IPv6 Sauron - postup nasazení (Quick How To)

Podobné dokumenty
v. 2425a Jak si na PC vypěstovat HTTP (WWW, Web) server a jak ho používat (snadno a rychle) by: Ing. Jan Steringa

DŮLEŽITÉ INFORMACE, PROSÍM ČTĚTE!

Semestrální projekt do předmětu SPS

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Knot DNS workshop. CZ.NIC Labs Daniel Salzman / daniel.salzman@nic.cz Jan Kadlec / jan.kadlec@nic.cz

Uživatelský modul. Transparent Mode

DNS. Počítačové sítě. 11. cvičení

Téma 2 - DNS a DHCP-řešení

IFTER-EQU Instalační manuál

Vazba ESO9 na MS Outlook a MS Exchange

LINUX ADRESÁŘOVÁ STRUKTURA. Co to, hrome, je? V této lekci se budeme brouzdat adresáři. SPŠ Teplice - 3.V

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator

Tato zpráva informuje o implementaci LMS (Learning Management Systém) Moodle konkrétně Moodle

Stručný návod pro software dodávaný jako příslušenství k NetMini adaptéru. Komunikace UPS \ NetAgent Mini DK532, DP532. O.K.SERVIS Plus s.r.o.

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

HP-2000E UŽIVATELSKÝ MANUÁL

Užitečné odkazy:

PSK3-11. Instalace software a nastavení sítě. Instalace software

Návod pro připojení k síti VŠPJ prostřednictvím VPN Vysoká škola polytechnická Jihlava

INSTALACE. programu WinDUO. pod Windows 7 / Windows Vista. ČAPEK-WinDUO, s.r.o.

Instalace a konfigurace web serveru. WA1 Martin Klíma

Instalace a první spuštění Programu Job Abacus Pro

Nejprve je třeba spustit správce serveru: V něm je třeba vybrat přidání rolí:

Přechod na Firebird 3. Popis migrační utility

Nintex Workflow 2007 je nutné instalovat na Microsoft Windows Server 2003 nebo 2008.

A p a c h e h t t p d Lukáš Zapletal lukas.zapletal@liberix.cz

NAS 323 NAS jako VPN Server

Instalační a uživatelská příručka aplikace PSImulator2 Obsah

Podpora šifrovaného spojení HTTPS

Základní popis Toolboxu MPSV nástroje

Verze 1.x 2.x 3.x 4.x 5.x. X X X X uživatelům (správcům) systému Řazení dat v přehledech podle jednotlivých sloupců

Konsolidace zálohování a archivace dat Připojení k DÚ CESNET

Postup přechodu na podporované prostředí. Přechod aplikace BankKlient na nový operační systém formou reinstalace ze zálohy

Internetový obchod ES Pohoda Web Revolution

Cobbler, Puppet, Func

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Instalační příručka Command WorkStation 5.6 se sadou Fiery Extended Applications 4.2

Nastavení DCOM. Uživatelský manuál

Uživatelský modul. Modem Bonding

HELIOS - Zálohování BüroKomplet, s.r.o.

ČSOB Business Connector

2014 Electronics For Imaging. Informace obsažené v této publikaci jsou zahrnuty v Právním upozornění pro tento produkt.

Jan Forman Manuál CLASSIFICATIO N: public / veřejný dokument IDE NTIFICATIO N N U MBER: AUTH OR:

Instalace systému Docházka 3000 na operační systém ReactOS Zdarma dostupné kompatibilní alternativě k systému Windows

2.2 Acronis True Image 19

Konfigurace Windows 7

Střední odborná škola a Střední odborné učiliště, Hořovice

Modul IRZ návod k použití

Připojení systémů CNC 8x9 DUAL do sítí pomocí protokolu TCP/IP (Platí od verze panelu 40.31)

APS Control Panel. Ovládací panel systému APS mini Plus pro SW balík APS Administrator. Uživatelská příručka

Modul ekomunikace. Uživatelský návod. Návod Dokumentace. Verze 1.1 poslední změna Modul ekomunikace strana 1/5

Sentech AL 7000 C. Instalace a ovládání programu BREATH

1 Administrace systému Moduly Skupiny atributů Atributy Hodnoty atributů... 4

BI-AWD. Administrace Webového a Databázového serveru Konfigurace webového serveru Apache httpd

Zahájit skenování ze skla tiskárny nebo z automatického podavače dokumentů (ADF). Přistupovat k souborům se skeny uloženým v poštovní schránce.

