Xin chào các bạn!. Chúng tôi bắt đầu triển khai và cấu hình các dịch vụ. Tất nhiên điều cần thiết là Dịch vụ thư mục dựa trên OpenLDAP, có các dịch vụ cơ bản để hoạt động bình thường. Trong số đó chúng tôi có các dịch vụ DNS hoặc là "Dchính Name System", DHCP hoặc là " Dnăng động Host Ccấu hình Pbệnh hoạn«, Và để NTP hoặc là "NEtwork Time Pbệnh hoạn".
Hệ điều hành cơ bản mà chúng tôi sẽ sử dụng là Debian 6 "Bóp". Hầu hết các phương pháp được mô tả có thể được sử dụng để Ubuntu 12.04 "Chính xác", và trong Debian 7 "Wheezy".
Mặc dù nó có vẻ là chuyện vặt - trên thực tế, các bài báo của chúng tôi hơi dài - các định nghĩa và việc nghiên cứu chúng bởi độc giả là cần thiết. Bạn có thể và một số thậm chí không đọc chúng và đi thẳng vào "gà và cơm với gà." Sai lầm lớn. Và tôi không đề cập đến những người có kinh nghiệm, vì họ, ngay khi nhìn thấy tiêu đề, biết họ có quan tâm hay không.
Chúng tôi đề cập đến những người bắt đầu trong vai trò lãnh đạo của Mạng Doanh nghiệp. Chúng tôi yêu cầu họ đọc các định nghĩa và làm theo các liên kết, đi sâu vào các phần khái niệm không nhất thiết phải là dòng lệnh hoặc mã, rồi làm theo phần còn lại của bài viết.
Bằng cách này, chúng ta sẽ tiết kiệm được rất nhiều thời gian, cả họ và chúng ta, trong việc hỏi và trả lời những câu hỏi có câu trả lời chính xác nằm trong phần định nghĩa và giới thiệu đó.
Chúng tôi cũng muốn nói ngay rằng ngôn ngữ lập trình cơ bản và quan trọng nhất đối với một nhà quản trị mạng hoặc cho một nhà khoa học máy tính, là tiếng Anh. :-). Không phải lúc nào chúng tôi cũng cung cấp các bản dịch vì chúng tôi không phải là chuyên gia về ngôn ngữ tiếng Anh.
Tất nhiên, trước khi tiếp tục, chúng tôi thực sự khuyên bạn nên đọc Giới thiệu đến loạt bài viết này.
Định nghĩa cần thiết
Lấy từ Wikipedia:
dnsmasq. Nó là một máy chủ DNS, TFTP và DHCP nhẹ. Mục đích của nó là cung cấp các dịch vụ DNS và DHCP cho một mạng cục bộ. Đây là một triển khai miễn phí của giao thức DNS nhận yêu cầu từ khách hàng yêu cầu địa chỉ IP dựa trên tên của một máy. Máy chủ sẽ phản hồi các yêu cầu này bằng cách cung cấp IP.
DNS Hệ Thống Tên Miền (o DNS, bằng tiếng Tây Ban Nha, hệ thống tên miền). Nó là một hệ thống danh pháp phân cấp cho máy tính, dịch vụ hoặc bất kỳ tài nguyên nào được kết nối với internet hoặc mạng riêng. Hệ thống này liên kết nhiều thông tin với tên miền được gán cho từng người tham gia. Chức năng quan trọng nhất của nó là dịch (phân giải) các tên mà con người có thể hiểu được thành các mã định danh nhị phân được liên kết với các máy tính được kết nối với mạng, điều này nhằm xác định vị trí và địa chỉ của các máy tính này trên toàn thế giới.
DHCP (viết tắt của Dnăng động Host Ccấu hình Protocol) là một giao thức mạng cho phép các nút trên mạng IP tự động nhận các thông số cấu hình của nó. Nó là một giao thức kiểu máy khách / máy chủ trong đó một máy chủ thường có một danh sách các địa chỉ IP động và chỉ định chúng cho các máy khách khi chúng trở nên rảnh rỗi, luôn biết ai đã sở hữu IP đó, đã bao lâu và ai đã được chỉ định sau đó.
