Olá amigos!. Começamos a implementar e configurar serviços. Claro, é necessário que nosso simples Serviço de diretório baseado OpenLDAP, ter os serviços básicos para funcionar corretamente. Entre eles temos os serviços DNS ou «DOMain Name Sistema«, DHCP ou » Ddinâmico Host Configuração Protocolo", E para NTP ou «NEtwork Time Protocolo".
O sistema operacional básico que usaremos é o Debian 6 "Squeeze". A maioria dos métodos descritos podem ser usados para Ubuntu 12.04 "Preciso"e em Debian 7 "Wheezy".
Embora pareça um pouco - na verdade nossos artigos são um pouco longos - as definições e o estudo delas pelos leitores são necessários. Você pode e alguns nem mesmo os lêem e vá direto para "frango e arroz com frango". Grande erro. E não me refiro aos experientes, porque eles, assim que veem o título, sabem se estão interessados ou não.
Referimo-nos àqueles que começam na liderança de Redes de Negócios. Pedimos que leiam as definições e sigam os links, investiguem as partes conceituais que não são necessariamente linhas de comando ou código e, em seguida, acompanhem o restante do artigo.
Dessa forma, pouparemos muito tempo, tanto eles quanto nós, em fazer e responder perguntas cujas respostas estão justamente na parte destas definições e introduções. 🙂
Também queremos dizer de uma vez por todas que a linguagem de programação fundamental e mais importante para um administrador de rede ou para um cientista da computação é o idioma inglês. :-). Nem sempre podemos fornecer traduções, pois não somos especialistas na língua inglesa.
Claro, antes de continuar, é altamente recomendável ler o Introdução a esta série de artigos.
Definições necessárias
Retirado da Wikipedia:
dnsmasq. É um servidor DNS, TFTP e DHCP leve. Seu objetivo é fornecer serviços DNS e DHCP a uma rede local. É uma implementação gratuita do protocolo DNS que recebe solicitações de clientes solicitando um endereço IP com base no nome de uma máquina. O servidor responderá a essas solicitações fornecendo o IP.
DNS Domain Name System (o DNS, em espanhol, sistema de nomes de domínio). É um sistema de nomenclatura hierárquica para computadores, serviços ou qualquer recurso conectado à internet ou rede privada. Este sistema associa várias informações a nomes de domínio atribuídos a cada um dos participantes. Sua função mais importante é traduzir (resolver) nomes inteligíveis por humanos em identificadores binários associados aos computadores conectados à rede, para poder localizar e endereçar esses computadores em todo o mundo.
DHCP (acrônimo para Ddinâmico Host Configuração Protocol) é um protocolo de rede que permite nós em uma rede IP obter seus parâmetros de configuração automaticamente. É um protocolo do tipo servidor cliente em que um servidor geralmente tem uma lista de endereços IP dinâmicos e os atribui aos clientes conforme eles se tornam livres, sabendo a todo momento quem está em posse daquele IP, há quanto tempo o possui e quem foi atribuído a ele então.
NTP o Network Time Protocol, é um protocolo desenvolvido para sincronizar os relógios das estações de trabalho através da rede. A versão 3 deste protocolo é um Internet Draft Standard, formalizado no RFC 1305. O protocolo NTP versão 4 é uma revisão importante do referido padrão e está em desenvolvimento, mas ainda não foi formalizado em um RFC. Uma versão simples do NTP (SNTP) versão 4 é descrita no RFC 2030
ISC-DHCP-SERVIDOR (Servidor DHCP do Internet Software Consortium). Um servidor DHCP é um servidor que é uma implementação livre do protocolo DHCP que recebe solicitações de clientes solicitando uma configuração de rede IP. O servidor responderá a essas solicitações fornecendo os parâmetros que permitem aos clientes se configurarem. Para que um PC solicite a configuração de um servidor, na configuração de rede do PC, selecione a opção de obter o endereço IP automaticamente.
Kerberos é um sistema de autenticação de usuários, que tem um duplo objetivo:
- Impedir que as chaves sejam enviadas pela rede, com o consequente risco da sua divulgação.
- Centralize a autenticação do usuário, mantendo um único banco de dados de usuário para toda a rede.
