Служба каталогів з LDAP [2]: NTP та dnsmasq

Привіт, друзі!. Ми почали впроваджувати та налаштовувати служби. Звичайно потрібно, щоб наші прості Служба довідників на основі OpenLDAP, мають основні послуги для нормальної роботи. Серед них ми маємо послуги DNS або «Domain NAme System« DHCP або » Dінамічний Host Cна конфігурацію Pротокол«, І до NTP або «NЦех Tім'я Pротокол".

Основною операційною системою, яку ми будемо використовувати, є Debian 6 "Стиснення". Більшість описаних методів можуть бути використані для Ubuntu 12.04 "Точний", а в Debian 7 "свистячий".

Хоча це здається дрібницею - насправді наші статті роблять трохи довгими - визначення, і вивчення їх читачами є необхідними. Ви можете, а деякі навіть не читають їх і переходять прямо до "курки та рису з куркою". Велика помилка. І я не маю на увазі досвідчених, бо вони, як тільки побачать заголовок, знають, зацікавлені вони чи ні.

Ми маємо на увазі тих, хто починає керувати бізнес-мережами. Ми просимо їх прочитати визначення та перейти за посиланнями, заглибитися в концептуальні частини, які не є обов’язково командними рядками чи кодом, а потім слідувати решті статті.

Таким чином ми заощадимо багато часу як для них, так і для нас, задаючи та відповідаючи на запитання, відповіді яких саме в тій частині цих визначень та вступів. 🙂

Ми також хочемо раз і назавжди сказати, що основною та найважливішою мовою програмування для мережевого адміністратора або комп’ютерщика є англійська мова. :-). Ми не завжди можемо надати переклади, оскільки ми не знаємо англійської мови.

Звичайно, перед тим, як продовжити, ми настійно рекомендуємо прочитати Введення до цієї серії статей.

Потрібні визначення

Взято з Вікіпедії:

dnsmasq. Це легкий сервер DNS, TFTP та DHCP. Його метою є надання послуг DNS та DHCP локальній мережі. Це безкоштовна реалізація протоколу DNS, яка отримує запити від клієнтів, що вимагають IP-адресу на основі імені машини. Сервер відповість на ці запити, надавши IP.

DNS Система доменних імен (o DNS, іспанською, система доменних імен). Це ієрархічна система номенклатури для комп’ютерів, послуг або будь-якого ресурсу, підключеного до Інтернету або приватної мережі. Ця система пов'язує різну інформацію з доменними іменами, призначеними кожному з учасників. Його найважливіша функція - перекласти (розпізнати) зрозумілі для людини імена у двійкові ідентифікатори, пов'язані з комп'ютерами, підключеними до мережі, для того, щоб знайти і звернутися до цих комп'ютерів у всьому світі.

DHCP (скорочення від Dінамічний Host Cна конфігурацію Protocol) - це мережевий протокол, який дозволяє вузли в мережі IP отримати параметри конфігурації автоматично. Це протокол типу клієнт / сервер в якому сервер, як правило, має список динамічних IP-адрес і призначає їх клієнтам, коли вони стають вільними, знаючи весь час, хто володіє цим IP, як довго у нього є і кому тоді було призначено.

NTP o Мережевий протокол часу - це протокол, призначений для синхронізації годинників робочих станцій через мережу. Версія 3 цього протоколу є Інтернет-проектом стандарту, оформлена в RFC 1305. Протокол версії 4 NTP є важливою редакцією згаданого стандарту і знаходиться в стадії розробки, але ще не був офіційно оформлений у RFC. Проста версія NTP (SNTP) версії 4 описана в RFC 2030

ISC-DHCP-СЕРВЕР (Сервер DHCP Інтернет-програмного консорціуму). Сервер DHCP - це сервер, який є безкоштовною реалізацією протоколу DHCP, який отримує запити від клієнтів, що вимагають конфігурації IP-мережі. Сервер відповість на ці запити, надавши параметри, що дозволяють клієнтам налаштовуватися самостійно. Щоб ПК запитував конфігурацію із сервера, у мережевій конфігурації ПК виберіть опцію автоматичного отримання IP-адреси.

