инфраструктурный сервер сеть операционный

В процессе установки Ubuntu 10.04 , пользователю предлагается выбрать основные параметры системы - имя пользователя, пароли, страну, язык, раскладку клавиатуры. Важным пунктом установки системы является разметка дисков.

Данный шаг подразумевает выполнение двух задач: во-первых, подготовка, которая заключается в освобождение места под разделы Linux, а во-вторых, создание разделов Linux. Для начала вам будет предложено несколько опций, в зависимости от того, что в данный момент находится на вашем жёстком диске. Выбираем «Задать разделы вручную» и нажмём «Вперед», не обращая внимания на то, что сейчас есть на диске. Здесь остановлюсь по подробней :

Если весь диск полностью размечен под Windows, выполняйте указания части А.

Если диск совершенно пустой, выполняйте указания части В.

Если на диск установлена операционная система Windows, и есть неразмеченное свободное дисковое пространство, выполняйте указания части С.

Часть А

Если весь диск полностью размечен под Windows , выберите свой раздел Windows и нажмите кнопку «Изменить…», как показано на рисунке 1.2.1 .

Появится диалоговое окно, в нем Вам нужно сократить размер раздела Windows , чтобы появилось свободное место для Ubuntu . В первое поле введите размер (в мегабайтах), до которого вы хотите уменьшить раздел Windows , а во втором поле выберите «не использовать раздел». Нажмите «OK».

Рисунок 1.2.1

DNS -- компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу. Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения - другой организации или человеку), что позволяет возложить ответственность за актуальность информации на сервера различных организаций (людей), отвечающих только за "свою" часть доменного имени.

LDAP -- это сетевой протокол для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP -- относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.

Всякая запись в каталоге LDAP состоит из одного или нескольких атрибутов и обладает уникальным именем. Уникальное имя может выглядеть, например, следующим образом: «cn=Иван Петров, ou=Сотрудники, dc=example, dc=com». Уникальное имя состоит из одного или нескольких относительных уникальных имен (RDN -- англ. Relative Distinguished Name), разделённых запятой. Относительное уникальное имя имеет вид ИмяАтрибута=значение. На одном уровне каталога не может существовать двух записей с одинаковыми относительными уникальными именами. В силу такой структуры уникального имени записи в каталоге LDAP можно легко представить в виде дерева. Запись может состоять только из тех атрибутов, которые определены в описании класса записи (object class), которые, в свою очередь, объединены в схемы. В схеме определено, одни атрибуты являются для данного класса обязательными, а другие -- необязательными. Также схема определяет тип и правила сравнения атрибутов. Каждый атрибут записи может хранить несколько значений.

2.2.1 Установка и настройка DNS сервера bind9

Основное назначение DNS сервера - перевод доменных имен в ip адреса. А так же хранение информации о домене: поддоменах, почтовых серверах и многом другом.

На сегодня в среде Linux реализовать DNS сервер можно при помощи утилиты Bind 8й или 9й версии. Основное отличие в версиях заключается в том, что при ошибке в файле named.conf Bind9 запишет информацию об ошибке в файл лога и продолжит работу, а Bind8 запишет информацию об ошибке и остановится (перестанет обрабатывать запросы).

Установим сам DNS сервер bind9.

apt-get install bind9

Теперь нам надо его настроить. В случае использования bind9 в качестве корпоративного (кэширующего) сервера есть смысл настроить форвардинг запросов на DNS сервер провайдера. Делается это так :

vi /etс/bind/named.conf.option

forwarders {

44.44.44.44;

};

В данном случае 44.44.44.44 - DNS сервер провайдера. Если планируется поддержка только интернет сайтов, то этого делать нет смысла.

В конфигурационный файл bind запишем информацию о наших зонах, как прямого имя - айпи, так и обратного айпи - имя преобразования.

vi /etc/bind/named.conf.local

Содержимое файла named.conf.local :

zone "work.com" {

type master;

file "/etc/bind/work.com";

};

zone "1.168.192.in-addr.arpa" {

type master;

notify no;

file "/etc/bind/db.192";

};

Теперь нам надо создать файлы зон.

Создадим файл прямого преобразования : touch /etc/bind/work.com

Отредактируем наш файл конфигурации: vim /etc/bind/work.com

и пропишем туда необходимые конфиги :

$TTL 604800

@ IN SOA ubuntu.kurswork.ru. root.example.com.

