LDAP [2] ile Dizin Hizmeti: NTP ve dnsmasq

Merhaba arkadaşlar!. Hizmetleri uygulamaya ve yapılandırmaya başladık. Elbette basit olması gerekli Dizin hizmeti dayanarak OpenLDAPdüzgün çalışması için temel hizmetlere sahip olun. Bunların arasında hizmetlerimiz var DNS veya «DOmain Name Sistem' DHCP veya » Dynamik Host CTARAFINDAN YAPILANDIRILABİLİR Protokol«Ve NTP veya «Network Time Protokol".

Kullanacağımız temel işletim sistemi, Debian 6 "Sıkıştır". Açıklanan yöntemlerin çoğu aşağıdakiler için kullanılabilir: Ubuntu 12.04 "Kesin", Ve içinde Debian 7 "Wheezy".

Önemsiz görünse de - aslında makalelerimiz biraz uzun sürüyor - tanımlar ve okuyucular tarafından bunların incelenmesi gereklidir. Okuyabiliyorsunuz ve bazıları okuyamıyor bile ve doğrudan "tavuk ve tavuklu pilav" ye gidiyorsunuz. Büyük hata. Ve tecrübeli olanlardan bahsetmiyorum, çünkü onlar başlığı görür görmez ilgilenip ilgilenmediklerini anlıyorlar.

İş Ağlarının liderliğinde başlayanlara atıfta bulunuyoruz. Onlardan tanımları okumalarını ve bağlantıları takip etmelerini, komut satırı veya kod olması gerekmeyen kavramsal bölümleri incelemelerini ve ardından makalenin geri kalanını takip etmelerini istiyoruz.

Bu şekilde, cevapları tam olarak bu tanımların ve girişlerin kısmında yer alan soruları sorarken ve cevaplarken hem onlara hem de bize çok zaman kazandıracağız. 🙂

Bir ağ yöneticisi veya bir bilgisayar bilimcisi için temel ve en önemli programlama dilinin İngilizce olduğunu da hemen söylemek istiyoruz. :-). İngilizce konusunda uzman olmadığımız için her zaman çeviri sağlayamayız.

Tabii devam etmeden önce okumanızı şiddetle tavsiye ederiz Giriş bu makale dizisine.

Tanımlar gerekli

Wikipedia'dan alınmıştır:

dnsmask. Hafif bir DNS, TFTP ve DHCP sunucusudur. Amacı, bir yerel alan ağına DNS ve DHCP hizmetleri sağlamaktır. Bir makinenin adına dayalı olarak bir IP adresi isteyen istemcilerden talepler alan DNS protokolünün ücretsiz bir uygulamasıdır. Sunucu, IP'yi sağlayarak bu isteklere yanıt verecektir.

DNS Alan Adı Sistemi (o DNS, İspanyolca, alan adı sistemi). Bilgisayarlar, hizmetler veya internete veya özel bir ağa bağlı herhangi bir kaynak için hiyerarşik bir isimlendirme sistemidir. Bu sistem, çeşitli bilgileri katılımcıların her birine atanan alan adlarıyla ilişkilendirir. En önemli işlevi, insan tarafından anlaşılır isimleri ağa bağlı bilgisayarlarla ilişkili ikili tanımlayıcılara çevirmektir (çözümlemek), bu, bu bilgisayarları dünya çapında bulup adresleyebilmek için.

DHCP (kısaltması Dynamik Host CTARAFINDAN YAPILANDIRILABİLİR Protocol) bir ağdaki düğümlere izin veren bir ağ protokolüdür IP yapılandırma parametrelerini otomatik olarak alın. Tipik bir protokoldür müşteri sunucusu Bir sunucunun genel olarak dinamik IP adreslerinin bir listesine sahip olduğu ve bunları istemcilere özgür hale geldikçe atadığı, bu IP'ye kimin sahip olduğunu, ne kadar süredir sahip olduklarını ve kimin atandığını bilerek sonra.

NTP o Ağ Zaman Protokolü, ağ üzerindeki iş istasyonlarının saatlerini senkronize etmek için tasarlanmış bir protokoldür. Bu protokolün 3. Versiyonu, RFC 1305'te resmileştirilmiş bir İnternet Taslak Standardıdır. NTP versiyon 4 protokolü bahsedilen standardın önemli bir revizyonudur ve geliştirme aşamasındadır, ancak henüz bir RFC'de resmileştirilmemiştir. NTP (SNTP) sürüm 4'ün basit bir sürümü RFC 2030'da açıklanmıştır

ISC-DHCP-SUNUCUSU (İnternet Yazılım Konsorsiyumu DHCP Sunucusu). Bir DHCP sunucusu, bir IP ağ yapılandırması talep eden istemcilerden istekleri alan DHCP protokolünün ücretsiz bir uygulaması olan bir sunucudur. Sunucu, istemcilerin kendilerini yapılandırmasına izin veren parametreleri sağlayarak bu isteklere yanıt verecektir. Bir bilgisayarın bir sunucudan yapılandırma talep etmesi için, bilgisayarın ağ yapılandırmasında, IP adresini otomatik olarak alma seçeneğini seçin.