Patrol Management System 2.0

Instalační a uživatelská příručka

registrace Fyzické (tj. MAC) adresy

Nastavení Internet Exploreru pro vstup do IS ARGIS

Informační systém pro e-learning manuál

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

INSTALACE SW PROID+ V OS WINDOWS

Na vybraném serveru vytvoříme MySQL databázi. Soubory scratch.jpa, kickstart.php a en-gb.kickstart.ini nahrajeme na vybraný server.

plussystem Příručka k instalaci systému

Versiondog Lukáš Rejfek, Pantek (CS) s.r.o. 4/2014

Instalační manuál aplikace

1 ÚVOD Merbon SCADA K čemu program slouží Požadavky na systém... 4

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Národní šetření výsledků žáků v počátečním vzdělávání

BankKlient. FAQs. verze 9.50

Návod na nastavení bezdrátového routeru Asus WL-520g Deluxe v režimu klient

ZÁLOHA A OBNOVA ABRA GEN

1 Správce licencí Správce licencí Správce licencí Start > Všechny programy > IDEA StatiCa > Správce licencí Soubor > Správce licencí Licence

Možnosti nastavení zobrazíte volbou Konfigurace > Nastavení elektronické komunikace.

Synchronizace kontaktů z ESO9 do MS Outlook

Uživatelský modul. wm-bus Concentrator

a instalace programu COMSOL Multiphysics

INISOFT UPDATE - SLUŽBA AUTOMATICKÝCH AKTUALIZACÍ Uživatelská příručka

Nastavení programu pro práci v síti

APS Administrator.ST

APS 400 nadministrator

Základní popis Toolboxu MPSV nástroje

INSTALACE DATABÁZE ORACLE A SYSTÉMU ABRA NA OS WINDOWS

APS Administrator.OP

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Administrace Oracle. Práva a role, audit

BRICSCAD V15. Licencování

Správa linuxového serveru: Zprovoznění Ruby aplikací s RVM, Thin a Nginx

ucetni-program-pohoda.cz Uživatelský návod a nastavení Instalace str. 2 Uživatelské práva str. 3

Univerzita Pardubice

Postup instalace umožňující el. podpis v IS KP14+ pro webové prohlížeče Google Chrome a Firefox.

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Instalace MS SQL Server Express a MS SQL Server Management Express

Návod na synchronizaci ekasy s ekonomickými systémy. Pohoda idoklad/money Helios Orange

Uživatelská příručka

Střední odborná škola a Střední odborné učiliště, Hořovice

Kerio IMAP Migration Tool

DHCP a DNS a jak se dají využít v domácí síti

Transkript:

IPv6 Sauron - postup nasazení (Quick How To) Padrta, A., Kostěnec, M. 22. září 2014 Obsah 1 Úvod 2 2 Schéma postupu 2 2.1 Manipulace s databází systému Sauron......................... 2 2.1.1 Export dat.................................... 2 2.1.2 Import dat.................................... 3 2.1.3 Upgrade databáze................................ 3 2.2 Instalace součástí..................................... 3 2.2.1 Operační systém................................. 3 2.2.2 Perl........................................ 4 2.2.3 PostgreSQL.................................... 4 2.2.4 Sauron....................................... 4 2.2.5 Apache2...................................... 4 2.3 Konfigurace součástí................................... 5 2.3.1 PostgreSQL.................................... 5 2.3.2 Sauron....................................... 5 2.3.3 Apache2...................................... 6 2.3.4 Vytváření konfigurace.............................. 7 2.4 Import konfigurace.................................... 7 2.4.1 Import DNS konfigurace............................. 7 2.4.2 Import DNS konfigurace (pouze IPv6)..................... 8 2.4.3 Import IPv4 DHCP............................... 9 2.4.4 Import IPv6 DHCP............................... 10 3 Praktická doporučení 10 3.1 Záloha upgradovaného systému............................. 10 3.1.1 Postup vytvoření zálohy............................. 10 3.1.2 Postup obnovy ze zálohy............................. 11 3.2 Volitelná konfigurace systému Sauron.......................... 11 3.3 Postup pro generování konfigurace........................... 11 3.4 (Re)inicializace globálních informací.......................... 11 1

