Jak skonfigurować zdalne logowanie i rozpoznawanie DNS w środowisku małych firm ze scentralizowanym serwerem

0

Drodzy współpracownicy,

Mam bardzo palący problem, na który wciąż szukam odpowiedzi. Przeprowadziliśmy konserwację infrastruktury IT (nowe komputery, okablowanie itp.), Ale stwierdziliśmy, że potrzebne są również ulepszenia po stronie oprogramowania.

Mam mały, centralny serwer, który jest bardzo komputerowy, dwa duże (1 TB) dyski twarde z RAID1 napędzanym płytą główną, dwie karty sieciowe i wszystkie z zainstalowanym Ubuntu Server 12.04 x64. Planowane jest ten serwer do wykorzystania jako na centralnym serwerze, zarządzanie rozpoznawania nazw, leasing IP, proxy, profile zdalne, lokalne i zdalne www, FTP i e-maili. Podsumowując, w zasadzie wszystko zostanie umieszczone na tym komputerze.

Małe usługi nie stanowiły dla mnie problemu, ale jestem zablokowany DNS i częścią profilu zdalnego. Na tym komputerze działa serwer oparty na systemie Linux, ale nasze stacje robocze (mamy ich około 30) używają systemu Windows 7, więc SMB\CIFSteż potrzebujemy .

Znalazłem sposób na skonfigurowanie serwera DHCP (wstępnie skonfigurowanego adresu dla stacji roboczych dekstop i (z przepustnicą ACL w Squid ) wolniejszych podsieci dla sporadycznych notebooków), używając Shorewall do zapory ogniowej. eth0łączy się z siecią lokalną , podczas gdy eth1jest łącznikiem z resztą Internetu. Odbywa się to w ten sposób, ponieważ zintegrowana karta jest szybsza, a my mamy bardzo wolne połączenie ze światem. Klienci muszą korzystać z serwera proxy (skonfigurowanego na stacji roboczej), aby uzyskać dostęp do Internetu. Oprócz DNS i profili zdalnych wszystko działa.

Mamy ok. 90 użytkowników, którzy będą musieli się zarejestrować i potrzebują dostępu do logowania, są pogrupowani w 5 grup, jeśli informacje te mogą mieć znaczenie gdziekolwiek. Odkryłem, że LDAP byłby fajny i przydatny, ale nie mogę znaleźć dobrej dokumentacji, jak to skonfigurować. Zabawne jest to, że znalazłem przewodnik krok po kroku (z dużą sumą wyjaśnień na każdym kroku), ale niestety wymagało to użycia określonego gotowego skryptu Python do skonfigurowania czegoś, co ostatecznie nie powiodło się na 38. etapie z 40 kroki ... i korzystając z mojej małej wiedzy do Python, nie byłem w stanie rozwiązać problemu. Ten przewodnik był gdzieś na UbuntuForums, ale niestety zgubiłem zakładkę.

Przeczytałem inne pytania (na tej stronie i gdzie indziej) i ... zobaczmy, czy mogę coś więcej podać w zakresie informacji.

  1. Mamy zewnętrznie zarejestrowaną nazwę domeny, którą przydzieliliśmy za pomocą wykwalifikowanego rejestratora, ale nasza sieć wewnętrzna zawierałaby inne domeny, które musimy rozwiązać lokalnie. (Na przykład: nasz poza-avaialable domena jest something.org ale powinniśmy mieć wpis do hosts management.In )
  2. Internet przychodzi od dostawcy i wchodzi na serwer na eth0karcie. Sieć serwera jest skonfigurowana do automatycznego pobierania adresu IP z serwera DHCP dostawcy. eth1Karta (które muszę ustawić IP dla), a następnie łączy serwera do lokalnego przełącznika, a po upływie tego przełącznika, używając trochę więcej przełączników, stacje robocze są połączone. Mamy również dwa bezprzewodowe punkty dostępowe podłączone do tego całego oddziału. Te przełączniki są przełącznikami pasywnymi , nie mają strony administracyjnej. Punkty dostępu tylko bezprzewodowo dystrybuują lokalny Internet, podłączone notebooki są (lub będą) dzierżawić IP z danego centralnego serwera.
  3. Na serwerze jesteśmy zobowiązani do rozwiązań typu open source. Jesteśmy organizacją non-profit, a ze względu na problemy z budżetem licencjonowanie serwera Windows nie wchodzi w rachubę. Stacje robocze mają na nich prawnie licencjonowany system Windows 7 Ultimate lub Enterprise (różni się) i są one w większości 64-bitowe.
  4. Planujemy, że nasza sieć wewnętrzna będzie znajdować się w tej samej podsieci, przy 192.168.1.0czym będzie to adres IP serwera (zewnętrzny adres IP prawdopodobnie zmieni się co pół roku, mniej więcej co cztery miesiące). Nasze stacje robocze są nazywane, WK01a następnie przyrostowo, a adresy IP zaczynają się od, .1.1a następnie również przyrostowo. Nasi klienci są pogrupowane w 5 grupach (zwykle mających nazwy grup GROUP_A, GROUP_Bi tak dalej, i tak dalej), z dodatkowym grupy zwanej ADMINISTRATION.

