Bună prieteni!. Am început să implementăm și să configurăm servicii. Desigur, este necesar ca simplul nostru Serviciu director pe baza OpenLDAP, au serviciile de bază pentru a funcționa corect. Printre acestea avem serviciile DNS sau «Dprincipal Name System“, DHCP sau » Ddinamică Host Configurare Protocol", Și a NTP sau «NReŃeaua Time Protocol“.
Sistemul de operare de bază pe care îl vom folosi este Debian 6 "Squeeze". Majoritatea metodelor descrise pot fi utilizate pentru Ubuntu 12.04 "Precis", și în Debian 7 "Wheezy".
Deși pare un fleac - de fapt articolele noastre devin puțin lungi - sunt necesare definițiile și studierea lor de către cititori. Puteți și unii nici măcar nu le citesc și merg direct la „pui și orez cu pui”. Mare greșeală. Și nu mă refer la cei cu experiență, deoarece aceștia, imediat ce văd titlul, știu dacă sunt interesați sau nu.
Ne referim la cei care încep în conducerea rețelelor de afaceri. Le cerem să citească definițiile și să urmeze link-urile, să aprofundeze părțile conceptuale care nu sunt neapărat linii de comandă sau cod și apoi să urmeze restul articolului.
Acest lucru îi va economisi atât pe ei, cât și pe noi, mult timp în a pune și a răspunde la întrebări ale căror răspunsuri se află tocmai în partea acestor definiții și introduceri. 🙂
De asemenea, vrem să spunem deodată că limbajul de programare fundamental și cel mai important pentru un administrator de rețea sau pentru un informatician este limba engleză. :-). Nu putem oferi întotdeauna traduceri, deoarece nu suntem experți în limba engleză.
Desigur, înainte de a continua, vă recomandăm să citiți Introducere la această serie de articole.
Sunt necesare definiții
Luată din Wikipedia:
dnsmasq. Este un server DNS, TFTP și DHCP ușor. Scopul său este de a furniza servicii DNS și DHCP către o rețea locală. Este o implementare gratuită a protocolului DNS care primește cereri de la clienți care solicită o adresă IP pe baza numelui unei mașini. Serverul va răspunde la aceste solicitări furnizând adresa IP.
DNS numele domeniului (o DNS, în spaniolă, sistem de nume de domeniu). Este un sistem ierarhic de nomenclatură pentru computere, servicii sau orice resursă conectată la internet sau la o rețea privată. Acest sistem asociază diverse informații cu numele de domeniu atribuite fiecăruia dintre participanți. Cea mai importantă funcție a sa este de a traduce (rezolva) numele inteligibile de către oameni în identificatori binari asociați cu computerele conectate la rețea, aceasta pentru a putea localiza și adresa aceste computere la nivel mondial.
DHCP (acronim pentru Ddinamică Host Configurare Protocol) este un protocol de rețea care permite noduri într-o rețea IP obțineți parametrii de configurare în mod automat. Este un protocol de tip client server în care un server are în general o listă de adrese IP dinamice și le atribuie clienților pe măsură ce devin liberi, știind în permanență cine a fost în posesia acelui IP, cât a fost și cine a fost atribuit atunci.
NTP o Network Time Protocol, este un protocol conceput pentru a sincroniza ceasurile stațiilor de lucru prin rețea. Versiunea 3 a acestui protocol este un standard Internet Draft, formalizat în RFC 1305. Protocolul NTP versiunea 4 este o revizuire importantă a standardului menționat și este în curs de dezvoltare, dar nu a fost încă formalizat într-un RFC. O versiune simplă a NTP (SNTP) versiunea 4 este descrisă în RFC 2030
ISC-DHCP-SERVER (Internet Software Consortium DHCP Server). Un server DHCP este un server care este o implementare gratuită a protocolului DHCP care primește cereri de la clienți care solicită o configurație de rețea IP. Serverul va răspunde la aceste solicitări furnizând parametrii care permit clienților să se configureze singuri. Pentru ca un computer să solicite configurația de la un server, în configurația rețelei computerului, selectați opțiunea pentru a obține automat adresa IP.
Kerberos este un sistem de autentificare a utilizatorului, care are un dublu obiectiv:
- Împiedicați trimiterea cheilor prin rețea, cu riscul consecvent al dezvăluirii acestora.
- Centralizați autentificarea utilizatorului, menținând o singură bază de date de utilizator pentru întreaga rețea.
