, בחר באפשרות לקבל כתובת IP באופן אוטומטי.

Kerberos היא מערכת אימות משתמשים, שמטרתה כפולה:

• למנוע את שליחת המפתחות דרך הרשת, עם הסיכון הנובע מחשיפתם.
• מרכז את אימות המשתמשים, תוך שמירה על בסיס נתונים של משתמש יחיד לכל הרשת.

Kerberos, כפרוטוקול אבטחה, משתמש בקריפטוגרפיה של מפתח סימטרי, כלומר המפתח המשמש להצפנה הוא אותו מפתח המשמש לפענוח או אימות משתמשים. זה מאפשר לשני מחשבים ברשת לא בטוחה להוכיח בצורה מאובטחת זהותם זה לזה. Kerberos מגבילה את הגישה למשתמשים מורשים בלבד ומאמתת בקשות לשירותים, בהנחה שסביבה מבוזרת פתוחה, בה משתמשים הממוקמים בתחנות העבודה ניגשים לשירותים אלה בשרתים המופצים ברשת.

איזה יישום של שירותי DNS ו- DHCP נפתח?

נפתח שניים: זה על בסיס dnsmasq, ובמאמרים הבאים זה המתאים ל לאגד 9 ו - שרת ISC-DHCP. למי שרוצה ללמוד בפירוט כיצד ליישם ולהגדיר DNS, אנו ממליצים לקרוא את המאמר «כיצד להתקין ולהגדיר DNS ראשי ראשי עבור LAN ב- Debian 6.0»

מדוע אנו זקוקים לשירותי DNS, DHCP ו- NTP?

• DNS: לתחזק מסד נתונים עם שמות המארחים וכתובות ה- IP שלהם, של המחשבים שיחוברו לרשת הארגונית שלנו, כך שנוכל לקרוא להם בשמם במקום בכתובות ה- IP שלהם.
• DHCP: הימנע מלעבור למקום בו נמצא מחשב הלקוח, כדי להגדיר את כתובת ה- IP שלו ואת הפרמטרים הקשורים אליהם. באמצעות DHCP אנו מגדירים באופן אוטומטי את כתובת ה- IP של הלקוח, את מסיכת רשת המשנה שלו, את השער, את שרת ה- DNS אליו עליו להתייעץ, את כתובת ה- IP של שרת הדואר של ה- LAN שלנו, סוג הצומת, שרת השמות של NetBIOS ופרמטרים רבים אחרים. . ברור שעם שירות זה אנו יכולים להימנע משגיאות תצורה ידניות של היבט כה חשוב במחשבי הלקוח.
• NTP: אם בעתיד הקרוב נחליט לשלב את Kerberos בשרת ה- LDAP שלנו, נצטרך שירות זה. Kerberos נשען במידה רבה על פרוטוקול NTP ושירותי DNS.

האם נשלב שירותי DNS ו- DHCP בשרת LDAP?

התשובה לעת עתה היא לא. בתחילה לא. נושא OpenLDAP הוא קצת טכני בפני עצמו. ואם נסבך את חיינו עם סוג זה של שילוב כבר בהתחלה, לא נגיע רחוק מאוד. שים לב שה- נקה מערכת הפעלההשתמש ב- דנסמסק. זנטיאל בינתיים משתמש ב לאגד 9 ו - DHCP שרת מבלי לשלב אותם בשרת LDAP.

בוא נעבור מהפשוט למתחם כדי לא לעבור בין רגלי הסוסים. 🙂

רשת לדוגמא

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

שרת Dnsmasq

אנו מתקינים ומגדירים:

: ~ # aptitude להתקין dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

אנו עורכים את הקובץ שעכשיו ריק /etc/dnsmasq.conf ואנחנו משאירים את זה עם התוכן הבא:

: ~ # ננו /etc/dnsmasq.conf
# לעולם אל תעביר שמות רגילים ללא הנקודה # או הדומיין הנחוץ לדומיין הנחוץ = friends.cu # אל תעביר כתובות במרחב הכתובות שלא הוטל. bogus-priv # שאל את שרתי השמות בסדר # שהם מופיעים בקובץ # /etc/resolv.conf בסדר קפדני # תגובות לשאילתות יגיעו רק מ- # / etc / hosts או מ- DHCP. מקומי = / localnet /
# עין עם הממשק
ממשק = eth1
הרחב מארחים # שנה את הטווח בהתאם לצרכים שלך # וגם את זמן ההשכרה של # כתובת ה- IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # אפשרויות לטווח # שרת זמן
dhcp-option = אפשרות: ntp-server, 10.10.10.15

