Служба каталогов с LDAP [2]: NTP и dnsmasq

Привет друзья!. Начали внедрять и настраивать сервисы. Конечно, необходимо, чтобы наш простой Служба каталогов основанный на OpenLDAP, чтобы основные службы работали правильно. Среди них у нас есть услуги DNS или же "DOMain NAme System», DHCP или же " Dдинамический HОСТ Configuration Protocol«, И чтобы NTP или же "Network TIME Protocol».

Базовая операционная система, которую мы будем использовать, - это Debian 6 «Сжать». Большинство описанных методов можно использовать для Ubuntu 12.04 «Точный», и в Debian 7 "Wheezy".

Хотя это кажется мелочью - на самом деле наши статьи бывают длинноватыми, - определения и изучение их читателями необходимы. Вы можете, а некоторые даже не читать их и сразу переходить к «курице с рисом с курицей». Большая ошибка. И я не говорю об опытных, потому что они, как только видят название, знают, интересно им или нет.

Мы обращаемся к тем, кто начинает руководить Business Networks. Мы просим их прочитать определения и перейти по ссылкам, углубиться в концептуальные части, которые не обязательно являются командными строками или кодом, а затем следовать остальной части статьи.

Таким образом, мы сэкономим много времени как им, так и нам, задавая и отвечая на вопросы, ответы на которые входят именно в те определения и вступления. 🙂

Мы также хотим сразу сказать, что фундаментальный и самый важный язык программирования для сетевого администратора или для компьютерного специалиста - это английский язык. :-). Мы не всегда можем предоставить переводы, так как мы не являемся экспертами в английском языке.

Конечно, прежде чем продолжить, мы настоятельно рекомендуем прочитать Введение к этой серии статей.

Необходимые определения

Взято из Википедии:

DNSmasq. Это легкий DNS, TFTP и DHCP-сервер. Его цель - предоставить услуги DNS и DHCP в локальной сети. Это бесплатная реализация протокола DNS, который получает запросы от клиентов, запрашивающих IP-адрес на основе имени машины. Сервер ответит на эти запросы, предоставив IP.

DNS Система имен доменов (o DNS, на испанском языке, система доменных имен). Это иерархическая система номенклатуры компьютеров, услуг или любых ресурсов, подключенных к Интернету или частной сети. Эта система связывает различную информацию с доменными именами, присвоенными каждому из участников. Его наиболее важная функция - преобразовывать (разрешать) понятные человеку имена в двоичные идентификаторы, связанные с оборудованием, подключенным к сети, чтобы иметь возможность находить и адресовать это оборудование по всему миру.

DHCP (аббревиатура от Dдинамический HОСТ Configuration Protocol) - это сетевой протокол, который позволяет узлам в сети IP получить его параметры конфигурации автоматически. Это протокол типа клиент / сервер в котором сервер обычно имеет список динамических IP-адресов и назначает их клиентам по мере их освобождения, всегда зная, кто владел этим IP-адресом, как долго он у них был и кому он был назначен. тогда.

NTP o Протокол сетевого времени - это протокол, предназначенный для синхронизации часов рабочих станций по сети. Версия 3 этого протокола - это черновик Интернет-стандарта, формализованный в RFC 1305. Протокол NTP версии 4 является важной редакцией упомянутого стандарта и находится в стадии разработки, но еще не был формализован в RFC. Простая версия NTP (SNTP) версии 4 описана в RFC 2030.

ISC-DHCP-СЕРВЕР (DHCP-сервер интернет-консорциума). Сервер DHCP - это сервер, который представляет собой бесплатную реализацию протокола DHCP, который принимает запросы от клиентов, запрашивающих конфигурацию IP-сети. Сервер ответит на эти запросы, предоставив параметры, которые позволяют клиентам настраивать себя. Чтобы ПК запрашивал конфигурацию с сервера, в сетевой конфигурации ПК выберите параметр для автоматического получения IP-адреса.

Kerberos это система аутентификации пользователей, преследующая двойную цель:

  • Не допускайте пересылки ключей по сети с последующим риском их раскрытия.
  • Централизуйте аутентификацию пользователей, поддерживая единую базу данных пользователей для всей сети.

Kerberos, как протокол безопасности, использует криптографию с симметричным ключом, что означает, что ключ, используемый для шифрования, является тем же ключом, который используется для дешифрования или аутентификации пользователей. Это позволяет двум компьютерам в незащищенной сети надежно подтвердить свою личность друг другу. Затем Kerberos ограничивает доступ только авторизованным пользователям и аутентифицирует запросы к службам, предполагая открытую распределенную среду, в которой пользователи, находящиеся на рабочих станциях, получают доступ к этим службам на серверах, распределенных по сети.

