Adresárová služba s LDAP [2]: NTP a dnsmasq

Dobrý deň, priatelia!. Začali sme implementovať a konfigurovať služby. Samozrejme je potrebné, aby naše jednoduché Adresárová služba na základe OpenLDAP, mať základné služby pre správne fungovanie. Medzi nimi máme aj služby DNS alebo «Domain Name SYSTÉM", DHCP alebo » Dynamický Host Ckonfigurácia Protokol«, A do NTP alebo «NSIEŤ Time Protokol".

Základný operačný systém, ktorý budeme používať, je Debian 6 „Squeeze“. Väčšina opísaných metód sa dá použiť na Ubuntu 12.04 „Presný“a v Debian 7 „Sipot“.

Aj keď sa to zdá byť maličkosť - v skutočnosti sú naše články trochu zdĺhavé - definície a ich preštudovanie čitateľmi sú nevyhnutné. Môžete a niektorí ich ani nečítajú a idú priamo na „kuracie mäso a ryža s kuracím mäsom“. Veľká chyba. A nemám na mysli tých skúsených, pretože tí hneď, ako uvidia názov, vedia, či majú záujem alebo nie.

Máme na mysli tých, ktorí začínajú vo vedení obchodných sietí. Požiadame ich, aby si prečítali definície a postupovali podľa odkazov, ponorili sa do koncepčných častí, ktoré nemusia byť nevyhnutne príkazovými riadkami alebo kódom, a potom postupujte podľa zvyšku článku.

Takto ušetria veľa času im aj nám, kladením a odpovedaním na otázky, ktorých odpovede sú práve v časti týchto definícií a úvodov. 🙂

Zároveň chceme povedať, že základným a najdôležitejším programovacím jazykom pre správcu siete alebo pre informatikov je anglický jazyk. :-). Nie vždy môžeme poskytnúť preklad, pretože nie sme odborníkmi v anglickom jazyku.

Pred pokračovaním samozrejme Dôrazne odporúčame prečítať si Úvod k tejto sérii článkov.

Vyžadujú sa definície

Prevzaté z Wikipédie:

dnsmasq. Jedná sa o ľahký server DNS, TFTP a DHCP. Jeho účelom je poskytovať služby DNS a DHCP lokálnej sieti. Jedná sa o bezplatnú implementáciu protokolu DNS, ktorá prijíma požiadavky od klientov požadujúcich adresu IP na základe názvu stroja. Server bude na tieto požiadavky reagovať poskytnutím IP.

DNS Domain Name System (o DNS, v španielčine, systém názvov domén). Je to systém hierarchickej nomenklatúry pre počítače, služby alebo akékoľvek prostriedky pripojené k internetu alebo súkromnej sieti. Tento systém spája rôzne informácie s názvami domén priradených každému z účastníkov. Jeho najdôležitejšou funkciou je preklad (rozlíšenie) ľudsky zrozumiteľných mien na binárne identifikátory spojené s počítačmi pripojenými k sieti, a to za účelom možnosti lokalizovať a osloviť tieto počítače po celom svete.

DHCP (skratka pre Dynamický Host Ckonfigurácia Protocol) je sieťový protokol, ktorý umožňuje uzly v sieti IP získať jeho konfiguračné parametre automaticky. Je to protokol typu Klientsky server server obsahuje zoznam dynamických adries IP a prideľuje ich klientom, keď sa stanú bezplatnými, pričom vždy vie, kto danú adresu IP vlastnil, ako dlho ju má a kto jej bol pridelený.

NTP o Network Time Protocol, je protokol určený na synchronizáciu hodín pracovných staníc v sieti. Verzia 3 tohto protokolu je internetový štandard návrhu, formalizovaný v RFC 1305. Protokol NTP verzie 4 je dôležitou revíziou spomínaného štandardu a je vo vývoji, ale zatiaľ nebol formalizovaný v RFC. Jednoduchá verzia NTP (SNTP) verzie 4 je popísaná v RFC 2030

ISC-DHCP-SERVER (Server internetového softvéru konzorcia DHCP). Server DHCP je server, ktorý bezplatne implementuje protokol DHCP a prijíma požiadavky od klientov požadujúcich konfiguráciu siete IP. Server bude na tieto požiadavky reagovať zadaním parametrov, ktoré umožňujú klientom konfigurovať sa. Ak chcete, aby počítač vyžadoval konfiguráciu zo servera, v sieťovej konfigurácii počítača vyberte možnosť získania adresy IP automaticky.