Kerberos iki amacı olan bir kullanıcı kimlik doğrulama sistemidir:

• Anahtarların ağ üzerinden gönderilmesini ve sonuç olarak ifşa edilmelerinin Riski olmasını önleyin.
• Tüm ağ için tek bir kullanıcı veritabanını koruyarak kullanıcı kimlik doğrulamasını merkezileştirin.

Bir güvenlik protokolü olarak Kerberos, Simetrik Anahtar Şifrelemesini kullanır; bu, şifrelemek için kullanılan anahtarın, kullanıcıların şifresini çözmek veya kimliklerini doğrulamak için kullanılan anahtarla aynı olduğu anlamına gelir. Bu, güvenli olmayan bir ağdaki iki bilgisayarın kimliklerini birbirlerine güvenli bir şekilde kanıtlamasına olanak tanır. Kerberos daha sonra, iş istasyonlarında bulunan kullanıcıların bir ağ üzerinden dağıtılan sunucularda bu hizmetlere eriştiği açık bir dağıtılmış ortam varsayarak, erişimi yalnızca yetkili kullanıcılarla sınırlar ve hizmetlere yönelik istekleri doğrular.

DNS ve DHCP hizmetlerinin hangi uygulamasını geliştireceğiz?

İki tane geliştireceğiz: olanı dnsmask, ve aşağıdaki makalelerde karşılık gelen bağlama9 y el ISC-DHCP-Sunucusu. Bir DNS'nin nasıl uygulandığını ve yapılandırıldığını ayrıntılı olarak öğrenmek isteyenler için şu makaleyi okumanızı öneririz «Debian 6.0'da LAN için Birincil Ana DNS nasıl kurulur ve yapılandırılır»

Neden DNS, DHCP ve NTP hizmetlerine ihtiyacımız var?

• DNS: Kurumsal ağımıza bağlanacak bilgisayarların ana bilgisayarlarının adları ve IP adreslerini içeren bir veri tabanı tutmak, böylece onları IP adresleri yerine isimleriyle arayabiliriz.
• DHCP: IP adresini ve ilgili parametreleri yapılandırmak için istemci bilgisayarın bulunduğu yere gitmekten kaçının. DHCP aracılığıyla, istemcinin IP adresini, alt ağ maskesini, ağ geçidini, başvurması gereken DNS sunucusunu, LAN'ımızın posta sunucusunun IP adresini, düğüm türünü, NetBIOS isim sunucusunu otomatik olarak yapılandırıyoruz. ve diğer birçok parametre. Açıkçası, bu hizmetle, istemci bilgisayarlarda bu kadar önemli bir yönden manuel yapılandırma hatalarını önleyebiliriz.
• NTP: Yakın gelecekte Kerberos'u LDAP sunucumuza entegre etmeye karar verirsek, bu hizmete ihtiyacımız olacak. Kerberos, büyük ölçüde NTP protokolüne ve DNS hizmetlerine güvenir.

DNS ve DHCP hizmetlerini LDAP sunucusuna entegre edecek miyiz?

Şimdilik cevap HAYIR. Başlangıçta HAYIR. OpenLDAP konusu başlı başına biraz tekniktir. Ve başlangıçta bu tür bir entegrasyonla hayatımızı karmaşıklaştırırsak, çok uzağa gidemeyiz. Unutmayın ki ClearOS, kullanın dnsmask. Bitki bu arada kullanır bağlama9 y el DHCP Sunucu ile bütünleştirmeden sunucu LDAP.

