LDAPを使用したディレクトリサービス[2]：NTPおよびdnsmasq

皆さん、こんにちは！。 サービスの実装と構成を開始しました。 もちろん、私たちのシンプルなことが必要です ディレクトリサービス に基づいて OpenLDAP、正しく機能するための基本的なサービスがあります。 その中にはサービスがあります DNS または«Dオマイン NAME System"、 DHCP または» D動的な HOST Cオンフィギュレーション Protocol«、そして NTP または«Nネットワーク TIME Protocol"

使用する基本オペレーティングシステムは Debian6「スクイーズ」。 説明されている方法のほとんどは、 Ubuntu12.04「正確」、および Debian7「Wheezy」.

些細なことのように思えますが（実際、私たちの記事は少し長くなります）、定義と読者によるそれらの研究が必要です。 あなたはそれらを読んで、「チキンとチキンとライス」に直行することさえできますし、そうでない人もいます。 大ミス。 そして、私は経験豊富な人たちに言及していません。なぜなら、彼らはタイトルを見るとすぐに、彼らが興味を持っているかどうかを知っているからです。

私たちは、ビジネスネットワークのリーダーシップから始める人々を指します。 定義を読んでリンクをたどり、必ずしもコマンドラインやコードではない概念的な部分を掘り下げてから、記事の残りの部分をたどるように依頼します。

このようにして、私たちは彼らと私たちの両方が、これらの定義と紹介の一部に正確に答える質問をしたり答えたりするのに多くの時間を節約します。 🙂

また、ネットワーク管理者やコンピュータ科学者にとって基本的で最も重要なプログラミング言語は英語であることを一度も言いたいと思います。 :-)。 私たちは英語の専門家ではないため、常に翻訳を提供できるとは限りません。

もちろん、続行する前に、 を読むことを強くお勧めします はじめに このシリーズの記事に.

必要な定義

ウィキペディアから取得:

dnsマスク。 これは、軽量のDNS、TFTP、およびDHCPサーバーです。 その目的は、ローカルエリアネットワークにDNSおよびDHCPサービスを提供することです。 これは、マシンの名前に基づいてIPアドレスを要求するクライアントからの要求を受信するDNSプロトコルの無料の実装です。 サーバーは、IPを提供することによってこれらの要求に応答します。

DNS ドメインネームシステム (o DNS、スペイン語では、ドメインネームシステム）。 これは、インターネットまたはプライベートネットワークに接続されたコンピューター、サービス、または任意のリソースの階層的な命名システムです。 このシステムは、さまざまな情報を各参加者に割り当てられたドメイン名に関連付けます。 その最も重要な機能は、人間が理解できる名前をネットワークに接続された機器に関連付けられたバイナリ識別子に変換（解決）することです。これにより、世界中でこれらの機器を見つけてアドレス指定できるようになります。

DHCP （頭字語 D動的な HOST Cオンフィギュレーション Protocol）は、ネットワーク上のノードを許可するネットワークプロトコルです。 IP 構成パラメーターを自動的に取得します。 これはタイプのプロトコルです クライアントサーバー サーバーは通常、動的IPアドレスのリストを持っており、クライアントが解放されたときにそれらをクライアントに割り当てます。そのIPを誰が所有しているか、どのくらいの期間所有しているか、誰に割り当てられているかを常に把握しています。その後。

NTP oネットワークタイムプロトコルは、ネットワークを介してワークステーションのクロックを同期するように設計されたプロトコルです。 このプロトコルのバージョン3は、RFC 1305で正式化されたインターネットドラフト標準です。NTPバージョン4プロトコルは、前述の標準の重要な改訂版であり、開発中ですが、RFCではまだ正式化されていません。 NTPの単純なバージョン（SNTP）バージョン4は、RFC2030で説明されています。

