Direktoriju pakalpojums ar LDAP [2]: NTP un dnsmasq

Sveiki draugi!. Mēs sākām ieviest un konfigurēt pakalpojumus. Protams, ir nepieciešams, lai mūsu vienkāršais Direktoriju pakalpojums pamatojoties uz OpenLDAP, ir pamatpakalpojumi, lai tie darbotos pareizi. Starp tiem mums ir pakalpojumi DNS vai «Dgalvenais Name SSISTĒMA", DHCP vai » Ddinamisks Host Ckonfigurācija Protokol«, Un uz NTP vai «NEtwork Time Protokol".

Bāzes operētājsistēma, kuru mēs izmantosim, ir Debian 6 "saspiest". Lielāko daļu aprakstīto metožu var izmantot Ubuntu 12.04 "Precīzs"un Debian 7 "Sēkšana".

Lai gan tas šķiet sīkums - patiesībā mūsu raksti ir nedaudz garāki - definīcijas, un lasītājiem tās ir jāizpēta. Jūs varat un daži pat tos nelasa un dodas tieši "pie vistas un rīsiem ar vistu". Liela kļūda. Un es neatsaucos uz pieredzējušajiem, jo ​​viņi, tiklīdz ierauga virsrakstu, zina, vai viņus interesē vai nē.

Mēs atsaucamies uz tiem, kas sāk uzņēmējdarbības tīklus. Mēs lūdzam viņus izlasīt definīcijas un sekot saitēm, iedziļināties konceptuālajās daļās, kas nav obligāti komandrindas vai kods, un pēc tam sekot pārējam rakstam.

Tādā veidā mēs ietaupīsim daudz laika gan viņiem, gan mums, uzdodot un atbildot uz jautājumiem, kuru atbildes ir tieši šo definīciju un ievadu daļā. 🙂

Mēs arī vēlamies vienreiz pateikt, ka tīkla administratora vai datorzinātnieka galvenā un vissvarīgākā programmēšanas valoda ir angļu valoda. :-). Mēs ne vienmēr varam nodrošināt tulkojumus, jo neesam eksperti angļu valodā.

Protams, pirms turpināt, mēs ļoti iesakām izlasīt Ievads šai rakstu sērijai.

Nepieciešamās definīcijas

Ņemts no Vikipēdijas:

dnsmasq. Tas ir viegls DNS, TFTP un DHCP serveris. Tās mērķis ir nodrošināt DNS un DHCP pakalpojumus lokālajam tīklam. Tā ir bezmaksas DNS protokola ieviešana, kas saņem pieprasījumus no klientiem, kuri pieprasa IP adresi, pamatojoties uz mašīnas nosaukumu. Serveris atbildēs uz šiem pieprasījumiem, norādot IP.

DNS Domain Name System (o DNS(spāņu valodā domēna vārdu sistēma). Tā ir hierarhiska nomenklatūras sistēma datoriem, pakalpojumiem vai jebkuram resursam, kas savienots ar internetu vai privātu tīklu. Šī sistēma saista dažādu informāciju ar katram dalībniekam piešķirtajiem domēna vārdiem. Tās vissvarīgākā funkcija ir cilvēkiem saprotamu vārdu tulkošana (atrisināšana) bināros identifikatoros, kas saistīti ar tīklam pieslēgtiem datoriem, lai varētu atrast un adresēt šos datorus visā pasaulē.

DHCP (saīsinājums Ddinamisks Host Ckonfigurācija Protocol) ir tīkla protokols, kas ļauj mezgliem tīklā IP automātiski iegūt tā konfigurācijas parametrus. Tas ir tipa protokols klients / serveris kurā serverim parasti ir dinamisko IP adrešu saraksts un tie tiek piešķirti klientiem, kad viņi kļūst brīvi, visu laiku zinot, kam ir šis IP īpašums, cik ilgi viņiem tas ir bijis un kam tas ir piešķirts toreiz.