1 Úvod V tomto návodu je popsán postup nasazení systému Sauron 0.7.4 verze podporující IPv6. Pozornost je věnována jak upgradu z nižší verze (předpokládána verze 0.7.2 nebo 0.7.3), tak i zcela nové instalaci. 2 Schéma postupu Schéma postupu je nakresleno na obrázku 1, kdy výchozím bodem je bud původní intalace systému Sauron (IPv4 Sauron) nebo zcela nový uživatel tohoto systému. Výsledkem je pak provozuschopný systém Sauron s podporou IPv6. Znázorněny jsou všechny možnosti postupu - upgrade stávajícího systému, přesun dat na nově instalovaný server (pro souběžný provoz a testování) a čistý import dat na nově instalovaný server (pro nové uživatele systému Sauron). Obrázek 1: Schéma postupu Jednotlivé bloky, které je potřeba absolvovat, jsou popsány v následujících oddílech. Pokud budete přenášet data z původního systému Sauron, je doporučeno nejprve provést zálohu systému popsanou v sekci 3.1, aby bylo možné se v případě problémů snadno vrátit k původní verzi. 2.1 Manipulace s databází systému Sauron V této části jsou popsány operace týkající se databázové části systému Sauron. 2.1.1 Export dat Kompletní databázi systému Sauron je možné vydumpovat následujícím příkazem 2

# su postgres $ pg_dump -U <sauron-dbuser> <sauron-dbname> > backup.dump kde <sauron-dbuser> je jméno uživatele, pod kterým původní systém Sauron přistupuje k své databázi pojmenované <sauron-dbname>. 2.1.2 Import dat Import celé databáze, za předpokladu plně instalované nové verze Saurona, je možné provést následujícími příkazy # su postgres $ dropdb <sauron-dbname> $ createdb <sauron-dbname> $ psql -d <sauron-dbname> -f backup.dump kde <sauron-dbname> je jméno databáze systému Sauron. Po importu je potřeba zkontrolovat verzi příkazem $ /usr/local/sauron/status... Database version: 1.3... Pokud je verze databáze jiná než 1.5, objeví za číslem verze varování "Database version too old, 1.5 required" a je potřeba provést upgrade databáze popsaný v sekci 2.1.3. V případě přenosu ze starší verze systému Sauron bude verze zcela jistě starší. 2.1.3 Upgrade databáze Pro ugrade databáze, přesněji pro přechod mezi jednotlivými verzemi, jsou uloženy převodní SQL příkazy v adresáři /usr/local/sauron/sql. Přechod je potřeba provádět postupně, například z verze 1.3 (odpovídá systému Sauron v0.7.2) na 1.5 je potřeba spustit následující příkazy # su postgres $ cd /usr/local/sauron/ $./runsql sql/dbconvert_1.3to1.4 $./runsql sql/dbconvert_1.4to1.5 Aktuální verzi databáze, tj. i výsledek konverze lze zkontrolovat příkazem $ /usr/local/sauron/status... Database version: 1.5... 2.2 Instalace součástí V této části jsou popsány postupy použité k instalaci jednotlivých součástí. Informace o případném konfigurováním uvedených součástí jsou k nalezení v části 2.3 2.2.1 Operační systém Správná funkce systému Sauron byla otestována na distribuci Linuxu Debian, ale měla by fungovat i na všech ostatních distribucích Linuxu. 3

