Katalogtjänst med LDAP [2]: NTP och dnsmasq

Hej kompisar!. Vi började implementera och konfigurera tjänster. Naturligtvis är det nödvändigt att vår enkla Katalogtjänst baserat på OpenLDAP, har de grundläggande tjänsterna för att fungera korrekt. Bland dem har vi tjänsterna DNS eller «Domain Name Ssystemprogram', DHCP- eller » Dynamiska HOST Ckonfiguration Protocol", Och till NTP eller «Network Time Protocol".

Basoperativsystemet som vi kommer att använda är Debian 6 "Pressa". De flesta av de beskrivna metoderna kan användas för att Ubuntu 12.04 "Precise"och i Debian 7 "Wheezy".

Även om det verkar vara bagatell - i själva verket gör våra artiklar lite långa - är definitionerna och läsarnas studier nödvändiga. Du kan och vissa läser inte ens dem och går direkt till "kyckling och ris med kyckling." Stort misstag. Och jag hänvisar inte till de erfarna, eftersom de, så snart de ser titeln, vet om de är intresserade eller inte.

Vi hänvisar till dem som börjar i ledningen för affärsnätverk. Vi ber dem att läsa definitionerna och följa länkarna, gräva i de konceptuella delarna som inte nödvändigtvis är kommandorader eller kod och sedan följa resten av artikeln.

På detta sätt kommer vi att spara mycket tid för både dem och oss genom att ställa och svara på frågor vars svar exakt ligger i den del av dessa definitioner och introduktioner. 🙂

Vi vill också med en gång säga att det grundläggande och viktigaste programmeringsspråket för en nätverksadministratör eller för en datavetare är det engelska språket. :-). Vi kan inte alltid tillhandahålla översättningar, eftersom vi inte är experter på engelska.

Naturligtvis, innan du fortsätter, Vi rekommenderar starkt att du läser Inledning till denna serie artiklar.

Definitioner behövs

Hämtad från Wikipedia:

dnsmasq. Det är en lätt DNS-, TFTP- och DHCP-server. Syftet är att tillhandahålla DNS- och DHCP-tjänster till ett lokalt nätverk. Det är en gratis implementering av DNS-protokollet som tar emot förfrågningar från klienter som begär en IP-adress baserat på maskinens namn. Servern kommer att svara på dessa förfrågningar genom att tillhandahålla IP.

DNS Domain Name System (o DNS, på spanska, domännamnssystem). Det är ett hierarkiskt nomenklatursystem för datorer, tjänster eller andra resurser som är anslutna till internet eller ett privat nätverk. Detta system associerar olika uppgifter med domännamn som tilldelats var och en av deltagarna. Dess viktigaste funktion är att översätta (lösa) mänskligt begripliga namn till binära identifierare associerade med datorerna anslutna till nätverket, detta för att kunna lokalisera och adressera dessa datorer över hela världen.

DHCP- (akronym för Dynamiska HOST Ckonfiguration Protocol) är ett nätverksprotokoll som tillåter noder i ett nätverk IP få sina konfigurationsparametrar automatiskt. Det är ett protokoll av typen klient-server där en server i allmänhet har en lista över dynamiska IP-adresser och tilldelar dem till klienter när de blir fria, och vet alltid vem som har haft denna IP, hur länge det har gått och vem som har tilldelats då.

NTP o Network Time Protocol, är ett protokoll som är utformat för att synkronisera arbetsstationsur genom nätverket. Version 3 av detta protokoll är en Internet Draft Standard, formaliserad i RFC 1305. NTP version 4-protokollet är en viktig version av den nämnda standarden och är under utveckling, men har ännu inte formaliserats i en RFC. En enkel version av NTP (SNTP) version 4 beskrivs i RFC 2030

ISC-DHCP-SERVER (Internet Software Consortium DHCP Server). En DHCP-server är en server som är en gratis implementering av DHCP-protokollet som tar emot förfrågningar från klienter som begär en IP-nätverkskonfiguration. Servern kommer att svara på dessa förfrågningar genom att tillhandahålla parametrar som gör att klienter kan konfigurera sig själva. För att en dator ska begära konfigurationen från en server, välj alternativet för att få IP-adressen automatiskt i datorns nätverkskonfiguration.

Kerberos är ett användarautentiseringssystem som har ett dubbelt mål:

  • Förhindra att nycklarna skickas via nätverket, med den därmed följande risken för avslöjande.
  • Centralisera användarautentisering med en enda användardatabas för hela nätverket.

