Imeniška storitev z LDAP [2]: NTP in dnsmasq

Pozdravljeni prijatelji!. Začeli smo izvajati in konfigurirati storitve. Seveda je nujno, da je naš preprost Imeniška storitev ki temelji na OpenLDAP, imajo osnovne storitve za pravilno delovanje. Med njimi imamo storitve DNS ali «Domain Name Saja«, DHCP ali » Ddinamičen Host Ckonfiguracija Protokol«, In do NTP ali «Network Tvišina Protokol".

Osnovni operacijski sistem, ki ga bomo uporabili, je Debian 6 "Stisni". Večino opisanih metod lahko uporabimo za Ubuntu 12.04 "Natančno"in v Debian 7 "Wheezy".

Čeprav se zdi definicija nepomembna - pravzaprav so naši članki nekoliko dolgi - so definicije nujne in jih bralci preučijo. Lahko in nekateri jih niti ne preberejo in gredo naravnost na "piščanec in riž s piščancem." Velika napaka. In ne mislim na izkušene, saj takoj, ko vidijo naslov, vedo, ali jih zanima ali ne.

Nanašamo se na tiste, ki začnejo voditi Business Networks. Prosimo jih, da preberejo definicije in sledijo povezavam, se poglobijo v konceptualne dele, ki niso nujno ukazne vrstice ali koda, in nato sledijo preostalemu članku.

Na ta način bomo prihranili veliko časa, tako oni kot mi, pri postavljanju in odgovarjanju na vprašanja, katerih odgovori so prav v delu teh definicij in uvodov. 🙂

Prav tako želimo takoj povedati, da je temeljni in najpomembnejši programski jezik za omrežnega skrbnika ali računalniškega znanstvenika angleški jezik. :-). Ne moremo vedno zagotoviti prevodov, saj nismo strokovnjaki v angleškem jeziku.

Pred nadaljevanjem seveda toplo priporočamo branje uvod tej seriji člankov.

Potrebne opredelitve

Povzeto po Wikipediji:

dnsmasq. Je lahek strežnik DNS, TFTP in DHCP. Njegov namen je zagotavljanje storitev DNS in DHCP v lokalnem omrežju. Je brezplačna izvedba protokola DNS, ki prejema zahteve odjemalcev, ki zahtevajo naslov IP na podlagi imena računalnika. Strežnik se bo na te zahteve odzval z navedbo IP-ja.

DNS Sistem domenskih imen (o DNS, v španščini, sistem domenskih imen). Je hierarhični sistem nomenklature za računalnike, storitve ali kateri koli vir, povezan z internetom ali zasebnim omrežjem. Ta sistem povezuje različne informacije z imeni domen, dodeljenimi vsakemu od udeležencev. Njegova najpomembnejša funkcija je prevajanje (razreševanje) človeško razumljivih imen v binarne identifikatorje, povezane z računalniki, povezanimi v omrežje, da bi lahko našli in naslovili te računalnike po vsem svetu.

DHCP (kratica za Ddinamičen Host Ckonfiguracija Protocol) je omrežni protokol, ki omogoča vozlišča v omrežju IP samodejno pridobi njegove konfiguracijske parametre. Gre za protokol tipa odjemalec / strežnik v katerem ima strežnik na splošno seznam dinamičnih naslovov IP in jih dodeli strankam, ko postanejo svobodni, tako da ves čas ve, kdo ga ima, kako dolgo ga ima in komu je bil takrat dodeljen.

NTP o Network Time Protocol je protokol, namenjen sinhronizaciji ur delovnih postaj po omrežju. Različica 3 tega protokola je internetni osnutek standarda, formaliziran v RFC 1305. Protokol NTP različice 4 je pomembna revizija omenjenega standarda in je v razvoju, vendar v RFC še ni formaliziran. Preprosta različica NTP (SNTP) različice 4 je opisana v RFC 2030

ISC-DHCP-STREŽNIK (Strežnik DHCP za internetni konzorcij). Strežnik DHCP je strežnik, ki je brezplačna izvedba protokola DHCP, ki sprejema zahteve odjemalcev, ki zahtevajo konfiguracijo omrežja IP. Strežnik se bo na te zahteve odzval z zagotavljanjem parametrov, ki strankam omogočajo, da se sami konfigurirajo. Če želite, da računalnik zahteva konfiguracijo od strežnika, v omrežni konfiguraciji računalnika izberite možnost samodejnega pridobivanja naslova IP.

