Cześć przyjaciele!. Zaczęliśmy wdrażać i konfigurować usługi. Oczywiście konieczne jest, aby nasz prosty Usługa katalogowa na podstawie OpenLDAPmają podstawowe usługi do prawidłowego funkcjonowania. Wśród nich mamy usługi DNS lub «Domain Name System", DHCP lub » Ddynamiczna Host Ckonfiguracja Protocol«, I do NTP lub «NEtwork Time Protocol".
Podstawowym systemem operacyjnym, którego będziemy używać, jest Debian 6 „Squeeze”. Większość opisanych metod można wykorzystać do Ubuntu 12.04 „Precise”i w Debian 7 „Wheezy”.
Choć wydaje się to drobiazgiem - w rzeczywistości nasze artykuły są trochę długie - definicje i ich przestudiowanie przez czytelników są konieczne. Możesz, a niektórzy nawet ich nie czytają i idą prosto do „kurczaka i ryżu z kurczakiem”. Duży błąd. I nie mówię o tych doświadczonych, bo gdy tylko zobaczą tytuł, wiedzą, czy są zainteresowani, czy nie.
Odnosimy się do tych, którzy zaczynają na stanowisku lidera w Business Networks. Prosimy ich o przeczytanie definicji i skorzystanie z linków, zagłębienie się w koncepcyjne części, które niekoniecznie są wierszami poleceń lub kodem, a następnie wykonanie dalszej części artykułu.
W ten sposób zaoszczędzimy dużo czasu, zarówno im, jak i nam, na zadawaniu i odpowiadaniu na pytania, na które odpowiedzi mieszczą się właśnie w tych definicjach i wstępach.
Chcemy też raz na zawsze powiedzieć, że podstawowym i najważniejszym językiem programowania dla administratora sieci czy informatyka jest język angielski. :-). Nie zawsze możemy zapewnić tłumaczenia, ponieważ nie jesteśmy ekspertami w języku angielskim.
Oczywiście, zanim przejdziesz dalej, zdecydowanie zalecamy przeczytanie Wprowadzenie do tej serii artykułów.
Potrzebne definicje
Zaczerpnięte z Wikipedii:
dnsmasq. Jest to lekki serwer DNS, TFTP i DHCP. Jego celem jest zapewnienie usług DNS i DHCP w sieci lokalnej. Jest to bezpłatna implementacja protokołu DNS, która odbiera żądania od klientów żądających adresu IP na podstawie nazwy maszyny. Serwer odpowie na te żądania, podając adres IP.
DNS Domain Name System (o DNS, w języku hiszpańskim, system nazw domen). Jest to hierarchiczny system nazewnictwa komputerów, usług lub dowolnego zasobu podłączonego do Internetu lub sieci prywatnej. Ten system kojarzy różne informacje z nazwami domen przypisanymi do każdego z uczestników. Jego najważniejszą funkcją jest tłumaczenie (rozwiązywanie) nazw zrozumiałych dla człowieka na identyfikatory binarne związane z komputerami podłączonymi do sieci, aby móc zlokalizować te komputery i zaadresować je na całym świecie.
DHCP (akronim od Ddynamiczna Host Ckonfiguracja Protocol) to protokół sieciowy, który zezwala na węzły w sieci IP automatycznie pobiera parametry konfiguracyjne. Jest to rodzaj protokołu klient / serwer gdzie serwer generalnie ma listę dynamicznych adresów IP i przypisuje je klientom, gdy stają się wolni, wiedząc przez cały czas, kto był w posiadaniu tego adresu IP, jak długo go posiadał i komu został wtedy przydzielony.
NTP o Network Time Protocol to protokół przeznaczony do synchronizacji zegarów stacji roboczych w sieci. Wersja 3 tego protokołu to Internet Draft Standard, sformalizowana w RFC 1305. Protokół NTP w wersji 4 jest ważną poprawką wspomnianego standardu i jest w trakcie opracowywania, ale nie został jeszcze sformalizowany w RFC. Prosta wersja NTP (SNTP) w wersji 4 jest opisana w RFC 2030
SERWER ISC-DHCP (Serwer DHCP konsorcjum oprogramowania internetowego). Serwer DHCP to serwer będący bezpłatną implementacją protokołu DHCP, który odbiera żądania od klientów żądających konfiguracji sieci IP. Serwer odpowie na te żądania, podając parametry umożliwiające klientom samodzielną konfigurację. Aby komputer PC zażądał konfiguracji z serwera, w konfiguracji sieci komputera wybierz opcję automatycznego uzyskiwania adresu IP.