O Kerberos, como protocolo de segurança, usa criptografia de chave simétrica, o que significa que a chave usada para criptografar é a mesma usada para descriptografar ou autenticar usuários. Isso permite que dois computadores em uma rede insegura provem com segurança sua identidade um ao outro. O Kerberos então restringe o acesso apenas a usuários autorizados e autentica solicitações de serviços, assumindo um ambiente distribuído aberto, no qual os usuários localizados em estações de trabalho acessam esses serviços em servidores distribuídos em uma rede.
Que implementação dos serviços DNS e DHCP iremos desenvolver?
Iremos desenvolver dois: o baseado em dnsmasq, e nos artigos seguintes aquele que corresponde a Vincular9 e pelo Servidor ISC-DHCP. Para quem deseja aprender em detalhes como implementar e configurar um DNS, recomendamos a leitura do artigo «Como instalar e configurar um DNS mestre primário para uma LAN no Debian 6.0»
Por que precisamos de serviços DNS, DHCP e NTP?
- DNS: Manter uma base de dados com os nomes dos hosts e seus endereços IP, dos computadores que serão conectados à nossa rede corporativa, para que possamos chamá-los por seus nomes, ao invés de seus endereços IP.
- DHCP: Evite ir para o local onde o computador cliente está localizado, para configurar seu endereço IP e parâmetros relacionados. Através de DHCP configuramos automaticamente o endereço IP do cliente, a sua máscara de sub-rede, o gateway, o servidor DNS a quem deve consultar, o endereço IP do servidor de correio da nossa LAN, o tipo de nó, o servidor de nomes NetBIOS e muitos outros parâmetros. Obviamente, com este serviço, podemos evitar erros de configuração manual de um aspecto tão importante nos computadores clientes.
- NTP: Se em um futuro próximo decidirmos integrar o Kerberos ao nosso servidor LDAP, precisaremos deste serviço. O Kerberos depende muito do protocolo NTP e dos serviços DNS.
Vamos integrar os serviços DNS e DHCP ao servidor LDAP?
A resposta por enquanto é NÃO. Inicialmente NÃO. O tópico OpenLDAP é um pouco técnico em si. E se complicarmos nossas vidas com esse tipo de integração desde o início, não iremos muito longe. Observe que o ClearOS, use o dnsmasq. zentyal entretanto usa o Vincular9 e pelo DHCP Servidor sem integrá-los ao servidor LDAP.
Vamos do simples ao complexo para não ficar entre as pernas dos cavalos. 🙂
Rede de exemplo
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Servidor Dnsmasq
Nós instalamos e configuramos:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Nós editamos o arquivo que agora está vazio /etc/dnsmasq.conf e o deixamos com o seguinte conteúdo:
: ~ # nano /etc/dnsmasq.conf # Nunca passe nomes simples sem o ponto # ou a parte do domínio domain-needed domain = friends.cu # Não passe endereços no espaço de endereço # não roteado. bogus-priv # Consultar os servidores de nomes # na ordem em que aparecem no arquivo # /etc/resolv.conf strict-order # As respostas às consultas virão apenas de # / etc / hosts ou do DHCP. local = / localnet / # OLHO COM A INTERFACE interface = eth1 expand-hosts # Altere o intervalo de acordo com suas necessidades # e também o tempo de locação do # endereço IP dhcp-range = 10.10.10.150,10.10.10.200,12h # Opções para RANGE # Time server opção dhcp = opção: servidor ntp, 10.10.10.15 # O IP do servidor NTP é o mesmo do dnsmasq dhcp-option = 42,0.0.0.0 # As seguintes opções são aquelas que o Samba recomenda para # Servidores ISC-DHCP-Server em sua página # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Eles são adaptados para o caso em que o servidor Samba # roda no mesmo servidor dnsmasq. # Você pode descomentar alguns ou todos eles, se usar # clientes Windows e o servidor Samba em sua LAN. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # Servidor de nomes NetBIOS-over-TCP / IP. WINS dhcp-option = 45,0.0.0.0 # Servidor de distribuição de datagrama NetBIOS dhcp-option = 46,8 # Tipo de nó NetBIOS
Para saber mais sobre o dnsmasq, recomendamos a leitura do arquivo com atenção dnsmasq.conf, que nomeamos como dnsmasq.conf.original. É a Pasta Bible sobre este serviço. Esta em Inglês.