NTP o Network Time Protocol, là một giao thức được thiết kế để đồng bộ đồng hồ của các máy trạm thông qua mạng. Phiên bản 3 của giao thức này là Tiêu chuẩn Dự thảo Internet, được chính thức hóa trong RFC 1305. Giao thức NTP phiên bản 4 là một bản sửa đổi quan trọng của tiêu chuẩn đã đề cập và đang được phát triển, nhưng chưa được chính thức hóa trong RFC. Một phiên bản đơn giản của NTP (SNTP) phiên bản 4 được mô tả trong RFC 2030
MÁY CHỦ ISC-DHCP (Máy chủ DHCP của Hiệp hội Phần mềm Internet). Máy chủ DHCP là máy chủ được triển khai miễn phí giao thức DHCP nhận yêu cầu từ máy khách yêu cầu cấu hình mạng IP. Máy chủ sẽ đáp ứng các yêu cầu này bằng cách cung cấp các tham số cho phép máy khách tự cấu hình. Để PC yêu cầu cấu hình từ máy chủ, trong cấu hình mạng của PC, hãy chọn tùy chọn để nhận địa chỉ IP tự động.
Kerberos là một hệ thống xác thực người dùng, có một mục tiêu kép:
- Ngăn không cho các khóa được gửi qua mạng, do đó có nguy cơ bị tiết lộ.
- Tập trung xác thực người dùng, duy trì một cơ sở dữ liệu người dùng duy nhất cho toàn bộ mạng.
Kerberos, với tư cách là một giao thức bảo mật, sử dụng Symmetric Key Cryptography, có nghĩa là khóa được sử dụng để mã hóa chính là khóa được sử dụng để giải mã hoặc xác thực người dùng. Điều này cho phép hai máy tính trên một mạng không an toàn có thể chứng minh danh tính của chúng một cách an toàn với nhau. Sau đó, Kerberos chỉ giới hạn quyền truy cập đối với những người dùng được ủy quyền và xác thực các yêu cầu đối với dịch vụ, giả sử một môi trường phân tán mở, trong đó người dùng tại các máy trạm truy cập các dịch vụ này trên các máy chủ được phân phối trên mạng.
Chúng ta sẽ phát triển những dịch vụ DNS và DHCP nào?
Chúng tôi sẽ phát triển hai: một dựa trên dnsmasq, và trong các bài viết sau, bài viết tương ứng với ràng buộc9 và ISC-DHCP-Máy chủ. Đối với những người muốn tìm hiểu chi tiết cách một DNS được triển khai và cấu hình, chúng tôi khuyên bạn nên đọc bài viết «Cách cài đặt và cấu hình DNS Chính Chính cho mạng LAN trên Debian 6.0»
Tại sao chúng ta cần các dịch vụ DNS, DHCP và NTP?
- DNS: Để duy trì cơ sở dữ liệu với tên của các máy chủ và địa chỉ IP của chúng, của các máy tính sẽ được kết nối với mạng công ty của chúng tôi, để chúng tôi có thể gọi chúng bằng tên thay vì bằng địa chỉ IP của chúng.
- DHCP: Tránh di chuyển đến nơi đặt máy khách, để cấu hình địa chỉ IP và các thông số liên quan. Thông qua DHCP, chúng tôi tự động định cấu hình địa chỉ IP của máy khách, mặt nạ mạng con của nó, cổng vào, máy chủ DNS mà nó cần tham khảo, địa chỉ IP của máy chủ thư trong mạng LAN của chúng tôi, loại nút, máy chủ định danh NetBIOS và nhiều thông số khác . Rõ ràng, với dịch vụ này, chúng tôi có thể tránh được các lỗi cấu hình thủ công của một khía cạnh quan trọng như vậy trên các máy khách.
- NTP: Nếu trong tương lai gần, chúng tôi quyết định tích hợp Kerberos vào máy chủ LDAP của mình, chúng tôi sẽ cần dịch vụ này. Kerberos chủ yếu dựa vào giao thức NTP và các dịch vụ DNS.