2.2.2 Perl Pro podporu všech potřebných funkcí je potřeba nainstalovat perl alespoň ve verzi 5.14.2 s příslušnými moduly. Příkazy pro APT (Advanced Package Tool) jsou následující: # apt-get install perl # apt-get install libnet-netmask-perl # apt-get install libnet-dns-perl # apt-get install libnet-ip-perl # apt-get install libpg-perl # apt-get install libdbd-pg-perl Dále je potřeba nainstalovat modul Crypt::RC5, který bohužel není ve standardním balíčku a je třeba jej ručně doinstalovat # wget search.cpan.org/cpan/authors/id/s/si/sifukurt/crypt-rc5-2.00.tar.gz # tar -zxvf Crypt-RC5-2.00.tar.gz # cd Crypt-RC5-2.00 # perl Makefile.PL # make # make test # make install Další perlovské moduly zmíněné v původní dokumentaci Saurona jsou již zahrnuty v základní instalaci Perlu 5.14.2. 2.2.3 PostgreSQL Pro podporu IPv6 je potřeba databáze PostgreSQL alespoň ve verzi 8.2, ale je doporučována verze 9.1. Příkaz pro APT (Advanced Package Tool) je následující: # apt-get install postgresql 2.2.4 Sauron Instalace vlastního systému Sauron je stejná jako v předchozích verzích, tj. # wget <sauron-webpage>/sauron-0.7.4.tar.gz -O /tmp/install/sauron-0.7.4.tar.gz # cd /tmp/install/ # tar -zxvf sauron-0.7.4.tar.gz # cd sauron-0.7.4/ #./configure # make # make docs # make install V případě upgrade, tj. spuštění těchto příkazů na serveru s již instalovaných systém Sauron, dojde k přepsání perlovských skriptů a dalších souborů systému Sauron na novou verzi. Dále je vhodné vytvořit symbolické odkazy na CGI skripty systému Sauron do standardního adresáře webového serveru, tj. mkdir /usr/lib/cgi-bin/sauron ln -s /usr/local/sauron/cgi/sauron.cgi /usr/lib/cgi-bin/sauron/sauron.cgi ln -s /usr/local/sauron/cgi/browser.cgi /usr/lib/cgi-bin/sauron/browser.cgi 2.2.5 Apache2 Lze použít libovolný webový server, ale na použité distribuci je zvykem použít webový server Apache. Instalace je provedena příkazem # apt-get install apache2 4

2.3 Konfigurace součástí V této části jsou popsány potřebné konfigurační zásahy pro zprovoznění systému Sauron. 2.3.1 PostgreSQL V prvním kroku je potřeba vytvořit databázového uživatele <sauron-dbuser> a také vlastní databázi <sauron-dbname> pro systém Sauron pomocí příkazů # su postgres $createdb <sauron-dbname> $ createuser --pwprompt --no-createdb --no-adduser --password <sauron-dbuser> <enter password> <enter password> Databáze PostgreSQL má pro každou svou verzi vlastní konfigurační soubor, takže pokud je současně instalováno více verzí, je třeba editovat správný soubor. Pro verzi 9.1 je editace provedena příkazem # vim /etc/postgresql/9.1/main/pg_hba.conf V konfiguračním souboru je nutné přidat tyto nové definice přístupu k databázi systému Sauron: # TYPE DATABASE USER ADDRESS METHOD local <sauron-dbname> <sauron-dbuser> password host <sauron-dbname> <sauron-dbuser> 127.0.0.1/32 password host <sauron-dbname> <sauron-dbuser> ::1/128 password kde <sauron-dbuser> je jméno uživatele, pod kterým systém Sauron přistupuje k své databázi pojmenované <sauron-dbname>. Následně musí být PostgreSQL restartována pro promítnutí změn v konfiguraci, tj. /etc/init.d/postgresql stop /etc/init.d/postgresql start Jako poslední krok konfigurace je potřeba databázi systému Sauron zapnout OIDs (do verze 8.x bylo defaultně zapnuto a od verze 9.x je naopak defaultně vypnuto, ale skripty tuto hodnotu používají), postup je následující: # su postgres $ psql <sauron-dbname> sauron=> ALTER DATABASE <sauron-dbname> SET default_with_oids=on; sauron=> \q Platnost nastavení končí se smazáním databáze (dropdb <sauron-dbname>). Nastavení OIDs je tedy potřeba provést při každém novém vytvoření databáze (createdb <sauron-dbname>). 2.3.2 Sauron Základní konfigurační soubor systému Sauron lze editovat příkazem # vim /usr/local/etc/sauron/config V konfiguračním souboru je nutné nastavit následující čtyři hodnoty $SERVER_ID = "<server-name>"; $DB_DSN = "dbi:pg:dbname=<sauron-dbname>"; $DB_USER = "<sauron-dbuser>"; $DB_PASSWORD = "<sauron-dbuser-password"; 5