Atların bacaklarının arasına girmemek için basitten komplekse geçelim. 🙂

Örnek ağ

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Dnsmasq sunucusu

Kuruyoruz ve yapılandırıyoruz:

: ~ # aptitude dnsmasq yükle: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Şimdi boş olan dosyayı düzenleriz /etc/dnsmasq.conf ve aşağıdaki içerikle bırakıyoruz:

: ~ # nano /etc/dnsmasq.conf
# Asla nokta # veya alan adı parçası olmadan düz adları iletmeyin; alan adı = friends.cu # Yönlendirilmemiş # adres alanında adresleri iletmeyin. bogus-priv # Ad sunucularını # /etc/resolv.conf dosyasında göründükleri sırayla sorgulayın # Sorgulara verilen yanıtlar yalnızca # / etc / hosts'dan veya DHCP'den gelecektir. local = / localnet /
# ARAYÜZ İLE GÖZ
arabirim = eth1
expand-hosts # Aralığı ihtiyaçlarınıza göre değiştirin # ve ayrıca IP adresinin kiralama süresi #
dhcp-range = 10.10.10.150,10.10.10.200,12h # RANGE için seçenekler # Zaman sunucusu
dhcp-seçeneği = seçenek: ntp-server, 10.10.10.15

# NTP sunucusunun IP'si, dnsmasq'inki ile aynıdır
dhcp-seçeneği = 42,0.0.0.0

# Aşağıdaki seçenekler Samba'nın önerdiği seçeneklerdir
# Sayfanızdaki ISC-DHCP-Server sunucuları
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Samba sunucusunun # aynı dnsmasq sunucusunda çalıştığı durum için uyarlanmıştır. # LAN'ınızda Windows istemcileri ve Samba sunucusunu kullanırsanız, bunların bir kısmını veya tamamını # geri alabilirsiniz. # dhcp-option = 19,0 # seçenek ip yönlendirme kapalı dhcp-seçeneği = 44,0.0.0.0 # TCP / IP üzerinden NetBIOS ad sunucusu. WINS
dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Dağıtım Sunucusu dhcp-option = 46,8 # NetBIOS Düğüm Türü

Hakkında daha fazla bilgi edinmek için dnsmask, dosyayı dikkatlice okumanızı öneririz dnsmasq.confnasıl adlandırdığımız dnsmasq.conf.orijinal. Bu hizmetle ilgili Makarna İncili. İngilizcedir.

Hizmeti yeniden başlatıyoruz:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.


LAN'ımızdaki sunucuların sabit IP adreslerini dosyada beyan ederiz / Etc / hosts sunucunun kendisinden dnsmask.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww

Dosyaya her seferinde bir isim ve IP ekliyoruz / Etc / hosts , eklenen ana bilgisayarın komutlar tarafından tanınması için hizmetin yeniden yüklenmesini zorlamalıyız ev sahibi, kazmak y nslookup, hem sunucunun kendisinde hem de bu sunucudan bir IP almış olan iş istasyonlarının geri kalanı için:

: ~ # hizmet dnsmasq zorla yeniden yükleme

Dikkat: Dosyanın dnsmask verilen IP adreslerini saklar veya «Kiralamalar», /var/lib/misc/dnsmasq.leases.

NTP sunucusu

Danışılan birincil kaynak'GNU / Linux ile sunucu yapılandırması. Ocak 2012 baskısı Yazar: Joel Barrios Dueñas ».

Kuruyoruz ve yapılandırıyoruz:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Şimdi boş olan dosyayı düzenleriz /etc/ntp.conf ve aşağıdaki içerikle bırakıyoruz:

# Varsayılan politika, kullanılan herhangi bir # zaman sunucusu için ayarlanır: kaynaklarla zaman senkronizasyonuna # izin verilir, ancak kaynak # 'nin sorgulamasına (sorgulama) veya # sistemde hizmeti değiştirmesine (nomodify) ve reddetmesine izin verilmeden günlük # mesajları sağlayın (notrap). restrict default nomodify notrap noquery # Sistem # dönüş arayüzüne tüm erişime izin ver. restrict 127.0.0.1 # Yerel ağın sunucu # ile senkronize olmasına izin verilir, ancak bu sunucuların # sistemin yapılandırmasını değiştirmelerine izin verilmez ve bunları eşit olarak eşit olarak kullanmadan. restrict 10.10.10.0 mask 255.255.255.0 nomodify notrap # Disiplinsiz yerel saat. # Bu, yalnızca gerçek yazı tiplerinden # hiçbiri mevcut olmadığında yedek olarak # kullanılan öykünülmüş bir sürücüdür. fudge 127.127.1.0 stratum 10 sunucusu 127.127.1.0 # Varyasyon dosyası. driftfile / var / lib / ntp / drift yayın gecikmesi 0.008 ## İNTERNET ERİŞİMİNİZ VARSA # 1. veya 2. katman zaman sunucularının listesi. # Listelenen en az 3 sunucunun olması önerilir. # Daha fazla sunucu: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## İnternet erişiminiz varsa, açıklamayı kaldırın aşağıdaki 3 satırdan #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Sunucuya her zaman atanacak izinler. # Örneklerde, kaynakların sistemdeki hizmeti sorgulamasına, # değiştirmesine veya kayıt # mesaj göndermesine izin verilmez. ## İnternet erişiminiz varsa, aşağıdaki 3 satırın açıklamasını kaldırın #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool.ntp.org maskesi 255.255.255.255 nomodify notrap noquery # Müşterilere dağıtım etkinleştirildi
yayın müşterisi