Chúng tôi sẽ tích hợp các dịch vụ DNS và DHCP vào máy chủ LDAP chứ?
Câu trả lời cho bây giờ là KHÔNG. Ban đầu là KHÔNG. Bản thân chủ đề OpenLDAP có một chút kỹ thuật. Và nếu chúng ta phức tạp hóa cuộc sống của mình với kiểu tích hợp đó ngay từ đầu, chúng ta sẽ không tiến xa được. Lưu ý rằng ClearOS, sử dụng dnsmasq. zentyal trong khi đó sử dụng ràng buộc9 và DHCP Máy chủ mà không tích hợp chúng với máy chủ LDAP.
Hãy đi từ đơn giản đến phức tạp để không bị kẹt giữa hai chân ngựa.
Ví dụ về mạng
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Máy chủ Dnsmasq
Chúng tôi cài đặt và cấu hình:
: ~ # aptitude install dnsmasq: ~ # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original
Chúng tôi chỉnh sửa tệp hiện đang trống /etc/dnsmasq.conf và chúng tôi để lại nó với nội dung sau:
: ~ # nano /etc/dnsmasq.conf # Không bao giờ chuyển các tên thuần mà không có dấu chấm # hoặc tên miền cần tên miền = friends.cu # Không chuyển các địa chỉ trong không gian địa chỉ # chưa được định tuyến. bogus-priv # Truy vấn máy chủ định danh theo thứ tự # chúng xuất hiện trong tệp # /etc/resolv.conf theo thứ tự nghiêm ngặt # Phản hồi cho các truy vấn sẽ chỉ đến từ # / etc / hosts hoặc từ DHCP. local = / localnet / # MẮT VỚI GIAO DIỆN interface = eth1 expand-hosts # Thay đổi phạm vi theo nhu cầu của bạn # và cả thời gian thuê của # địa chỉ IP dhcp-range = 10.10.10.150,10.10.10.200,12h # Tùy chọn cho RANGE # Máy chủ thời gian dhcp-option = option: ntp-server, 10.10.10.15 # IP của máy chủ NTP giống với IP của dnsmasq dhcp-option = 42,0.0.0.0 # Các tùy chọn sau là những tùy chọn mà Samba đề xuất # Máy chủ ISC-DHCP-Server trên trang của bạn # http://www.samba.org/samba/ftp/docs/textdocs/DHCP-Server-Configuration.txt # Chúng được điều chỉnh cho trường hợp máy chủ Samba # chạy trên cùng một máy chủ dnsmasq. # Bạn có thể bỏ ghi chú một số hoặc tất cả chúng, nếu bạn đang sử dụng máy khách # Windows và máy chủ Samba trên mạng LAN của mình. # dhcp-option = 19,0 # option ip-forwarding off dhcp-option = 44,0.0.0.0 # NetBIOS-over-TCP / IP name server. CHIẾN THẮNG dhcp-option = 45,0.0.0.0 # NetBIOS Datagram Distribution Server dhcp-option = 46,8 # NetBIOS Node Type
Để tìm hiểu thêm về dnsmasq, chúng tôi khuyên bạn nên đọc kỹ tệp dnsmasq.conf, chúng tôi đặt tên như thế nào dnsmasq.conf.origin. Đó là Kinh thánh Pasta về dịch vụ này. Nó bằng tiếng Anh.
Chúng tôi khởi động lại dịch vụ:
:~# service dnsmasq restart
Restarting DNS forwarder and DHCP server: dnsmasq.
Chúng tôi khai báo địa chỉ IP cố định của các máy chủ trên mạng LAN của chúng tôi trong tệp / Etc / hosts từ chính máy chủ nơi dnsmasq.