Kerberos je sistem za preverjanje pristnosti uporabnika, ki ima dvojni cilj:

• Preprečite pošiljanje ključev po omrežju s posledičnim tveganjem njihovega razkritja.
• Centralizirajte preverjanje pristnosti uporabnikov, tako da vzdržujete eno bazo podatkov o uporabnikih za celotno omrežje.

Kerberos kot varnostni protokol uporablja kriptografijo simetričnih ključev, kar pomeni, da je ključ, ki se uporablja za šifriranje, isti ključ, ki se uporablja za dešifriranje ali preverjanje pristnosti uporabnikov. To omogoča, da dva računalnika v negotovem omrežju varno dokazujeta svojo identiteto. Kerberos nato omeji dostop samo na pooblaščene uporabnike in overja zahteve za storitve ob predpostavki odprtega porazdeljenega okolja, v katerem uporabniki, ki se nahajajo na delovnih postajah, dostopajo do teh storitev na strežnikih, razdeljenih po omrežju.

Kakšno izvedbo storitev DNS in DHCP bomo razvili?

Razvili bomo dve: tisto, ki temelji na dnsmasq, in v naslednjih členih tisti, ki ustreza Vezava9 in ISC-DHCP-strežnik. Za tiste, ki se želijo podrobno naučiti, kako implementirati in konfigurirati DNS, priporočamo branje članka «Kako namestiti in konfigurirati primarni glavni DNS za LAN v Debianu 6.0»

Zakaj potrebujemo storitve DNS, DHCP in NTP?

• DNS: Vzdrževanje baze podatkov z imeni gostiteljev in njihovimi naslovi IP, računalnikov, ki bodo povezani v naše poslovno omrežje, tako da jih bomo lahko klicali z njihovimi imeni, namesto z njihovimi IP naslovi.
• DHCP: Pazite, da se ne premaknete na mesto odjemalskega računalnika, da konfigurirate njegov naslov IP in povezane parametre. Prek DHCP samodejno konfiguriramo IP-naslov odjemalca, njegovo masko podomrežja, prehod, strežnik DNS, s katerim naj se posvetuje, naslov IP poštnega strežnika v našem LAN-u, vrsto vozlišča, imenski strežnik NetBIOS in številne druge parametre . Očitno se s to storitvijo lahko izognemo ročnim konfiguracijskim napakam tako pomembnega vidika na odjemalskih računalnikih.
• NTP: Če se v bližnji prihodnosti odločimo za integracijo Kerberosa na naš strežnik LDAP, bomo potrebovali to storitev. Kerberos se močno zanaša na protokol NTP in storitve DNS.

Bomo v strežnik LDAP integrirali storitve DNS in DHCP?

Za zdaj je odgovor NE. Sprva NE. Tema OpenLDAP je že sama po sebi nekoliko tehnična. In če si na začetku zapletemo življenje s takšno vrsto integracije, ne bomo prišli prav daleč. Upoštevajte, da ClearOS, uporabite dnsmasq. zentyal medtem uporablja Vezava9 in DHCP Server, ne da bi jih integrirali s strežnikom LDAP.

Pojdimo od preprostega k kompleksnemu, da ne bomo prišli med noge konj. 🙂

Primer omrežja

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Strežnik Dnsmasq

Namestimo in konfiguriramo:

: ~ # aptitude namestite dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Urejamo datoteko, ki je zdaj prazna /etc/dnsmasq.conf in ga pustimo z naslednjo vsebino:

