Katalogtjeneste med LDAP [2]: NTP og dnsmasq

fico

9 Kommentarer

Hei venner!. Vi begynte å implementere og konfigurere tjenester. Selvfølgelig er det nødvendig at vår enkle Katalogtjeneste basert på OpenLDAP, har grunnleggende tjenester for å fungere skikkelig. Blant dem har vi tjenestene DNS eller «Dhoved- Name System", DHCP eller » Dynamisk Host Ckonfigurasjon Protocol", Og til NTP eller «Network Tjeg meg Protocol".

Basisoperativsystemet vi skal bruke er Debian 6 "Klem". De fleste metodene som er beskrevet kan brukes til Ubuntu 12.04 "Presis", og i Debian 7 "Wheezy".

Selv om det virker som bagatell - faktisk blir artiklene våre litt lange - definisjonene og studiene av dem av leserne er nødvendige. Du kan og noen leser dem ikke engang og går direkte "til kylling og ris med kylling." Stor tabbe. Og jeg refererer ikke til de erfarne, fordi de, så snart de ser tittelen, vet de om de er interesserte eller ikke.

Vi viser til de som begynner i ledelsen av Business Networks. Vi ber dem lese definisjonene og følge lenkene, fordype seg i de konseptuelle delene som ikke nødvendigvis er kommandolinjer eller kode, og deretter følge resten av artikkelen.

På denne måten vil vi spare mye tid, både de og oss, på å stille og svare på spørsmål hvis svar er akkurat i den delen av disse definisjonene og introduksjonene. 🙂

Vi vil også si en gang for alle at det grunnleggende og viktigste programmeringsspråket for en nettverksadministrator eller for en datalog er engelsk. :-). Vi kan ikke alltid tilby oversettelser, ettersom vi ikke er eksperter på engelsk.

Før du fortsetter, Vi anbefaler på det sterkeste å lese Innledning til denne artikkelserien.

Definisjoner som trengs

Hentet fra Wikipedia:

dnsmasq. Det er en lett DNS-, TFTP- og DHCP-server. Hensikten er å levere DNS- og DHCP-tjenester til et lokalt nettverk. Det er en gratis implementering av DNS-protokollen som mottar forespørsler fra klienter som ber om en IP-adresse basert på navnet på en maskin. Serveren vil svare på disse forespørslene ved å oppgi IP.

DNS Domain Name System (o DNS, på spansk, domenenavnsystem). Det er et hierarkisk nomenklatur-system for datamaskiner, tjenester eller andre ressurser som er koblet til internett eller et privat nettverk. Dette systemet forbinder forskjellig informasjon med domenenavn som er tildelt hver av deltakerne. Den viktigste funksjonen er å oversette (løse) menneskelig forståelige navn til binære identifikatorer tilknyttet datamaskinene som er koblet til nettverket, dette for å kunne finne og adressere disse datamaskinene over hele verden.

DHCP (akronym for Dynamisk Host Ckonfigurasjon Protocol) er en nettverksprotokoll som tillater noder i et nettverk IP få konfigurasjonsparametrene automatisk. Det er en protokoll av typen klient server der en server generelt har en liste over dynamiske IP-adresser og tildeler dem til klienter når de blir gratis, og vet til enhver tid hvem som har hatt IP-en, hvor lenge de har hatt den og hvem som har fått den deretter.

NTP Network Time Protocol, er en protokoll designet for å synkronisere klokkene til arbeidsstasjoner gjennom nettverket. Versjon 3 av denne protokollen er en Internet Draft Standard, formalisert i RFC 1305. NTP versjon 4-protokollen er en viktig revisjon av den nevnte standarden, og den er under utvikling, men har ennå ikke blitt formalisert i en RFC. En enkel versjon av NTP (SNTP) versjon 4 er beskrevet i RFC 2030

ISC-DHCP-SERVER (Internet Software Consortium DHCP Server). En DHCP-server er en server som er en gratis implementering av DHCP-protokollen som mottar forespørsler fra klienter som ber om en IP-nettverkskonfigurasjon. Serveren vil svare på disse forespørslene ved å gi parametrene som lar klienter konfigurere seg selv. For at en PC skal be om konfigurasjon fra en server, velger du alternativet for å få IP-adresse automatisk i PCens nettverkskonfigurasjon.