Kerberos, ca protocol de securitate, folosește Criptografia cheii simetrice, ceea ce înseamnă că cheia utilizată pentru a cripta este aceeași cheie utilizată pentru decriptarea sau autentificarea utilizatorilor. Acest lucru permite două computere dintr-o rețea nesigură să își demonstreze în siguranță identitatea reciproc. Kerberos restricționează apoi accesul doar la utilizatorii autorizați și autentifică cererile către servicii, presupunând un mediu distribuit deschis, în care utilizatorii aflați la stațiile de lucru accesează aceste servicii pe servere distribuite pe o rețea.
Ce implementare a serviciilor DNS și DHCP vom dezvolta?
Vom dezvolta două: cel bazat pe dnsmasq, iar în articolele următoare cel corespunzător bind9 și Server ISC-DHCP. Pentru cei care doresc să afle în detaliu cum este implementat și configurat un DNS, vă recomandăm să citiți articolul «Cum se instalează și se configurează un DNS master principal pentru o rețea LAN pe Debian 6.0»
De ce avem nevoie de servicii DNS, DHCP și NTP?
- DNS: Pentru a menține o bază de date cu numele gazdelor și adresele lor IP, ale computerelor care vor fi conectate la rețeaua noastră corporativă, astfel încât să le putem apela după numele lor, în loc de adresele lor IP.
- DHCP: Evitați să vă deplasați la locul în care se află computerul client, pentru a configura adresa IP și parametrii aferenți. Prin DHCP configurăm automat adresa IP a clientului, masca de subrețea a acestuia, gateway-ul, serverul DNS la care ar trebui să se consulte, adresa IP a serverului de e-mail de pe LAN-ul nostru, tipul de nod, serverul de nume NetBIOS și mulți alți parametri. Evident, cu acest serviciu, putem evita erorile manuale de configurare ale unui aspect atât de important pe computerele client.
- NTP: Dacă în viitorul apropiat decidem să integrăm Kerberos pe serverul nostru LDAP, vom avea nevoie de acest serviciu. Kerberos se bazează foarte mult pe protocolul NTP și pe serviciile DNS.
Vom integra serviciile DNS și DHCP pe serverul LDAP?
Răspunsul pentru moment este NU. Inițial NU. Subiectul OpenLDAP este un pic tehnic în sine. Și dacă ne complicăm viața cu acest tip de integrare la început, nu vom ajunge prea departe. Rețineți că Ștergeți sistemul de operare, utilizați butonul dnsmasq. Plantă între timp folosește bind9 și DHCP Server fără a le integra cu serverul LDAP.
Să trecem de la simplu la complex pentru a nu ne între picioarele cailor. 🙂
Exemplu de rețea
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Server Dnsmasq
Instalăm și configurăm:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Edităm fișierul care este acum gol /etc/dnsmasq.conf și îl lăsăm cu următorul conținut:
: ~ # nano /etc/dnsmasq.conf # Nu treceți niciodată nume simple fără punctul # sau partea de domeniu domain-needed domain = friends.cu # Nu treceți adrese în spațiul de adrese neîntrerupt. fals-priv # Interogați serverele de nume în # ordinea în care apar în fișierul # /etc/resolv.conf strict-order # Răspunsurile la interogări vor proveni numai de la # / etc / hosts sau de la DHCP. local = / localnet / # OCHIUL CU INTERFATA interfață = eth1 expand-hosts # Schimbați gama în funcție de nevoile dvs. # și, de asemenea, timpul de închiriere al # adresei IP dhcp-range = 10.10.10.150,10.10.10.200,12h # Opțiuni pentru GAMA # Server de timp dhcp-option = option: ntp-server, 10.10.10.15 # Adresa IP a serverului NTP este aceeași cu cea a dnsmasq dhcp-option = 42,0.0.0.0 # Următoarele opțiuni sunt cele pentru care Samba recomandă # Servere ISC-DHCP-Server pe pagina dvs. # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Sunt adaptate pentru cazul în care serverul Samba # rulează pe același server dnsmasq. # Puteți descomenta unele sau toate, dacă utilizați # clienți Windows și serverul Samba de pe rețeaua LAN. # dhcp-option = 19,0 # opțiune ip-forwarding off dhcp-option = 44,0.0.0.0 # server de nume NetBIOS-over-TCP / IP. WINS dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Node Type
Pentru a afla mai multe despre dnsmasq, vă recomandăm să citiți cu atenție fișierul dnsmasq.conf, pe care o numim cum dnsmasq.conf.original. Este Biblia Pasta despre acest serviciu. Este în engleză.