Какую реализацию служб DNS и DHCP мы будем развивать?

Будем развивать два: один на основе днсмаск, а в следующих статьях - соответствующая Привязать9 y el ISC-DHCP-сервер. Тем, кто хочет подробно узнать, как реализовать и настроить DNS, рекомендуем прочитать статью «Как установить и настроить первичный главный DNS-сервер для локальной сети в Debian 6.0»

Зачем нам нужны службы DNS, DHCP и NTP?

  • DNS: Для ведения базы данных с именами хостов и их IP-адресами компьютеров, которые будут подключены к нашей корпоративной сети, чтобы мы могли называть их по именам, а не по их IP-адресам.
  • DHCP: Избегайте перемещения в место, где находится клиентский компьютер, чтобы настроить его IP-адрес и связанные с ним параметры. Через DHCP мы автоматически настраиваем IP-адрес клиента, его маску подсети, шлюз, DNS-сервер, с которым он должен консультироваться, IP-адрес почтового сервера нашей локальной сети, тип узла, сервер имен NetBIOS. и многие другие параметры. Очевидно, что с помощью этой услуги мы можем избежать ошибок ручной настройки такого важного аспекта на клиентских компьютерах.
  • NTP: Если в ближайшем будущем мы решим интегрировать Kerberos в наш сервер LDAP, нам понадобится эта услуга. Kerberos в значительной степени полагается на протокол NTP и службы DNS.

Будем ли мы интегрировать службы DNS и DHCP в сервер LDAP?

На данный момент ответ - НЕТ. Изначально НЕТ. Тема OpenLDAP сама по себе носит технический характер. И если мы с самого начала усложним себе жизнь подобным типом интеграции, то далеко не уедем. Обратите внимание, что ClearOSиспользуйте DNSmasq. Зентял тем временем использует Привязать9 y el DHCP Сервер без интеграции их с сервером LDAP.

Перейдем от простого к сложному, чтобы не попасть между ног лошадей. 🙂

Пример сети

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Сервер dnsmasq

Устанавливаем и настраиваем:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Редактируем файл, который сейчас пустой /etc/dnsmasq.conf и оставляем его со следующим содержанием:

: ~ # нано /etc/dnsmasq.conf
# Никогда не передавайте простые имена без точки # или доменной части domain-required domain = friends.cu # Не передавайте адреса в не маршрутизируемом адресном пространстве. bogus-priv # Запрашивать серверы имен в # порядке, в котором они появляются в файле # /etc/resolv.conf strict-order # Ответы на запросы будут поступать только от # / etc / hosts или от DHCP. местный = / localnet /
# ГЛАЗ С ИНТЕРФЕЙСОМ
interface = eth1
expand-hosts # Измените диапазон в соответствии с вашими потребностями # а также время аренды # IP-адреса
dhcp-range = 10.10.10.150,10.10.10.200,12h # Опции для RANGE # Сервер времени
dhcp-option = option: ntp-server, 10.10.10.15

# IP-адрес NTP-сервера такой же, как и у dnsmasq
dhcp-option = 42,0.0.0.0

# Следующие параметры рекомендуются Samba для
# ISC-DHCP-сервер серверов на вашей странице
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Они адаптированы для случая, когда сервер Samba # работает на том же сервере dnsmasq. # Вы можете раскомментировать некоторые или все из них, если используете # клиентов Windows и сервер Samba в своей локальной сети. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # Сервер имен NetBIOS через TCP / IP. WINS
dhcp-option = 45,0.0.0.0 # Сервер распространения дейтаграмм NetBIOS dhcp-option = 46,8 # Тип узла NetBIOS

Чтобы узнать больше о DNSmasq, рекомендуем внимательно прочитать файл dnsmasq.conf, который мы называем как dnsmasq.conf.оригинал. Это Библия пасты об этой услуге. Это на английском языке.

Перезапускаем сервис:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

Мы декларируем фиксированные IP-адреса серверов в нашей локальной сети в файле / Etc / хостов с самого сервера, где DNSmasq.