# ה- IP של שרת ה- NTP זהה לזה של ה- dnsmasq
dhcp-option = 42,0.0.0.0

# האפשרויות הבאות הן האפשרויות שסמבה ממליץ עליהן
# שרתי ISC-DHCP-Server בדף שלך
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# הם מותאמים למקרה ששרת Samba פועל על אותו שרת dnsmasq. # באפשרותך לבטל את ההערה על חלקם או על כולם, אם אתה משתמש ב- # Windows ושרת Samba ב- LAN שלך. # dhcp-option = 19,0 # אפשרות ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP שרת שמות. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Server Distribution Server dhcp-option = 46,8 # NetBIOS Type Node

למידע נוסף על דנסמסק, אנו ממליצים לקרוא את הקובץ בעיון dnsmasq.conf, שאנחנו קוראים לו איך dnsmasq.conf.original. זה תנ"ך הפסטה על השירות הזה. זה באנגלית.

אנו מפעילים מחדש את השירות:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


אנו מצהירים על כתובות ה- IP הקבועות של השרתים ברשת שלנו בקובץ / Etc / hosts מהשרת עצמו שבו דנסמסק.

: ~ # ננו / וכו '/ מארחים
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

בכל פעם שאנחנו מוסיפים לקובץ שם ו- IP / Etc / hosts , עלינו לאלץ את טעינת השירות מחדש כך שהמארח שנוסף יוכר על ידי הפקודות המארח, לחפור y nslookup, הן בשרת עצמו והן בשאר תחנות העבודה שרכשו IP משרת זה:

: ~ # שירות dnsmasq לטעון מחדש

הערה: הקובץ שבו דנסמסק מאחסן את כתובות ה- IP שהוענקו או «שכירות», הוא ה /var/lib/misc/dnsmasq.leases.

שרת NTP

התייעץ עם המקור העיקרי"תצורת שרת עם GNU / Linux. מהדורת ינואר 2012. מחבר: ג'ואל באריוס דוניאס ».

אנו מתקינים ומגדירים:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


אנו עורכים את הקובץ שעכשיו ריק /etc/ntp.conf ואנחנו משאירים את זה עם התוכן הבא:

# מדיניות ברירת המחדל מוגדרת עבור כל שרת זמן בשימוש: סנכרון זמן # עם המקורות מותר, אך מבלי לאפשר למקור # לשאול (noquery), או לשנות את השירות במערכת # (nomodify) ולדחות את יומן log # הודעות (Notrap). הגבל את ברירת המחדל של nomodify notrap noquery # אפשר כל גישה לממשק החזרת המערכת #. להגביל 127.0.0.1 # הרשת המקומית מורשית להסתנכרן עם השרת # אך מבלי לאפשר להם לשנות את התצורה של מערכת #, ומבלי להשתמש בהם כשווים לסינכרון. הגבל 10.10.10.0 מסכה 255.255.255.0 nomodify notrap # שעון מקומי לא ממושמע. # זהו מנהל התקן מדומה המשמש רק כגיבוי # כאשר אף אחד מהגופנים בפועל אינו זמין. fudge 127.127.1.0 שרת שכבה 10 127.127.1.0 # קובץ וריאציה. driftfile / var / lib / ntp / drift שידור עיכוב 0.008 ## אם יש לך גישה לאינטרנט # רשימת שרתי זמן שכבה 1 או 2. # מומלץ לרשום לפחות 3 שרתים. # שרתים נוספים בכתובת: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## אם יש לך גישה לאינטרנט, ביטול התגובה של בעקבות 3 שורות # server 0.pool.ntp.org # server 1.pool.ntp.org # server 2.pool.ntp.org # הרשאות להקצות לכל שרת זמן. # בדוגמאות, מקורות אינם רשאים לשאול, # לשנות את השירות במערכת או לשלוח הודעות רישום #. ## אם יש לך גישה לאינטרנט, בטל את ההערה לשלוש השורות הבאות # הגבל מסכת 3.pool.ntp.org 0 nomodify notrap noquery # הגבל 255.255.255.255. pool.ntp.org מסכה 1 nomodify notrap noquery # הגבל 255.255.255.255. pool .ntp.org מסכה 2 nomodify notrap noquery # ההפצה ללקוחות מופעלת
שידור