Kerberos to system uwierzytelniania użytkowników, który ma podwójny cel:
- Zapobiegaj wysyłaniu kluczy przez sieć, co grozi ich ujawnieniem.
- Scentralizuj uwierzytelnianie użytkowników, utrzymując jedną bazę danych użytkowników dla całej sieci.
Kerberos jako protokół bezpieczeństwa wykorzystuje szyfrowanie klucza symetrycznego, co oznacza, że klucz używany do szyfrowania jest tym samym kluczem, który służy do odszyfrowywania lub uwierzytelniania użytkowników. Pozwala to dwóm komputerom w niezabezpieczonej sieci na bezpieczne potwierdzenie swojej tożsamości. Kerberos następnie ogranicza dostęp tylko do autoryzowanych użytkowników i uwierzytelnia żądania do usług, przy założeniu otwartego środowiska rozproszonego, w którym użytkownicy znajdujący się na stacjach roboczych uzyskują dostęp do tych usług na serwerach rozproszonych w sieci.
Jakie wdrożenie usług DNS i DHCP będziemy rozwijać?
Opracujemy dwa: ten oparty na dnsmasq, aw kolejnych artykułach ten odpowiadający Powiąż9 i Serwer ISC-DHCP. Tym, którzy chcą dowiedzieć się szczegółowo, jak wdrożyć i skonfigurować DNS, polecamy przeczytanie artykułu «Jak zainstalować i skonfigurować Primary Master DNS dla sieci LAN w systemie Debian 6.0»
Dlaczego potrzebujemy usług DNS, DHCP i NTP?
- DNS: Aby utrzymywać bazę danych z nazwami hostów i ich adresami IP, komputerów, które będą podłączone do naszej sieci firmowej, abyśmy mogli nazywać je po imieniu, a nie po adresie IP.
- DHCP: Unikaj przenoszenia się do miejsca, w którym znajduje się komputer kliencki, aby skonfigurować jego adres IP i powiązane parametry. Poprzez DHCP automatycznie konfigurujemy adres IP klienta, jego maskę podsieci, bramę, serwer DNS, z którym ma się konsultować, adres IP serwera pocztowego w naszej sieci LAN, typ węzła, serwer nazw NetBIOS i wiele innych parametrów . Oczywiście dzięki tej usłudze możemy uniknąć ręcznych błędów konfiguracji tak ważnego aspektu na komputerach klienckich.
- NTP: Jeśli w najbliższej przyszłości zdecydujemy się zintegrować Kerberos z naszym serwerem LDAP, będziemy potrzebować tej usługi. Kerberos w dużym stopniu opiera się na protokole NTP i usługach DNS.
Czy zintegrujemy usługi DNS i DHCP z serwerem LDAP?
Na razie odpowiedź brzmi NIE. Początkowo NIE. Temat OpenLDAP jest sam w sobie nieco techniczny. A jeśli na początku skomplikujemy sobie życie tego typu integracją, daleko nie zajdziemy. Zwróć uwagę, że ClearOS, użyj dnsmasq. zentyal w międzyczasie używa Powiąż9 i DHCP Serwer bez integracji ich z serwerem LDAP.
Przejdźmy od prostego do złożonego, aby nie wchodzić między nogi koni.