ISC-DHCP-サーバー （インターネットソフトウェアコンソーシアムDHCPサーバー）。 DHCPサーバーは、IPネットワーク構成を要求するクライアントからの要求を受信するDHCPプロトコルの無料実装であるサーバーです。 サーバーは、クライアントが自分で構成できるようにするパラメーターを提供することにより、これらの要求に応答します。 PCがサーバーに構成を要求する場合、PCのネットワーク構成で、IPアドレスを自動的に取得するオプションを選択します。

Kerberos はユーザー認証システムであり、次のXNUMXつの目的があります。

• キーがネットワークを介して送信されるのを防ぎ、その結果、キーが開示されるリスクがあります。
• ネットワーク全体で単一のユーザーデータベースを維持しながら、ユーザー認証を一元化します。

Kerberosは、セキュリティプロトコルとして、対称鍵暗号化を使用します。つまり、暗号化に使用される鍵は、ユーザーの復号化または認証に使用される鍵と同じです。 これにより、安全でないネットワーク上のXNUMX台のコンピューターが、互いのIDを安全に証明できます。 次に、Kerberosは、許可されたユーザーのみにアクセスを制限し、ワークステーションにいるユーザーがネットワーク全体に分散されたサーバー上のこれらのサービスにアクセスするオープン分散環境を想定して、サービスへの要求を認証します。

DNSおよびDHCPサービスのどのような実装を開発しますか？

私たちはXNUMXつを開発します：XNUMXつはに基づいています dnsmasq、 次の記事では、 バインド9 Y·エル ISC-DHCPサーバー。 DNSの実装と構成の方法を詳しく知りたい場合は、記事«を読むことをお勧めします。Debian6.0でLANのプライマリマスターDNSをインストールして設定する方法»

DNS、DHCP、およびNTPサービスが必要なのはなぜですか？

• DNS：企業ネットワークに接続するコンピューターのホスト名とIPアドレスを含むデータベースを維持し、IPアドレスではなく名前で呼び出すことができるようにするため。
• DHCP：IPアドレスと関連パラメーターを構成するために、クライアントコンピューターが配置されている場所に移動しないでください。 DHCPを介して、クライアントのIPアドレス、そのサブネットマスク、ゲートウェイ、参照先のDNSサーバー、LAN上のメールサーバーのIPアドレス、ノードのタイプ、NetBIOSネームサーバーを自動的に構成します。および他の多くのパラメータ。 明らかに、このサービスを使用すると、クライアントコンピューターでこのような重要な側面の手動構成エラーを回避できます。
• NTP：近い将来、KerberosをLDAPサーバーに統合することを決定した場合、このサービスが必要になります。 Kerberosは、NTPプロトコルとDNSサービスに大きく依存しています。

DNSおよびDHCPサービスをLDAPサーバーに統合しますか？

今のところ答えはNOです。 最初はNO。 OpenLDAPトピックは、それ自体が少し技術的です。 そして、私たちが最初にそのタイプの統合で私たちの生活を複雑にした場合、私たちはそれほど遠くまでは行きません。 に注意してください ClearOS、使用 dnsマスク. ゼンティアル その間使用します バインド9 Y·エル DHCP それらをサーバーと統合せずにサーバー LDAP.

馬の足の間に入らないように、単純なものから複雑なものに移りましょう。 🙂

ネットワークの例

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasqサーバー

インストールして構成します:

：〜＃aptitude install dnsmasq：〜＃mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

空になったファイルを編集します /etc/dnsmasq.conf そして、私たちはそれを次の内容で残します：

：〜＃ ナノ /etc/dnsmasq.conf
＃ドットなしでプレーンな名前を渡さないでください＃またはドメイン部分domain-needed domain = friends.cu＃ルーティングされていないアドレス空間でアドレスを渡さないでください。 bogus-priv＃ファイルに表示される順序でネームサーバーにクエリを実行します＃/ etc / resolve.conf strict-order＃クエリへの応答は＃/ etc /ホストまたはDHCPからのみ送信されます。 ローカル= /ローカルネット/
＃インターフェースの目
インターフェイス= eth1
expand-hosts＃必要に応じて範囲を変更します＃また、IPアドレスのリース時間も＃
dhcp-range = 10.10.10.150,10.10.10.200,12h＃RANGEのオプション＃タイムサーバー
dhcp-option = option：ntp-server、10.10.10.15

