Katalogtjänst med LDAP [2]: NTP och dnsmasq

Hej kompisar!. Vi började implementera och konfigurera tjänster. Naturligtvis är det nödvändigt att vår enkla Katalogtjänst baserat på OpenLDAP, har de grundläggande tjänsterna för att fungera korrekt. Bland dem har vi tjänsterna DNS eller «Domain Name Ssystemprogram', DHCP- eller » Dynamiska HOST Ckonfiguration Protocol", Och till NTP eller «Network Time Protocol".

Basoperativsystemet som vi kommer att använda är Debian 6 "Pressa". De flesta av de beskrivna metoderna kan användas för att Ubuntu 12.04 "Precise"och i Debian 7 "Wheezy".

Även om det verkar vara bagatell - i själva verket gör våra artiklar lite långa - är definitionerna och läsarnas studier nödvändiga. Du kan och vissa läser inte ens dem och går direkt till "kyckling och ris med kyckling." Stort misstag. Och jag hänvisar inte till de erfarna, eftersom de, så snart de ser titeln, vet om de är intresserade eller inte.

Vi hänvisar till dem som börjar i ledningen för affärsnätverk. Vi ber dem att läsa definitionerna och följa länkarna, gräva i de konceptuella delarna som inte nödvändigtvis är kommandorader eller kod och sedan följa resten av artikeln.

På detta sätt kommer vi att spara mycket tid för både dem och oss genom att ställa och svara på frågor vars svar exakt ligger i den del av dessa definitioner och introduktioner. 🙂

Vi vill också med en gång säga att det grundläggande och viktigaste programmeringsspråket för en nätverksadministratör eller för en datavetare är det engelska språket. :-). Vi kan inte alltid tillhandahålla översättningar, eftersom vi inte är experter på engelska.

Naturligtvis, innan du fortsätter, Vi rekommenderar starkt att du läser Inledning till denna serie artiklar.

Definitioner behövs

Hämtad från Wikipedia:

dnsmasq. Det är en lätt DNS-, TFTP- och DHCP-server. Syftet är att tillhandahålla DNS- och DHCP-tjänster till ett lokalt nätverk. Det är en gratis implementering av DNS-protokollet som tar emot förfrågningar från klienter som begär en IP-adress baserat på maskinens namn. Servern kommer att svara på dessa förfrågningar genom att tillhandahålla IP.

DNS Domain Name System (o DNS, på spanska, domännamnssystem). Det är ett hierarkiskt nomenklatursystem för datorer, tjänster eller andra resurser som är anslutna till internet eller ett privat nätverk. Detta system associerar olika uppgifter med domännamn som tilldelats var och en av deltagarna. Dess viktigaste funktion är att översätta (lösa) mänskligt begripliga namn till binära identifierare associerade med datorerna anslutna till nätverket, detta för att kunna lokalisera och adressera dessa datorer över hela världen.

DHCP- (akronym för Dynamiska HOST Ckonfiguration Protocol) är ett nätverksprotokoll som tillåter noder i ett nätverk IP få sina konfigurationsparametrar automatiskt. Det är ett protokoll av typen klient-server där en server i allmänhet har en lista över dynamiska IP-adresser och tilldelar dem till klienter när de blir fria, och vet alltid vem som har haft denna IP, hur länge det har gått och vem som har tilldelats då.

NTP o Network Time Protocol, är ett protokoll som är utformat för att synkronisera arbetsstationsur genom nätverket. Version 3 av detta protokoll är en Internet Draft Standard, formaliserad i RFC 1305. NTP version 4-protokollet är en viktig version av den nämnda standarden och är under utveckling, men har ännu inte formaliserats i en RFC. En enkel version av NTP (SNTP) version 4 beskrivs i RFC 2030

ISC-DHCP-SERVER (Internet Software Consortium DHCP Server). En DHCP-server är en server som är en gratis implementering av DHCP-protokollet som tar emot förfrågningar från klienter som begär en IP-nätverkskonfiguration. Servern kommer att svara på dessa förfrågningar genom att tillhandahålla parametrar som gör att klienter kan konfigurera sig själva. För att en dator ska begära konfigurationen från en server, välj alternativet för att få IP-adressen automatiskt i datorns nätverkskonfiguration.

Kerberos är ett användarautentiseringssystem som har ett dubbelt mål:

• Förhindra att nycklarna skickas via nätverket, med den därmed följande risken för avslöjande.
• Centralisera användarautentisering med en enda användardatabas för hela nätverket.

Kerberos, som ett säkerhetsprotokoll, använder Symmetric Key Cryptography, vilket innebär att nyckeln som används för att kryptera är samma nyckel som används för att dekryptera eller autentisera användare. Detta gör att två datorer i ett osäkert nätverk säkert kan bevisa sin identitet för varandra. Kerberos begränsar sedan åtkomst till endast auktoriserade användare och autentiserar förfrågningar till tjänster, förutsatt en öppen distribuerad miljö, där användare på arbetsstationer får åtkomst till dessa tjänster på servrar distribuerade över ett nätverk.

