Как настроить удаленный вход в систему и разрешение DNS в среде малого бизнеса с централизованным сервером
Уважаемые коллеги-администраторы!
У меня очень острая проблема, я все еще ищу ответ. У нас было техническое обслуживание, связанное с ИТ-инфраструктурой (новые компьютеры, кабели и т. Д.), Но мы обнаружили, что также необходимы улучшения со стороны программного обеспечения.
У меня есть маленький центральный сервер, который очень компактен, два больших (1 ТБ) жестких диска с RAID1 на материнской плате, две сетевые карты и все, с установленным Ubuntu Server 12.04 x64. Этот сервер планируется использовать в качестве центрального сервера, управляющего разрешением имен, IP-лизингом, прокси, удаленными профилями, локальным и удаленным веб-сайтом, FTP и электронной почтой. В общем, в основном все будет поставлено на эту машину.
Маленькие сервисы не были для меня проблемой, но я зашел в тупик с DNS и частью удаленного профиля. На этом компьютере работает сервер на базе Linux, но наши рабочие станции (у нас их около 30) используют Windows 7, поэтому нам нужно SMB\CIFS
тоже.
Я нашел способ настроить DHCP-сервер (предварительно настроенный адрес для рабочих станций dekstop и (с ACL дросселя в Squid) более медленные подсети для отдельных ноутбуков), используя Shorewall для межсетевого экрана. eth0
подключается к локальной сети, а eth1
это разъем для остальной части интернета. Это делается потому, что встроенная карта работает быстрее, и у нас очень медленное соединение с миром. Клиенты должны использовать прокси-сервер (он настроен на рабочей станции) для доступа в Интернет. Помимо DNS и удаленных профилей все работает.
У нас ок. 90 пользователей, которым необходимо зарегистрироваться и получить доступ для входа в систему, объединены в 5 групп, если эта информация может иметь значение где-либо. Я обнаружил, что LDAP был бы полезен и удобен, но я не могу найти хорошую документацию по его настройке. Самое смешное, что я нашел пошаговое руководство (с большой суммой объяснений на каждом шаге), но, к сожалению, оно включало использование определенного готового скрипта Python для настройки чего-либо, что в конечном итоге не помогло на 38-м шаге из 40 шаги... и используя мои небольшие знания в Python, я не смог решить эту проблему. Это руководство было где-то на UbuntuForums, но, к сожалению, я потерял закладку.
Я читал другие вопросы (на этом сайте и в других местах) и... посмотрим, смогу ли я предоставить что-то еще в плане информации.
- У нас есть внешнее зарегистрированное доменное имя, которое мы распределили с помощью квалифицированного регистратора, но в нашей внутренней сети есть некоторые другие домены, которые нам нужно разрешить локально. (Например: наш внешний доступный домен - нечто.org, но у нас должна быть запись hosts в management.in)
- Интернет приходит от провайдера и входит в сервер на
eth0
карта. Сеть сервера настроена на автоматическую загрузку IP-адреса с DHCP-сервера провайдера.eth1
Затем карта (для которой мне нужно установить IP-адрес) затем подключает сервер к локальному коммутатору, и после этого коммутатора, используя еще несколько коммутаторов, рабочие станции подключаются. У нас также есть две беспроводные точки доступа, подключенные к этой целой ветви. Эти коммутаторы являются пассивными, у них нет административного веб-сайта. Точки доступа распределяют локальный Интернет только по беспроводной сети, подключенные ноутбуки (или будут) настроены на аренду IP у данного центрального сервера. - На стороне сервера мы связаны с решениями с открытым исходным кодом. Мы являемся некоммерческой организацией, и из-за проблем с бюджетом лицензирование сервера Windows исключено. На рабочих станциях установлена легальная лицензия Windows 7 Ultimate или Enterprise (различается), и они в основном 64-разрядные.