V dalším kroku je potřeba vytvořit patřičné tabulky v databázi systému Sauron příkazem # cd /usr/local/sauron/ #./createtables Pro kontrolu stavu slouží nástroj /usr/local/sauron/status, pokud je vše v pořádku, měl by být vidět následující výsledek # /usr/local/sauron/status Sauron v0.7.4 status Database connection: OK Database version: 1.5 CGI interface: Enabled No users currently logged in. Před dalším postupem je doporučeno přidat alespoň jednoho superuživatele pomocí nástroje příkazové řádky /usr/local/sauron/adduser, detaily viz návod oficiální k systému Sauron. 2.3.3 Apache2 Konfigurace webového serveru je standardní, je doporučeno používat SSL (https), např. <VirtualHost *:443> ServerAdmin mr@sauron.evil ServerName mordor.evil SSLEngine on SSLCipherSuite ALL:... SSLVerifyDepth 3 SSLCertificateFile /etc/apache2/ssl/server.crt SSLCertificateKeyFile /etc/apache2/ssl/server.key SSLCertificateChainFile /etc/apache2/ssl/ca-chain.pem DocumentRoot /var/www/sauron ErrorLog /var/log/apache2/ssl-mordor-error.log CustomLog /var/log/apache2/ssl-mordor-access.log combined ServerSignature Off <Directory /> Options FollowSymLinks AllowOverride None </Directory> <Directory /var/www/sauron> Options Indexes FollowSymLinks AllowOverride None Order allow,deny allow from all </Directory> ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/sauron/ <Directory "/usr/lib/cgi-bin/sauron"> AllowOverride None 6

