Usługa katalogowa z LDAP [2]: NTP i dnsmasq

Cześć przyjaciele!. Zaczęliśmy wdrażać i konfigurować usługi. Oczywiście konieczne jest, aby nasz prosty Usługa katalogowa na podstawie OpenLDAPmają podstawowe usługi do prawidłowego funkcjonowania. Wśród nich mamy usługi DNS lub «Domain Name System", DHCP lub » Ddynamiczna Host Ckonfiguracja Protocol«, I do NTP lub «NEtwork Time Protocol".

Podstawowym systemem operacyjnym, którego będziemy używać, jest Debian 6 „Squeeze”. Większość opisanych metod można wykorzystać do Ubuntu 12.04 „Precise”i w Debian 7 „Wheezy”.

Choć wydaje się to drobiazgiem - w rzeczywistości nasze artykuły są trochę długie - definicje i ich przestudiowanie przez czytelników są konieczne. Możesz, a niektórzy nawet ich nie czytają i idą prosto do „kurczaka i ryżu z kurczakiem”. Duży błąd. I nie mówię o tych doświadczonych, bo gdy tylko zobaczą tytuł, wiedzą, czy są zainteresowani, czy nie.

Odnosimy się do tych, którzy zaczynają na stanowisku lidera w Business Networks. Prosimy ich o przeczytanie definicji i skorzystanie z linków, zagłębienie się w koncepcyjne części, które niekoniecznie są wierszami poleceń lub kodem, a następnie wykonanie dalszej części artykułu.

W ten sposób zaoszczędzimy dużo czasu, zarówno im, jak i nam, zadając i odpowiadając na pytania, których odpowiedzi są właśnie w części tych definicji i wstępów. 🙂

Chcemy też raz na zawsze powiedzieć, że podstawowym i najważniejszym językiem programowania dla administratora sieci czy informatyka jest język angielski. :-). Nie zawsze możemy zapewnić tłumaczenia, ponieważ nie jesteśmy ekspertami w języku angielskim.

Oczywiście, zanim przejdziesz dalej, zdecydowanie zalecamy przeczytanie Wprowadzenie do tej serii artykułów.

Potrzebne definicje

Zaczerpnięte z Wikipedii:

dnsmasq. Jest to lekki serwer DNS, TFTP i DHCP. Jego celem jest zapewnienie usług DNS i DHCP w sieci lokalnej. Jest to bezpłatna implementacja protokołu DNS, która odbiera żądania od klientów żądających adresu IP na podstawie nazwy maszyny. Serwer odpowie na te żądania, podając adres IP.

DNS Domain Name System (o DNS, w języku hiszpańskim, system nazw domen). Jest to hierarchiczny system nazewnictwa komputerów, usług lub dowolnego zasobu podłączonego do Internetu lub sieci prywatnej. Ten system kojarzy różne informacje z nazwami domen przypisanymi do każdego z uczestników. Jego najważniejszą funkcją jest tłumaczenie (rozwiązywanie) nazw zrozumiałych dla człowieka na identyfikatory binarne związane z komputerami podłączonymi do sieci, aby móc zlokalizować te komputery i zaadresować je na całym świecie.

DHCP (akronim od Ddynamiczna Host Ckonfiguracja Protocol) to protokół sieciowy, który zezwala na węzły w sieci IP automatycznie pobiera parametry konfiguracyjne. Jest to rodzaj protokołu klient / serwer gdzie serwer generalnie ma listę dynamicznych adresów IP i przypisuje je klientom, gdy stają się wolni, wiedząc przez cały czas, kto był w posiadaniu tego adresu IP, jak długo go posiadał i komu został wtedy przydzielony.

