Drodzy współpracownicy,
Mam bardzo palący problem, na który wciąż szukam odpowiedzi. Przeprowadziliśmy konserwację infrastruktury IT (nowe komputery, okablowanie itp.), Ale stwierdziliśmy, że potrzebne są również ulepszenia po stronie oprogramowania.
Mam mały, centralny serwer, który jest bardzo komputerowy, dwa duże (1 TB) dyski twarde z RAID1 napędzanym płytą główną, dwie karty sieciowe i wszystkie z zainstalowanym Ubuntu Server 12.04 x64. Planowane jest ten serwer do wykorzystania jako na centralnym serwerze, zarządzanie rozpoznawania nazw, leasing IP, proxy, profile zdalne, lokalne i zdalne www, FTP i e-maili. Podsumowując, w zasadzie wszystko zostanie umieszczone na tym komputerze.
Małe usługi nie stanowiły dla mnie problemu, ale jestem zablokowany DNS i częścią profilu zdalnego. Na tym komputerze działa serwer oparty na systemie Linux, ale nasze stacje robocze (mamy ich około 30) używają systemu Windows 7, więc SMB\CIFS
też potrzebujemy .
Znalazłem sposób na skonfigurowanie serwera DHCP (wstępnie skonfigurowanego adresu dla stacji roboczych dekstop i (z przepustnicą ACL w Squid ) wolniejszych podsieci dla sporadycznych notebooków), używając Shorewall do zapory ogniowej. eth0
łączy się z siecią lokalną , podczas gdy eth1
jest łącznikiem z resztą Internetu. Odbywa się to w ten sposób, ponieważ zintegrowana karta jest szybsza, a my mamy bardzo wolne połączenie ze światem. Klienci muszą korzystać z serwera proxy (skonfigurowanego na stacji roboczej), aby uzyskać dostęp do Internetu. Oprócz DNS i profili zdalnych wszystko działa.
Mamy ok. 90 użytkowników, którzy będą musieli się zarejestrować i potrzebują dostępu do logowania, są pogrupowani w 5 grup, jeśli informacje te mogą mieć znaczenie gdziekolwiek. Odkryłem, że LDAP byłby fajny i przydatny, ale nie mogę znaleźć dobrej dokumentacji, jak to skonfigurować. Zabawne jest to, że znalazłem przewodnik krok po kroku (z dużą sumą wyjaśnień na każdym kroku), ale niestety wymagało to użycia określonego gotowego skryptu Python do skonfigurowania czegoś, co ostatecznie nie powiodło się na 38. etapie z 40 kroki ... i korzystając z mojej małej wiedzy do Python, nie byłem w stanie rozwiązać problemu. Ten przewodnik był gdzieś na UbuntuForums, ale niestety zgubiłem zakładkę.
Przeczytałem inne pytania (na tej stronie i gdzie indziej) i ... zobaczmy, czy mogę coś więcej podać w zakresie informacji.
- Mamy zewnętrznie zarejestrowaną nazwę domeny, którą przydzieliliśmy za pomocą wykwalifikowanego rejestratora, ale nasza sieć wewnętrzna zawierałaby inne domeny, które musimy rozwiązać lokalnie. (Na przykład: nasz poza-avaialable domena jest something.org ale powinniśmy mieć wpis do hosts management.In )
- Internet przychodzi od dostawcy i wchodzi na serwer na
eth0
karcie. Sieć serwera jest skonfigurowana do automatycznego pobierania adresu IP z serwera DHCP dostawcy.eth1
Karta (które muszę ustawić IP dla), a następnie łączy serwera do lokalnego przełącznika, a po upływie tego przełącznika, używając trochę więcej przełączników, stacje robocze są połączone. Mamy również dwa bezprzewodowe punkty dostępowe podłączone do tego całego oddziału. Te przełączniki są przełącznikami pasywnymi , nie mają strony administracyjnej. Punkty dostępu tylko bezprzewodowo dystrybuują lokalny Internet, podłączone notebooki są (lub będą) dzierżawić IP z danego centralnego serwera. - Na serwerze jesteśmy zobowiązani do rozwiązań typu open source. Jesteśmy organizacją non-profit, a ze względu na problemy z budżetem licencjonowanie serwera Windows nie wchodzi w rachubę. Stacje robocze mają na nich prawnie licencjonowany system Windows 7 Ultimate lub Enterprise (różni się) i są one w większości 64-bitowe.
- Planujemy, że nasza sieć wewnętrzna będzie znajdować się w tej samej podsieci, przy
192.168.1.0
czym będzie to adres IP serwera (zewnętrzny adres IP prawdopodobnie zmieni się co pół roku, mniej więcej co cztery miesiące). Nasze stacje robocze są nazywane,WK01
a następnie przyrostowo, a adresy IP zaczynają się od,.1.1
a następnie również przyrostowo. Nasi klienci są pogrupowane w 5 grupach (zwykle mających nazwy grupGROUP_A
,GROUP_B
i tak dalej, i tak dalej), z dodatkowym grupy zwanejADMINISTRATION
.