: ~ # нано / и т.д. / хосты
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Каждый раз, когда мы добавляем имя и IP в файл / Etc / хостов , мы должны принудительно перезагрузить службу, чтобы добавленный хост распознавался командами кашель, копать y Nslookup, как на самом сервере, так и для остальных рабочих станций, получивших IP с этого сервера:

: ~ # service dnsmasq force-reload

примечание: Файл, в котором DNSmasq хранит предоставленные IP-адреса или «Аренда»Есть ли /var/lib/misc/dnsmasq.leases.

NTP сервер

Консультированный первичный источник"Конфигурация сервера с GNU / Linux. Выпуск за январь 2012 г. Автор: Хоэль Барриос Дуэньяс ».

Устанавливаем и настраиваем:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Редактируем файл, который сейчас пустой /etc/ntp.conf и оставляем его со следующим содержанием:

# Политика по умолчанию установлена ​​для любого используемого сервера времени: # синхронизация времени с источниками разрешена, но без разрешения источнику # запрашивать (noquery) или изменять службу в системе # (nomodify) и отклонять предоставить журнал # сообщений (notrap). ограничить по умолчанию nomodify notrap noquery # Разрешить весь доступ к системному # интерфейсу возврата. restrict 127.0.0.1 # Локальной сети разрешена синхронизация с сервером # но без разрешения им изменять конфигурацию системы # и без использования их как равных для синхронизации. restrict 10.10.10.0 mask 255.255.255.0 nomodify notrap # Недисциплинированные локальные часы. # Это эмулированный драйвер, который используется # только как резервная # когда ни один из фактических шрифтов # недоступен. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Файл вариации. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## ЕСЛИ У ВАС ИМЕЕТСЯ ДОСТУП В ИНТЕРНЕТ # Список серверов времени уровня 1 или 2. # Рекомендуется иметь как минимум 3 сервера в списке. # Другие серверы: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Если у вас есть доступ в Интернет, раскомментируйте из следующих 3 строк #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Разрешения, назначаемые каждому серверу времени. # В примерах источникам не разрешено # запрашивать, # изменять службу в системе или отправлять сообщения о регистрации. ## Если у вас есть доступ в Интернет, раскомментируйте следующие 3 строки #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2. маска pool.ntp.org 255.255.255.255 nomodify notrap noquery # Распространение среди клиентов активировано
широковещательный клиент

Перезапускаем сервис NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-клиент

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Редактируем файл, который сейчас пустой /etc/ntp.conf и оставляем его со следующим содержанием:

сервер mildap.amigos.cu

Проверяет клиента

Например, возьмем нашего клиента debian7.amigos.cu, на который мы ранее установили пакет openssh-server.

корень @ debian7: ~ # ssh дебиан7
пароль root @ debian7: [----] root @ debian7: ~ # Ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet адрес: 10.10.10.153 Bcast: 10.10.10.255 Маска: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Область действия: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Метрика: 1 RX-пакеты: 4967 ошибок: 0 отброшено: 0 переполнений: 0 кадров: 0 TX-пакетов: 906 ошибок: 0 отброшено: 0 переполнений: 0 носитель: 0 коллизий: 0 txqueuelen: 1000 байтов RX: 6705409 (6.3 MiB) байтов TX: 93635 (91.4 KiB) Прерывание: 10 Базовый адрес: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1 255.0.0.0 Маска: 6 inet1 адрес: :: 128/16436 Область: Хост UP LOOPBACK RUNNING MTU: 1 Метрика: 8 RX пакеты: 0 ошибок: 0 отброшено: 0 переполнений: 0 кадров: 8 TX пакетов: 0 ошибок: 0 отброшено : 0 переполнений: 0 носитель: 0 коллизий: 0 txqueuelen: 480 байтов RX: 480.0 (480 B) байтов TX: 480.0 (XNUMX B)

Мы уже подтвердили, что вы получили IP-адрес из DNSmasq установлен на нашем сервере OpenLDAP. Следовательно, эта служба работает правильно. Теперь давайте проверим службу NTP, что может занять несколько секунд:

: ~ # ntpdate -u Mildap.amigos.cu
25 января 20:07:00 ntpdate [4608]: шаг сервера времени 10.10.10.15 смещение -0.633909 сек

По поводу службы NTP все работает нормально.