NTP o Tīkla laika protokols ir protokols, kas paredzēts, lai tīklā sinhronizētu darbstaciju pulksteņus. Šī protokola 3. versija ir interneta standarta projekts, kas formalizēts RFC 1305. NTP 4. versijas protokols ir svarīga minētā standarta pārskatīšana, un tas tiek izstrādāts, bet vēl nav formalizēts RFC. Vienkārša NTP (SNTP) 4. versijas versija ir aprakstīta RFC 2030

ISC-DHCP-SERVERIS (Interneta programmatūras konsorcija DHCP serveris). DHCP serveris ir serveris, kas ir bezmaksas DHCP protokola ieviešana, kas saņem pieprasījumus no klientiem, kuri pieprasa IP tīkla konfigurāciju. Serveris atbildēs uz šiem pieprasījumiem, norādot parametrus, kas klientiem ļauj sevi konfigurēt. Lai dators pieprasītu konfigurāciju no servera, datora tīkla konfigurācijā atlasiet opciju automātiski iegūt IP adresi.

Kerberos ir lietotāja autentifikācijas sistēma, kurai ir divkāršs mērķis:

• Novērsiet atslēgu sūtīšanu caur tīklu, tādējādi radot risku to izpaust.
• Centralizējiet lietotāju autentifikāciju, saglabājot viena lietotāja datu bāzi visam tīklam.

Kerberos kā drošības protokols izmanto simetrisko atslēgu kriptogrāfiju, kas nozīmē, ka šifrēšanai izmantotā atslēga ir tā pati atslēga, ko izmanto, lai atšifrētu vai autentificētu lietotājus. Tas ļauj diviem datoriem nedrošā tīklā droši apliecināt viens otram savu identitāti. Tad Kerberos ierobežo piekļuvi tikai autorizētiem lietotājiem un autentificē pakalpojumu pieprasījumus, pieņemot atvērtu izplatītu vidi, kurā lietotāji, kas atrodas darba stacijās, piekļūst šiem pakalpojumiem tīklā izplatītajos serveros.

Kādu DNS un DHCP pakalpojumu ieviešanu mēs izstrādāsim?

Mēs izstrādāsim divus: vienu, kura pamatā ir dnsmasq, un turpmākajos pantos tas, kas atbilst Saistošs9 un ISC-DHCP-serveris. Tiem, kas vēlas detalizēti uzzināt, kā ieviest un konfigurēt DNS, iesakām izlasīt rakstu «Kā instalēt un konfigurēt primāro galveno DNS lokālajā tīklā Debian 6.0»

Kāpēc mums ir nepieciešami DNS, DHCP un NTP pakalpojumi?

• DNS: Lai uzturētu datu bāzi ar resursdatoru nosaukumiem un to IP adresēm, datoriem, kas tiks savienoti ar mūsu korporatīvo tīklu, lai mēs tos varētu izsaukt pēc viņu vārdiem, nevis pēc viņu IP adresēm.
• DHCP: Izvairieties pārvietoties uz vietu, kur atrodas klienta dators, lai konfigurētu tā IP adresi un saistītos parametrus. Izmantojot DHCP, mēs automātiski konfigurējam klienta IP adresi, tā apakštīkla masku, vārteju, DNS serveri, ar kuru tai jākonsultējas, mūsu LAN pasta servera IP adresi, mezgla veidu, NetBIOS vārdu serveri un daudzus citus parametrus. . Acīmredzot, izmantojot šo pakalpojumu, mēs varam izvairīties no manuāla konfigurācijas kļūdām, kas saistītas ar tik svarīgu aspektu klienta datoros.
• NTP: Ja tuvākajā nākotnē mēs nolemsim integrēt Kerberos mūsu LDAP serverī, mums šis pakalpojums būs vajadzīgs. Kerberos lielā mērā paļaujas uz NTP protokolu un DNS pakalpojumiem.

Vai mēs integrēsim DNS un DHCP pakalpojumus LDAP serverī?

Pagaidām atbilde ir NĒ. Sākotnēji NĒ. OpenLDAP tēma pati par sevi ir nedaudz tehniska. Un, ja mēs jau sākumā sarežģīsim savu dzīvi ar šāda veida integrāciju, mēs tālu netiksim. Ņemiet vērā, ka ClearOS, izmantojiet dnsmasq. zentyal tikmēr izmanto Saistošs9 un DHCP Serveris, tos neintegrējot ar serveri LDAP.