Następujące usługi są już zainstalowane i najczęściej skonfigurowane na serwerze:
- serwer dhcp3
- Serwer WWW Apache (z MySQL do hostowania baz danych i interpretera php5 )
- Postfiks do wysyłania i odbierania wiadomości e-mail
- squid jest naszym serwerem proxy
- Webmin (do administracji opartej na przeglądarce, jednak wolę wiersz poleceń)
- Oczywiście OpenSSH dla zdalnego terminalu.
Byłbym wdzięczny, gdybym mógł użyć bind9 jako serwera DNS, a najprawdopodobniej Samby do zdalnego udostępniania i pewnego rodzaju ldap do scentralizowanej bazy danych logowania. Stacje robocze będą musiały mieć zainstalowane zdalne foldery jako dysk sieciowy (np . H:\
:) z serwera. Będę musiał ustawić przydziały dla poszczególnych użytkowników w tym montażu, czego nie jestem pewien, jak to zrobić.
Powtarzając, pytania są następujące:
- Jak rozpocząć konfigurację rozdzielczości DNS dla domen, najlepiej przy użyciu
bind9
. Byłoby wspaniale, gdybym mógł ustawić, że jeśli klient próbuje uzyskać dostęp do systemu za pomocą domeny dostępnej na zewnątrz, powinien również rozwiązać lokalnie (i w sieci IP LAN), aby zapobiec niepotrzebnemu przesyłaniu danych? - Jak właściwie zarządzać lokalnymi stacjami roboczymi i ich bazą danych użytkowników, najlepiej za pomocą usługi LDAP ?
- Czy istnieje sposób skonfigurowania profili zdalnych, więc jeśli klient John Smith loguje się z
WK02
(powiedzmy, że jest to nazwa stacji roboczej), jego profil jest ładowany z serwera. Następnie zmodyfikował coś, wylogował się, a jeśli zaloguje się zWK04
(innej stacji roboczej), zachowa swoje modyfikacje, ponieważ profil jest zapisywany zdalnie ?
Zasadniczo skonfigurowałem środowisko, w którym potrzebujemy, korzystając z systemu Windows Server 2008 RC2 , ale ze względu na budżet (i tę nieszczęśliwą kopię zapasową z pewną szczęśliwą ciekawością) chciałbym przenieść nasze życzenia na serwer oparty na systemie Linux.
Dziękujemy za poświęcony czas i odpowiedzi.
źródło
Odpowiedzi:
Zainstaluj
samba-doc
pakiet. Zawiera dokument Samba3-By Example, który obejmuje większość tego, co chcesz zrobić. Na razie możesz chcieć używać Samba3, ale Samba4 rozwija się szybko i powinieneś być w stanie świadczyć usługi AD (Active Directory). Znalazłem wersję powłokildapscripts
łatwiejszą do pracy niżsmbldap-tools
skrypty.bind9
zapewni twoje wymagania DNS. Po wyjęciu z pudełka zapewnia rekurencyjne wyszukiwania. Musisz skonfigurować plik strefy dla swojej strefy wewnętrznej. Łatwiej będzie użyć rejestratora domen do obsługi zewnętrznego DNS. Jeśli twoja domena jestexample.com
, możliwe jest, aby domena taka byłalan.example.com
zdefiniowana w lokalnym powiązaniu.Jeśli przeniesiesz domenę zewnętrzną do lokalnego powiązania, skonfiguruj konfigurację strefy podziału i zablokuj dostęp do pamięci podręcznej i rekursji dla użytkowników zewnętrznych. Zapobiegnie to wykorzystaniu twojego serwera w atakach wzmacniających.
Korzystałem z różnych narzędzi administracyjnych LDAP. O ile dobrze pamiętam, znalazłem
gosa
dość prosty interfejs internetowy do zarządzania użytkownikami LDAP i maszynami Samba.źródło
bind9
rozwiązany problem DNS. Przyjrzę się dalej częściomsamba
ildap
.Proste odpowiedzi:
Wiem, że nie chcesz korzystać z systemu Windows. W takim przypadku najlepiej będzie pominąć funkcje systemu Windows.
źródło
192.168.56.
i56.168.192.in-addr.arpa.
)bind9
, używając DNS dostawcy usług internetowych jako usługi przesyłania dalej. Mam również, w Virtual Box, zestawiłem instalację LDAP (używając tylko samouczków krok po kroku, tak naprawdę nie wiedząc, co robią), ale działało to do przechowywania zdalnego profilu Windows~/profile.V2/
. Cóż ... lub możemy spróbować naśladować / ominąć to najlepiej, jak potrafimy.