Kerberos er et brukerautentiseringssystem, som har et dobbelt mål:

  • Forhindre at nøklene blir sendt gjennom nettverket, med den påfølgende risikoen for at de blir avslørt.
  • Sentraliser brukerautentisering, vedlikehold av en enkeltbrukerdatabase for hele nettverket.

Kerberos, som en sikkerhetsprotokoll, bruker Symmetric Key Cryptography, som betyr at nøkkelen som brukes til å kryptere, er den samme nøkkelen som brukes til å dekryptere eller autentisere brukere. Dette gjør at to datamaskiner i et usikkert nettverk kan bevise identiteten sin til hverandre. Kerberos begrenser deretter tilgangen til bare autoriserte brukere og autentiserer forespørsler til tjenester, forutsatt at det er et åpent distribuert miljø der brukere på arbeidsstasjoner får tilgang til disse tjenestene på servere distribuert over et nettverk.

Hvilken implementering av DNS- og DHCP-tjenester vil vi utvikle?

Vi vil utvikle to: den ene basert på dnsmasq, og i de følgende artiklene den som tilsvarer Bind 9 og ISC-DHCP-server. For de som ønsker å lære i detalj hvordan man implementerer og konfigurerer en DNS, anbefaler vi å lese artikkelen «Slik installerer og konfigurerer du en primærmastern DNS for et LAN på Debian 6.0»

Hvorfor trenger vi DNS-, DHCP- og NTP-tjenester?

  • DNS: Å vedlikeholde en database med navnene på vertene og deres IP-adresser, på datamaskinene som skal kobles til bedriftsnettverket vårt, slik at vi kan kalle dem ved navn, i stedet for etter IP-adresser.
  • DHCP: Unngå å flytte til stedet der klientdatamaskinen er plassert, for å konfigurere IP-adressen og relaterte parametere. Gjennom DHCP konfigurerer vi automatisk klientens IP-adresse, dens nettverksmaske, gatewayen, DNS-serveren som den skal konsultere, IP-adressen til e-postserveren på LAN, typen node, NetBIOS-navnetjeneren og mange andre parametere. Åpenbart, med denne tjenesten, kan vi unngå manuelle konfigurasjonsfeil av et så viktig aspekt i klientdatamaskiner.
  • NTP: Hvis vi i nær fremtid bestemmer oss for å integrere Kerberos til LDAP-serveren vår, trenger vi denne tjenesten. Kerberos er sterkt avhengig av NTP-protokollen og DNS-tjenestene.

Vil vi integrere DNS- og DHCP-tjenester til LDAP-serveren?

Svaret for nå er NEI. Opprinnelig NEI. OpenLDAP-emnet er litt teknisk i seg selv. Og hvis vi kompliserer livene våre med den typen integrering fra begynnelsen, kommer vi ikke veldig langt. Merk at clearos, bruk dnsmasq. zentyal bruker i mellomtiden Bind 9 og DHCP Server uten å integrere dem med serveren LDAP.