Kerberos, som ett säkerhetsprotokoll, använder Symmetric Key Cryptography, vilket innebär att nyckeln som används för att kryptera är samma nyckel som används för att dekryptera eller autentisera användare. Detta gör att två datorer i ett osäkert nätverk säkert kan bevisa sin identitet för varandra. Kerberos begränsar sedan åtkomst till endast auktoriserade användare och autentiserar förfrågningar till tjänster, förutsatt en öppen distribuerad miljö, där användare på arbetsstationer får åtkomst till dessa tjänster på servrar distribuerade över ett nätverk.

Vilken implementering av DNS- och DHCP-tjänsterna kommer vi att utveckla?

Vi kommer att utveckla två: den baserade på dnsmasq, och i följande artiklar motsvarar den Bind 9 och ISC-DHCP-server. För dem som vill lära sig mer i detalj hur man implementerar och konfigurerar en DNS, rekommenderar vi att man läser artikeln «Hur man installerar och konfigurerar en primär mastern DNS för ett LAN på Debian 6.0»

Varför behöver vi DNS-, DHCP- och NTP-tjänster?

  • DNS: Att upprätthålla en databas med namnen på värdarna och deras IP-adresser, på datorerna som ska anslutas till vårt företagsnätverk, så att vi kan ringa dem med deras namn, istället för med deras IP-adresser.
  • DHCP-: Undvik att flytta till platsen där klientdatorn finns, för att konfigurera dess IP-adress och relaterade parametrar. Via DHCP konfigurerar vi automatiskt klientens IP-adress, dess nätmask, gateway, DNS-servern som den ska rådfråga, IP-adressen till e-postservern på vårt LAN, typen av nod, NetBIOS-namnservern och många andra parametrar . Uppenbarligen kan vi med denna tjänst undvika sådana viktiga manuella konfigurationsfel på klientdatorer.
  • NTP: Om vi ​​inom en snar framtid väljer att integrera Kerberos till vår LDAP-server behöver vi den här tjänsten. Kerberos är starkt beroende av NTP-protokollet och DNS-tjänsterna.

Kommer vi att integrera DNS- och DHCP-tjänster till LDAP-servern?

Svaret för tillfället är NEJ. Ursprungligen NEJ. OpenLDAP-ämnet är lite tekniskt i sig. Och om vi komplicerar våra liv med den typen av integration i början kommer vi inte så långt. Observera att ClearOS, använd dnsmasq. centyal använder under tiden Bind 9 och DHCP- Server utan att integrera dem med servern LDAP.

Låt oss gå från det enkla till det komplexa för att inte komma mellan hästarnas ben. 🙂

Exempel på nätverk

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq-server

Vi installerar och konfigurerar:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Vi redigerar filen som nu är tom /etc/dnsmasq.conf och vi lämnar det med följande innehåll:

: ~ # nano /etc/dnsmasq.conf
# Skicka aldrig vanliga namn utan punkten # eller domänen domänbehovsdomän = vänner.cu # Skicka inte adresser i det orörda # adressutrymmet. falsk-priv # Fråga namnservrarna i # den ordning de visas i filen # /etc/resolv.conf strikt ordning # Svar på frågor kommer bara från # / etc / hosts eller från DHCP. lokal = / localnet /
# ÖGON MED GRÄNSSNITTET
gränssnitt = eth1
expand-hosts # Ändra intervallet efter dina behov # och även leasingtiden för # IP-adressen
dhcp-range = 10.10.10.150,10.10.10.200,12h # Alternativ för RANGE # Time server
dhcp-option = option: ntp-server, 10.10.10.15

# IP: n för NTP-servern är densamma som för dnsmasq
dhcp-option = 42,0.0.0.0

# Följande alternativ är de som Samba rekommenderar för
# ISC-DHCP-serverservrar på din sida
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# De är anpassade för fallet där Samba-servern # körs på samma dnsmasq-server. # Du kan avmarkera vissa eller alla av dem om du använder # Windows-klienter och Samba-servern på ditt LAN. # dhcp-option = 19,0 # option ip-vidarebefordran av dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP-namnserver. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Nodtyp

För att lära dig mer om dnsmasqrekommenderar vi att du läser filen noggrant dnsmasq.conf, som vi heter hur dnsmasq.conf.original. Det är pastabibeln om denna tjänst. Det är på engelska.