Kerberos je systém autentifikácie používateľov, ktorý má dvojaký cieľ:

• Zabráňte odoslaniu kľúčov cez sieť s následným rizikom ich zverejnenia.
• Centralizujte autentifikáciu používateľov a udržiavajte databázu jedného používateľa pre celú sieť.

Kerberos ako bezpečnostný protokol používa kryptomenu Symmetric Key Cryptography, čo znamená, že kľúč používaný na šifrovanie je rovnaký kľúč používaný na dešifrovanie alebo autentizáciu používateľov. To umožňuje dvom počítačom v nezabezpečenej sieti navzájom si navzájom bezpečne dokázať svoju totožnosť. Kerberos potom obmedzuje prístup iba na autorizovaných používateľov a overuje požiadavky na služby za predpokladu otvoreného distribuovaného prostredia, v ktorom používatelia umiestnení na pracovných staniciach pristupujú k týmto službám na serveroch distribuovaných v sieti.

Akú implementáciu služieb DNS a DHCP budeme vyvíjať?

Vyvinieme dve: jednu založenú na dnsmasq, a v nasledujúcich článkoch článok zodpovedajúci Viazať9 a ISC-DHCP-server. Pre tých, ktorí sa chcú podrobne naučiť, ako implementovať a nakonfigurovať DNS, odporúčame prečítať si článok «Ako nainštalovať a nakonfigurovať hlavný hlavný DNS pre LAN v systéme Debian 6.0»

Prečo potrebujeme služby DNS, DHCP a NTP?

• DNS: Udržiavať databázu s menami hostiteľov a ich IP adresami počítačov, ktoré budú pripojené k našej podnikovej sieti, aby sme ich mohli nazývať ich menami, nie ich IP adresami.
• DHCP: Nepresúvajte sa na miesto, kde sa nachádza klientsky počítač, aby ste nakonfigurovali jeho IP adresu a súvisiace parametre. Prostredníctvom DHCP automaticky konfigurujeme IP adresu klienta, jeho masku podsiete, bránu, DNS server, s ktorým by sa mal poradiť, IP adresu poštového servera našej LAN, typ uzla, menový server NetBIOS a mnoho ďalších parametrov . Je zrejmé, že pomocou tejto služby sa môžeme vyhnúť chybám manuálnej konfigurácie tak dôležitého aspektu na klientskych počítačoch.
• NTP: Ak sa v blízkej budúcnosti rozhodneme integrovať protokol Kerberos na náš server LDAP, budeme túto službu potrebovať. Kerberos sa vo veľkej miere spolieha na protokol NTP a služby DNS.

Budeme integrovať služby DNS a DHCP na server LDAP?

Odpoveď je zatiaľ NIE. Spočiatku NIE. Téma OpenLDAP je sama o sebe trochu technická. A ak si na začiatku komplikujeme život týmto typom integrácie, nedostaneme sa veľmi ďaleko. Všimnite si, že ClearOS, použite dnsmasq. zentyal zatiaľ používa Viazať9 a DHCP Bez ich integrácie so serverom LDAP.