Pārejam no vienkāršā uz kompleksu, lai nenokļūtu starp zirgu kājām. 🙂

Tīkla piemērs

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq serveris

Mēs instalējam un konfigurējam:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Mēs rediģējam failu, kas tagad ir tukšs /etc/dnsmasq.conf un mēs to atstājam ar šādu saturu:

: ~ # nano /etc/dnsmasq.conf
# Nekad nenododiet vienkāršus vārdus bez punkta # vai domēna daļas domēnam nepieciešamā domēna = friends.cu # Nepalaidiet adreses ārpus maršruta # adreses telpā. viltus-privāts # Vaicājiet nosaukuma serverus # secībā, kādā tie parādās failā # /etc/resolv.conf stingras kārtības # Atbildes uz jautājumiem tiks saņemtas tikai no # / etc / hosts vai no DHCP. local = / localnet /
# ACIS AR SASKARNI
interfeiss = eth1
expand-hosts # Mainiet diapazonu atbilstoši savām vajadzībām # un arī # IP adreses nomas laikam
dhcp-range = 10.10.10.150,10.10.10.200,12h # RANGE opcijas # Laika serveris
dhcp-option = opcija: ntp-serveris, 10.10.10.15

# NTP servera IP ir tāds pats kā dnsmasq
dhcp-option = 42,0.0.0.0

# Šīs iespējas ir tās, kuras Samba iesaka
# ISC-DHCP-Server serveri jūsu lapā
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Tie ir pielāgoti gadījumam, kad Samba serveris # darbojas tajā pašā dnsmasq serverī. # Dažus vai visus no tiem varat atcelt, ja lokālajā tīklā izmantojat # Windows klientus un Samba serveri. # dhcp-option = 19,0 # opcija ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP nosaukumu serveris. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS mezgla tips

Lai uzzinātu vairāk par dnsmasq, iesakām uzmanīgi izlasīt failu dnsmasq.conf, kuru mēs nosaucam kā dnsmasq.conf.original. Tā ir Pasta Bībele par šo dievkalpojumu. Tas ir angļu valodā.

Mēs restartējam pakalpojumu:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


Mēs failā deklarējam mūsu LAN serveru fiksētās IP adreses / Etc / hosts no paša servera, kur dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Katru reizi, kad failam pievienojam vārdu un IP / Etc / hosts , mums ir jāpiespiež pakalpojuma atkārtota ielāde, lai pievienotās resursdatora atpazītu komandas saimnieks, rakt y nslookup, gan pašā serverī, gan pārējām darbstacijām, kas ieguvušas IP no šī servera:

: ~ # serviss dnsmasq piespiedu pārkraušana

Atzīmēt: Fails, kurā dnsmasq glabā piešķirtās IP adreses vai «Noma», vai viņš ir /var/lib/misc/dnsmasq.leasing.

NTP serveris

Apskatīts galvenais avots"Servera konfigurācija ar GNU / Linux. 2012. gada janvāra izdevums. Autors: Joel Barrios Dueñas ».

Mēs instalējam un konfigurējam:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Mēs rediģējam failu, kas tagad ir tukšs /etc/ntp.conf un mēs to atstājam ar šādu saturu:

# Noklusējuma politika ir iestatīta jebkuram izmantotajam # laika serverim: ir atļauta laika sinhronizācija # ar avotiem, taču neļaujot avotam # vaicāt (neaktivizēt) vai modificēt pakalpojumu # sistēmā (nomodificēt) un noraidīt nodrošināt žurnālu # ziņas (notrap). ierobežot noklusējuma nomodify notrap noquery # Atļaut visu piekļuvi sistēmas # atgriešanās saskarnei. ierobežot 127.0.0.1 # Vietējam tīklam ir atļauts sinhronizēt ar serveri #, bet neļaujot viņiem mainīt sistēmas konfigurāciju # un sinhronizēšanai neizmantojot tos kā vienādus. ierobežot 10.10.10.0 masku 255.255.255.0 nomodify notrap # Nedisciplinēts vietējais pulkstenis. # Tas ir atdarināts draiveris, kas tiek izmantots tikai kā # rezerves kopija, ja neviens no faktiskajiem fontiem nav pieejams #. izdomājums 127.127.1.0 stratum 10 serveris 127.127.1.0 # Variācijas fails. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## JA JUMS IR PIEEJAMA INTERNETS # 1. vai 2. laika serveru saraksts. # Ieteicams norādīt vismaz 3 serverus. # Vairāk serveru vietnē: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Ja jums ir piekļuve internetam, komentējiet seko 3 rindiņām #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Katram laika serverim jāpiešķir atļaujas. # Piemēros avotiem nav atļauts vaicāt, # modificēt pakalpojumu sistēmā vai sūtīt reģistrācijas # ziņojumus. ## Ja jums ir piekļuve internetam, noņemiet komentāru no šīm 3 rindiņām: #restrict 0.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org maska ​​255.255.255.255 nomodify notrap noquery # Tiek aktivizēta izplatīšana klientiem
raidorganizācija