: ~ # nano /etc/dnsmasq.conf
# Nikoli ne posredujte navadnih imen brez pike # ali dela domene domena-potrebna domena = friends.cu # Ne posredujte naslovov v nepreusmerjenem # naslovnem prostoru. lažni-priv # Poizvedujte po strežnikih imen v # vrstnem redu, v katerem so prikazani v datoteki # /etc/resolv.conf strict-order # Odgovori na poizvedbe bodo prišli samo iz # / etc / hosts ali iz DHCP. lokalno = / localnet /
# OČI Z VMESNIKOM
vmesnik = eth1
expand-hosts # Spremenite obseg glede na svoje potrebe # in tudi čas zakupa # naslova IP
dhcp-range = 10.10.10.150,10.10.10.200,12h # Možnosti za RANGE # Časovni strežnik
dhcp-option = option: ntp-server, 10.10.10.15

# IP strežnika NTP je enak IP-ju strežnika dnsmasq
dhcp-option = 42,0.0.0.0

# Naslednje možnosti so tiste, ki jih priporoča Samba
# ISC-DHCP-strežniški strežniki na vaši strani
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Prilagojeni so za primer, ko strežnik Samba # deluje na istem strežniku dnsmasq. # Nekatere ali vse lahko komentirate, če v svojem lokalnem omrežju uporabljate # odjemalce Windows in strežnik Samba. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP imenski strežnik. ZMAGA
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # Tip vozlišča NetBIOS

Če želite izvedeti več o dnsmasq, priporočamo, da datoteko natančno preberete dnsmasq.conf, ki ga imenujemo kako dnsmasq.conf.original. O tej storitvi gre za Sveto pismo o testeninah. V angleščini je.

Storitev znova zaženemo:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


V datoteki prijavimo fiksne naslove IP strežnikov v našem LAN-u / Etc / hosts s strežnika, kjer je dnsmasq.

: ~ # nano / etc / gostitelji
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Vsakič, ko datoteki dodamo ime in IP / Etc / hosts , prisiliti moramo ponovno nalaganje storitve, tako da dodanega gostitelja prepoznajo ukazi gostitelj, kopati y nslookup, tako na samem strežniku kot na ostalih delovnih postajah, ki so od tega strežnika pridobile IP:

: ~ # service dnsmasq force-reload

opomba: Datoteka, v kateri je dnsmasq shrani dodeljene naslove IP oz «Najemi», je /var/lib/misc/dnsmasq.leases.

NTP strežnik

Posvetovanje s primarnim virom"Konfiguracija strežnika z GNU / Linuxom. Izdaja iz januarja 2012. Avtor: Joel Barrios Dueñas ».

Namestimo in konfiguriramo:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Urejamo datoteko, ki je zdaj prazna /etc/ntp.conf in ga pustimo z naslednjo vsebino:

# Privzeti pravilnik je nastavljen za kateri koli # uporabljeni časovni strežnik: časovna sinhronizacija # z viri je dovoljena, vendar brez dovoljenja izvoru # za poizvedbo (noquery) ali spreminjanje storitve v sistemu # (nomodify) in zavrnitev log log # sporočila (notrap). omeji privzeto nomodify notrap noquery # Dovoli ves dostop do vmesnika system # return. omeji 127.0.0.1 # Lokalno omrežje se lahko sinhronizira s strežnikom #, ne da bi jim bilo dovoljeno spreminjati konfiguracijo sistema # in ne da bi jih za sinhronizacijo uporabljalo enako. omeji 10.10.10.0 maska ​​255.255.255.0 nomodify notrap # Nedisciplinirana lokalna ura. # To je emuliran gonilnik, ki se uporablja samo kot # varnostna kopija, če nobena od dejanskih pisav ni # na voljo. fudge 127.127.1.0 strežnik stratum 10 127.127.1.0 # Datoteka različice. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## ČE IMATE DOSTOP DO INTERNETA # Seznam časovnih strežnikov stratum 1 ali 2. # Priporočljivo je, da so navedeni vsaj 3 strežniki. # Več strežnikov na: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Če imate dostop do interneta, pripomnite po 3 vrsticah #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Dovoljenja, ki jih je treba dodeliti za vsak časovni strežnik. # V primerih primeri virov ne smejo poizvedovati, # spreminjati storitve v sistemu ali pošiljati registracijskih # sporočil. ## Če imate dostop do interneta, razkomentirajte naslednje 3 vrstice #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org maska ​​255.255.255.255 nomodify notrap noquery # Aktivirano je razširjanje strankam
oddajnik