Przykładowa sieć
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Serwer Dnsmasq
Instalujemy i konfigurujemy:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Edytujemy plik, który jest teraz pusty /etc/dnsmasq.conf i zostawiamy to z następującą treścią:
: ~ # nano /etc/dnsmasq.conf # Nigdy nie przekazuj zwykłych nazw bez kropki # lub części domeny wymaganej dla domeny domain = friends.cu # Nie przekazuj adresów w niewykierowanej # przestrzeni adresowej. bogus-priv # Przeszukuj serwery nazw w kolejności, w jakiej występują w pliku # /etc/resolv.conf strict-order # Odpowiedzi na zapytania będą pochodzić tylko z # / etc / hosts lub z DHCP. local = / localnet / # OCZY Z INTERFEJSEM interfejs = eth1 expand-hosts # Zmień zakres zgodnie ze swoimi potrzebami # a także czas dzierżawy # adresu IP dhcp-range = 10.10.10.150,10.10.10.200,12h # Opcje dla RANGE # Serwer czasu dhcp-option = opcja: ntp-server, 10.10.10.15 # Adres IP serwera NTP jest taki sam, jak adres dnsmasq dhcp-option = 42,0.0.0.0 # Poniższe opcje są polecane przez Sambę # Serwery ISC-DHCP-Server na twojej stronie # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Są przystosowane do przypadku, gdy serwer Samba # działa na tym samym serwerze dnsmasq. # Możesz odkomentować niektóre lub wszystkie z nich, jeśli używasz # klientów Windows i serwera Samba w swojej sieci LAN. # dhcp-option = 19,0 # opcja ip-forwarding off dhcp-option = 44,0.0.0.0 # Serwer nazw NetBIOS-over-TCP / IP. WINS dhcp-option = 45,0.0.0.0 # Serwer dystrybucji datagramów NetBIOS dhcp-option = 46,8 # Typ węzła NetBIOS
Aby dowiedzieć się więcej o dnsmasq, zalecamy uważne przeczytanie pliku dnsmasq.conf, które nazywamy jak dnsmasq.conf.original. To Biblia Makaronu o tej usłudze. Jest w języku angielskim.
Ponownie uruchamiamy usługę:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
W pliku deklarujemy stałe adresy IP serwerów w naszej sieci LAN / Etc / hosts z samego serwera, gdzie dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 mi www.amigos.cu miwww
Za każdym razem, gdy dodajemy nazwę i adres IP do pliku / Etc / hosts , musimy wymusić ponowne załadowanie usługi, aby dodany host został rozpoznany przez polecenia gospodarz, kopać y nslookup, zarówno na samym serwerze, jak i dla pozostałych stacji roboczych, które uzyskały adres IP z tego serwera:
: ~ # usługa dnsmasq force-reload
uwaga: Plik, w którym dnsmasq przechowuje przyznane adresy IP lub „Leasing”, jest /var/lib/misc/dnsmasq.leases.
Serwer NTP
Skonsultowano się z głównym źródłem"Konfiguracja serwera w systemie GNU / Linux. Wydanie ze stycznia 2012 r. Autor: Joel Barrios Dueñas ».
Instalujemy i konfigurujemy:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Edytujemy plik, który jest teraz pusty /etc/ntp.conf i zostawiamy to z następującą treścią:
# Domyślna zasada jest ustawiona dla każdego # używanego serwera czasu: synchronizacja czasu # ze źródłami jest dozwolona, ale bez zezwolenia źródłu na wysyłanie zapytań (bez zapytania) lub modyfikowanie usługi w # systemie (nomodify) i odrzucanie dostarczania dziennika # wiadomości (notrap). ogranicz domyślny nomodify notrap noquery # Zezwalaj na cały dostęp do interfejsu zwrotnego systemu #. ogranicz 127.0.0.1 # Sieć lokalna może synchronizować się z serwerem #, ale bez umożliwienia im modyfikowania konfiguracji systemu i bez używania ich jako równych przy synchronizacji. ogranicz 10.10.10.0 maska 255.255.255.0 nomodify notrap # Niezdyscyplinowany zegar lokalny. # To jest emulowany sterownik, który jest używany tylko jako # kopia zapasowa, gdy żadna z rzeczywistych czcionek nie jest # dostępna. fudge 127.127.1.0 serwer warstwy 10 127.127.1.0 # Plik odmian. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## JEŚLI MASZ DOSTĘP DO INTERNETU # Lista serwerów czasu warstwy 1 lub 2. # Zalecane jest, aby na liście były co najmniej 3 serwery. # Więcej serwerów pod adresem: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Jeśli masz dostęp do Internetu, odkomentuj następujące 3 wiersze #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Uprawnienia, które mają być przypisane dla każdego serwera czasu. # W przykładach źródła nie mogą wysyłać zapytań, # modyfikować usługi w systemie ani wysyłać # wiadomości o rejestracji. ## Jeśli masz dostęp do Internetu, odkomentuj następujące 3 wiersze #restrict 0.pool.ntp.org maska 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org maska 255.255.255.255 nomodify notrap noquery # Rozpowszechnianie wśród klientów jest aktywowane klient rozgłoszeniowy
Ponownie uruchamiamy usługę NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
Klient NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Edytujemy plik, który jest teraz pusty /etc/ntp.conf i zostawiamy to z następującą treścią:
serwer mildap.amigos.cu
Kontrole klienta
Na przykład weźmy naszego klienta debian7.amigos.cu, do którego wcześniej zainstalowaliśmy pakiet openssh-server.