La oss gå fra det enkle til det komplekse for ikke å komme oss mellom hestene. 🙂

Eksempel på nettverk

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq server

Vi installerer og konfigurerer:

: ~ # aptitude installer dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Vi redigerer filen som nå er tom /etc/dnsmasq.conf og vi lar det med følgende innhold:

: ~ # nano /etc/dnsmasq.conf
# Gi aldri vanlige navn uten prikken # eller domenedelen som er nødvendig for domenet = friends.cu # Ikke pass adresser i det ikke-ruterte # adresseområdet. falsk-priv # Spør navneserverne i # rekkefølgen de vises i filen # /etc/resolv.conf streng rekkefølge # Svar på spørsmål kommer bare fra # / etc / hosts eller fra DHCP. lokal = / localnet /
# ØYE MED GRENSESNITTET
grensesnitt = eth1
utvid-verter # Endre rekkevidden etter dine behov # og også leietiden til # IP-adressen
dhcp-range = 10.10.10.150,10.10.10.200,12h # Alternativer for RANGE # Tidsserver
dhcp-option = alternativ: ntp-server, 10.10.10.15

# IP til NTP-serveren er den samme som for dnsmasq
dhcp-alternativ = 42,0.0.0.0

# Følgende alternativer er de som Samba anbefaler for
# ISC-DHCP-server servere på siden din
# http://www.samba.org/samba/ftp/docs/textdocs/dhcp-server-configuration.txt.
# De er tilpasset tilfellet der Samba-serveren # kjører på den samme dnsmasq-serveren. # Du kan fjerne kommentarer eller noen av dem hvis du bruker # Windows-klienter og Samba-serveren på LAN-nettverket. # dhcp-option = 19,0 # alternativ ip-videresending av dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP navneserver. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Node Type

For å lære mer om dnsmasq, anbefaler vi å lese filen nøye dnsmasq.conf, som vi kaller hvordan dnsmasq.conf.original. Det er Pastabibelen om denne tjenesten. Det er på engelsk.

Vi starter tjenesten på nytt:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

Vi erklærer de faste IP-adressene til servere på LAN i filen / Etc / hosts fra selve serveren der dnsmasq.

: ~ # nano / etc / verter
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Hver gang vi legger til et navn og en IP i filen / Etc / hosts , må vi tvinge om innlasting av tjenesten slik at den tilførte verten blir gjenkjent av kommandoene vert, grave y nslookup, både på selve serveren, og for resten av arbeidsstasjonene som har anskaffet en IP fra denne serveren:

: ~ # service dnsmasq force-reload

note: Filen der dnsmasq lagrer IP-adressene som er gitt eller «Leieavtaler», er /var/lib/misc/dnsmasq.leases.

NTP-server

Primær kilde konsultert'Serverkonfigurasjon med GNU / Linux. Utgave fra januar 2012. Forfatter: Joel Barrios Dueñas ».

Vi installerer og konfigurerer:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Vi redigerer filen som nå er tom /etc/ntp.conf og vi lar det med følgende innhold:

# Standardpolicyen er angitt for alle # tidsservere som brukes: tidssynkronisering # med kildene er tillatt, men uten å la kilden # spørre (noquery), eller endre tjenesten på # systemet (nomodify) og avvisende logg # meldinger (notrap). begrense standard nomodify notrap noquery # Tillat all tilgang til system # returgrensesnitt. begrense 127.0.0.1 # Det lokale nettverket har lov til å synkronisere med serveren #, men uten å tillate dem å endre systemkonfigurasjonen #, og uten å bruke dem som like for å synkronisere. begrense 10.10.10.0 maske 255.255.255.0 nomodify notrap # Udisiplinert lokal klokke. # Dette er en emulert driver som bare brukes som en # backup når ingen av de faktiske skriftene er # tilgjengelige. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Variasjonsfil. driftfile / var / lib / ntp / drift kringkastingsforsinkelse 0.008 ## HVIS DU HAR INTERNETTILGANG # Liste over stratum 1 eller 2 tidsservere. # Det anbefales å ha minst 3 servere oppført. # Flere servere på: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Hvis du har tilgang til internett, kan du ikke kommentere følgende tre linjer #server 3.pool.ntp.org #server 0.pool.ntp.org #server 1.pool.ntp.org # Tillatelser som skal tildeles for hver tidsserver. # I eksemplene har kilder ikke lov til å spørre, # endrer tjenesten i systemet eller sender registreringsnummer. ## Hvis du har tilgang til internett, fjern kommentar fra følgende 2 linjer #restrict 3.pool.ntp.org mask 0 nomodify notrap noquery #restrict 255.255.255.255.pool.ntp.org mask 1 nomodify notrap noquery #restrict 255.255.255.255.pool .ntp.org maske 2 nomodify notrap noquery # Formidling til kunder er aktivert
kringkastingsklient