Керберос - це система автентифікації користувача, яка має подвійну мету:

  • Запобігайте надсиланню ключів через мережу з подальшим ризиком їх розкриття.
  • Централізуйте автентифікацію користувачів, підтримуючи єдину базу даних користувачів для всієї мережі.

Kerberos як протокол безпеки використовує криптографію симетричних ключів, що означає, що ключ, який використовується для шифрування, є тим самим ключем, який використовується для дешифрування або автентифікації користувачів. Це дозволяє двом комп’ютерам у незахищеній мережі надійно довести свою особу одне одному. Потім Kerberos обмежує доступ лише до авторизованих користувачів і аутентифікує запити до служб, припускаючи відкрите розподілене середовище, в якому користувачі, розташовані на робочих станціях, отримують доступ до цих служб на серверах, розподілених по мережі.

Яку реалізацію служб DNS та DHCP ми розробимо?

Ми розробимо два: той, що базується на dnsmasq, а в наступних статтях та, що відповідає Пов'язувати9 у-ель- ISC-DHCP-сервер. Тим, хто хоче детально дізнатися, як впроваджено та налаштовано DNS, рекомендуємо прочитати статтю «Як встановити та налаштувати основний головний DNS для локальної мережі на Debian 6.0»

Навіщо нам потрібні служби DNS, DHCP та NTP?

  • DNS: Вести базу даних з іменами хостів та їх IP-адрес, комп’ютерів, які будуть під’єднані до нашої корпоративної мережі, щоб ми могли називати їх за їхніми іменами, а не за їх IP-адресами.
  • DHCP: Уникайте переїзду до місця, де знаходиться клієнтський комп'ютер, щоб налаштувати його IP-адресу та відповідні параметри. Через DHCP ми автоматично налаштовуємо IP-адресу клієнта, його маску підмережі, шлюз, DNS-сервер, до якого він повинен проконсультуватися, IP-адресу поштового сервера нашої локальної мережі, тип вузла, сервер імен NetBIOS та багато інших параметрів . Очевидно, що за допомогою цієї служби ми можемо уникнути помилок конфігурації, що мають такий важливий аспект, на клієнтських комп'ютерах.
  • NTP: Якщо найближчим часом ми вирішимо інтегрувати Kerberos на наш сервер LDAP, нам знадобиться ця послуга. Kerberos значною мірою покладається на протокол NTP та служби DNS.

Чи будемо ми інтегрувати служби DNS і DHCP на сервер LDAP?

Наразі відповідь - НІ. Спочатку НІ. Тема OpenLDAP сама по собі трохи технічна. І якщо ми ускладнимо своє життя таким типом інтеграції з самого початку, ми далеко не зайдемо. Зверніть увагу, що ClearOS, використовуйте dnsmasq. Зенталь тим часом використовує Пов'язувати9 у-ель- DHCP Сервер без інтеграції їх із сервером LDAP.

Переходимо від простого до складного, щоб не потрапити між ніг коней. 🙂

Приклад мережі

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Сервер Dnsmasq

Встановлюємо та налаштовуємо:

: ~ # aptitude встановити dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

Ми редагуємо файл, який зараз порожній /etc/dnsmasq.conf і ми залишаємо його з таким змістом:

: ~ # nano /etc/dnsmasq.conf
# Ніколи не передавайте звичайні імена без крапки # або частини домену, необхідного домену domain = amigos.cu # Не передавайте адреси в нерутифікованому # адресному просторі. фіктивний-прив # Запитуйте сервери імен у # порядку, в якому вони відображаються у файлі # /etc/resolv.conf суворий порядок # Відповіді на запити надходитимуть лише з # / etc / hosts або з DHCP. local = / localnet /
# ОЧЕ З ІНТЕРФЕЄСОМ
інтерфейс = eth1
expand-hosts # Змініть діапазон відповідно до ваших потреб #, а також час оренди # IP-адреси
dhcp-range = 10.10.10.150,10.10.10.200,12h # Параметри для RANGE # Сервер часу
dhcp-option = option: ntp-сервер, 10.10.10.15