NTP o Network Time Protocol to protokół przeznaczony do synchronizacji zegarów stacji roboczych w sieci. Wersja 3 tego protokołu to Internet Draft Standard, sformalizowana w RFC 1305. Protokół NTP w wersji 4 jest ważną poprawką wspomnianego standardu i jest w trakcie opracowywania, ale nie został jeszcze sformalizowany w RFC. Prosta wersja NTP (SNTP) w wersji 4 jest opisana w RFC 2030

SERWER ISC-DHCP (Serwer DHCP konsorcjum oprogramowania internetowego). Serwer DHCP to serwer będący bezpłatną implementacją protokołu DHCP, który odbiera żądania od klientów żądających konfiguracji sieci IP. Serwer odpowie na te żądania, podając parametry umożliwiające klientom samodzielną konfigurację. Aby komputer PC zażądał konfiguracji z serwera, w konfiguracji sieci komputera wybierz opcję automatycznego uzyskiwania adresu IP.

Kerberos to system uwierzytelniania użytkowników, który ma podwójny cel:

  • Zapobiegaj wysyłaniu kluczy przez sieć, co grozi ich ujawnieniem.
  • Scentralizuj uwierzytelnianie użytkowników, utrzymując jedną bazę danych użytkowników dla całej sieci.

Kerberos jako protokół bezpieczeństwa wykorzystuje szyfrowanie klucza symetrycznego, co oznacza, że ​​klucz używany do szyfrowania jest tym samym kluczem, który służy do odszyfrowywania lub uwierzytelniania użytkowników. Pozwala to dwóm komputerom w niezabezpieczonej sieci na bezpieczne potwierdzenie swojej tożsamości. Kerberos następnie ogranicza dostęp tylko do autoryzowanych użytkowników i uwierzytelnia żądania do usług, przy założeniu otwartego środowiska rozproszonego, w którym użytkownicy znajdujący się na stacjach roboczych uzyskują dostęp do tych usług na serwerach rozproszonych w sieci.

Jakie wdrożenie usług DNS i DHCP będziemy rozwijać?

Opracujemy dwa: ten oparty na dnsmasq, aw kolejnych artykułach ten odpowiadający Powiąż9 i Serwer ISC-DHCP. Tym, którzy chcą dowiedzieć się szczegółowo, jak wdrożyć i skonfigurować DNS, polecamy przeczytanie artykułu «Jak zainstalować i skonfigurować Primary Master DNS dla sieci LAN w systemie Debian 6.0»

Dlaczego potrzebujemy usług DNS, DHCP i NTP?

  • DNS: Aby utrzymywać bazę danych z nazwami hostów i ich adresami IP, komputerów, które będą podłączone do naszej sieci firmowej, abyśmy mogli nazywać je po imieniu, a nie po adresie IP.
  • DHCP: Unikaj przenoszenia się do miejsca, w którym znajduje się komputer kliencki, aby skonfigurować jego adres IP i powiązane parametry. Poprzez DHCP automatycznie konfigurujemy adres IP klienta, jego maskę podsieci, bramę, serwer DNS, z którym ma się konsultować, adres IP serwera pocztowego w naszej sieci LAN, typ węzła, serwer nazw NetBIOS i wiele innych parametrów . Oczywiście dzięki tej usłudze możemy uniknąć ręcznych błędów konfiguracji tak ważnego aspektu na komputerach klienckich.
  • NTP: Jeśli w najbliższej przyszłości zdecydujemy się zintegrować Kerberos z naszym serwerem LDAP, będziemy potrzebować tej usługi. Kerberos w dużym stopniu opiera się na protokole NTP i usługach DNS.

Czy zintegrujemy usługi DNS i DHCP z serwerem LDAP?

Na razie odpowiedź brzmi NIE. Początkowo NIE. Temat OpenLDAP jest sam w sobie nieco techniczny. A jeśli na początku skomplikujemy sobie życie tego typu integracją, daleko nie zajdziemy. Zwróć uwagę, że ClearOS, użyj dnsmasq. Zentyal w międzyczasie używa Powiąż9 i DHCP Serwer bez integracji ich z serwerem LDAP.