NTP hizmetini yeniden başlatıyoruz:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

NTP istemcisi

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf


Şimdi boş olan dosyayı düzenleriz /etc/ntp.conf ve aşağıdaki içerikle bırakıyoruz:

sunucu mildap.amigos.cu

Müşteri Üzerindeki Kontroller

Örneğin, müşterimizi ele alalım debian7.amigos.cudaha önce openssh-server paketini kurduğumuz.

kök @ debian7: ~ # ssh-debian7
root @ debian7 şifresi: [----] root @ debian7: ~ # ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet adres: 10.10.10.153 Bcast: 10.10.10.255 Maske: 255.255.255.0
          inet6 adres: fe80 :: 5054: ff: fe8f: eef6 / 64 Kapsam: Bağlantı YAYIN ÇALIŞMA ÇOKLU YAYIN MTU: 1500 Metrik: 1 RX paketi: 4967 hata: 0 bırakılan: 0 aşma: 0 çerçeve: 0 TX paketi: 906 hatası: 0 bırakıldı: 0 aşma: 0 taşıyıcı: 0 çarpışma: 0 txqueuelen: 1000 RX bayt: 6705409 (6.3 MiB) TX baytı: 93635 (91.4 KiB) Kesinti: 10 Temel adres: 0x6000 lo Bağlantı enkap: Yerel Geri Döngü giriş adresi: 127.0.0.1. 255.0.0.0 Maske: 6 inet1 adres: :: 128/16436 Kapsam: Host UP LOOPBACK RUNNING MTU: 1 Metrik: 8 RX paketi: 0 hata: 0 bırakıldı: 0 aşma: 0 çerçeve: 8 TX paketi: 0 hata: 0 düştü : 0 aşma: 0 taşıyıcı: 0 çarpışma: 0 txqueuelen: 480 RX baytı: 480.0 (480 B) TX baytı: 480.0 (XNUMX B)

Adresinden bir IP adresi aldığınızı zaten doğruladık. dnsmask OpenLDAP sunucumuza yüklendi. Bu nedenle, bu hizmet doğru çalışıyor. Şimdi birkaç saniye sürebilen NTP servisini kontrol edelim:

: ~ # ntpdate -u mildap.amigos.cu
25 Ocak 20:07:00 ntpdate [4608]: adım zaman sunucusu 10.10.10.15 ofset -0.633909 sn

NTP hizmetiyle ilgili olarak, her şey yolunda gidiyor.

Diğer kontroller:

kök @ debian7: ~ # kaz gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; SORU BÖLÜM :; gandalf.amigos.cu. İÇİNDE [----] ;; CEVAP BÖLÜMÜ: gandalf.amigos.cu. 0 IN A 10.10.10.1 [----] kök @ debian7: ~ # gandalf kazmak
[----] ;; SORU BÖLÜM :; gandalf. İÇİNDE [----] ;; CEVAP BÖLÜMÜ: gandalf. 0 IN A 10.10.10.1 [----] kök @ debian7: ~ # kazmak miwww
[----] ;; SORU BÖLÜM :; miwww. İÇİNDE [----] ;; CEVAP BÖLÜMÜ: miwww. 0 IN A 10.10.10.5 [----] kök @ debian7: ~ # kazmak debian7
[----] ;; SORU BÖLÜMÜ :; debian7. İÇİNDE [----] ;; CEVAP BÖLÜMÜ: debian7. 0 IN A 10.10.10.153 [----] kök @ debian7: ~ # ev sahibi softap
mildap.amigos.cu, 10.10.10.15 adresine sahip. hafifap.amigos.cu barındırın
mildap.amigos.cu, 10.10.10.15 adresine sahip.

Ve yüklenen ve yapılandırılan iki hizmet çok iyi çalıştığı için, Bind9 ve ISC-DHCP-Sunucusuna dayalı olarak DNS'yi güncelleyerek DNS ve DHCP hizmetlerinin nasıl uygulanacağına ilişkin makalenin bir sonraki bölümüne kadar iletişimi bugün için kapatıyoruz. biraz daha büyük ve karmaşık ağları yönetenler için.

Bir dahaki sefere kadar arkadaşlar !!!