Vi startar om tjänsten:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

Vi deklarerar de fasta IP-adresserna för servrar på vårt LAN i filen / Etc / hosts från själva servern där dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 lokal värd 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Varje gång vi lägger till ett namn och en IP i filen / Etc / hosts måste vi tvinga om laddningen av tjänsten så att den tillagda värden känns igen av kommandona värd, gräva y nslookup, både på själva servern och för resten av arbetsstationerna som har fått en IP från den här servern:

: ~ # service dnsmasq force-reload

anteckning: Filen där dnsmasq lagrar de IP-adresser som beviljats ​​eller «Hyresavtal», Är /var/lib/misc/dnsmasq.leasing.

NTP-server

Primär källa konsulterad"Serverkonfiguration med GNU / Linux. Utgåva januari 2012. Författare: Joel Barrios Dueñas ».

Vi installerar och konfigurerar:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Vi redigerar filen som nu är tom /etc/ntp.conf och vi lämnar det med följande innehåll:

# Standardpolicyn är inställd för alla # tidsserver som används: tidssynkronisering # med källorna är tillåten, men utan att källan # tillfrågar (ingen fråga), eller modifierar tjänsten i # systemet (nomodify) och avvisande tillhandahållslogg meddelanden (notrap). begränsa standard nomodify notrap noquery # Tillåt all åtkomst till system # returgränssnitt. begränsa 127.0.0.1 # Det lokala nätverket får synkronisera med servern # men utan att de kan ändra systemkonfigurationen #, och utan att använda dem som lika med att synkronisera. begränsa 10.10.10.0 mask 255.255.255.0 nomodify notrap # Odisciplinerad lokal klocka. # Detta är en emulerad drivrutin som endast används som # backup när ingen av de faktiska teckensnitten är # tillgängliga. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Variationsfil. driftfil / var / lib / ntp / drift utsändningsfördröjning 0.008 ## OM DU HAR INTERNETTILLGÅNG # Lista över stratum 1 eller 2 tidsservrar. # Det rekommenderas att minst 3 servrar listas. # Fler servrar på: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Om du har tillgång till internet, kan du inte kommentera följande 3 rader #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Behörigheter som ska tilldelas för varje tidsserver. # I exemplen får källor inte fråga, # modifierar tjänsten i systemet eller skickar registreringsnummer. ## Om du har tillgång till internet, avmarkera följande 3 rader #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org mask 255.255.255.255 nomodify notrap noquery # Spridning till kunder är aktiverad
sändningsklient

Vi startar om NTP-tjänsten:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-klient

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Vi redigerar filen som nu är tom /etc/ntp.conf och vi lämnar det med följande innehåll:

server mildap.amigos.cu

Kontroll av klienten

Låt oss till exempel ta vår klient debian7.amigos.cu, som vi tidigare har installerat openssh-server-paketet på.

root @ debian7: ~ # ssh-debian7
root @ debian7s lösenord: [----] root @ debian7: ~ # ifconfig
eth0 Länkkapsling: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Mask: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Omfattning: Länk UPP BROADCAST RUNNING MULTICAST MTU: 1500 Metrisk: 1 RX-paket: 4967 fel: 0 tappade: 0 överskridanden: 0 ram: 0 TX-paket: 906 fel: 0 tappade: 0 överskridanden: 0 bärare: 0 kollisioner: 0 txqueuelen: 1000 RX-byte: 6705409 (6.3 MiB) TX-byte: 93635 (91.4 KiB) Avbrott: 10 Basadress: 0x6000 lo Länkkapsel: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Omfattning: Host UP LOOPBACK RUNNING MTU: 1 Metrisk: 8 RX-paket: 0 fel: 0 tappade: 0 överskridanden: 0 ram: 8 TX-paket: 0 fel: 0 tappade : 0 överskridanden: 0 bärare: 0 kollisioner: 0 txqueuelen: 480 RX byte: 480.0 (480 B) TX byte: 480.0 (XNUMX B)

Vi har redan verifierat att du har fått en IP-adress från dnsmasq installerad på vår OpenLDAP-server. Därför fungerar den tjänsten korrekt. Låt oss nu kontrollera NTP-tjänsten, som kan ta flera sekunder:

: ~ # ntpdate -u mildap.amigos.cu
25 jan 20:07:00 ntpdate [4608]: stegtidsserver 10.10.10.15 offset -0.633909 sek

När det gäller NTP-tjänsten fungerar allt OK.