אנו מפעילים מחדש את שירות ה- NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

לקוח NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


אנו עורכים את הקובץ שעכשיו ריק /etc/ntp.conf ואנחנו משאירים את זה עם התוכן הבא:

שרת mildap.amigos.cu

בדיקות על הלקוח

לדוגמא, בוא ניקח את הלקוח שלנו debian7.amigos.cu, אליו התקנו בעבר את חבילת השרת openssh.

root @ debian7: ~ # ssh דביאן 7
סיסמת root @ debian7: [----] root @ debian7: ~ # ifconfig
מעטפת קישור eth0: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 שידור: 10.10.10.255 מסכה: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 היקף: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 מטרי: 1 RX חבילות: 4967 שגיאות: 0 הושמטו: 0 חריגות: 0 מסגרת: 0 חבילות TX: 906 שגיאות: 0 הושמטו: 0 חריגות: 0 נשאיות: 0 התנגשויות: 0 txqueuelen: 1000 בתים RX: 6705409 (6.3 MiB) בתים TX: 93635 (91.4 KiB) הפרעה: 10 כתובת בסיס: 0x6000 lo מעטפת קישור: תוסף Loopback מקומי inet: 127.0.0.1. 255.0.0.0 מסכה: 6 inet1 addr: :: 128/16436 היקף: מארח UP LOOPBACK RUNNING MTU: 1 מדד: 8 חבילות RX: 0 שגיאות: 0 הושמטו: 0 חריגות: 0 מסגרות: 8 חבילות TX: 0 שגיאות: 0 הושמטו : 0 חריגות: 0 נשאיות: 0 התנגשויות: 0 txqueuelen: 480 RX בתים: 480.0 (480 B) TX TX: 480.0 (XNUMX B)

כבר אימתנו שרכשת כתובת IP מה- דנסמסק מותקן בשרת OpenLDAP שלנו. לכן, שירות זה פועל כהלכה. עכשיו בואו נבדוק את שירות ה- NTP, שיכול להימשך מספר שניות:

: ~ # ntpdate -u mildap.amigos.cu
25 בינואר 20:07:00 ntpdate [4608]: שרת זמן צעד 10.10.10.15 קיזוז -0.633909 שניות

לגבי שירות ה- NTP, הכל עובד בסדר.

צ'קים אחרים:

root @ debian7: ~ # לחפור gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; קטע השאלה :; gandalf.amigos.cu. ב [----] ;; סעיף תשובה: gandalf.amigos.cu. 0 ב 10.10.10.1 [----] root @ debian7: ~ # לחפור גנדלף
[----] ;; פרק השאלה: גנדלף. ב [----] ;; סעיף תשובה: גנדלף. 0 ב 10.10.10.1 [----] root @ debian7: ~ # לחפור miwww
[----] ;; קטע השאלה :; miwww. ב [----] ;; סעיף תשובה: miwww. 0 ב 10.10.10.5 [----] root @ debian7: ~ # לחפור דביאן 7
[----] ;; פרק השאלה :; debian7. ב [----] ;; סעיף תשובה: debian7. 0 בתאריך 10.10.10.153 [----] root @ debian7: ~ # מתון מארח
ל- mildap.amigos.cu כתובת 10.10.10.15 מארח mildap.amigos.cu לא נמצא: 5 (סירוב) מארח mildap.amigos.cu לא נמצא: 5 (סירוב) root @ debian7: ~ # מארח mildap.amigos.cu
mildap.amigos.cu כתובת 10.10.10.15 מארח mildap.amigos.cu.amigos.cu לא נמצא: 5 (סירוב) מארח mildap.amigos.cu.amigos.cu לא נמצא: 5 (סירוב)

ומכיוון ששני השירותים המותקנים ומוגדרים עובדים טוב מאוד, אנו סוגרים את התקשורת להיום עד לפרק הבא של המאמר על אופן יישום שירותי DNS ו- DHCP על ידי עדכון DNS, המבוסס על Bind9 ו- ISC-DHCP-Server, למי שמנהל מעט רשתות גדולות ומסובכות יותר.

עד הפעם הבאה חברים !!!