Przejdźmy od prostych do skomplikowanych, aby nie dostać się między końskie nogi. 🙂

Przykładowa sieć

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Serwer Dnsmasq

Instalujemy i konfigurujemy:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Edytujemy plik, który jest teraz pusty /etc/dnsmasq.conf i zostawiamy to z następującą treścią:

: ~ # nano /etc/dnsmasq.conf
# Nigdy nie przekazuj zwykłych nazw bez kropki # lub części domeny wymaganej dla domeny domain = friends.cu # Nie przekazuj adresów w niewykierowanej # przestrzeni adresowej. bogus-priv # Przeszukuj serwery nazw w kolejności, w jakiej występują w pliku # /etc/resolv.conf strict-order # Odpowiedzi na zapytania będą pochodzić tylko z # / etc / hosts lub z DHCP. local = / localnet /
# OCZY Z INTERFEJSEM
interfejs = eth1
expand-hosts # Zmień zakres zgodnie ze swoimi potrzebami # a także czas dzierżawy # adresu IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # Opcje dla RANGE # Serwer czasu
dhcp-option = opcja: ntp-server, 10.10.10.15

# Adres IP serwera NTP jest taki sam, jak adres dnsmasq
dhcp-option = 42,0.0.0.0

# Poniższe opcje są polecane przez Sambę
# Serwery ISC-DHCP-Server na twojej stronie
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Są przystosowane do przypadku, gdy serwer Samba # działa na tym samym serwerze dnsmasq. # Możesz odkomentować niektóre lub wszystkie z nich, jeśli używasz # klientów Windows i serwera Samba w swojej sieci LAN. # dhcp-option = 19,0 # opcja ip-forwarding off dhcp-option = 44,0.0.0.0 # Serwer nazw NetBIOS-over-TCP / IP. WINS
dhcp-option = 45,0.0.0.0 # Serwer dystrybucji datagramów NetBIOS dhcp-option = 46,8 # Typ węzła NetBIOS

Aby dowiedzieć się więcej o dnsmasq, zalecamy uważne przeczytanie pliku dnsmasq.conf, które nazywamy jak dnsmasq.conf.original. To Biblia Makaronu o tej usłudze. Jest w języku angielskim.

Ponownie uruchamiamy usługę:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

W pliku deklarujemy stałe adresy IP serwerów w naszej sieci LAN / Etc / hosts z samego serwera, gdzie dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 mi www.amigos.cu miwww

Za każdym razem, gdy dodajemy nazwę i adres IP do pliku / Etc / hosts , musimy wymusić ponowne załadowanie usługi, aby dodany host został rozpoznany przez polecenia gospodarz, kopać y nslookup, zarówno na samym serwerze, jak i dla pozostałych stacji roboczych, które uzyskały adres IP z tego serwera:

: ~ # usługa dnsmasq force-reload

uwaga: Plik, w którym dnsmasq przechowuje przyznane adresy IP lub „Leasing”, jest /var/lib/misc/dnsmasq.leases.

Serwer NTP

Skonsultowano się z głównym źródłem"Konfiguracja serwera w systemie GNU / Linux. Wydanie ze stycznia 2012 r. Autor: Joel Barrios Dueñas ».

Instalujemy i konfigurujemy:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Edytujemy plik, który jest teraz pusty /etc/ntp.conf i zostawiamy to z następującą treścią:

# Domyślna zasada jest ustawiona dla każdego # używanego serwera czasu: synchronizacja czasu # ze źródłami jest dozwolona, ​​ale bez zezwolenia źródłu na wysyłanie zapytań (bez zapytania) lub modyfikowanie usługi w # systemie (nomodify) i odrzucanie dostarczania dziennika # wiadomości (notrap). ogranicz domyślny nomodify notrap noquery # Zezwalaj na cały dostęp do interfejsu zwrotnego systemu #. ogranicz 127.0.0.1 # Sieć lokalna może synchronizować się z serwerem #, ale bez umożliwienia im modyfikowania konfiguracji systemu i bez używania ich jako równych przy synchronizacji. ogranicz 10.10.10.0 maska ​​255.255.255.0 nomodify notrap # Niezdyscyplinowany zegar lokalny. # To jest emulowany sterownik, który jest używany tylko jako # kopia zapasowa, gdy żadna z rzeczywistych czcionek nie jest # dostępna. fudge 127.127.1.0 serwer warstwy 10 127.127.1.0 # Plik odmian. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## JEŚLI MASZ DOSTĘP DO INTERNETU # Lista serwerów czasu warstwy 1 lub 2. # Zalecane jest, aby na liście były co najmniej 3 serwery. # Więcej serwerów pod adresem: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Jeśli masz dostęp do Internetu, odkomentuj następujące 3 wiersze #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Uprawnienia, które mają być przypisane dla każdego serwera czasu. # W przykładach źródła nie mogą wysyłać zapytań, # modyfikować usługi w systemie ani wysyłać # wiadomości o rejestracji. ## Jeśli masz dostęp do Internetu, odkomentuj następujące 3 wiersze #restrict 0.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org maska ​​255.255.255.255 nomodify notrap noquery # Rozpowszechnianie wśród klientów jest aktywowane
klient rozgłoszeniowy