- Наша внутренняя сеть планируется в той же подсети, с
192.168.1.0
IP-адрес сервера (внешний IP-адрес, вероятно, будет меняться раз в полгода, примерно раз в четыре месяца). Наши рабочие станции названыWK01
а затем постепенно, с IP-адресами, начинающимися с.1.1
и затем постепенно. Наши клиенты сгруппированы в 5 групп (условно имеющие названия группGROUP_A
,GROUP_B
и так далее, и так далее), с дополнительной группой под названиемADMINISTRATION
,
Следующие службы уже установлены и в основном настроены на сервере:
- dhcp3-сервер
- Веб-сервер Apache (с MySQL для размещения баз данных и интерпретатором php5)
- Postfix для отправки и получения электронной почты
- squid - наш прокси сервер
- Webmin (для администрирования на основе браузера, однако я предпочитаю командную строку)
- OpenSSH для удаленного терминала, конечно.
Я был бы признателен, если бы я мог использовать bind9 в качестве DNS-сервера и, скорее всего, Samba для удаленного общего доступа и какой-то ldap для централизованной базы данных входа в систему. На рабочих станциях должны быть смонтированы некоторые удаленные папки в качестве сетевого диска (например: H:\
) с сервера. Мне нужно будет установить для этого пользователя квоты для каждого пользователя, что я опять не знаю, как.
Чтобы повторить, вопросы:
- Как бы я начал настраивать разрешение DNS для доменов, желательно используя
bind9
, Было бы замечательно, если бы я мог также установить, что если клиент пытается получить доступ к системе, используя домен, доступный извне, он также должен разрешать локально (и по IP-адресу локальной сети), чтобы предотвратить бесполезный трафик данных? - Как я могу разумно управлять локальными рабочими станциями и пользовательской базой данных, предпочтительно с помощью службы LDAP?
- Есть ли способ настроить удаленные профили, поэтому, если клиент Джон Смит входит в систему с
WK02
(допустим, это имя рабочей станции), его профиль загружается с сервера. Затем он что-то изменил, выходит из системы, и если он входит в систему сWK04
(другая рабочая станция), он сохранит свои модификации, потому что профиль сохраняется удаленно?
Я, в основном, настроил среду, которая нам нужна, с помощью Windows Server 2008 RC2, но из-за бюджета (и этой неудачной вещи, подкрепленной некоторой удачей), я бы хотел перенести наши пожелания на сервер на базе Linux.
Спасибо за ваше время и ваши ответы.
2 ответа
Установите samba-doc
пакет. Он включает в себя документ Samba3-By Example, который охватывает большую часть того, что вы хотите сделать. На данный момент вы можете использовать Samba3, но Samba4 быстро развивается и должна иметь возможность предоставлять службы AD (Active Directory). Я нашел версию оболочки ldapscripts
легче работать, чем smbldap-tools
скрипты.
bind9
предоставит ваши требования DNS. Из коробки это обеспечивает рекурсивные поиски. Вам нужно будет настроить файл зоны для вашей внутренней зоны. Будет проще использовать регистратор вашего домена для поддержки внешнего DNS. Если ваш домен example.com
, возможно иметь домен вроде lan.example.com
определено в вашей локальной привязке.
Если вы переместите свой внешний домен в локальную привязку, настройте конфигурацию разделенной зоны и запретите доступ к кэшу и рекурсии для внешних пользователей. Это предотвратит использование вашего сервера в усиленных атаках.
Я использовал различные инструменты администрирования LDAP. Если я правильно помню, я нашел gosa
обеспечить достаточно простой веб-интерфейс для управления пользователями LDAP и компьютерами Samba.
Простые ответы:
- Установите bind9, установите его как рекурсивный (независимый) или переадресованный (зависит от Google/ISP/ любой другой) преобразователь. Я считаю, что bind9 выходит из коробки с включенной рекурсией, но руководство достаточно легко прочитать для изменений конфигурации.
- Купите Windows Server лицензию. Запустите его на виртуальной машине, если вам нужно.
- Смотрите 2.
Я знаю, что вы не хотите идти на Windows. Если это так, то вам лучше всего пропустить функции Windows.