Perkhidmatan Direktori dengan LDAP [2]: NTP dan dnsmasq

Helo kawan !. Kami mula melaksanakan dan mengkonfigurasi perkhidmatan. Tentunya perlu kita yang sederhana Perkhidmatan Direktori berdasarkan OpenLDAP, mempunyai perkhidmatan asas untuk berfungsi dengan baik. Antaranya kami mempunyai perkhidmatan DNS atau «Dtiada Name System", DHCP atau » Dynamik Htimur Conset semula Protokol", Dan kepada NTP atau «NRangkaian TPengguna Protokol".

Sistem operasi asas yang akan kami gunakan adalah Debian 6 "Picit". Sebilangan besar kaedah yang dijelaskan boleh digunakan untuk Ubuntu 12.04 "Tepat", dan di Debian 7 "Wheezy".

Walaupun nampaknya remeh - sebenarnya artikel kami sedikit panjang - definisi, dan kajiannya oleh pembaca perlu. Anda boleh dan ada juga yang tidak membacanya dan terus ke "ayam dan nasi dengan ayam." Kesilapan besar. Dan saya tidak merujuk kepada yang berpengalaman, kerana mereka, sebaik sahaja melihat tajuk itu, tahu sama ada mereka berminat atau tidak.

Kami merujuk kepada mereka yang bermula dalam kepemimpinan Rangkaian Perniagaan. Kami meminta mereka membaca definisi dan mengikuti pautan, menyelidiki bahagian konsep yang tidak semestinya baris perintah atau kod, dan kemudian ikuti artikel yang lain.

Dengan cara ini kita akan menjimatkan banyak masa untuk mereka dan kita, dalam bertanya dan menjawab soalan yang jawapannya tepat di bahagian definisi dan pengenalan tersebut. 🙂

Kami juga ingin mengatakan sekaligus, bahawa bahasa pengaturcaraan asas dan terpenting bagi pentadbir rangkaian atau untuk saintis komputer, adalah Bahasa Inggeris. :-). Kami tidak selalu dapat memberikan terjemahan, kerana kami bukan pakar dalam bahasa Inggeris.

Sudah tentu, sebelum meneruskan, kami sangat mengesyorkan membaca pengenalan untuk siri artikel ini.

Definisi diperlukan

Diambil dari Wikipedia:

dnsmasq. Ini adalah pelayan DNS, TFTP dan DHCP yang ringan. Tujuannya adalah untuk menyediakan perkhidmatan DNS dan DHCP ke rangkaian kawasan setempat. Ini adalah pelaksanaan percuma protokol DNS yang menerima permintaan dari klien yang meminta alamat IP berdasarkan nama mesin. Pelayan akan bertindak balas terhadap permintaan ini dengan memberikan IP.

DNS Sistem Nama Domain (o DNS, dalam bahasa Sepanyol, sistem nama domain). Ini adalah sistem tatanama hierarki untuk komputer, perkhidmatan atau sumber apa pun yang disambungkan ke internet atau rangkaian peribadi. Sistem ini mengaitkan pelbagai maklumat dengan nama domain yang diberikan kepada setiap peserta. Fungsi yang paling penting adalah untuk menerjemahkan (menyelesaikan) nama yang dapat difahami manusia menjadi pengecam binari yang berkaitan dengan komputer yang disambungkan ke rangkaian, ini agar dapat mencari dan menangani komputer ini di seluruh dunia.

DHCP (singkatan untuk Dynamik Htimur Conset semula Protocol) adalah protokol rangkaian yang membolehkan nod pada rangkaian IP dapatkan parameter konfigurasinya secara automatik. Ini adalah protokol jenis pelanggan / pelayan di mana pelayan umumnya mempunyai senarai alamat IP dinamik dan memberikannya kepada klien apabila mereka bebas, mengetahui setiap masa siapa yang memiliki IP tersebut, berapa lama mereka memilikinya dan siapa yang telah diberikan kemudian.