Znova zaženemo storitev NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP odjemalec

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Urejamo datoteko, ki je zdaj prazna /etc/ntp.conf in ga pustimo z naslednjo vsebino:

strežnik mildap.amigos.cu

Pregledi stranke

Vzemimo za primer našo stranko debian7.amigos.cu, na katerega smo že namestili paket openssh-server.

root @ debian7: ~ # ssh-debian7
geslo root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Maska: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Področje uporabe: Povezava UPOŠTEVANJE VSEBOČNEGA MULTICASTA MTU: 1500 Metrika: 1 RX paket: 4967 napak: 0 padlo: 0 prekoračitev: 0 okvir: 0 TX paketov: 906 napak: 0 padlo: 0 prekoračitev: 0 nosilec: 0 trkov: 0 txqueuelen: 1000 RX bajtov: 6705409 (6.3 MiB) TX bajtov: 93635 (91.4 KiB) Prekinitev: 10 Osnovni naslov: 0x6000 lo Encap povezave: Lokalni Loopback inet addr: 127.0.0.1. 255.0.0.0 Maska: 6 inet1 addr: :: 128/16436 Obseg: Host UP LOOPBACK RUNNING MTU: 1 Metric: 8 RX paketi: 0 napak: 0 padlo: 0 prekoračitev: 0 frame: 8 TX paketov: 0 napak: 0 padlo : 0 prekoračitev: 0 nosilca: 0 trkov: 0 txqueuelen: 480 RX bajtov: 480.0 (480 B) TX bajtov: 480.0 (XNUMX B)

Preverili smo že, da ste od nas kupili naslov IP dnsmasq nameščen na našem strežniku OpenLDAP. Zato ta storitev deluje pravilno. Zdaj pa preverimo storitev NTP, ki lahko traja nekaj sekund:

: ~ # ntpdate -u mildap.amigos.cu
25. januar 20:07:00 ntpdate [4608]: korak čas strežnika 10.10.10.15 odmik -0.633909 sek

Glede storitve NTP je vse v redu.

Drugi pregledi:

root @ debian7: ~ # kopati gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; ODDELEK VPRAŠANJA:; gandalf.amigos.cu. V [----] ;; ODDELEK ODGOVORA: gandalf.amigos.cu. 0 V 10.10.10.1 [----] root @ debian7: ~ # kopati gandalf
[----] ;; ODDELEK VPRAŠANJA:; gandalf. V [----] ;; ODDELEK ODGOVORA: gandalf. 0 V 10.10.10.1 [----] root @ debian7: ~ # kopaj miwww
[----] ;; ODDELEK VPRAŠANJA :; miwww. V [----] ;; ODDELEK ODGOVORA: miwww. 0 V 10.10.10.5 [----] root @ debian7: ~ # recimo debian7
[----] ;; ODDELEK VPRAŠANJA :; debian7. V [----] ;; ODDELEK ODGOVORA: debian7. 0 V 10.10.10.153 [----] root @ debian7: ~ # gostiteljska mildap
mildap.amigos.cu ima naslov 10.10.10.15 Gostitelja mildap.amigos.cu ni mogoče najti: 5 (ZAVRNJENO) Gostitelja mildap.amigos.cu ni mogoče najti: 5 (ZAVRNJEN) root @ debian7: ~ # gostitelj mildap.amigos.cu
naslov mildap.amigos.cu je 10.10.10.15 Gostitelja mildap.amigos.cu.amigos.cu ni mogoče najti: 5 (ZAVRNJENO) Gostitelja mildap.amigos.cu.amigos.cu ni mogoče najti: 5 (ZAVRNJENO)

Ker nameščeni in konfigurirani storitvi delujeta zelo dobro, zapiramo komunikacijo za danes do naslednjega dela članka o tem, kako izvajati storitve DNS in DHCP s posodobitvijo DNS, ki temelji na Bind9 in ISC-DHCP-Server, za tiste, ki nekoliko upravljajo večja in bolj zapletena omrežja.

Do naslednjega, prijatelji !!!