Vi starter NTP-tjenesten på nytt:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-klient

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Vi redigerer filen som nå er tom /etc/ntp.conf og vi lar det med følgende innhold:

server mildap.amigos.cu

Sjekker klienten

La oss for eksempel ta klienten vår Debian7.Migos.cu., som vi tidligere har installert openssh-server-pakken på.

root @ debian7: ~ # ssh-debian7
root @ debian7's passord: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maske: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Omfang: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrisk: 1 RX-pakker: 4967 feil: 0 falt: 0 overskridelser: 0 ramme: 0 TX-pakker: 906 feil: 0 droppet: 0 overskridelser: 0 transportør: 0 kollisjoner: 0 txqueuelen: 1000 RX byte: 6705409 (6.3 MiB) TX byte: 93635 (91.4 KiB) Avbrudd: 10 Base adresse: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Omfang: Vert OPP LOOPBACK RUNNING MTU: 1 Metrisk: 8 RX-pakker: 0 feil: 0 falt: 0 overskridelser: 0 ramme: 8 TX-pakker: 0 feil: 0 falt : 0 overskridelser: 0 transportør: 0 kollisjoner: 0 txqueuelen: 480 RX byte: 480.0 (480 B) TX byte: 480.0 (XNUMX B)

Vi har allerede bekreftet at du har fått en IP-adresse fra dnsmasq installert på OpenLDAP-serveren vår. Derfor fungerer den tjenesten riktig. La oss nå sjekke NTP-tjenesten, som kan ta flere sekunder:

: ~ # ntpdate -u mildap.amigos.cu
25 jan 20:07:00 ntpdate [4608]: trinntidsserver 10.10.10.15 forskyvning -0.633909 sek

Når det gjelder NTP-tjenesten, fungerer alt OK.

Andre sjekker:

root @ debian7: ~ # grave gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SPØRSMÅLSSNITT :; gandalf.amigos.cu. I EN [----] ;; SVAR-AVSNITT: gandalf.amigos.cu. 0 I A 10.10.10.1 [----] root @ debian7: ~ # grave gandalf
[----] ;; SPØRSMÅL:; gandalf. I EN [----] ;; SVAR: Gandalf. 0 I A 10.10.10.1 [----] root @ debian7: ~ # grave miwww
[----] ;; SPØRSMÅL:; miwww. I EN [----] ;; SVAR-AVSNITT: miwww. 0 I A 10.10.10.5 [----] root @ debian7: ~ # grave debian7
[----] ;; SPØRSMÅL: debian7. I EN [----] ;; SVAR-AVSNITT: debian7. 0 I A 10.10.10.153 [----] root @ debian7: ~ # verts mildap
mildap.amigos.cu har adresse 10.10.10.15 Vert mildap.amigos.cu ikke funnet: 5 (NEGTET) Vert mildap.amigos.cu ikke funnet: 5 (NEGTET) root @ debian7: ~ # vert mildap.amigos.cu
mildap.amigos.cu har adresse 10.10.10.15 Vert mildap.amigos.cu.amigos.cu ikke funnet: 5 (AVSLAGET) Vert mildap.amigos.cu.amigos.cu ikke funnet: 5 (NEGTET)

Og siden de to tjenestene som er installert og konfigurert fungerer veldig bra, lukker vi kommunikasjonen for i dag til neste del av artikkelen om hvordan du implementerer DNS og DHCP-tjenester ved å oppdatere DNS, basert på Bind9 og ISC-DHCP-Server, for de som administrerer litt større og mer kompliserte nettverk.

