Freebsd сервер синхронизации времени

Freebsd сервер синхронизации времени

Для организации кеширования web-трафика необходимо использовать прокси сервер. В данной статье пойдет речь об установке и настройке ОС FreeBSD и прокси сервера Squid для работы в доменной среде Windows.

1. Устанавливаем на ПК (физический или виртуальный) ОС FreeBSD последней доступной версии. Номера версии программ не указываю намеренно, т.к. они постоянно обновляются. Процесс установки

ОС в данную статью не входит, т.к. он тривиально прост и доступен любому системному администратору (не сложнее установки Windows).

2. Из портов устанавливаем дополнительное ПО:

1. Apache
2. PHP со всеми доступными модулями
3. Krb5
4. Logrotate
5. MySql клиент и сервер
6. Openldap-sasl-client
7. Samba
8. Winbind
9. Squid
10. SquidGuard

Все связанные программы подтянутся автоматически во время установки. После этого приступаем к самой настройке работоспособности сервера.

Настраиваем DNS.

Для правильной настройки DNS правим файл /etc/resolv.conf Содержание файла:

domain ВАШ ЛОКАЛЬНЫЙ ДОМЕН
search ВАШ ЛОКАЛЬНЫЙ ДОМЕН
nameserver ВАШ ЛОКАЛЬНЫЙ DNS сервер
nameserver ВАШ ЛОКАЛЬНЫЙ DNS сервер

Настройка синхронизации времени.

Для корректной работы авторизации доменных пользователей необходимо синхронизировать сервер с временем контроллера домена. Настройки производятся в файле /etc/ntp.conf. По большому счету особых настроек производить не нужно. Достаточно вписать в раздел списка источников времени адрес контроллера домена (можно всех):

server ВАШ КОНТРОЛЛЕР ДОМЕНА

Остальные источники закомментировать.

В файл /etc/rc.conf добавляем строку:

Запускаем сервер времени: /etc/rc.d/ntpd start

Настройка Samba.

Переходим в каталог /usr/local/etc

1. Нас интересует файл smb4.conf. Если такого файла нет, то создаем.
2. Содержимое файла:
   [global]
   workgroup = ВАШ ДОМЕН
   server string = WebProxy
   security = ADS
   hosts allow = ВАШИ ВНУТРЕННИИ СЕТИ 127.
   log file = /var/log/samba4/log.%m
   max log size = 500
   password server = FGDN КОНТРОЛЛЕРА ДОМЕНА
   realm = ВАШ ДОМЕН
   kerberos method = secrets and keytab
   client signing = yes
   client use spnego = yes
   dns proxy = no
   unix charset = koi8-r
   dos charset = cp866
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes
   client NTLMv2 auth = yes
   winbind refresh tickets = yes
3. В файл /etc/rc.conf добавляем строчку: samba_server_enable=»Yes»
4. Запускаем сервер командой: /usr/local/etc/rc.d/samba_server start

Настройка Kerberos.

1. Открывакм файл /etc/krb5.conf Если такого файла нет, то создаем.
2. Содержимое файла:
   [libdefaults]
   default_realm = ВАШ ДОМЕН
   clockskew = 300
   dns_lookup_kdc = true
   dns_lookup_realm = true
   ticket_lifetime = 24h

renew_lifetime = 7d
forwardable = yes

# for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
ВАШ ДОМЕН = <
kdc = FQDN ПЕРВОГО КОНТРОЛЛЕРА ДОМЕНА
kdc = FQDN ВТОРОГО КОНТРОЛЛЕРА ДОМЕНА
admin_server = FQDN КОНТРОЛЛЕРА ДОМЕНА
kpasswd_server = FQDN КОНТРОЛЛЕРА ДОМЕНА
default_domain = ВАШ ДОМЕН
>

[domain_realm]
.ваш домен = ВАШ ДОМЕН
ваш домен = ВАШ ДОМЕН

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log

Настройка SQUID

Все настройки работы прокси-сервера Squid осуществляются в файле /usr/local/etc/squid/squid.conf .