Następujące usługi są już zainstalowane i najczęściej skonfigurowane na serwerze:

  • serwer dhcp3
  • Serwer WWW Apache (z MySQL do hostowania baz danych i interpretera php5 )
  • Postfiks do wysyłania i odbierania wiadomości e-mail
  • squid jest naszym serwerem proxy
  • Webmin (do administracji opartej na przeglądarce, jednak wolę wiersz poleceń)
  • Oczywiście OpenSSH dla zdalnego terminalu.

Byłbym wdzięczny, gdybym mógł użyć bind9 jako serwera DNS, a najprawdopodobniej Samby do zdalnego udostępniania i pewnego rodzaju ldap do scentralizowanej bazy danych logowania. Stacje robocze będą musiały mieć zainstalowane zdalne foldery jako dysk sieciowy (np . H:\:) z serwera. Będę musiał ustawić przydziały dla poszczególnych użytkowników w tym montażu, czego nie jestem pewien, jak to zrobić.

Powtarzając, pytania są następujące:

  • Jak rozpocząć konfigurację rozdzielczości DNS dla domen, najlepiej przy użyciu bind9. Byłoby wspaniale, gdybym mógł ustawić, że jeśli klient próbuje uzyskać dostęp do systemu za pomocą domeny dostępnej na zewnątrz, powinien również rozwiązać lokalnie (i w sieci IP LAN), aby zapobiec niepotrzebnemu przesyłaniu danych?
  • Jak właściwie zarządzać lokalnymi stacjami roboczymi i ich bazą danych użytkowników, najlepiej za pomocą usługi LDAP ?
  • Czy istnieje sposób skonfigurowania profili zdalnych, więc jeśli klient John Smith loguje się z WK02(powiedzmy, że jest to nazwa stacji roboczej), jego profil jest ładowany z serwera. Następnie zmodyfikował coś, wylogował się, a jeśli zaloguje się z WK04(innej stacji roboczej), zachowa swoje modyfikacje, ponieważ profil jest zapisywany zdalnie ?

Zasadniczo skonfigurowałem środowisko, w którym potrzebujemy, korzystając z systemu Windows Server 2008 RC2 , ale ze względu na budżet (i tę nieszczęśliwą kopię zapasową z pewną szczęśliwą ciekawością) chciałbym przenieść nasze życzenia na serwer oparty na systemie Linux.

Dziękujemy za poświęcony czas i odpowiedzi.

Szept
źródło
4
To naprawdę powinno być podzielone na co najmniej 3 pytania. Wskazówka: na 2 ostatnie pytania najłatwiej odpowiedzieć, kupując jedną licencję na system Windows Server. Obsługa profilów mobilnych i uwierzytelnianie katalogu w systemie Linux dla klientów Windows nie jest dokładnie niezawodna.
Hyppy

Odpowiedzi:

2

Zainstaluj samba-docpakiet. Zawiera dokument Samba3-By Example, który obejmuje większość tego, co chcesz zrobić. Na razie możesz chcieć używać Samba3, ale Samba4 rozwija się szybko i powinieneś być w stanie świadczyć usługi AD (Active Directory). Znalazłem wersję powłoki ldapscriptsłatwiejszą do pracy niż smbldap-toolsskrypty.

bind9zapewni twoje wymagania DNS. Po wyjęciu z pudełka zapewnia rekurencyjne wyszukiwania. Musisz skonfigurować plik strefy dla swojej strefy wewnętrznej. Łatwiej będzie użyć rejestratora domen do obsługi zewnętrznego DNS. Jeśli twoja domena jest example.com, możliwe jest, aby domena taka była lan.example.comzdefiniowana w lokalnym powiązaniu.

Jeśli przeniesiesz domenę zewnętrzną do lokalnego powiązania, skonfiguruj konfigurację strefy podziału i zablokuj dostęp do pamięci podręcznej i rekursji dla użytkowników zewnętrznych. Zapobiegnie to wykorzystaniu twojego serwera w atakach wzmacniających.

Korzystałem z różnych narzędzi administracyjnych LDAP. O ile dobrze pamiętam, znalazłem gosadość prosty interfejs internetowy do zarządzania użytkownikami LDAP i maszynami Samba.

BillThor
źródło
Dziękuję za odpowiedź. Rzeczywiście bind9rozwiązany problem DNS. Przyjrzę się dalej częściom sambai ldap.
Szept
1

Proste odpowiedzi:

  1. Zainstaluj bind9, skonfiguruj jako rekurencyjny (niezależny) lub przekierowujący (zależy od Google / ISP / cokolwiek). Wierzę, że bind9 wychodzi z pudełka z włączoną rekurencją, ale instrukcja jest wystarczająco łatwa do odczytania w celu zmiany konfiguracji.
  2. Kup licencję na system Windows Server. Uruchom go na maszynie wirtualnej, jeśli musisz.
  3. Zobacz 2.

Wiem, że nie chcesz korzystać z systemu Windows. W takim przypadku najlepiej będzie pominąć funkcje systemu Windows.

Hippy
źródło
Rzeczywiście tak jest, a ja skonfigurowałem strefę lokalną do przodu i do tyłu ( 192.168.56.i 56.168.192.in-addr.arpa.) bind9, używając DNS dostawcy usług internetowych jako usługi przesyłania dalej. Mam również, w Virtual Box, zestawiłem instalację LDAP (używając tylko samouczków krok po kroku, tak naprawdę nie wiedząc, co robią), ale działało to do przechowywania zdalnego profilu Windows ~/profile.V2/. Cóż ... lub możemy spróbować naśladować / ominąć to najlepiej, jak potrafimy.
Szept