Reiniciamos o serviço:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
Declaramos os endereços IP fixos dos servidores em nossa LAN no arquivo / Etc / hosts do próprio servidor onde o dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 electricalap.amigos.cu electricalap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww
Cada vez que adicionamos um nome e um IP ao arquivo / Etc / hosts , devemos forçar a recarga do serviço para que o host adicionado seja reconhecido pelos comandos hospedeiro, cavar y nslookup, tanto no próprio servidor quanto para o resto das estações de trabalho que adquiriram um IP deste servidor:
: ~ # service dnsmasq force-reload
Nota: O arquivo onde o dnsmasq armazena os endereços IP concedidos ou «Locações», É a /var/lib/misc/dnsmasq.leases.
servidor NTP
Fonte primária consultada"Configuração de servidor com GNU / Linux. Edição de janeiro de 2012. Autor: Joel Barrios Dueñas ».
Nós instalamos e configuramos:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Nós editamos o arquivo que agora está vazio /etc/ntp.conf e o deixamos com o seguinte conteúdo:
# A política padrão é definida para qualquer # servidor de tempo usado: a sincronização de tempo # com as fontes é permitida, mas sem permitir que a fonte # consulte (noquery) ou modifique o serviço no # sistema (nomodificar) e recusando fornecer log # mensagens (notrap). restrinja o padrão nomodify notrap noquery # Permitir todo o acesso ao sistema # interface de retorno. restrito 127.0.0.1 # A rede local tem permissão para sincronizar com o servidor # mas sem permitir que eles modifiquem a configuração do sistema #, e sem usá-los como iguais para sincronizar. restringir máscara 10.10.10.0 255.255.255.0 nomodify notrap # Relógio local indisciplinado. # Este é um driver emulado que é usado apenas como # backup quando nenhuma das fontes reais # estiver disponível. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Arquivo de variação. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## SE VOCÊ TEM ACESSO À INTERNET # Lista de servidores de horário stratum 1 ou 2. # Recomenda-se ter pelo menos 3 servidores listados. # Mais servidores em: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Se você tiver acesso à Internet, descomente o seguindo 3 linhas #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Permissões a serem atribuídas para cada servidor de horário. # Nos exemplos, as fontes não têm permissão para consultar, # modificar o serviço no sistema ou enviar # mensagens de registro. ## Se você tiver acesso à internet, descomente as seguintes 3 linhas #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org mask 255.255.255.255 nomodify notrap noquery # A disseminação para os clientes é ativada cliente de transmissão
Reiniciamos o serviço NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
cliente NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Nós editamos o arquivo que agora está vazio /etc/ntp.conf e o deixamos com o seguinte conteúdo:
servidor gentleap.amigos.cu
Verificações no cliente
Por exemplo, vamos pegar nosso cliente debian7.amigos.cu, para o qual instalamos anteriormente o pacote openssh-server.
root @ debian7: ~ # ssh-debian7
senha de root @ debian7: [----] root @ debian7: ~ # ifconfig
Eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Máscara: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Escopo: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Métrica: 1 RX pacotes: 4967 erros: 0 descartados: 0 overruns: 0 frame: 0 Pacotes TX: 906 erros: 0 descartado: 0 overruns: 0 portadora: 0 colisões: 0 txqueuelen: 1000 RX bytes: 6705409 (6.3 MiB) TX bytes: 93635 (91.4 KiB) Interrupção: 10 Endereço de base: 0x6000 lo Encap link: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Máscara: 6 inet1 addr: :: 128/16436 Escopo: Host UP LOOPBACK RUNNING MTU: 1 Métrica: 8 pacotes RX: 0 erros: 0 descartados: 0 overruns: 0 frame: 8 pacotes TX: 0 erros: 0 descartados : 0 overruns: 0 operadora: 0 colisões: 0 txqueuelen: 480 RX bytes: 480.0 (480 B) TX bytes: 480.0 (XNUMX B)
Já verificamos que você adquiriu um endereço IP do dnsmasq instalado em nosso servidor OpenLDAP. Portanto, esse serviço funciona corretamente. Agora vamos verificar o serviço NTP, que pode levar vários segundos:
: ~ # ntpdate -u gentleap.amigos.cu 25 de janeiro 20:07:00 ntpdate [4608]: servidor de tempo da etapa 10.10.10.15 deslocamento -0.633909 seg
Em relação ao serviço NTP, tudo funciona bem.