NTP o Network Time Protocol, adalah protokol yang dirancang untuk menyegerakkan jam stesen kerja melalui rangkaian. Versi 3 protokol ini adalah Standard Draf Internet, yang diformalkan dalam RFC 1305. Protokol versi 4 NTP adalah semakan penting dari standard yang disebutkan, dan sedang dalam pengembangan, tetapi belum diformalkan dalam RFC. Versi ringkas NTP (SNTP) versi 4 dijelaskan dalam RFC 2030

ISC-DHCP-SERVER (Pelayan DHCP Konsortium Perisian Internet). Pelayan DHCP adalah pelayan yang merupakan implementasi percuma protokol DHCP yang menerima permintaan dari klien yang meminta konfigurasi rangkaian IP. Pelayan akan bertindak balas terhadap permintaan ini dengan memberikan parameter yang membolehkan klien mengkonfigurasi diri mereka sendiri. Agar PC meminta konfigurasi dari pelayan, dalam konfigurasi rangkaian PC, pilih pilihan untuk mendapatkan alamat IP secara automatik.

Kerberos adalah sistem pengesahan pengguna, yang mempunyai objektif berganda:

  • Cegah kunci dihantar melalui rangkaian, dengan risiko pendedahannya.
  • Memusatkan pengesahan pengguna, mengekalkan pangkalan data pengguna tunggal untuk keseluruhan rangkaian.

Kerberos, sebagai protokol keselamatan, menggunakan Kriptografi Kekunci Simetri, yang bermaksud bahawa kunci yang digunakan untuk menyulitkan adalah kunci yang sama yang digunakan untuk menyahsulit atau mengesahkan pengguna. Ini membolehkan dua komputer di rangkaian tidak selamat untuk membuktikan identiti mereka antara satu sama lain dengan selamat. Kerberos kemudian menyekat akses kepada pengguna sah sahaja dan mengesahkan permintaan ke perkhidmatan, dengan menganggap persekitaran diedarkan terbuka, di mana pengguna yang berada di stesen kerja mengakses perkhidmatan ini pada pelayan yang diedarkan di seluruh rangkaian.

Apa pelaksanaan perkhidmatan DNS dan DHCP yang akan kita kembangkan?

Kami akan mengembangkan dua: satu berdasarkan dnsmasq, dan dalam artikel berikut yang sesuai dengan Mengikat9 dan Pelayan ISC-DHCP. Bagi mereka yang ingin belajar secara terperinci bagaimana melaksanakan dan mengkonfigurasi DNS, kami mengesyorkan membaca artikel «Cara memasang dan mengkonfigurasi DNS Master Utama untuk LAN pada Debian 6.0»

Mengapa kita memerlukan perkhidmatan DNS, DHCP dan NTP?

  • DNS: Untuk mengekalkan pangkalan data dengan nama host dan alamat IP mereka, dari komputer yang akan disambungkan ke rangkaian korporat kami, sehingga kami dapat memanggilnya dengan nama mereka, bukan dengan alamat IP mereka.
  • DHCP: Elakkan berpindah ke tempat komputer klien berada, untuk mengkonfigurasi alamat IP dan parameter yang berkaitan. Melalui DHCP kami secara automatik mengkonfigurasi alamat IP klien, subnet mask, gateway, pelayan DNS yang harus dikonsultasikannya, alamat IP pelayan mel di LAN kami, jenis nod, pelayan nama NetBIOS dan banyak parameter lain. Jelas, dengan perkhidmatan ini, kita dapat mengelakkan kesalahan konfigurasi manual dari aspek penting pada komputer pelanggan.
  • NTP: Sekiranya dalam masa terdekat kami memutuskan untuk mengintegrasikan Kerberos ke pelayan LDAP kami, kami memerlukan perkhidmatan ini. Kerberos sangat bergantung pada protokol NTP dan perkhidmatan DNS.

Adakah kita akan mengintegrasikan perkhidmatan DNS dan DHCP ke pelayan LDAP?

Jawapan buat masa ini adalah TIDAK. Pada mulanya TIDAK. Topik OpenLDAP agak teknikal dengan sendirinya. Dan jika kita merumitkan kehidupan kita dengan jenis integrasi pada awalnya, kita tidak akan mencapai tahap yang jauh. Perhatikan bahawa ClearOS, gunakan dnsmasq. Zentyal sementara itu menggunakan Mengikat9 dan DHCP Pelayan tanpa mengintegrasikannya dengan pelayan LDAP.