# IP-адреса сервера NTP така ж, як і у dnsmasq
dhcp-option = 42,0.0.0.0

# Наступні варіанти є тими, які рекомендує Samba
# Сервери ISC-DHCP-сервера на вашій сторінці
# http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt
# Вони адаптовані для випадку, коли сервер Samba # працює на тому самому сервері dnsmasq. # Ви можете прокоментувати деякі або всі, якщо ви використовуєте # клієнтів Windows та сервер Samba у вашій локальній мережі. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP server name. ПЕРЕГЛЯД
dhcp-option = 45,0.0.0.0 # Сервер розподілу датаграм NetBIOS dhcp-option = 46,8 # Тип вузла NetBIOS

Щоб дізнатись більше про dnsmasq, рекомендуємо уважно прочитати файл dnsmasq.conf, який ми називаємо як dnsmasq.conf.original. Це Паста Біблія про цю послугу. Це англійською мовою.

Ми перезапускаємо послугу:

:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.

У файлі ми оголошуємо фіксовані IP-адреси серверів у нашій локальній мережі / Etc / хостів з самого сервера, де dnsmasq.

: ~ # nano / etc / hosts
27.0.0.1 localhost 10.10.10.15 mildap.amigos.cu mildap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 mi www.amigos.cu miwww

Кожного разу, коли ми додаємо ім’я та IP-адресу до файлу / Etc / хостів , ми повинні змусити перезавантажити службу, щоб доданий хост був розпізнаний командами господар, копати y Nslookup, як на самому сервері, так і для решти робочих станцій, які отримали IP-адресу від цього сервера:

: ~ # служба dnsmasq примусово перезавантажити

Увага: Файл, у якому dnsmasq зберігає надані IP-адреси або «Оренда», є /var/lib/misc/dnsmasq.leases.

NTP-сервер

Консультація з первинним джерелом: «Конфігурація сервера з GNU / Linux. Видання за січень 2012. Автор: Джоель Барріос Дуєнас ».

Встановлюємо та налаштовуємо:

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Ми редагуємо файл, який зараз порожній /etc/ntp.conf і ми залишаємо його з таким змістом:

# Політика за замовчуванням встановлена ​​для будь-якого # використовуваного сервера часу: дозволена синхронізація часу # з джерелами, але не дозволяючи джерелу # запитувати (noquery), або змінювати службу в системі # (nomodify) та відхиляючи журнал надання # повідомлення (notrap). обмежити за замовчуванням nomodify notrap noquery # Дозволити весь доступ до інтерфейсу system # return. обмежити 127.0.0.1 # Локальній мережі дозволено синхронізуватись із сервером #, але не дозволяючи їм змінювати конфігурацію системи #, і без використання їх як рівних для синхронізації. обмежити 10.10.10.0 маска 255.255.255.0 nomodify notrap # Недисциплінований місцевий годинник. # Це емульований драйвер, який використовується лише як # резервна копія, коли жоден з фактичних шрифтів не доступний. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Файл варіації. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## ЯКЩО У ВАС ДОСТУП ДО ІНТЕРНЕТУ # Список серверів часу 1 або 2 # Рекомендується мати принаймні 3 сервери в списку. # Більше серверів за адресою: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Якщо у вас є доступ до Інтернету, прокоментуйте наступні 3 рядки #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Дозволи, які слід призначити кожному серверу часу. # У прикладах джерелам заборонено запитувати, # змінювати службу в системі або надсилати # повідомлення про реєстрацію. ## Якщо у вас є доступ до Інтернету, прокоментуйте наступні 3 рядки #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org маска 255.255.255.255 nomodify notrap noquery # Поширюється розповсюдження серед споживачів
трансляційний клієнт

Ми перезапускаємо службу NTP:

:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.