Outras verificações:
root @ debian7: ~ # cavar gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SEÇÃO DE PERGUNTAS :; gandalf.amigos.cu. EM UM [----] ;; SEÇÃO DE RESPOSTAS: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # cavar gandalf [----] ;; SEÇÃO DE PERGUNTAS :; gandalf. EM UM [----] ;; SEÇÃO DE RESPOSTAS: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # cavar miwww [----] ;; SEÇÃO DE PERGUNTAS:; miwww. EM UM [----] ;; SEÇÃO DE RESPOSTAS: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # cavar debian7 [----] ;; SEÇÃO DE PERGUNTAS :; debian7. EM UM [----] ;; SEÇÃO DE RESPOSTAS: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # host gentleap lightap.amigos.cu tem o endereço 10.10.10.15 Host gentleap.amigos.cu não encontrado: 5 (RECUSADO) Host gentleap.amigos.cu não encontrado: 5 (RECUSADO) root @ debian7: ~ # host lightap.amigos.cu lightap.amigos.cu tem o endereço 10.10.10.15 Host gentleap.amigos.cu.amigos.cu não encontrado: 5 (RECUSADO) Host gentleap.amigos.cu.amigos.cu não encontrado: 5 (RECUSADO)
E como os dois serviços instalados e configurados funcionam muito bem, fechamos as comunicações de hoje até a próxima parte do artigo sobre como implementar serviços DNS e DHCP por meio da atualização de DNS, com base em Bind9 e ISC-DHCP-Server, para quem gerencia ligeiramente redes maiores e mais complicadas.
Até a próxima, amigos !!!
Eu salvo em PDF para ler melhor depois: / é bem longo
Não sei porque lendo "dnsmasq" pensei que dizia "dnscrypt", descobri lendo o blog do perseo e implementei para o caso
lembranças
Obrigado Amigo, sempre tenho dito que seus posts são muito educativos e muito interessantes, agradeço muito sua colaboração, falando em compartilhar conhecimento, caso contrário muito obrigado, Saudações
@firecold, Muito obrigado por suas palavras de consideração ao que escrevo. Eles me pressionam para continuar.
Obrigado a TODOS por comentarem
Com essa série de artigos vou colocar meu short pra ver se saio de 389 do trabalho que já dá mais dor de cabeça do que ressaca.
Saudações, Fico!
Olá amigo @dhunter !!!. Suponha que o 389 Directory Server (usa Kerberos) e o Samba, junto com DHCP e DNS, ofereçam clientes Windows em uma rede, praticamente a funcionalidade que você obteria com um controlador de domínio do Windows 2003. É como começar do muito complexo para implementar uma solução em rede para pequenas e médias empresas. E é isso que praticamente a maioria dos administradores está acostumada.
Procuro e tentarei nos artigos caminhar do simples ao complexo para que as pessoas percebam que, em uma rede de computadores, a filosofia das redes Microsoft não é necessária ou essencial. Na verdade, a WWW Village não o usa.
Siga os artigos e você verá. Felicidades
Olá, uma consulta, o cliente e o servidor ntp podem rodar em um único servidor, ou seja, o servidor ntp está sincronizado com os servidores de internet, e que ao mesmo tempo usa o cliente para atualizar a hora do mesmo servidor?
Vejo que aqui você tem um arquivo ntp.conf para o cliente e outro para o servidor, como faço para que tudo funcione no mesmo computador?
lembranças
@vidagnu: Se você ler novamente e devagar, perceberá que o servidor NTP também pode ser sincronizado com outros servidores NTP da Internet.
Em uma rede corporativa ou privada, o lógico é que os clientes sincronizem o relógio com o servidor NTP dessa rede, não com os da Internet.
Desta forma, o tráfego é reduzido e a LAN trabalha com o tempo que o servidor NTP local sincronizou com os servidores da Internet.
Parece um trava-língua, mas é. Trata-se de estabelecer uma sincronização em cascata. Em outras palavras, o servidor NTP na LAN sincroniza seu relógio com os servidores NTP na Internet, e os clientes na LAN o fazem com seu servidor local.
Boa noite, li algumas de suas publicações e me parecem excelentes, mas nesta eu tenho um pouco de dúvida, em que momento devo dar endereçamento DHCP para a equipe debian7, acho que pelo que entendi a atribuição de IP por DHCP para a equipe dá o servidor gentleap, se assim não consegui fazê-lo, desculpe pelo transtorno causado, saudações.