Mari pergi dari kompleks ke kompleks supaya tidak sampai di antara kaki kuda. 🙂

Rangkaian contoh

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Pelayan Dnsmasq

Kami memasang dan mengkonfigurasi:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Kami mengedit fail yang kini kosong /etc/dnsmasq.conf dan kami meninggalkannya dengan kandungan berikut:

: ~ # nano /etc/dnsmasq.conf
# Jangan lulus nama biasa tanpa titik # atau bahagian domain yang diperlukan domain = friends.cu # Jangan lulus alamat di ruang alamat # yang tidak dilancarkan. bogus-priv # Pertanyaan pelayan nama dalam # urutan yang muncul dalam fail # /etc/resolv.conf ketat-perintah # Respons untuk pertanyaan hanya akan datang dari # / etc / host atau dari DHCP. tempatan = / localnet /
# MATA DENGAN INTERFACE
antara muka = ​​eth1
mengembangkan-host # Tukar julat mengikut keperluan anda # dan juga masa sewa # alamat IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # Pilihan untuk pelayan RANGE # Time
dhcp-option = option: ntp-server, 10.10.10.15

# IP pelayan NTP sama dengan dnsmasq
pilihan dhcp = 42,0.0.0.0

# Pilihan berikut adalah pilihan yang disyorkan oleh Samba
# Pelayan ISC-DHCP-Server di halaman anda
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Mereka disesuaikan untuk kes di mana pelayan Samba # berjalan pada pelayan dnsmasq yang sama. # Anda dapat melepaskan beberapa atau semuanya, jika anda menggunakan # klien Windows dan pelayan Samba di LAN anda. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP name server. Menang
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Jenis Node

Untuk mengetahui lebih lanjut mengenai dnsmasq, kami mengesyorkan membaca fail dengan teliti dnsmasq.conf, yang kami namakan bagaimana dnsmasq.conf.original. Ini adalah Alkitab Pasta mengenai perkhidmatan ini. Ia dalam Bahasa Inggeris.

Kami memulakan semula perkhidmatan:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

Kami menyatakan alamat IP pelayan tetap di LAN kami dalam fail / Etc / tuan rumah dari pelayan itu sendiri di mana dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Setiap kali kita menambah nama dan IP ke fail / Etc / tuan rumah , kita mesti memaksa tambah nilai perkhidmatan supaya host yang ditambah dikenali oleh perintah tuan rumah, menggali y nslookup, baik di pelayan itu sendiri, dan untuk selebihnya stesen kerja yang telah memperoleh IP dari pelayan ini:

: ~ # perkhidmatan dnsmasq force-reload

Nota: Fail di mana dnsmasq menyimpan alamat IP yang diberikan atau «Pajakan», adalah /var/lib/misc/dnsmasq.leases.

Pelayan NTP

Sumber utama dirujuk'Konfigurasi pelayan dengan GNU / Linux. Edisi Januari 2012. Pengarang: Joel Barrios Dueñas ».

Kami memasang dan mengkonfigurasi:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Kami mengedit fail yang kini kosong /etc/ntp.conf dan kami meninggalkannya dengan kandungan berikut:

# Kebijakan lalai ditetapkan untuk mana-mana pelayan # waktu yang digunakan: penyegerakan waktu # dengan sumbernya dibenarkan, tetapi tanpa membiarkan sumber # membuat pertanyaan (noquery), atau mengubah perkhidmatan pada sistem # (nomodify) dan menolak sediakan log # mesej (notrap). hadkan notifikasi notrap nomodify lalai # Benarkan semua akses ke antara muka sistem # kembali. hadkan 127.0.0.1 # Rangkaian tempatan dibenarkan untuk menyegerakkan dengan pelayan # tetapi tanpa membenarkan mereka mengubah konfigurasi sistem #, dan tanpa menggunakannya sebagai sama untuk diselaraskan. hadkan 10.10.10.0 topeng 255.255.255.0 nomodify notrap # Jam tempatan yang tidak berdisiplin. # Ini adalah pemacu yang ditiru yang hanya digunakan sebagai sandaran # apabila tidak ada fon yang ada # yang tersedia. fudge 127.127.1.0 stratum 10 pelayan 127.127.1.0 # Fail variasi. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## JIKA ANDA MEMPUNYAI AKSES INTERNET # Senarai pelayan stratum 1 atau 2. Masa. # Disarankan agar sekurang-kurangnya 3 pelayan disenaraikan. # Lebih banyak pelayan di: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Sekiranya anda mempunyai akses internet, tentukan daripada 3 baris berikut #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Kebenaran yang akan diberikan untuk setiap pelayan masa. # Dalam contohnya, sumber tidak diizinkan untuk membuat pertanyaan, # mengubah perkhidmatan pada sistem, atau mengirim # pesan pendaftaran. ## Jika Anda memiliki akses internet, lepaskan 3 baris berikut #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org topeng 255.255.255.255 nomodify notrap noquery # Penyebaran kepada pelanggan diaktifkan
pelanggan siaran