Poďme od jednoduchého k zložitému, aby sme sa nedostali medzi nohy koňom. 🙂

Ukážka siete

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq server

Inštalujeme a konfigurujeme:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Upravíme súbor, ktorý je teraz prázdny /etc/dnsmasq.conf a necháme to s nasledujúcim obsahom:

: ~ # nano /etc/dnsmasq.conf
# Nikdy nezadávajte obyčajné mená bez bodky # alebo časti domény doména potrebná doména = friends.cu # Neposielajte adresy v nezrušenom # adresnom priestore. bogus-priv # Dotaz na menných serverov v # poradí, v akom sa nachádzajú v súbore # /etc/resolv.conf strict-order # Odpovede na dotazy budú prichádzať iba od # / etc / hosts alebo od DHCP. local = / localnet /
# OČI S ROZHRANÍM
rozhranie = eth1
expand-hosts # Zmeňte rozsah podľa svojich potrieb # a tiež dobu prenájmu # adresy IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # Možnosti pre RANGE # Časový server
dhcp-option = možnosť: ntp-server, 10.10.10.15

# IP adresa NTP servera je rovnaká ako IP adresy dnsmasq
dhcp-option = 42,0.0.0.0

# Nasledujúce možnosti sú možnosti, ktoré odporúča Samba
# Servery ISC-DHCP-Server na vašej stránke
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Sú prispôsobené pre prípad, keď server Samba # beží na rovnakom serveri dnsmasq. # Môžete odkomentovať niektoré alebo všetky, ak vo svojej sieti LAN používate # klientov Windows a server Samba. # dhcp-option = 19,0 # možnosť ip-forwarding off dhcp-option = 44,0.0.0.0 # Názov servera NetBIOS-over-TCP / IP. WINS
dhcp-option = 45,0.0.0.0 # server distribúcie datagramu NetBIOS dhcp-option = 46,8 # typ uzla NetBIOS

Ak sa chcete dozvedieť viac o dnsmasq, odporúčame pozorne prečítať súbor dnsmasq.conf, ktoré pomenujeme ako dnsmasq.conf.original. O tejto službe je to Biblia cestovín. Je v angličtine.

Reštartujeme službu:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


V súbore deklarujeme pevné IP adresy serverov v našej LAN / Etc / hosts od samotného servera, kde dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Zakaždým, keď do súboru pridáme meno a IP / Etc / hosts , musíme vynútiť opätovné načítanie služby, aby bol pridaný hostiteľ príkazmi rozpoznaný hostiteľ, kopať y nslookupna serveri samotnom aj na zvyšných pracovných staniciach, ktoré získali adresu IP z tohto servera:

: ~ # služba dnsmasq vynútené opätovné načítanie

Poznámka:: Súbor, kde je dnsmasq ukladá pridelené IP adresy resp «Leasingy», je ním /var/lib/misc/dnsmasq.lease.

Server NTP

Primárny zdroj konzultovaný"Konfigurácia servera s GNU / Linux. Vydanie z januára 2012. Autor: Joel Barrios Dueñas ».

Inštalujeme a konfigurujeme:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Upravíme súbor, ktorý je teraz prázdny /etc/ntp.conf a necháme to s nasledujúcim obsahom:

# Predvolená zásada je nastavená pre akýkoľvek # použitý server: časová synchronizácia # so zdrojmi je povolená, ale bez toho, aby zdroj # umožňoval dopytovanie (dopyt), úpravu služby v systéme # (nomodify) a odmietnutie poskytnutia záznamu # správy (notrap). obmedziť predvolené nomodify notrap noquery # Povoliť všetok prístup do systému # návratové rozhranie. obmedziť 127.0.0.1 # Lokálna sieť sa môže synchronizovať so serverom #, ale bez toho, aby im umožňovala upravovať konfiguráciu systému #, a bez toho, aby sa synchronizovali ako rovnocenné. obmedziť 10.10.10.0 masku 255.255.255.0 nomodify notrap # Nedisciplinované miestne hodiny. # Toto je emulovaný ovládač, ktorý sa používa iba ako # záloha, keď nie je k dispozícii žiadne zo skutočných typov písma. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # súbor variácií. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## AK MÁTE PRÍSTUP K INTERNETU # Zoznam stratových 1 alebo 2 časových serverov. # Odporúča sa mať uvedené aspoň 3 servery. # Viac serverov na: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Ak máte prístup na internet, odošlite komentár nasledujúce 3 riadky #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Povolenia, ktoré sa majú prideliť každému časovému serveru. # V príkladoch nemôžu zdroje dopytovať, # upravovať službu v systéme alebo posielať registračnú # správu. ## Ak máte prístup na internet, odkomentujte nasledujúce 3 riadky #restrict 0.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org maska ​​255.255.255.255 nomodify notrap noquery #restrict 2.pool maska ​​.ntp.org 255.255.255.255 nomodify notrap noquery # Distribúcia zákazníkom je aktivovaná
vysielacieho klienta