Vilken implementering av DNS- och DHCP-tjänsterna kommer vi att utveckla?

Vi kommer att utveckla två: den baserade på dnsmasq, och i följande artiklar motsvarar den Bind 9 och ISC-DHCP-server. För dem som vill lära sig mer i detalj hur man implementerar och konfigurerar en DNS, rekommenderar vi att man läser artikeln «Hur man installerar och konfigurerar en primär mastern DNS för ett LAN på Debian 6.0»

Varför behöver vi DNS-, DHCP- och NTP-tjänster?

• DNS: Att upprätthålla en databas med namnen på värdarna och deras IP-adresser, på datorerna som ska anslutas till vårt företagsnätverk, så att vi kan ringa dem med deras namn, istället för med deras IP-adresser.
• DHCP-: Undvik att flytta till platsen där klientdatorn finns, för att konfigurera dess IP-adress och relaterade parametrar. Via DHCP konfigurerar vi automatiskt klientens IP-adress, dess nätmask, gateway, DNS-servern som den ska rådfråga, IP-adressen till e-postservern på vårt LAN, typen av nod, NetBIOS-namnservern och många andra parametrar . Uppenbarligen kan vi med denna tjänst undvika sådana viktiga manuella konfigurationsfel på klientdatorer.
• NTP: Om vi ​​inom en snar framtid väljer att integrera Kerberos till vår LDAP-server behöver vi den här tjänsten. Kerberos är starkt beroende av NTP-protokollet och DNS-tjänsterna.

Kommer vi att integrera DNS- och DHCP-tjänster till LDAP-servern?

Svaret för tillfället är NEJ. Ursprungligen NEJ. OpenLDAP-ämnet är lite tekniskt i sig. Och om vi komplicerar våra liv med den typen av integration i början kommer vi inte så långt. Observera att ClearOS, använd dnsmasq. centyal använder under tiden Bind 9 och DHCP- Server utan att integrera dem med servern LDAP.

Låt oss gå från det enkla till det komplexa för att inte komma mellan hästarnas ben. 🙂

Exempel på nätverk

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq-server

Vi installerar och konfigurerar:

: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Vi redigerar filen som nu är tom /etc/dnsmasq.conf och vi lämnar det med följande innehåll:

: ~ # nano /etc/dnsmasq.conf
# Skicka aldrig vanliga namn utan punkten # eller domänen domänbehovsdomän = vänner.cu # Skicka inte adresser i det orörda # adressutrymmet. falsk-priv # Fråga namnservrarna i # den ordning de visas i filen # /etc/resolv.conf strikt ordning # Svar på frågor kommer bara från # / etc / hosts eller från DHCP. lokal = / localnet /
# ÖGON MED GRÄNSSNITTET
gränssnitt = eth1
expand-hosts # Ändra intervallet efter dina behov # och även leasingtiden för # IP-adressen
dhcp-range = 10.10.10.150,10.10.10.200,12h # Alternativ för RANGE # Time server
dhcp-option = option: ntp-server, 10.10.10.15

# IP: n för NTP-servern är densamma som för dnsmasq
dhcp-option = 42,0.0.0.0

# Följande alternativ är de som Samba rekommenderar för
# ISC-DHCP-serverservrar på din sida
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# De är anpassade för fallet där Samba-servern # körs på samma dnsmasq-server. # Du kan avmarkera vissa eller alla av dem om du använder # Windows-klienter och Samba-servern på ditt LAN. # dhcp-option = 19,0 # option ip-vidarebefordran av dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP-namnserver. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Nodtyp

För att lära dig mer om dnsmasqrekommenderar vi att du läser filen noggrant dnsmasq.conf, som vi heter hur dnsmasq.conf.original. Det är pastabibeln om denna tjänst. Det är på engelska.

Vi startar om tjänsten:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


Vi deklarerar de fasta IP-adresserna för servrar på vårt LAN i filen / Etc / hosts från själva servern där dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 lokal värd 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Varje gång vi lägger till ett namn och en IP i filen / Etc / hosts måste vi tvinga om laddningen av tjänsten så att den tillagda värden känns igen av kommandona värd, gräva y nslookup, både på själva servern och för resten av arbetsstationerna som har fått en IP från den här servern:

: ~ # service dnsmasq force-reload

anteckning: Filen där dnsmasq lagrar de IP-adresser som beviljats ​​eller «Hyresavtal», Är /var/lib/misc/dnsmasq.leasing.

NTP-server

Primär källa konsulterad"Serverkonfiguration med GNU / Linux. Utgåva januari 2012. Författare: Joel Barrios Dueñas ».