2010090901 ; serial

604800 ; Refresh

86400 ; Retry

2419200 ; Expire

604800 ) ; Negative Cache TTL

@ IN NS ubuntu.kurswork.ru.

@ IN A 192.168.0.2

@ IN AAAA ::1

ns IN A 192.168.0.2

Пропишем в файл необходимые конфигурации указав в параметре ; Serial текущую дату и количество обновлений зоны за день (в данном случае в конце прописано 01, это значит обновление зоны 1 раз в сутки).

Создадим файл обратного преобразования :

touch /etc/bind/ 1.168.192.in-addr.arpa

Отредактируем наш файл конфигурации :

vim /etc/bind/ 1.168.192.in-addr.arpa

и пропишем туда необходимые конфиги :

$ORIGIN 0.168.192.in-addr.arpa.

$TTL 86400 ; 1 day

@ IN SOA ubuntu.kurswork.ru. root.localhost. (

2010110401 ; serial

10800 ; refresh (3 hours)

900 ; retry (15 minutes)

604800 ; expire (1 week)

86400 ; minimum (1 day)

)

IN NS ubuntu.kurswork.ru.

2 IN PTR work.com.

Для того что-бы использовать наш локальный DNS нам необходимо прописать в файл /etc/resolv.conf следующее: nameserver 192.168.0.2

Это ip - адрес моего интерфейса . В файле resolv.conf содержатся адреса серверов имен, к которым имеет доступ данная система. В этом файле можно создавать три типа записей, каждая из которых предваряется одним из трех ключевых слов: domain, nameserver, search. В записи domain вводится доменное имя локальной системы. В записи search приводится список доменов на тот случай, если задается только хост-имя. Если к какой-либо системе пользователь обращается часто, он может ввести имя ее домена в запись search, а затем использовать в качестве адреса только хост-имя. Определитель попытается найти полное доменное имя по имени домена, указанному в записи search. После записей search идут записи nameserver, если таковые имеются. Для каждого сервера имен, к которому имеет доступ данная система, вводиься ключевое слово nameserver и IP-адрес. Таких серверов может быть несколько, и порядок их следования в списке очень важен. Во многих сетях имеется основной сервер имен и несколько вспомогательных. Основной сервер должен запрашиваться первым. Для этого его IP-адрес должен быть введен в первую запись nameserver.

Теперь обновим конфигурацию, для этого выполним в консоле : rndc reload

Теперь проверим работает ли наш dns сервер, для этого пропишем в консоле: nslookup work.com

Мы должны увидеть следующее (рисунок 2.2.1):

Рисунок 2.2.1

При возникновении каких либо проблем в работе DNS сервера и других серверов, полезным может оказаться просмотр логов, которые находятся в директории /var/log/syslog и /var/log/messages .

2.2.2 Установка и настройка LDAP сервера

Сервер LDAP (Lightweight Directory Access Protocol) позволяет централизовать управление пользователями, группами, доменами, аутентификацией, хранением инфомации . Перед установкой самого сервера , выполним вход под root , чтоб не заморачиваться с записью sudo и выполним проверку и установку новых пакетов приложений :

sudo su

apt-get update

apt-get upgrade

Устанавливаем OpenLdap : apt-get install slapd ldap-utils migrationtools

migrationtools -- необходим, если предстоит перенести много пользователей и групп собственно из UNIX.

slapd - это пакет, который предоставляет сервер OpenLDAP в Ubuntu.ldap-utils - программы-клиенты для этого сервера.

Настраиваем OpelLdap

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ netorgperson.ldif

ldapadd - добавление записи .

Ключ -Y mech - указывает какой SASL-механизм использовать для аутентификации. Если не указан, программа выберет лучший механизм из тех, что знает сервер.

EXTERNAL - один из множества SASL механизмов , суть которого заключается в том ,что клиент посылает первый ответ, содержащий идентификатор клиента. Сервер использует внешние средства для аутентификации клиента в соответствии с этим идентификатором. Используется, если прикладной протокол работает поверх IPSec или TLS.

Ключ -H ldapuri - указывает URI LDAP-сервера; допускаются только поля протокол/хост/порт; в качестве аргумента ожидается список URI, разделённых пробелами или запятыми.