Andra kontroller:

root @ debian7: ~ # gräva gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; FRÅGA AVSNITT :; gandalf.amigos.cu. I EN [----] ;; SVAR-AVSNITT: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # gräva gandalf
[----] ;; FRÅGA AVSNITT :; gandalf. I EN [----] ;; SVAR-AVSNITT: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # gräva miwww
[----] ;; FRÅGA AVSNITT :; miwww. I EN [----] ;; SVAR-AVSNITT: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # gräva debian7
[----] ;; FRÅGA AVSNITT :; debian7. I EN [----] ;; SVAR-AVSNITT: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # värd mildap
mildap.amigos.cu har adress 10.10.10.15 Värd mildap.amigos.cu hittades inte: 5 (AVSLAGAD) Värd mildap.amigos.cu hittades inte: 5 (AVSLAGAD) root @ debian7: ~ # värd mildap.amigos.cu
mildap.amigos.cu har adress 10.10.10.15 Värd mildap.amigos.cu.amigos.cu hittades inte: 5 (AVSLAGAD) Värd mildap.amigos.cu.amigos.cu hittades inte: 5 (REFUSED)

Och eftersom de två installerade och konfigurerade tjänsterna fungerar mycket bra stänger vi kommunikationen för idag till nästa del av artikeln om hur man implementerar DNS- och DHCP-tjänster genom att uppdatera DNS, baserat på Bind9 och ISC-DHCP-Server, för de som hanterar något större och mer komplicerade nätverk.

Fram till nästa gång vänner !!!


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

      Puh sade

    Jag sparar den i PDF för att läsa den bättre senare: / den är ganska lång

      ben sade

    Jag vet inte varför att läsa "dnsmasq" Jag trodde att det stod "dnscrypt", jag hade upptäckt det genom att läsa perseos blogg och implementerade den för alla fall
    hälsningar

      fyrköld sade

    Tack vän, jag har alltid sagt att dina inlägg är väldigt lärorika och väldigt intressanta, jag uppskattar verkligen ditt samarbete, talar om att dela kunskap, för resten tack så mycket, hälsningar

         federico sade

      @firecold, tack så mycket för dina ord som tar hänsyn till vad jag skriver. De driver mig att fortsätta.

      Tack till ALL för kommentarer

      djägare sade

    Med den här artikelserien ska jag ta på mig shortsen för att se om jag kommer ut ur 389 från jobbet som redan ger mer huvudvärk än baksmälla.

    Hälsningar, Fico!

         federico sade

      Hej vän @dhunter !!!. Antag att 389 Directory Server (använder Kerberos) och Samba, tillsammans med DHCP och DNS, erbjuder Windows-klienter i ett nätverk, ganska mycket den funktionalitet du skulle få med en Windows 2003-domänkontrollant. Det är som att starta från det mycket komplicerade att implementera en lösning i ett nätverk för små och medelstora företag. Och det är vad praktiskt taget de flesta administratörer är vana vid.

      Jag försöker och kommer att försöka i artiklarna att gå från det enkla till det komplexa så att människor inser att filosofin i Microsoft-nätverk inte är nödvändig eller nödvändig i ett datanätverk. Faktum är att WWW Village inte använder det alls.

      Följ artiklarna så ser du. Skål

      vidagnu sade

    Hej, en fråga, klienten och ntp-servern kan köras på en enda server, det vill säga ntp-servern synkroniseras med internetservrarna, och att den samtidigt använder klienten för att uppdatera tiden för samma server?

    Jag ser att här har du en ntp.conf-fil för klienten och en annan för servern, hur får jag allt att köra på samma dator?

    hälsningar

         federico sade

      @vidagnu: Om du läser igen och långsamt kommer du att inse att NTP-servern också kan synkroniseras med andra NTP-servrar på Internet.

      I ett företags- eller privatnätverk är det logiskt att klienter synkroniserar klockan med NTP-servern i det nätverket, inte med dem på Internet.

      På detta sätt minskar trafiken och LAN fungerar med den tid som den lokala NTP-servern synkroniserades med internetservrarna.

      Det ser ut som en tungvridare men det är det. Det handlar om att upprätta en kaskadesynkronisering. Det vill säga, NTP-servern på LAN synkroniserar sin klocka med NTP-servrarna på Internet, och klienterna på LAN gör det med sin lokala server.

      Raiden sade

    God kväll, jag har läst några av dina publikationer och de verkar utmärkta, men i den här tvivlar jag lite, vid vilken tidpunkt ger jag DHCP-adressering till debian7-teamet, jag tänker utifrån vad jag förstår IP-uppdraget från DHCP teamet ger det mildap-servern, i så fall har jag inte lyckats göra det, ledsen för besväret, hälsningar.