Ponownie uruchamiamy usługę NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

Klient NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Edytujemy plik, który jest teraz pusty /etc/ntp.conf i zostawiamy to z następującą treścią:

serwer mildap.amigos.cu

Kontrole klienta

Na przykład weźmy naszego klienta debian7.amigos.cu, do którego wcześniej zainstalowaliśmy pakiet openssh-server.

root @ debian7: ~ # ssh debian7
hasło root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          adres inet: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
          inet6 adres: fe80 :: 5054: ff: fe8f: eef6 / 64 Zakres: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metryczne: 1 Pakiety RX: 4967 błędów: 0 zrzuconych: 0 przepełnień: 0 ramek: 0 pakietów TX: 906 błędów: 0 porzuconych: 0 przekroczeń: 0 nośnych: 0 kolizji: 0 txqueuelen: 1000 bajtów RX: 6705409 (6.3 MiB) Bajty TX: 93635 (91.4 KiB) Przerwanie: 10 Adres bazowy: 0x6000 lo Enkapsulacja łącza: Lokalny adres inet Loopback: 127.0.0.1. 255.0.0.0 Maska: 6 adres inet1: :: 128/16436 Zakres: Host UP LOOPBACK RUNNING MTU: 1 Metryczne: 8 pakiety RX: 0 błędów: 0 porzuconych: 0 przepełnień: 0 ramek: 8 pakietów TX: 0 błędów: 0 porzuconych : 0 przekroczeń: 0 nośnych: 0 kolizji: 0 txqueuelen: 480 bajtów RX: 480.0 (480 B) bajtów TX: 480.0 (XNUMX B)

Sprawdziliśmy już, że uzyskałeś adres IP z dnsmasq zainstalowany na naszym serwerze OpenLDAP. Dlatego ta usługa działa poprawnie. Teraz sprawdźmy usługę NTP, co może potrwać kilka sekund:

: ~ # ntpdate -u mildap.amigos.cu
25 stycznia 20:07:00 ntpdate [4608]: serwer czasu kroku 10.10.10.15 przesunięcie -0.633909 s

Jeśli chodzi o usługę NTP, wszystko działa OK.

Inne kontrole:

root @ debian7: ~ # kop gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; PYTANIA :; gandalf.amigos.cu. W [----] ;; SEKCJA ODPOWIEDZI: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopać gandalf
[----] ;; PYTANIA :; gandalf. W [----] ;; SEKCJA ODPOWIEDZI: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kop miwww
[----] ;; PYTANIA :; miwww. W [----] ;; SEKCJA ODPOWIEDZI: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # kopi debian7
[----] ;; SEKCJA PYTANIA: Debian7. W [----] ;; SEKCJA ODPOWIEDZI: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # hosta mildap
mildap.amigos.cu ma adres 10.10.10.15 Nie znaleziono hosta mildap.amigos.cu: 5 (ODMOWA) Nie znaleziono hosta mildap.amigos.cu: 5 (ODMOWA) root @ debian7: ~ # host mildap.amigos.cu
mildap.amigos.cu ma adres 10.10.10.15 Nie znaleziono hosta mildap.amigos.cu.amigos.cu: 5 (ODMOWA) Nie znaleziono hosta mildap.amigos.cu.amigos.cu: 5 (ODMOWA)

A ponieważ te dwie usługi zainstalowane i skonfigurowane działają bardzo dobrze, zamykamy komunikację na dziś do następnej części artykułu o tym, jak wdrożyć usługi DNS i DHCP poprzez aktualizację DNS, opartego na Bind9 i ISC-DHCP-Server, dla osób zarządzających nieznacznie większe i bardziej skomplikowane sieci.