Ключ -f file - считает множество DN из файла, по одному на строку; выполняет удаление для каждой записи . Пользователи (да и не только пользователи, а вообще всё : юзеры , компьютеры , серверы ; но для краткости буду использовать слово пользователи) в LDAP добавляются следующим образом ;

Во-первых, все данные о пользователях заносятся в ldif-файлы, такие файлы специального формата . Во-вторых , сам этот файл импортируется в LDAP .

Итак , создаем папку для хранения ldif файлов mkdir /ldap_ldif

Создадим в ней файлик backend.example.com.ldif (этот файлик является аналогом файлика slapd.conf в других версиях Ubuntu, в версии 10.04 создатели решили изменить старый добрый способ конфигурации LDAP через файлик slapd.conf) nano /ldap_ldif/backend.example.com.ldif

Содержание файла :

# Load dynamic backend modules

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulepath: /usr/lib/ldap

olcModuleload: back_hdb

# Database settings

dn: olcDatabase=hdb,cn=config

objectClass: olcDatabaseConfig

objectClass: olcHdbConfig

olcDatabase: {1}hdb

olcSuffix: dc=example,dc=com

olcDbDirectory: /var/lib/ldap

olcRootDN: cn=admin,dc=example,dc=com

olcRootPW: 12345

olcDbConfig: set_cachesize 0 2097152 0

olcDbConfig: set_lk_max_objects 1500

olcDbConfig: set_lk_max_locks 1500

olcDbConfig: set_lk_max_lockers 1500

olcDbIndex: objectClass eq

olcLastMod: TRUE

olcDbCheckpoint: 512 30

olcAccess: to attrs=userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

olcAccess: to attrs=shadowLastChange by self write by * read

olcAccess: to dn.base="" by * read

olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read

Это учетная запись для доступа к ldap дереву admin . Выходим и сохраняем файлик .

Выполняем :

ldapadd -Y EXTERNAL -H ldapi:/// -f ldap_ldif/backend.example.com.ldif

Теперь, можно создать собственно записи в БД о корне домена и об админе . Создадим файл frontend.example.com.ldif в папке /ldap_ldif.

Содержание файла :

# Create top-level object in domain

dn: dc=example,dc=com

objectClass: top

objectClass: dcObject

objectclass: organization

o: Example Organization

dc: Example

description: LDAP Example

# Admin user.

dn: cn=admin,dc=example,dc=com

objectClass: simpleSecurityObject

objectClass: organizationalRole

cn: admin

description: LDAP administrator

userPassword: 12345

dn: ou=people,dc=example,dc=com

objectClass: organizationalUnit

ou: people

dn: ou=groups,dc=example,dc=com

objectClass: organizationalUnit

ou: groups

dn: uid=john,ou=people,dc=example,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: john

sn: Doe

givenName: John

cn: John Doe

displayName: John Doe

uidNumber: 1000

gidNumber: 10000

userPassword: password

gecos: John Doe

loginShell: /bin/bash

homeDirectory: /home/john

shadowExpire: -1

shadowFlag: 0

shadowWarning: 7

shadowMin: 8

shadowMax: 999999

shadowLastChange: 10877

mail: john.doe@example.com

postalCode: 31000

l: Toulouse

o: Example

mobile: +33 (0)6 xx xx xx xx

homePhone: +33 (0)5 xx xx xx xx

title: System Administrator

postalAddress:

initials: JD

dn: cn=example,ou=groups,dc=example,dc=com

objectClass: posixGroup

cn: example

gidNumber: 10000

Учетная запись для доступа к ldap дереву admin . Здесь мы создаем 2 сущности - people и groups, в которых мы будем добавлять соотвественно людей и группы, и затем создаем пользователя John Doe и группу example. Выходим и сохраняем файлик .

Выполняем

Ldapadd -x -D cn=admin,dc=example,dc=com -W -f /ldap_ldif/ frontend.example.com.ldif

Ключ -x - использовать простую аутентификацию вместо SASL.

Ключ -D binddn - привязаться к каталогу от имени binddn. При использовании SASL-аутентификации предполагается, что сервер будет игнорировать это значение.

Ключ -W - спросить пароль в командной строке в ходе простой аутентификации.

Итак, мы создали нового пользователя в дереве john с паролем password.