Kami memulakan semula perkhidmatan NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

Pelanggan NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Kami mengedit fail yang kini kosong /etc/ntp.conf dan kami meninggalkannya dengan kandungan berikut:

pelayan mildap.amigos.cu

Pemeriksaan pada Pelanggan

Sebagai contoh, mari ambil pelanggan kami debian7.amigos.cu, yang sebelumnya kami pasangkan pakej openssh-server.

root @ debian7: ~ # ssh debian7
kata laluan root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Topeng: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Skop: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric: 1 paket RX: 4967 error: 0 drop: 0 overruns: 0 frame: 0 TX packets: 906 error: 0 dijatuhkan: 0 overruns: 0 pembawa: 0 perlanggaran: 0 txqueuelen: 1000 RX bait: 6705409 (6.3 MiB) TX bait: 93635 (91.4 KiB) Selang: 10 Alamat asas: 0x6000 lo Pautan pautan: Local Loopback inet addr: 127.0.0.1 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Skop: Host UP LOOPBACK RUNNING MTU: 1 Metrik: 8 paket RX: 0 ralat: 0 jatuh: 0 overruns: 0 bingkai: 8 paket TX: 0 ralat: 0 jatuh : 0 overruns: 0 carrier: 0 collision: 0 txqueuelen: 480 RX byte: 480.0 (480 B) TX byte: 480.0 (XNUMX B)

Kami telah mengesahkan bahawa anda memperoleh alamat IP dari dnsmasq dipasang pada pelayan OpenLDAP kami. Oleh itu, perkhidmatan itu berfungsi dengan betul. Sekarang mari kita periksa perkhidmatan NTP, yang boleh memakan masa beberapa saat:

: ~ # ntpdate -u mildap.amigos.cu
25 Jan 20:07:00 ntpdate [4608]: pelayan masa langkah 10.10.10.15 offset -0.633909 saat

Mengenai perkhidmatan NTP, semuanya berfungsi dengan baik.

Pemeriksaan lain:

root @ debian7: ~ # gali gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; BAHAGIAN SOALAN:; gandalf.amigos.cu. DIDALAM [----] ;; BAHAGIAN JAWAPAN: gandalf.amigos.cu. 0 DALAM 10.10.10.1 [----] root @ debian7: ~ # gali gandalf
[----] ;; BAHAGIAN SOALAN:; gandalf. DIDALAM [----] ;; BAHAGIAN JAWAPAN: gandalf. 0 DALAM 10.10.10.1 [----] root @ debian7: ~ # gali miwww
[----] ;; BAHAGIAN SOALAN:; miwww. DIDALAM [----] ;; BAHAGIAN JAWAPAN: miwww. 0 DALAM 10.10.10.5 [----] root @ debian7: ~ # gali debian7
[----] ;; BAHAGIAN SOALAN:; debian7. DIDALAM [----] ;; BAHAGIAN JAWAPAN: debian7. 0 DALAM 10.10.10.153 [----] root @ debian7: ~ # tuan rumah mildap
mildap.amigos.cu mempunyai alamat 10.10.10.15 Tuan rumah mildap.amigos.cu tidak dijumpai: 5 (DITOLAK) Host hostap.amigos.cu tidak dijumpai: 5 (DIKEMBALIKAN) root @ debian7: ~ # hos mildap.amigos.cu
mildap.amigos.cu mempunyai alamat 10.10.10.15 Tuan rumah mildap.amigos.cu.amigos.cu tidak dijumpai: 5 (DITOLAK) Host hostap.amigos.cu.amigos.cu tidak dijumpai: 5 (DITOLAK)

Dan kerana kedua-dua perkhidmatan yang dipasang dan dikonfigurasikan berfungsi dengan baik, kami menutup komunikasi untuk hari ini sehingga artikel seterusnya mengenai cara melaksanakan perkhidmatan DNS dan DHCP dengan mengemas kini DNS, berdasarkan Bind9 dan ISC-DHCP-Server, bagi mereka yang menguruskan rangkaian yang sedikit lebih besar dan lebih rumit.