Reštartujeme službu NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

Klient NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Upravíme súbor, ktorý je teraz prázdny /etc/ntp.conf a necháme to s nasledujúcim obsahom:

server mildap.amigos.cu

Kontroly u klienta

Zoberme si napríklad nášho klienta debian7.amigos.cu, na ktorý sme predtým nainštalovali balík openssh-server.

root @ debian7: ~ # ssh-debian7
heslo root @ debian7: [----] root @ debian7: ~ # ifconfig
obal ether0 odkazu: Ethernet HWaddr 52: 54: 00: 8 f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Rozsah: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrické: 1 RX pakety: 4967 chýb: 0 zrušené: 0 prekročenia: 0 rámec: 0 TX pakety: 906 chyby: 0 zrušené: 0 prekročenia: 0 dopravca: 0 kolízie: 0 txqueuelen: 1000 6705409 RX bajtov: 6.3 (93635 MiB) TX bajtov: 91.4 (10 KiB) Prerušenie: 0 Základná adresa: 6000x127.0.0.1 lo Zakrytie odkazu: Local Loopback inet addr: 255.0.0.0. 6 Maska: 1 inet128 addr: :: 16436/1 Rozsah: Host UP UP SPOUŠTENÍ LOOPBACK MTU: 8 Metrické: 0 RX pakety: 0 chýb: 0 zrušené: 0 prekročenia: 8 rámec: 0 pakety TX: 0 chyby: 0 zrušené : 0 prekročenia: 0 nosič: 0 kolízie: 480 txqueuelen: 480.0 bajtov RX: 480 (480.0 B) TX bajtov: XNUMX (XNUMX B)

Už sme overili, že ste získali adresu IP od dnsmasq nainštalované na našom serveri OpenLDAP. Preto táto služba funguje správne. Teraz skontrolujme službu NTP, ktorá môže trvať niekoľko sekúnd:

: ~ # ntpdate -u mildap.amigos.cu
25. januára 20:07:00 ntpdate [4608]: server krokového času 10.10.10.15 offset –0.633909 s

Čo sa týka služby NTP, všetko funguje OK.

Ostatné kontroly:

root @ debian7: ~ # kopať gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; ODDIEL OTÁZKY :; gandalf.amigos.cu. V [----] ;; SEKCIA ODPOVEĎ: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopať gandalf
[----] ;; ODDIEL OTÁZKY :; gandalf. V [----] ;; SEKCIA ODPOVEDE: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # kopať miwww
[----] ;; SEKCIA OTÁZOK :; miwww. V [----] ;; SEKCIA ODPOVEĎ: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # kopať debian7
[----] ;; SEKCIA OTÁZOK :; debian7. V [----] ;; SEKCIA ODPOVEDÍ: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # hostiteľská mapa
mildap.amigos.cu má adresu 10.10.10.15 Hostiteľ mildap.amigos.cu nebol nájdený: 5 (ODMIETNUTÝ) Hostiteľ mildap.amigos.cu nebol nájdený: 5 (ODMIETNUTÝ) root @ debian7: ~ # hostiteľ mildap.amigos.cu
mildap.amigos.cu má adresu 10.10.10.15 Hostiteľ mildap.amigos.cu.amigos.cu nebol nájdený: 5 (ZAMIETNUTÝ) Hostiteľ mildap.amigos.cu.amigos.cu nebol nájdený: 5 (ZAMIETNUTÝ)

A pretože tieto dve nainštalované a nakonfigurované služby fungujú veľmi dobre, ukončujeme komunikáciu až do nasledujúcej časti článku o implementácii služieb DNS a DHCP aktualizáciou DNS na báze Bind9 a ISC-DHCP-Server pre tých, ktorí majú mierne väčšie a komplikovanejšie siete.

Až nabudúce priatelia !!!