Проверим:

ldapsearch -xLLL -b "dc=example,dc=com" uid=john sn givenName cn

ldapsearch - инструмент для поиска информации в LDAP

Ключ -L - результаты поиска показываются в LDAP Data Intechange Format (LDIF) формате. Подробнее о формате в ldif(5). Одно -L означает, что вывод должен быть в формате LDIFv1. Второе -L отключает комментарии. Третье -L отключает вывод версии. По умолчанию используется расширенная версия LDIF.

Ключ -b searchbase - использовать searchbase в качестве точки начала поиска, вместо стандартной . Результат представлен на рисунке 2.2.2.

Рисунок 2.2.2

2.3 Установка Samba

Для корректного сосуществования Linux и Windows в мире Unix существует пакет Samba, предназначенный для взаимодействия с клиентами сети Microsoft Windows.

Этот пакет дает возможность Linux-системе выступать в качестве файлового и принт-сервера в сети Microsoft Windows, а также позволяет компьютеру под управлением Linux выступать в качестве первичного контроллера домена (Primary Domain Controller, PDC) сети Windows. Помимо этого есть Samba-клиент для операционной системы Linux, обеспечивающий подключение Linux-клиента к ресурсам, предоставляемым серверами сети Microsoft Windows[5].

Установка Samba : sudo apt-get install samba samba-doc smbldap-tools

Smbldap-tools представляет из себя набор скриптов, обеспечивающий синхронную работу с базами данных пользователей, групп и компьютеров сервера Samba и LDAP каталога. Это инструмент как пользователей, так и администраторов систем Linux. Пользователи могут изменять их пароли так же, как и при использовании стандартной команды passwd.

Настроим сервер Samba на работу с Ldap :

sudo cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz/etc /ldap/schema/

sudo gzip -d /etc/ldap/schema/samba.schema.gz

Gzip уменьшает размер перечисленных файлов, используя кодирование Лемпеля-Зива (LZ77). Там, где это возможно, каждый файл заменяется архивом с расширением .gz, с таким же владельцем, временем доступа и модификации.

Ключ -d --decompress -uncompress - распаковка.

Создадим файлик schema_convert.conf в папке /ldap_ldif :

nano /ldap_ldif/schema_convert.conf

Содержание файла:

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/collective.schema

include /etc/ldap/schema/corba.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/duaconf.schema

include /etc/ldap/schema/dyngroup.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/java.schema

include /etc/ldap/schema/misc.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/openldap.schema

include /etc/ldap/schema/ppolicy.schema

include /etc/ldap/schema/samba.schema

Создадим временную папку : mkdir /tmp/ldif_output

Выполним :

Slapcat -f /ldap_ldif/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/cn=samba.ldif

Утилита slapcat выгружает содержимое каталога LDAP в виде LDIF в устройство стандартного вывода или файл (если вы используете параметр -l имя_файла). При желании вы можете использовать параметр -s, чтобы указать начальное имя DN, или параметр -a, чтобы задать фильтр запроса. Утилита работает непосредственно с базой данных и не может быть запущена, пока сервер работает. Поддерживаются только базы данных типа bdb.

В папке /tmp получим файлик cn=samba.ldif , откроем его : nano /tmp/cn=samba.ldif

Поправим первые строки в файле так :

dn: cn=samba,cn=schema,cn=config

...

cn: samba

И удалим в конце файла строки :

structuralObjectClass: olcSchemaConfig

entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95

creatorsName: cn=config

createTimestamp: 20080827045234Z

entryCSN: 20080827045234.341425Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .

Теперь правим код . Выполняем . sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=samba.ldif

Дальше нужно подключить схему misc.ldif :

Выполняем:

slapcat -f /ldap_ldif/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={8}misc,cn=schema,cn=config" > /tmp/cn=misc.ldif

Восьмерка в скобках указывает номер ветки, начиная с нуля, в файле schema_convert.conf .

Откроем его : nano /tmp/cn=misc.ldif

Поправим строки сверху на :

dn: cn=misc,cn=schema,cn=config

...

cn: misc

И удалим в конце файла строки

structuralObjectClass: olcSchemaConfig

entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95

creatorsName: cn=config

createTimestamp: 20080827045234Z

entryCSN: 20080827045234.341425Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20080827045234Z

Атрибуты могут быть другими . Выходим и сохраняем .

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=misc.ldif

Результат наших действий представлен на рисунке 2.3.

Вводим командy: sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

Рисунок 2.3

2.4 Установка Apache2 + phpldapadmin