＃NTPサーバーのIPはdnsmasqのIPと同じです
dhcp-option = 42,0.0.0.0

＃次のオプションは、Sambaが推奨するオプションです。
＃ISC-DHCP-ページ上のサーバーサーバー
＃http：//www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
＃これらは、Sambaサーバーが＃同じdnsmasqサーバーで実行されている場合に適合します。 ＃LANでWindowsクライアントとSambaサーバーを使用している場合は、それらの一部またはすべてのコメントを解除できます。 ＃dhcp-option = 19,0＃option ip-forwarding off dhcp-option = 44,0.0.0.0＃NetBIOS-over-TCP / IPネームサーバー。 WINS
dhcp-option = 45,0.0.0.0＃NetBIOSデータグラム配布サーバーdhcp-option = 46,8＃NetBIOSノードタイプ

詳細については、 dnsマスク、ファイルを注意深く読むことをお勧めします dnsmasq.conf、どのように名前を付けますか dnsmasq.conf.オリジナル。 このサービスについてのパスタ聖書です。 英語です。

サービスを再開します。

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


LAN上のサーバーの固定IPアドレスをファイルで宣言します /etc/hosts サーバー自体から dnsマスク.

：〜＃ ナノ/ etc / hosts
27.0.0.1 localhost 10.10.10.15mildap.amigos.cumildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

ファイルに名前とIPを追加するたびに /etc/hosts 、追加されたホストがコマンドによって認識されるように、サービスのリロードを強制する必要があります host, dig y nslookup、サーバー自体と、このサーバーからIPを取得した残りのワークステーションの両方で：

：〜＃service dnsmasq force-reload

注意：ファイル dnsマスク 付与されたIPアドレスまたは «リース»、は /var/lib/misc/dnsmasq.leases.

NTPサーバー

一次資料に相談"GNU / Linuxを使用したサーバー構成。 2012年XNUMX月版。著者：JoelBarriosDueñas».

インストールして構成します:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


空になったファイルを編集します /etc/ntp.conf そして、私たちはそれを次の内容で残します：

＃デフォルトのポリシーは、使用されるすべてのタイムサーバーに設定されます。＃ソースとの時刻同期は許可されますが、＃ソースがクエリを実行すること（noquery）、またはシステム上のサービスを変更すること（nomodify）を許可せずに＃提供ログを拒否します＃メッセージ（notrap）。 デフォルトを制限するnomodifynotrap noquery＃システムへのすべてのアクセスを許可する＃インターフェイスを返す。 制限127.0.0.1＃ローカルネットワークはサーバーとの同期を許可されますが、システム構成の変更を許可せず、同期と同等に使用することもできません。 制限10.10.10.0マスク255.255.255.0nomodify notrap＃規律のないローカルクロック。 ＃これはエミュレートされたドライバーであり、実際のフォントが＃使用できない場合に＃バックアップとしてのみ使用されます。 fudge 127.127.1.0 stratum 10 server 127.127.1.0＃バリエーションファイル。 ドリフトファイル/ var / lib / ntp /ドリフトbroadcastdelay0.008 ##インターネットアクセスがある場合＃ストラタム1または2タイムサーバーのリスト＃少なくとも3台のサーバーをリストすることをお勧めします。 ＃その他のサーバー：＃http：//kopernix.com/？q = ntp＃http：//www.eecis.udel.edu/~mills/ntp/servers.html ##インターネットにアクセスできる場合は、次の3行＃server0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org＃各タイムサーバーに割り当てられるアクセス許可。 ＃例では、ソースは＃クエリ、システム上のサービスの変更、または＃登録メッセージの送信を許可されていません。 ##インターネットにアクセスできる場合は、次の3行のコメントを解除します。＃restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.orgマスク255.255.255.255nomodify notrap noquery＃ 顧客への普及が活性化
ブロードキャストクライアント