root @ debian7: ~ # ssh-debian7
hasło root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
adres inet: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
inet6 adres: fe80 :: 5054: ff: fe8f: eef6 / 64 Zakres: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metryczne: 1 Pakiety RX: 4967 błędów: 0 zrzuconych: 0 przepełnień: 0 ramek: 0 pakietów TX: 906 błędów: 0 porzuconych: 0 przekroczeń: 0 nośnych: 0 kolizji: 0 txqueuelen: 1000 bajtów RX: 6705409 (6.3 MiB) Bajty TX: 93635 (91.4 KiB) Przerwanie: 10 Adres bazowy: 0x6000 lo Enkapsulacja łącza: Lokalny adres inet Loopback: 127.0.0.1. 255.0.0.0 Maska: 6 adres inet1: :: 128/16436 Zakres: Host UP LOOPBACK RUNNING MTU: 1 Metryczne: 8 pakiety RX: 0 błędów: 0 porzuconych: 0 przepełnień: 0 ramek: 8 pakietów TX: 0 błędów: 0 porzuconych : 0 przekroczeń: 0 nośnych: 0 kolizji: 0 txqueuelen: 480 bajtów RX: 480.0 (480 B) bajtów TX: 480.0 (XNUMX B)
Sprawdziliśmy już, że uzyskałeś adres IP z dnsmasq zainstalowany na naszym serwerze OpenLDAP. Dlatego ta usługa działa poprawnie. Teraz sprawdźmy usługę NTP, co może potrwać kilka sekund:
: ~ # ntpdate -u Milap.amigos.cu 25 stycznia 20:07:00 ntpdate [4608]: serwer czasu kroku 10.10.10.15 przesunięcie -0.633909 s
Jeśli chodzi o usługę NTP, wszystko działa OK.
Inne kontrole:
root @ debian7: ~ # kop gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; PYTANIA :; gandalf.amigos.cu. W [----] ;; SEKCJA ODPOWIEDZI: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopać gandalf [----] ;; PYTANIA :; gandalf. W [----] ;; SEKCJA ODPOWIEDZI: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kop miwww [----] ;; PYTANIA :; miwww. W [----] ;; SEKCJA ODPOWIEDZI: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # kopi debian7 [----] ;; SEKCJA PYTANIA: Debian7. W [----] ;; SEKCJA ODPOWIEDZI: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # hosta mildap mildap.amigos.cu ma adres 10.10.10.15 Nie znaleziono hosta mildap.amigos.cu: 5 (ODMOWA) Nie znaleziono hosta mildap.amigos.cu: 5 (ODMOWA) root @ debian7: ~ # host milap.amigos.cu mildap.amigos.cu ma adres 10.10.10.15 Nie znaleziono hosta mildap.amigos.cu.amigos.cu: 5 (ODMOWA) Nie znaleziono hosta mildap.amigos.cu.amigos.cu: 5 (ODMOWA)
A ponieważ te dwie usługi zainstalowane i skonfigurowane działają bardzo dobrze, zamykamy komunikację na dziś do następnej części artykułu o tym, jak wdrożyć usługi DNS i DHCP poprzez aktualizację DNS, opartego na Bind9 i ISC-DHCP-Server, dla osób zarządzających nieznacznie większe i bardziej skomplikowane sieci.
Do następnego razu przyjaciele !!!