Sehingga lain kali, kawan !!!


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

9 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan.

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Fega kata

    Saya menyimpannya ke PDF untuk membacanya dengan lebih baik kemudian: / agak lama

  2.   Tulang kata

    Saya tidak tahu mengapa membaca "dnsmasq" Saya fikir ia mengatakan "dnscrypt", saya telah menjumpainya dengan membaca blog perseo dan melaksanakannya sekiranya
    salam

  3.   bunga api kata

    Terima kasih Sahabat, saya selalu mengatakan bahawa catatan anda sangat mendidik dan sangat menarik, saya sangat menghargai kerjasama anda, kerana ingin berkongsi pengetahuan, jika tidak, terima kasih banyak, Salam

    1.    Federico kata

      @firecold, Terima kasih banyak atas pertimbangan anda atas apa yang saya tulis. Mereka mendorong saya untuk meneruskan.

      Terima kasih kepada SEMUA kerana memberi komen

  4.   penipu kata

    Dengan siri artikel ini, saya akan memakai seluar pendek untuk melihat apakah saya keluar dari pekerjaan 389 yang sudah memberi lebih banyak sakit kepala daripada mabuk badan.

    Salam, Fico!

    1.    Federico kata

      Helo kawan @dhunter !!!. Katakan Pelayan Direktori 389 (menggunakan Kerberos) dan Samba, bersama dengan DHCP dan DNS, menawarkan klien Windows di rangkaian, cukup banyak fungsi yang anda dapat dengan pengawal domain Windows 2003. Ini seperti bermula dari yang sangat kompleks untuk menerapkan penyelesaian dalam rangkaian untuk syarikat kecil dan sederhana. Dan itulah kebiasaan yang biasa dilakukan oleh kebanyakan Pentadbir.

      Saya mencuba dan akan mencuba dalam artikel untuk berjalan dari yang sederhana ke kompleks sehingga orang menyedari bahawa, dalam rangkaian komputer, falsafah rangkaian Microsoft tidak perlu atau mustahak. Sebenarnya, WWW Village sama sekali tidak menggunakannya.

      Ikuti artikel dan anda akan melihat. Sorakan

  5.   vidagnu kata

    Helo, pertanyaan, pelanggan dan pelayan ntp dapat dijalankan pada pelayan tunggal, iaitu pelayan ntp diselaraskan dengan pelayan internet, dan pada masa yang sama ia menggunakan klien untuk mengemas kini masa pelayan yang sama?

    Saya melihat bahawa di sini anda mempunyai fail ntp.conf untuk pelanggan dan satu lagi untuk pelayan, bagaimana saya boleh menjalankan semuanya pada komputer yang sama?

    salam

    1.    Federico kata

      @vidagnu: Sekiranya anda membaca lagi dan perlahan anda akan menyedari bahawa Pelayan NTP juga dapat diselaraskan dengan pelayan NTP lain di Internet.

      Dalam rangkaian korporat atau swasta, perkara logiknya ialah pelanggan menyegerakkan jam dengan pelayan NTP rangkaian itu, bukan dengan Internet.

      Dengan cara ini, lalu lintas dikurangkan dan LAN berfungsi dengan masa pelayan NTP tempatan diselaraskan dengan pelayan Internet.

      Ia kelihatan seperti lidah tetapi tidak. Ini mengenai mewujudkan penyegerakan lata. Dengan kata lain, Pelayan NTP di LAN menyegerakkan jamnya dengan Pelayan NTP di Internet, dan pelanggan di LAN melakukannya dengan pelayan tempatan mereka.

  6.   raiden kata

    Selamat petang, saya telah membaca beberapa penerbitan anda dan nampaknya sangat baik bagi saya, tetapi dalam satu ini saya sedikit ragu, pada masa apa saya memberikan DHCP kepada pasukan debian7, saya fikir dari apa yang saya faham dengan penugasan IP oleh DHCP kepada pasukan diberikannya pelayan mildap, jika demikian saya belum berjaya melakukannya, maaf atas kesulitan yang ditimbulkan, salam.