Что требуется для доменной авторизации:

Настраиваем методы авторизации на прокси-сервере:
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/FQDN прокси-сервера@ВАШ.ДОМЕН
auth_param negotiate children 100 startup=10 idle=5
auth_param negotiate keep_alive on
Эти три строчки относятся к «kerberos авторизации». Данный тип авторизации необходим доменным пользователям Windows для того, что бы пользователю не выдавалось окно авторизации при каждом открытии браузера. Т.е., так называемая, прозрачная авторизация.

external_acl_type ldap_users ttl=1200 %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b «DC=ваш,DC=домен» -f «(&(sAMAccountName=%v) (memberOf:1.2.840.113556.1.4.1941:=cn=%a,OU=WebProxy,DC=ваш,DC=домен))» -D adread@ваш.домен -W /usr/local/etc/squid/scrt -h FQDN КД

Далее настраиваем ACL, режем видео и аудио потоки, рекламу и т.д. Описание этих действий будет входить в дальнейшие статьи.

Chrony – альтернативный клиент и сервер NTP для Unix-подобных систем

Добавить в избранное

Главное меню » Операционная система Linux » Chrony – альтернативный клиент и сервер NTP для Unix-подобных систем

Установка Chrony

Chrony доступен по умолчанию в репозиториях для большинства дистрибутивов Linux. Если вы работаете в Arch Linux, запустите следующую команду:

На Debian, Ubuntu, Linux Mint:

После установки запустите демон chronyd.service, если он еще не запущен:

Настройте его автоматически запускаться при каждой перезагрузке с помощью команды:

Чтобы проверить, запущен ли сервис Chronyd.service, выполните:

Если все в порядке, вы увидите вывод, как показано ниже.

Как вы можете видеть, сервис Chrony запущен и работает!

Настройка Chrony

Клиенты NTP должны знать, с какими серверами NTP он должен связаться, чтобы получить текущее время. Мы можем указать серверы NTP в директиве server или pool в файле конфигурации NTP. Обычно конфигурационный файл по умолчанию: /etc/chrony/chrony.conf или /etc/chrony.conf в зависимости от версии дистрибутива Linux. Для повышения надежности рекомендуется указать не менее трех серверов.

Следующие строки – это всего лишь пример, взятый с сервера Ubuntu 18.04 LTS.

Как видно из вышесказанного, NTP Pool Project был установлен как сервер времени по умолчанию. Для тех, кто задается вопросом, проект пула NTP представляет собой кластер временных серверов, который обеспечивает службу NTP для десятков миллионов клиентов по всему миру. Это сервер времени по умолчанию для Ubuntu и большинства других основных дистрибутивов Linux.

• параметр iburst используется для ускорения начальной синхронизации.
• к maxsources относится максимальное число источников NTP.

Убедитесь, что выбранные вами серверы NTP хорошо синхронизированы, стабильны и близки к вашему местоположению, чтобы улучшить точность времени с помощью источников NTP.

Управление Chronyd из командной строки

У Chrony есть утилита командной строки с именем chronyc для управления и мониторинга демона chrony (chronyd).

Чтобы проверить синхронизацию chrony , мы можем использовать команду tracking, как показано ниже.

Мы можем проверить текущие источники времени, которые использует с командой chrony:

Утилита Chronyc может найти статистику каждого источника, например, скорость дрейфа и процесс оценки смещения, используя команду sourcestats.

Если ваша система не подключена к Интернету, вам необходимо уведомить Chrony о том, что система не подключена к Интернету. Для этого запустите:

Чтобы проверить статус источников NTP, просто запустите:

Как вы видите, все мои источники NTP в данный момент недоступны.

Как только вы подключитесь к Интернету, просто сообщите Chrony, что ваша система снова подключена к сети, используя команду:

Чтобы просмотреть состояние источника(ов) NTP, выполните:

Для более подробного объяснения всех параметров и параметров см. Справочные страницы.

И это все на данный момент. Надеемся, это было полезно. В последующих руководствах мы увидим, как настроить локальный NTP-сервер с помощью Chrony и настроить клиентов для его использования для синхронизации времени.

Оставайтесь в курсе!

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Thoughts on NomadBSD

I first discovered NomadBSD back in January when they released 1.2-RC1. At the time, I had been unable to install Project Trident on my laptop and was very frustrated with BSDs. I downloaded NomadBSD and tried it out. I initially ran into issues reaching the desktop, but RC2 fixed that issue. However, I was unable to get on the internet, even though I had an Ethernet cable plugged in. Luckily, I found the wifi manager in the menu and was able to connect to my wifi.

Overall, my experience with NomadBSD was pleasant. Once I figured out a few things, I was good to go. I hope that NomadBSD is the first of a new generation of BSDs that focus on mobility and ease of use. BSD has conquered the server world, it’s about time they figured out how to be more user-friendly.

Have you ever used NomadBSD? What is your BSD? Please let us know in the comments below.

If you found this article interesting, please take a minute to share it on social media, Hacker News or Reddit.