Vi installerar och konfigurerar:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Vi redigerar filen som nu är tom /etc/ntp.conf och vi lämnar det med följande innehåll:

# Standardpolicyn är inställd för alla # tidsserver som används: tidssynkronisering # med källorna är tillåten, men utan att källan # tillfrågar (ingen fråga), eller modifierar tjänsten i # systemet (nomodify) och avvisande tillhandahållslogg meddelanden (notrap). begränsa standard nomodify notrap noquery # Tillåt all åtkomst till system # returgränssnitt. begränsa 127.0.0.1 # Det lokala nätverket får synkronisera med servern # men utan att de kan ändra systemkonfigurationen #, och utan att använda dem som lika med att synkronisera. begränsa 10.10.10.0 mask 255.255.255.0 nomodify notrap # Odisciplinerad lokal klocka. # Detta är en emulerad drivrutin som endast används som # backup när ingen av de faktiska teckensnitten är # tillgängliga. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Variationsfil. driftfil / var / lib / ntp / drift utsändningsfördröjning 0.008 ## OM DU HAR INTERNETTILLGÅNG # Lista över stratum 1 eller 2 tidsservrar. # Det rekommenderas att minst 3 servrar listas. # Fler servrar på: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Om du har tillgång till internet, kan du inte kommentera följande 3 rader #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Behörigheter som ska tilldelas för varje tidsserver. # I exemplen får källor inte fråga, # modifierar tjänsten i systemet eller skickar registreringsnummer. ## Om du har tillgång till internet, avmarkera följande 3 rader #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org mask 255.255.255.255 nomodify notrap noquery # Spridning till kunder är aktiverad
sändningsklient

Vi startar om NTP-tjänsten:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP-klient

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Vi redigerar filen som nu är tom /etc/ntp.conf och vi lämnar det med följande innehåll:

server mildap.amigos.cu

Kontroll av klienten

Låt oss till exempel ta vår klient debian7.amigos.cu, som vi tidigare har installerat openssh-server-paketet på.

root @ debian7: ~ # ssh-debian7
root @ debian7s lösenord: [----] root @ debian7: ~ # ifconfig
eth0 Länkkapsling: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Mask: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Omfattning: Länk UPP BROADCAST RUNNING MULTICAST MTU: 1500 Metrisk: 1 RX-paket: 4967 fel: 0 tappade: 0 överskridanden: 0 ram: 0 TX-paket: 906 fel: 0 tappade: 0 överskridanden: 0 bärare: 0 kollisioner: 0 txqueuelen: 1000 RX-byte: 6705409 (6.3 MiB) TX-byte: 93635 (91.4 KiB) Avbrott: 10 Basadress: 0x6000 lo Länkkapsel: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Omfattning: Host UP LOOPBACK RUNNING MTU: 1 Metrisk: 8 RX-paket: 0 fel: 0 tappade: 0 överskridanden: 0 ram: 8 TX-paket: 0 fel: 0 tappade : 0 överskridanden: 0 bärare: 0 kollisioner: 0 txqueuelen: 480 RX byte: 480.0 (480 B) TX byte: 480.0 (XNUMX B)

Vi har redan verifierat att du har fått en IP-adress från dnsmasq installerad på vår OpenLDAP-server. Därför fungerar den tjänsten korrekt. Låt oss nu kontrollera NTP-tjänsten, som kan ta flera sekunder:

: ~ # ntpdate -u mildap.amigos.cu
25 jan 20:07:00 ntpdate [4608]: stegtidsserver 10.10.10.15 offset -0.633909 sek

När det gäller NTP-tjänsten fungerar allt OK.

Andra kontroller:

root @ debian7: ~ # gräva gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; FRÅGA AVSNITT :; gandalf.amigos.cu. I EN [----] ;; SVAR-AVSNITT: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # gräva gandalf
[----] ;; FRÅGA AVSNITT :; gandalf. I EN [----] ;; SVAR-AVSNITT: gandalf. 0 IN A 10.10.10.1 [----] root @ debian7: ~ # gräva miwww
[----] ;; FRÅGA AVSNITT :; miwww. I EN [----] ;; SVAR-AVSNITT: miwww. 0 IN A 10.10.10.5 [----] root @ debian7: ~ # gräva debian7
[----] ;; FRÅGA AVSNITT :; debian7. I EN [----] ;; SVAR-AVSNITT: debian7. 0 IN A 10.10.10.153 [----] root @ debian7: ~ # värd mildap
mildap.amigos.cu har adress 10.10.10.15 Värd mildap.amigos.cu hittades inte: 5 (AVSLAGAD) Värd mildap.amigos.cu hittades inte: 5 (AVSLAGAD) root @ debian7: ~ # värd mildap.amigos.cu
mildap.amigos.cu har adress 10.10.10.15 Värd mildap.amigos.cu.amigos.cu hittades inte: 5 (AVSLAGAD) Värd mildap.amigos.cu.amigos.cu hittades inte: 5 (REFUSED)

Och eftersom de två installerade och konfigurerade tjänsterna fungerar mycket bra stänger vi kommunikationen för idag till nästa del av artikeln om hur man implementerar DNS- och DHCP-tjänster genom att uppdatera DNS, baserat på Bind9 och ISC-DHCP-Server, för de som hanterar något större och mer komplicerade nätverk.

Fram till nästa gång vänner !!!