Mēs restartējam NTP pakalpojumu:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP klients

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Mēs rediģējam failu, kas tagad ir tukšs /etc/ntp.conf un mēs to atstājam ar šādu saturu:

serveris mildap.amigos.cu

Klienta pārbaudes

Piemēram, pieņemsim mūsu klientu debian7.amigos.cu, uz kuru mēs iepriekš esam instalējuši paketi openssh-server.

root @ debian7: ~ # ssh-debian7
root @ debian7 parole: [----] root @ debian7: ~ # ifconfig
eth0 saites aptveršana: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Apraide: 10.10.10.255 Maska: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Darbības joma: Saistīt BROADCAST RUNNING MULTICAST MTU: 1500 Metrika: 1 RX paketes: 4967 kļūdas: 0 nomesti: 0 pārsniegumi: 0 rāmis: 0 TX paketes: 906 kļūdas: 0 nomesti: 0 pārsniegumi: 0 nesējs: 0 sadursmes: 0 txqueuelen: 1000 RX baiti: 6705409 (6.3 MiB) TX baiti: 93635 (91.4 KiB) Pārtraukums: 10 Bāzes adrese: 0x6000 lo Saites aptveršana: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 maska: 6 inet1 addr: :: 128/16436 Darbības joma: resursdatora augšējā atpakaļejošā RUNNING MTU: 1 Metrika: 8 RX paketes: 0 kļūdas: 0 nomesti: 0 pārsniegumi: 0 kadrs: 8 TX paketes: 0 kļūdas: 0 nomesti : 0 pārsniegumi: 0 nesējs: 0 sadursmes: 0 txqueuelen: 480 RX baiti: 480.0 (480 B) TX baiti: 480.0 (XNUMX B)

Mēs jau esam pārbaudījuši, vai esat ieguvis IP adresi no dnsmasq instalēta mūsu OpenLDAP serverī. Tādēļ šis pakalpojums darbojas pareizi. Tagad pārbaudīsim NTP pakalpojumu, kas var aizņemt vairākas sekundes:

: ~ # ntpdate -u mildap.amigos.cu
25. janvāris 20:07:00 ntpdate [4608]: solis laika serveris 10.10.10.15 nobīde -0.633909 sek.

Attiecībā uz NTP pakalpojumu viss darbojas labi.

Citas pārbaudes:

root @ debian7: ~ # rakt gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; JAUTĀJUMU SADAĻA :; gandalf.amigos.cu. IEKŠĀ [----] ;; ATBILDES SADAĻA: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # rakt gandalfu
[----] ;; JAUTĀJUMU SADAĻA :; gandalf. IEKŠĀ [----] ;; ATBILDES SADAĻA: gandalfs. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # rakt miwww
[----] ;; JAUTĀJUMU SADAĻA :; miwww. IEKŠĀ [----] ;; ATBILDES SADAĻA: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # rakt debian7
[----] ;; JAUTĀJUMU SADAĻA ;; debian7. IEKŠĀ [----] ;; ATBILDES SADAĻA: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # uzņēmēja mildap
mildap.amigos.cu adrese ir 10.10.10.15 Saimnieks mildap.amigos.cu nav atrasts: 5 (REFUSED) Saimnieks mildap.amigos.cu nav atrasts: 5 (REFUSED) root @ debian7: ~ # resursdators mildap.amigos.cu
mildap.amigos.cu ir adrese 10.10.10.15. Saimnieks mildap.amigos.cu.amigos.cu nav atrasts: 5 (ATSAUKSTS) Saimnieks mildap.amigos.cu.amigos.cu nav atrasts: 5 (REFUSED)

Tā kā abi instalētie un konfigurētie pakalpojumi darbojas ļoti labi, mēs šodien pārtraucam saziņu līdz nākamajai raksta daļai par to, kā ieviest DNS un DHCP pakalpojumus, atjauninot DNS, pamatojoties uz Bind9 un ISC-DHCP-Server, tiem, kas pārvalda nedaudz lielāki un sarežģītāki tīkli.

Līdz nākamajai reizei, draugi !!!