Клієнт NTP

:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf

Ми редагуємо файл, який зараз порожній /etc/ntp.conf і ми залишаємо його з таким змістом:

сервер mildap.amigos.cu

Перевірки на клієнта

Для прикладу візьмемо нашого клієнта debian7.amigos.cu, до якого ми раніше встановили пакет openssh-server.

root @ debian7: ~ # ssh-debian7
пароль root @ debian7: [----] root @ debian7: ~ # Ifconfig
eth0 Link encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6  
          inet addr: 10.10.10.153 Bcast: 10.10.10.255 Маска: 255.255.255.0
          inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Область дії: Посилання ВГРУЧНА РАБОТА MULTICAST MTU: 1500 Метрика: 1 пакет RX: 4967 помилок: 0 скинуто: 0 перевитрат: 0 кадрів: 0 пакетів TX: 906 помилок: 0 скинуто: 0 перевитрат: 0 несучої: 0 зіткнень: 0 txqueuelen: 1000 байтів RX: 6705409 (6.3 МБ) TX байт: 93635 (91.4 КіБ) Переривання: 10 Базова адреса: 0x6000 lo Обгортання посилання: Локальний Loopback inet addr: 127.0.0.1. 255.0.0.0 Маска: 6 inet1 addr: :: 128/16436 Область дії: Host UP LOOPBACK RUNNING MTU: 1 Метрика: 8 RX-пакети: 0 помилок: 0 скинуто: 0 перевитрат: 0 кадрів: 8 пакетів TX: 0 помилок: 0 скинуто : 0 перевитрат: 0 несучої: 0 зіткнень: 0 txqueuelen: 480 RX байт: 480.0 (480 B) TX байт: 480.0 (XNUMX B)

Ми вже перевірили, що ви отримали IP-адресу від dnsmasq встановлений на нашому сервері OpenLDAP. Тому ця послуга працює коректно. Тепер перевіримо службу NTP, яка може зайняти кілька секунд:

: ~ # ntpdate -u mildap.amigos.cu
25 січня 20:07:00 ntpdate [4608]: сервер часу кроку 10.10.10.15 зміщення -0.633909 сек

Щодо служби NTP, все працює нормально.

Інші перевірки:

root @ debian7: ~ # копати gandalf.amigos.cu

; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; СЕКЦІЯ ПИТАННЯ ;; gandalf.amigos.cu. В [----] ;; РОЗДІЛ ВІДПОВІДІ: gandalf.amigos.cu. 0 В 10.10.10.1 [----] root @ debian7: ~ # копати ґендальфа
[----] ;; СЕКЦІЯ ПИТАННЯ ;; гандальф. В [----] ;; РОЗДІЛ ВІДПОВІДІ: гандальф. 0 В 10.10.10.1 [----] root @ debian7: ~ # копати miwww
[----] ;; РОЗДІЛ ПИТАНЬ :; miwww. В [----] ;; РОЗДІЛ ВІДПОВІДІ: miwww. 0 В 10.10.10.5 [----] root @ debian7: ~ # викопати debian7
[----] ;; РОЗДІЛ ПИТАНЬ :; debian7. В [----] ;; РОЗДІЛ ВІДПОВІДІ: debian7. 0 В 10.10.10.153 р. [----] root @ debian7: ~ # хост mildap
mildap.amigos.cu має адресу 10.10.10.15 Хост mildap.amigos.cu не знайдено: 5 (ВІДМІРЕНО) Хост mildap.amigos.cu не знайдено: 5 (ВІДМІРЕНО) root @ debian7: ~ # хост mildap.amigos.cu
mildap.amigos.cu має адресу 10.10.10.15 Хост mildap.amigos.cu.amigos.cu не знайдено: 5 (ВІДМІРЕНО) Хост mildap.amigos.cu.amigos.cu не знайдено: 5 (ВІДМІРЕНО)

Оскільки дві встановлені та налаштовані служби працюють дуже добре, ми закриваємо зв’язок на сьогоднішній день до наступного розділу статті про те, як впровадити служби DNS та DHCP, оновивши DNS на основі Bind9 та ISC-DHCP-сервера для тих, хто трохи керує більші та складніші мережі.