Прочие проверки:

корень @ debian7: ~ # копать gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; РАЗДЕЛ ВОПРОСОВ :; gandalf.amigos.cu. В [----] ;; РАЗДЕЛ ОТВЕТОВ: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # копать Гэндальфа
[----] ;; ВОПРОСЫ :; gandalf. В [----] ;; ОТВЕТЫ: ​​gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # копать miwww
[----] ;; РАЗДЕЛ ВОПРОСОВ :; miwww. В [----] ;; ОТВЕТНАЯ ЧАСТЬ: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # копать debian7
[----] ;; ВОПРОСЫ :; debian7. В [----] ;; РАЗДЕЛ ОТВЕТОВ: debian7. 0 В 10.10.10.153 [----] root @ debian7: ~ # хозяин милдап
mildap.amigos.cu имеет адрес 10.10.10.15 Хост mildap.amigos.cu не найден: 5 (ОТКАЗАНО) Хост mildap.amigos.cu не найден: 5 (ОТКАЗАНО) root @ debian7: ~ # хост mildap.amigos.cu
mildap.amigos.cu имеет адрес 10.10.10.15 Хост mildap.amigos.cu.amigos.cu не найден: 5 (ОТКАЗАНО) Узел mildap.amigos.cu.amigos.cu не найден: 5 (ОТКАЗАНО)

И поскольку две установленные и настроенные службы работают очень хорошо, мы закрываем связь на сегодня до следующей части статьи о том, как реализовать службы DNS и DHCP путем обновления DNS на основе Bind9 и ISC-DHCP-Server, для тех, кто управляет немного большими и более сложными сетями.

До новых встреч, друзья !!!


9 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Фега сказал

    Я сохраняю его в PDF, чтобы потом лучше прочитать: / это довольно долго

  2.   скелет сказал

    Я не знаю, почему, читая "dnsmasq", я думал, что там написано "dnscrypt", я обнаружил это, прочитав блог Perseo, и реализовал его на всякий случай
    привет

  3.   холодный огонь сказал

    Спасибо, друг, я всегда говорил, что ваши посты очень познавательные и очень интересные, я очень ценю ваше сотрудничество, говоря об обмене знаниями, в остальном спасибо вам большое, Приветствую

    1.    Federico сказал

      @firecold, Большое спасибо за ваши слова внимания к тому, что я пишу. Они подталкивают меня продолжать.

      Спасибо ВСЕМ за комментарии

  4.   Данхантер сказал

    В этой серии статей я собираюсь надеть шорты, чтобы посмотреть, выйду ли я из 389 работы, которая уже вызывает больше головных болей, чем похмелье.

    Привет, Фицо!

    1.    Federico сказал

      Привет, друг @dhunter !!!. Предположим, что 389 Directory Server (использует Kerberos) и Samba, наряду с DHCP и DNS, предлагают клиентов Windows в сети, в значительной степени те функции, которые вы получили бы с контроллером домена Windows 2003. Это все равно, что начать с очень сложного, внедрить решение в сети для малых и средних компаний. И это то, к чему привыкло практически большинство администраторов.

      В статьях я пытаюсь перейти от простого к сложному, чтобы люди поняли, что в компьютерной сети философия сетей Microsoft не является необходимой или существенной. Фактически, WWW Village его вообще не использует.

      Следите за статьями, и вы увидите. Ура

  5.   Видагну сказал

    Здравствуйте, запрос, клиент и сервер ntp могут работать на одном сервере, то есть сервер ntp синхронизируется с интернет-серверами, и в то же время он использует клиента для обновления времени одного и того же сервера?

    Я вижу, что здесь у вас есть файл ntp.conf для клиента и другой файл для сервера, как мне заставить все работать на одном компьютере?

    привет

    1.    Federico сказал

      @vidagnu: Если вы прочтете снова и медленно, то поймете, что сервер NTP также может быть синхронизирован с другими серверами NTP в Интернете.

      В корпоративной или частной сети для клиентов логично синхронизировать часы с сервером NTP в этой сети, а не с серверами в Интернете.

      Таким образом, трафик сокращается, и локальная сеть работает в соответствии со временем, когда локальный сервер NTP синхронизируется с серверами Интернета.

      Похоже на скороговорку, но это так. Речь идет об установлении каскадной синхронизации. Другими словами, NTP-сервер в локальной сети синхронизирует свои часы с NTP-серверами в Интернете, а клиенты в локальной сети делают это со своим локальным сервером.

  6.   Raiden сказал

    Добрый вечер, я прочитал некоторые из ваших публикаций, и они кажутся превосходными, но в этом я немного сомневаюсь, в какой момент я передаю DHCP-адресацию команде debian7, я думаю, из того, что я понял, назначение IP-адреса группой DHCP дает это сервер mildap, если так у меня не получилось, извините за неудобства, привет.