Do następnego razu przyjaciele !!!


Treść artykułu jest zgodna z naszymi zasadami etyka redakcyjna. Aby zgłosić błąd, kliknij tutaj.

9 komentarzy, zostaw swoje

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany.

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   Fega powiedział

    Zapisuję to w formacie PDF, aby później lepiej przeczytać: / jest dość długi

  2.   Kości powiedział

    Nie wiem dlaczego czytając "dnsmasq" Myślałem, że jest napisane "dnscrypt", odkryłem to czytając blog perseo i zaimplementowałem to na wszelki wypadek
    pozdrowienia

  3.   ognisko powiedział

    Dzięki Przyjacielu, zawsze mówiłem, że twoje posty są bardzo edukacyjne i bardzo interesujące, naprawdę doceniam twoją współpracę, mówiąc o dzieleniu się wiedzą, poza tym bardzo dziękuję, pozdrawiam

    1.    Federico powiedział

      @firecold, bardzo dziękuję za słowa uznania dotyczące tego, co piszę. Popychają mnie, abym kontynuował.

      Dzięki WSZYSTKIM za komentarz

  4.   łowca powiedział

    W tej serii artykułów założę moje spodenki, aby zobaczyć, czy wyjdę z pracy 389, która i tak sprawia więcej bólu głowy niż kaca.

    Pozdrowienia, Fico!

    1.    Federico powiedział

      Witaj przyjacielu @dhunter !!!. Załóżmy, że 389 Directory Server (używa Kerberos) i Samba, wraz z DHCP i DNS, oferują klientom Windows w sieci, w zasadzie funkcjonalność, którą można uzyskać z kontrolerem domeny Windows 2003. To tak, jakby zacząć od bardzo złożonego wdrożenia rozwiązania w sieci dla małych i średnich firm. I do tego jest przyzwyczajona praktycznie większość administratorów.

      W artykułach postaram się przejść od prostego do złożonego, aby ludzie zdali sobie sprawę, że w sieci komputerowej filozofia sieci Microsoft nie jest konieczna ani niezbędna. W rzeczywistości WWW Village w ogóle go nie używa.

      Postępuj zgodnie z artykułami, a zobaczysz. Twoje zdrowie

  5.   vidagnu powiedział

    Witam zapytanie, klient i serwer ntp mogą działać na jednym serwerze, czyli serwer ntp jest zsynchronizowany z serwerami internetowymi i jednocześnie używa klienta do aktualizacji czasu tego samego serwera?

    Widzę, że masz tutaj plik ntp.conf dla klienta i inny dla serwera, jak mam sprawić, by wszystko działało na tym samym komputerze?

    pozdrowienia

    1.    Federico powiedział

      @vidagnu: Jeśli czytasz ponownie i powoli, zdasz sobie sprawę, że serwer NTP można również zsynchronizować z innymi serwerami NTP w Internecie.

      W sieci firmowej lub prywatnej logiczne jest, aby klienci synchronizowali zegar z serwerem NTP w tej sieci, a nie z serwerami w Internecie.

      W ten sposób zmniejsza się ruch i praca jest wykonywana w sieci LAN z czasem synchronizacji lokalnego serwera NTP z serwerami internetowymi.

      Wygląda jak łamacz języka, ale tak jest. Chodzi o ustanowienie synchronizacji kaskadowej. Innymi słowy, serwer NTP w sieci LAN synchronizuje swój zegar z serwerami NTP w Internecie, a klienci w sieci LAN robią to ze swoim serwerem lokalnym.

  6.   Raiden powiedział

    Dobry wieczór, przeczytałem kilka Twoich publikacji i wydają mi się doskonałe, ale w tej mam małe wątpliwości, w którym momencie podaję adresowanie DHCP zespołowi debian7, myślę z tego, co rozumiem przez przypisanie IP DHCP do zespołu dostaje to na serwerze mildap, jeśli tak to nie mogłem tego zrobić, przepraszam za niedogodności, pozdrawiam.