Repornim serviciul:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
Declarăm adresele IP fixe ale serverelor de pe LAN-ul nostru în fișier / Etc / hosts de pe serverul însuși unde se află dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww
De fiecare dată când adăugăm un nume și un IP în fișier / Etc / hosts , trebuie să forțăm reîncărcarea serviciului astfel încât gazda adăugată să fie recunoscută de comenzi gazdă, săpa y nslookup, atât pe server în sine, cât și pentru restul stațiilor de lucru care au obținut un IP de la acest server:
: ~ # service dnsmasq force-reload
Nota: Fișierul în care dnsmasq stochează adresele IP acordate sau «Închirieri», Este /var/lib/misc/dnsmasq.leases.
Server NTP
Sursa primară consultată"Configurarea serverului cu GNU / Linux. Ediția ianuarie 2012. Autor: Joel Barrios Dueñas ».
Instalăm și configurăm:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Edităm fișierul care este acum gol /etc/ntp.conf și îl lăsăm cu următorul conținut:
# Politica implicită este setată pentru orice server # de timp utilizat: sincronizarea orei # cu sursele este permisă, dar fără a permite sursei # să interogheze (fără interogare), sau să modifice serviciul pe # sistemul (nomodifică) și în declin furnizați jurnalul # mesaje (notrap). restricționează implicit nomodifică notrap noquery # Permite accesul la sistemul # interfață de returnare. restricționare 127.0.0.1 # Rețeaua locală are voie să se sincronizeze cu serverul # dar fără a le permite să modifice configurația sistemului # și fără a le utiliza ca egali pentru sincronizare. restricționează masca 10.10.10.0 255.255.255.0 nomodify notrap # Ceas local nedisciplinat. # Acesta este un driver emulat care este folosit doar ca # copie de rezervă atunci când niciunul dintre fonturile reale nu este disponibil #. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Fișier variație. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## DACĂ AȚI ACCES LA INTERNET # Lista serverelor de strat 1 sau 2. # Se recomandă să aveți cel puțin 3 servere listate. # Mai multe servere la: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Dacă aveți acces la internet, decomentați din următoarele 3 linii #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Permisiuni care trebuie alocate pentru fiecare server de timp. # În exemple, sursele nu au voie să interogheze, să # modifice serviciul din sistem sau să trimită mesaje de înregistrare. ## Dacă aveți acces la internet, decomentați următoarele 3 linii #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery # Diseminarea către clienți este activată broadcastclient
Repornim serviciul NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
Client NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Edităm fișierul care este acum gol /etc/ntp.conf și îl lăsăm cu următorul conținut:
server mildap.amigos.cu
Verifică clientul
De exemplu, să luăm clientul nostru debian7.amigos.cu, la care am instalat anterior pachetul openssh-server.
root @ debian7: ~ # ssh-debian7
parola root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Mască: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Domeniu: Link UP DIFUZARE RUNNING MULTICAST MTU: 1500 Metrică: 1 Pachete RX: 4967 erori: 0 scăzute: 0 depășiri: 0 cadru: 0 Pachete TX: 906 erori: 0 scăzut: 0 depășiri: 0 purtător: 0 coliziuni: 0 txqueuelen: 1000 RX octeți: 6705409 (6.3 MiB) TX octeți: 93635 (91.4 KiB) Întrerupere: 10 Adresa de bază: 0x6000 lo Link incap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mască: 6 inet1 addr: :: 128/16436 Domeniu: Host UP LOOPBACK RUNNING MTU: 1 Metrică: 8 Pachete RX: 0 erori: 0 scăzute: 0 depășiri: 0 cadru: 8 Pachete TX: 0 erori: 0 scăzute : 0 depășiri: 0 purtător: 0 coliziuni: 0 txqueuelen: 480 octeți RX: 480.0 (480 B) octeți TX: 480.0 (XNUMX B)
Am verificat deja că ați achiziționat o adresă IP de la dnsmasq instalat pe serverul nostru OpenLDAP. Prin urmare, acel serviciu funcționează corect. Acum să verificăm serviciul NTP, care poate dura câteva secunde:
: ~ # ntpdate -u mildap.amigos.cu 25 ianuarie 20:07:00 ntpdate [4608]: pas de timp server 10.10.10.15 offset -0.633909 sec
În ceea ce privește serviciul NTP, totul funcționează OK.