: ~ # nano / etc / hosts 27.0.0.1 localhost 10.10.10.15 nhẹap.amigos.cu nhẹap 10.10.10.1 gandalf.amigos.cu gandalf 10.10.10.5 miwww.amigos.cu miwww
Mỗi khi chúng tôi thêm tên và địa chỉ IP vào tệp / Etc / hosts , chúng ta phải buộc tải lại dịch vụ để máy chủ được thêm vào được các lệnh nhận dạng chủ nhà, đào y nslookup, cả trên chính máy chủ và đối với phần còn lại của các máy trạm đã nhận được IP từ máy chủ này:
: ~ # dịch vụ dnsmasq buộc tải lại
Ghi: Tệp nơi dnsmasq lưu trữ các địa chỉ IP được cấp hoặc «Hợp đồng thuê», là anh ấy /var/lib/misc/dnsmasq.lease.
Máy chủ NTP
Nguồn chính tham khảo'Cấu hình máy chủ với GNU / Linux. Ấn bản tháng 2012 năm XNUMX. Tác giả: Joel Barrios Dueñas ».
Chúng tôi cài đặt và cấu hình:
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Chúng tôi chỉnh sửa tệp hiện đang trống /etc/ntp.conf và chúng tôi để lại nó với nội dung sau:
# Chính sách mặc định được đặt cho bất kỳ máy chủ # thời gian nào được sử dụng: đồng bộ hóa thời gian # với các nguồn được phép, nhưng không cho phép nguồn # truy vấn (noquery) hoặc sửa đổi dịch vụ trên hệ thống # (nomodify) và từ chối cung cấp nhật ký # tin nhắn (notrap). hạn chế mặc định nomodify notrap noquery # Cho phép tất cả quyền truy cập vào giao diện trả về hệ thống #. hạn chế 127.0.0.1 # Mạng cục bộ được phép đồng bộ hóa với máy chủ # nhưng không cho phép họ sửa đổi cấu hình hệ thống # và không sử dụng chúng như tương đương để đồng bộ hóa. hạn chế 10.10.10.0 mask 255.255.255.0 nomodify notrap # Đồng hồ cục bộ vô kỷ luật. # Đây là một trình điều khiển giả lập chỉ được sử dụng làm bản sao lưu # khi không có phông chữ thực tế nào có sẵn #. fudge 127.127.1.0 stratum 10 server 127.127.1.0 # Tệp biến thể. driftfile / var / lib / ntp / drift broadcastdelay 0.008 ## NẾU BẠN CÓ TRUY CẬP INTERNET # Danh sách các máy chủ thời gian 1 hoặc 2. # Nên có ít nhất 3 máy chủ được liệt kê. # Máy chủ khác tại: # http://kopernix.com/?q=ntp # http://www.eecis.udel.edu/~mills/ntp/servers.html ## Nếu bạn có quyền truy cập Internet, hãy bỏ ghi chú của sau 3 dòng #server 0.pool.ntp.org #server 1.pool.ntp.org #server 2.pool.ntp.org # Quyền được chỉ định cho từng máy chủ thời gian. # Trong các ví dụ, các nguồn không được phép truy vấn, # sửa đổi dịch vụ trên hệ thống hoặc gửi # tin nhắn đăng ký. ## Nếu bạn có quyền truy cập internet, hãy bỏ ghi chú 3 dòng sau #restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap noquery #restrict 2.pool .ntp.org mask 255.255.255.255 nomodify notrap noquery # Phổ biến cho khách hàng được kích hoạt đài phát thanh
Chúng tôi khởi động lại dịch vụ NTP:
:~# service ntp restart
Stopping NTP server: ntpd.
Starting NTP server: ntpd.
Khách hàng NTP
:~# aptitude install ntp
:~# cp /etc/ntp.conf /etc/ntp.conf.original
:~# cp /dev/null /etc/ntp.conf
Chúng tôi chỉnh sửa tệp hiện đang trống /etc/ntp.conf và chúng tôi để lại nó với nội dung sau:
máy chủ lightap.amigos.cu
Kiểm tra khách hàng
Ví dụ: hãy đưa khách hàng của chúng tôi debian7.amigos.cu, mà trước đó chúng tôi đã cài đặt gói máy chủ openssh.