До наступного разу, друзі !!!


9 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Фега - сказав він

    Я зберігаю його у форматі PDF, щоб потім прочитати краще: / це досить довго

  2.   Кістки - сказав він

    Я не знаю, чому читаючи "dnsmasq", я думав, що там написано "dnscrypt", я виявив це, прочитавши блог perseo і застосував його про всяк випадок
    привіт

  3.   шамотна - сказав він

    Дякую, друже, я завжди говорив, що ваші дописи дуже освітні та дуже цікаві, я дуже ціную вашу співпрацю, говорячи про обмін знаннями, інакше щиро дякую, вітаю

    1.    Федеріко - сказав він

      @firecold, Щиро дякую за ваші слова уваги до того, що я пишу. Вони штовхають мене продовжувати.

      Дякуємо ВСІМ за коментарі

  4.   dhunter - сказав він

    З цією серією статей я збираюся одягнути шорти, щоб побачити, чи не вийду я з 389 із роботи, яка вже болить більше, ніж похмілля.

    Вітаю, Фіцо!

    1.    Федеріко - сказав він

      Привіт друже @dhunter !!!. Припустимо, що Сервер каталогів 389 (використовує Kerberos) та Samba, разом із DHCP та DNS, пропонують клієнтам Windows у мережі, майже функціональність, яку ви отримаєте за допомогою контролера домену Windows 2003. Це все одно, що починати з дуже складного впровадження рішення в мережі для малого та середнього бізнесу. І це практично те, до чого звикли більшість адміністраторів.

      Я намагаюся і намагатимусь у статтях пройти шлях від простого до складного, щоб люди зрозуміли, що в комп’ютерній мережі філософія мереж Microsoft не є необхідною чи суттєвою. Насправді, WWW Village цим взагалі не користується.

      Дотримуйтесь статей, і ви побачите. з повагою

  5.   відагну - сказав він

    Привіт, запит, клієнт і ntp-сервер можуть працювати на одному сервері, тобто, що ntp-сервер синхронізується з інтернет-серверами, і що одночасно він використовує клієнта для оновлення часу того самого сервера?

    Я бачу, що тут у вас є файл ntp.conf для клієнта та інший для сервера, як зробити так, щоб все працювало на одному комп'ютері?

    привіт

    1.    Федеріко - сказав він

      @vidagnu: Якщо ви прочитаєте ще раз і повільно, ви зрозумієте, що NTP-сервер також може бути синхронізований з іншими NTP-серверами в Інтернеті.

      У корпоративній або приватній мережі логічно, що клієнти синхронізують годинник із сервером NTP у цій мережі, а не з Інтернетом.

      Таким чином, трафік зменшується, і локальна мережа працює з часом, який локальний сервер NTP синхронізував з Інтернет-серверами.

      Це схоже на перекручування язика, але це так. Йдеться про встановлення каскадної синхронізації. Тобто NTP-сервер в локальній мережі синхронізує свої годинники з NTP-серверами в Інтернеті, а клієнти в локальній мережі роблять це зі своїм локальним сервером.

  6.   Raiden - сказав він

    Добрий вечір, я прочитав деякі ваші публікації, і вони здаються чудовими, але в цій статті я трохи сумніваюся: в який момент я передаю DHCP-адресу команді debian7, я думаю, з того, що я зрозумів, як присвоїв IP-адресу DHCP команда на сервері mildap, якщо так, мені це не вдалося зробити, вибачте за незручності, вітаю.