Alte verificări:
root @ debian7: ~ # sapă gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SECȚIUNEA ÎNTREBĂRII :; gandalf.amigos.cu. ÎN A [----] ;; SECȚIUNEA DE RĂSPUNS: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # sapă gandalf [----] ;; SECȚIUNEA ÎNTREBĂRII :; gandalf. ÎN A [----] ;; SECȚIUNEA DE RĂSPUNS: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # sap miwww [----] ;; SECȚIUNEA ÎNTREBĂRII :; miwww. ÎN A [----] ;; SECȚIUNEA DE RĂSPUNS: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # spune debian7 [----] ;; SECȚIUNEA ÎNTREBĂRII :; debian7. ÎN A [----] ;; SECȚIUNEA DE RĂSPUNS: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # gazdă mildap mildap.amigos.cu are adresa 10.10.10.15 Gazda mildap.amigos.cu nu a fost găsită: 5 (REFUZAT) Gazdă mildap.amigos.cu nu a fost găsită: 5 (REFUZAT) root @ debian7: ~ # gazdă mildap.amigos.cu mildap.amigos.cu are adresa 10.10.10.15 Gazdă mildap.amigos.cu.amigos.cu nu a fost găsită: 5 (REFUZAT) Gazdă mildap.amigos.cu.amigos.cu nu a fost găsit: 5 (REFUZAT)
Și din moment ce cele două servicii instalate și configurate funcționează foarte bine, închidem comunicările pentru astăzi până la următoarea versiune a articolului despre cum să implementăm serviciile DNS și DHCP prin actualizarea DNS, pe baza Bind9 și ISC-DHCP-Server, pentru cei care gestionează rețele ușor mai mari și mai complicate.
Până data viitoare, prieteni !!!
Îl salvez în PDF pentru a-l citi mai bine mai târziu: / este destul de lung
Nu știu de ce citind „dnsmasq” am crezut că scrie „dnscrypt”, îl descoperisem citind blogul perseo și l-am implementat pentru orice eventualitate
În ceea ce priveşte
Mulțumesc Prieten, am spus întotdeauna că postările tale sunt foarte educative și foarte interesante, apreciez foarte mult colaborarea ta, vorbind despre schimbul de cunoștințe, altfel mulțumesc foarte mult, Salutări
@firecold, Vă mulțumesc foarte mult pentru cuvintele dvs. de considerație la ceea ce scriu. Mă împing să continui.
Mulțumim tuturor pentru comentarii
Cu această serie de articole, îmi voi pune pantalonii scurți pentru a vedea dacă scap din 389 de la muncă care dă deja mai multe bătăi de cap decât mahmureala.
Salutări, Fico!
Buna prietene @dhunter !!!. Să presupunem că serverul 389 Directory (folosește Kerberos) și Samba, împreună cu DHCP și DNS, oferă clienților Windows într-o rețea, aproape funcționalitatea pe care o veți obține cu un controler de domeniu Windows 2003. Este ca și cum ați începe de la foarte complex să implementați o soluție într-o rețea pentru companii mici și mijlocii. Și cu asta sunt obișnuiți practic majoritatea administratorilor.
Încerc și voi încerca în articole să merg de la simplu la complex, astfel încât oamenii să-și dea seama că, într-o rețea de calculatoare, filosofia rețelelor Microsoft nu este necesară sau esențială. De fapt, WWW Village nu îl folosește deloc.
Urmăriți articolele și veți vedea. Noroc
Bună ziua, o interogare, clientul și serverul ntp pot rula pe un singur server, adică serverul ntp este sincronizat cu serverele de internet și, în același timp, folosește clientul pentru a actualiza ora aceluiași server?
Văd că aici aveți un fișier ntp.conf pentru client și altul pentru server, cum fac să ruleze totul pe același computer?
În ceea ce priveşte
@vidagnu: Dacă citești din nou și încet, îți vei da seama că serverul NTP poate fi sincronizat și cu alte servere NTP de pe Internet.
Într-o rețea corporativă sau privată, lucrul logic este că clienții sincronizează ceasul cu serverul NTP al acelei rețele, nu cu cele de pe Internet.
În acest fel, traficul este redus și LAN funcționează cu timpul în care serverul NTP local s-a sincronizat cu serverele de Internet.
Arată ca un sucitor de limbă, dar este. Este vorba despre stabilirea unei sincronizări în cascadă. Cu alte cuvinte, serverul NTP de pe LAN își sincronizează ceasul cu serverele NTP de pe Internet, iar clienții de pe LAN o fac cu serverul lor local.
Bună seara, am citit câteva dintre publicațiile dvs. și par excelente, dar în aceasta am o mică îndoială, în ce moment dau adresarea DHCP echipei debian7, cred că din ceea ce înțeleg atribuirea IP de către DHCP echipei îi dă serverul mildap, dacă da, nu am reușit să o fac, îmi pare rău pentru neplăcerile cauzate, salutări.