Inntil neste gang, venner !!!


9 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   FEGA. sa
    hace 10 år

    Jeg lagrer den i PDF for å lese den bedre senere: / den er ganske lang

    Svar på Fega
  2.   bein sa
    hace 10 år

    Jeg vet ikke hvorfor jeg leste "dnsmasq". Jeg trodde det sto "dnscrypt", jeg hadde oppdaget det ved å lese perseos blogg og implementerte den bare i tilfelle
    Hilsen

    Svar på bein
  3.   brannkaldt sa
    hace 10 år

    Takk venn, jeg har alltid sagt at innleggene dine er veldig lærerike og veldig interessante. Jeg setter stor pris på samarbeidet ditt, snakker om å dele kunnskap, for resten tusen takk, hilsen

    Svar på firecold
    1.    Federico sa
      hace 10 år

      @firecold, tusen takk for at du tar hensyn til det jeg skriver. De presser meg til å fortsette.

      Takk til ALLE for kommentarene

      Svar på federico
  4.   dhunter sa
    hace 10 år

    Med denne artikelserien skal jeg ta på meg shorts for å se om jeg kommer ut av 389 fra jobb som allerede gir mer hodepine enn bakrus.

    Hilsen, Fico!

    Svar på dhunter
    1.    Federico sa
      hace 10 år

      Hei venn @dhunter !!!. Anta at 389 Directory Server (bruker Kerberos) og Samba, sammen med DHCP og DNS, tilbyr Windows-klienter i et nettverk, stort sett funksjonaliteten du vil få med en Windows 2003-domenekontroller. Det er som å starte fra det veldig komplekse å implementere en løsning i et nettverk for små og mellomstore selskaper. Og det er det som praktisk talt de fleste administratorer er vant til.

      Jeg prøver og vil prøve i artiklene å gå fra det enkle til det komplekse, slik at folk innser at filosofien til Microsoft-nettverk i et datanettverk ikke er nødvendig eller viktig. Faktisk bruker ikke WWW Village det i det hele tatt.

      Følg artiklene og du vil se. Jubel

      Svar på federico
  5.   vidagnu sa
    hace 10 år

    Hei, et spørsmål, klienten og ntp-serveren kan kjøre på en enkelt server, det vil si at ntp-serveren er synkronisert med internett-serverne, og at den samtidig bruker klienten til å oppdatere tiden til den samme serveren?

    Jeg ser at her har du en ntp.conf-fil for klienten og en annen for serveren, hvordan får jeg alt til å kjøre på samme datamaskin?

    Hilsen

    Svar på vidagnu
    1.    Federico sa
      hace 10 år

      @vidagnu: Hvis du leser igjen og sakte, vil du innse at NTP-serveren også kan synkroniseres med andre NTP-servere på Internett.

      I et bedrifts- eller privatnettverk er det logiske at klienter synkroniserer klokken med NTP-serveren til det nettverket, ikke med internettets.

      På denne måten reduseres trafikken og LAN fungerer med tiden den lokale NTP-serveren synkroniseres med Internett-serverne.

      Det ser ut som en tungetvinger, men det er det. Det handler om å etablere en kaskadesynkronisering. Det vil si at NTP-serveren på LAN synkroniserer klokken med NTP-serverne på Internett, og klientene på LAN gjør det med sin lokale server.

      Svar på federico
  6.   Raiden sa
    hace 10 år

    God kveld, jeg har lest noen av publikasjonene dine, og de virker utmerkede, men i denne er jeg litt i tvil, i hvilket øyeblikk gir jeg DHCP-adressering til debian7-teamet, jeg tror ut fra det jeg forsto IP-oppdraget fra DHCP til teamet gir det mildap-serveren, hvis ikke, kunne jeg ikke gjøre det, beklager ulempen, hilsenen.

    Svar til Raiden