root @ debian7: ~ # ssh-debian7
mật khẩu của root @ debian7: [----] root @ debian7: ~ # ifconfig
eth0 Liên kết encap: Ethernet HWaddr 52: 54: 00: 8f: ee: f6
inet addr: 10.10.10.153 Bcast: 10.10.10.255 Mặt nạ: 255.255.255.0
inet6 addr: fe80 :: 5054: ff: fe8f: eef6 / 64 Phạm vi: Liên kết LÊN BROADCAST CHẠY MULTICAST MTU: 1500 Số liệu: 1 gói RX: 4967 lỗi: 0 bị rơi: 0 vượt quá: 0 khung: 0 gói TX: 906 lỗi: 0 drop: 0 overruns: 0 mang: 0 va chạm: 0 txqueuelen: 1000 RX byte: 6705409 (6.3 MiB) TX byte: 93635 (91.4 KiB) Ngắt: 10 Địa chỉ cơ sở: 0x6000 lo Link encap: Local Loopback inet addr: 127.0.0.1. 255.0.0.0 Mask: 6 inet1 addr: :: 128/16436 Scope: Host UP LOOPBACK RUNNING MTU: 1 Metric: 8 RX packets: 0 error: 0 drop: 0 overruns: 0 frame: 8 TX packets: 0 error: 0 drop : 0 vượt qua: 0 sóng mang: 0 va chạm: 0 txqueuelen: 480 RX byte: 480.0 (480 B) byte TX: 480.0 (XNUMX B)
Chúng tôi đã xác minh rằng bạn có được một địa chỉ IP từ dnsmasq được cài đặt trên máy chủ OpenLDAP của chúng tôi. Do đó, dịch vụ đó hoạt động chính xác. Bây giờ hãy kiểm tra dịch vụ NTP, có thể mất vài giây:
: ~ # ntpdate -u lightap.amigos.cu 25 Jan 20:07:00 ntpdate [4608]: step time server 10.10.10.15 offset -0.633909 giây
Về dịch vụ NTP, mọi thứ đều hoạt động tốt.
Kiểm tra khác:
root @ debian7: ~ # đào gandalf.amigos.cu ; << >> DiG 9.8.4-rpz2 + rl005.12-P1 << >> gandalf.amigos.cu [----] ;; PHẦN CÂU HỎI:; gandalf.amigos.cu. VÀO [----] ;; PHẦN TRẢ LỜI: gandalf.amigos.cu. 0 TRONG A 10.10.10.1 [----] root @ debian7: ~ # đào gandalf [----] ;; PHẦN CÂU HỎI:; gandalf. VÀO [----] ;; PHẦN TRẢ LỜI: gandalf. 0 TRONG A 10.10.10.1 [----] root @ debian7: ~ # đào miwww [----] ;; PHẦN CÂU HỎI:; miwww. VÀO [----] ;; PHẦN TRẢ LỜI: miwww. 0 TRONG A 10.10.10.5 [----] root @ debian7: ~ # đào debian7 [----] ;; PHẦN CÂU HỎI:; debian7. VÀO [----] ;; PHẦN TRẢ LỜI: debian7. 0 TRONG A 10.10.10.153 [----] root @ debian7: ~ # máy chủ lưu trữ lightap.amigos.cu có địa chỉ 10.10.10.15 Không tìm thấy máy chủ lightap.amigos.cu: 5 (ĐÃ TỪ CHỐI) Không tìm thấy máy chủ lightap.amigos.cu: 5 (TÁI TẠO) root @ debian7: ~ # host nhẹap.amigos.cu lightap.amigos.cu có địa chỉ 10.10.10.15 Không tìm thấy máy chủ lightap.amigos.cu.amigos.cu: 5 (ĐÃ TỪ CHỐI) Không tìm thấy máy chủ nhẹap.amigos.cu.amigos.cu: 5 (ĐÃ TỪ CHỐI)
Và vì hai dịch vụ được cài đặt và định cấu hình hoạt động rất tốt, chúng tôi đóng thông tin liên lạc cho ngày hôm nay cho đến phần tiếp theo của bài viết về cách triển khai các dịch vụ DNS và DHCP bằng cách cập nhật DNS, dựa trên Bind9 và ISC-DHCP-Server, cho những người quản lý một chút mạng lớn hơn và phức tạp hơn.
Cho đến lần sau, bạn bè !!!