NTPサービスを再開します:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTPクライアント

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


空になったファイルを編集します /etc/ntp.conf そして、私たちはそれを次の内容で残します：

サーバーmildap.amigos.cu

クライアントのチェック

たとえば、クライアントを取り上げましょう debian7.amigos.cu、openssh-serverパッケージを以前にインストールしたもの。

ルート@ debian7：〜＃ ssh-debian7
root @ debian7のパスワード：[----] root @ debian7：〜＃ ifconfig
eth0リンクカプセル化：イーサネットHWaddr 52：54：00：8f：ee：f6  
          inet addr：10.10.10.153 Bcast：10.10.10.255 Mask：255.255.255.0
          inet6 addr：fe80 :: 5054：ff：fe8f：eef6 / 64スコープ：Link UP BROADCAST RUNNING MULTICAST MTU：1500メトリック：1 RXパケット：4967エラー：0ドロップ：0オーバーラン：0フレーム：0 TXパケット：906エラー： 0ドロップ：0オーバーラン：0キャリア：0コリジョン：0 txqueuelen：1000 RXバイト：6705409（6.3 MiB）TXバイト：93635（91.4 KiB）割り込み：10ベースアドレス：0x6000 loリンクカプセル化：ローカルループバックinetアドレス：127.0.0.1。 255.0.0.0マスク：6 inet1アドレス::: 128/16436スコープ：ホストUP LOOPBACK RUNNING MTU：1メトリック：8 RXパケット：0エラー：0ドロップ：0オーバーラン：0フレーム：8 TXパケット：0エラー：0ドロップ：0オーバーラン：0キャリア：0コリジョン：0 txqueuelen：480 RXバイト：480.0（480 B）TXバイト：480.0（XNUMX B）

からIPアドレスを取得したことを確認済みです dnsマスク OpenLDAPサーバーにインストールされています。 したがって、そのサービスは正しく機能します。 次に、NTPサービスを確認しましょう。これには数秒かかる場合があります。

：〜＃ ntpdate -umildap.amigos.cu
25 Jan 20:07:00 ntpdate [4608]：ステップタイムサーバー10.10.10.15オフセット-0.633909秒

NTPサービスに関しては、すべて問題なく動作します。

その他のチェック：

ルート@ debian7：〜＃ ガンダルフを掘る.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; 質問セクション：; gandalf.amigos.cu。 IN A [----] ;; 回答セクション：gandalf.amigos.cu。 0 IN A 10.10.10.1 [----] root @ debian7：〜＃ ガンダルフを掘る
[----] ;; 質問セクション：;ガンダルフ。 IN A [----] ;; 回答セクション：ガンダルフ。 0 IN A 10.10.10.1 [----] root @ debian7：〜＃ miwwwを掘る
[----] ;; 質問セクション：; miwww。 IN A [----] ;; 回答セクション：miwww。 0 IN A 10.10.10.5 [----] root @ debian7：〜＃ debian7を掘る
[----] ;; 質問セクション：; debian7。 IN A [----] ;; 回答セクション：debian7。 0 IN A 10.10.10.153 [----] root @ debian7：〜＃ ホストmildap
mildap.amigos.cuのアドレスは10.10.10.15です。ホストmildap.amigos.cuが見つかりません：5（拒否）ホストmildap.amigos.cuが見つかりません：5（拒否）root @ debian7：〜＃ ホストmildap.amigos.cu
mildap.amigos.cuのアドレスは10.10.10.15です。ホストmildap.amigos.cu.amigos.cuが見つかりません：5（拒否）ホストmildap.amigos.cu.amigos.cuが見つかりません：5（拒否）

また、インストールおよび構成された9つのサービスは非常にうまく機能するため、少し管理している人のために、BindXNUMXとISC-DHCP-Serverに基づいてDNSを更新してDNSとDHCPサービスを実装する方法に関する記事の次回の記事まで、今日の通信を閉じますより大規模で複雑なネットワーク。

次回まで、友達!!!