Options FollowSymLinks ExecCGI Order allow,deny Allow from all </Directory> Alias /icons/ "/usr/share/apache2/icons/" <Directory "/usr/share/apache2/icons"> Options Indexes MultiViews AllowOverride None Order allow,deny Allow from all </Directory> </VirtualHost> Dále je potřeba povolit webserveru zápis do adresáře /usr/local/sauron/logs. Respektive lépe předělat symlink do /var/log/sauron, aby logy nebyly v části /usr/local. Pro Apache (s uživatelem www-data) jde o následující příkazy mkdir /var/log/sauron chown root:www-data /var/log/sauron chmod g+w /var/log/sauron rm -r /usr/local/sauron/logs ln -s /var/log/sauron /usr/local/sauron/logs 2.3.4 Vytváření konfigurace Vytváření konfigurace pro DNS servery (v APT balíček bind9) a DHCP servery (v APT balíček isc-dhcp-server) je posledním krokem. Generování konfigurace je prováděno příkazy # cd /usr/local/sauron/ #./sauron --dhcp <server-name> <dhcp-ipv4-output-dir> #./sauron --dhcp6 <server-name> <dhcp-ipv6-output-dir> #./sauron --bind --updateserial <server-name> <dns-output-dir> Oproti předchozím verzím má verze 0.7.4 výrazně sofistikovanější generátor konfigurace pro ISC DHCP. Výsledná konfigurace DHCP již umožňuje bez dalších změn správné fungování dynamických poolů a řízení přístupů do těchto poolů pomocí DHCP tříd. Dále byla přidána možnost vygenerovat konfiguraci pro IPv6 DHCP. Před ostrým nasazením je tedy vhodné zkontrolovat nakolik se nově vygenerovaná konfigurace liší od původní. Výsledná konfigurace je přímo použitelná pouze ve velmi jednoduchých prostředích. Pokud je například používáno DNS views, DNSSEC, DHCP failover, stejná konfigurace je použita na více serverech, kdy je potřebou změnit jen drobnost (např. direktivu next-server pro DHCP) apod., bude potřeba vytvořit si ještě kompletační a distribuční skript, například podle doporučení uvedených v sekci 3.3. 2.4 Import konfigurace V této části jsou popsány postupy týkající se importování stávající konfigurace DNS a DHCP serverů nebo pouze jejich IPv6 části. Systém Sauron umožňuje souběžnou správu konfigurací více serverů najednou, takže případně je potřeba postup opakovat pro každou konfiguraci zvlášt, s odlišným identifikátorem <server-name>. 2.4.1 Import DNS konfigurace Následující postup je používán pro import celé stávající konfigurace DNS, přičemž je předpokládána syntaxe konfigurace ISC BIND 9.x. 7

1. Nahrát stávající konfiguraci do adreaáře <dns-config-dir> 2. Odstranit z konfigurace nevhodné prvky Stávající systém Sauron nepodporuje direktivu view, takže je potřeba konfiguraci přetvořit na single-server konfiguraci. Všechny vložené soubory (include filename) musí být relativní vůči named.conf, tj zones/included.file místo /etc/bind/zones/included.file. Alternativně lze ponechat pokud je <dns-config-dir> totožný s /etc/bind/. Defaultní zóny je možné zakomentovat přes web je možné všechny defaultní zóny dle patřičných RFC (3849, 4193, 4291, 5735, 5737 a 6303) vygenerovat jedním kliknutím. Vyřešit případné další prohřešky proti standardu (nebo schopnostem importovacího nástroje), které budou během importování nahlášeny. 3. Spustit import příkazy # cd /usr/local/sauron/ #./import <server-name> --dir <dns-config-dir> <dns-config-dir>/named.conf kde <server-name> je zvolené jméno serveru a <dns-config-dir> adresář s konfigurací DNS serveru. 4. Pokud import neskončí výpisem řádky Import successfully completed!, došlo k chybě při parsování konfigurace a je potřeba konfiguraci opravit. 5. Hlášení typu... invalid/unsupported RR type... IGNORING unknown host entry... upozorňují na vynechané části konfigurace. Tyto je pak potřeba ručně doplnit import probíhá prakticky jen jednou, takže je to mnohdy efektivnější řešení než vytváření automatických nápravných opatření. Pokud je importován ručně udržovaná konfigurace, je velmi pravděpodobné, že bude obsahovat nekonzistentní data (např. přímá a reverzní zóna), přičemž některé nekonzistence nejsou slučitelné s importem. Ve výsledku se tak import obvykle nepovede ihned napoprvé, ale s odstraňováním nekonzistencí může jít o iterativní záležitost. 2.4.2 Import DNS konfigurace (pouze IPv6) Následující postup je používán k doplnění IPv6 záznamů, typicky pokud byla používána předchozí verze systému Sauron pro správu IPv4 konfigurace a IPv6 záznamy byly udržovány mimo systém Sauron. Předpokládaným vstupem jsou AAAA záznamy v samostatném souboru <ip6-record>, tj. například ipv6record IN AAAA fefe:718:1801:1001::1 ipv6record2 IN AAAA fefe:718:1801::1001:dead Přidání IPv6 adres a odpovídajících záznamů lze standardně provést příkazem # cd /usr/local/sauron #./addhosts <server-name> <zone-name> <ip6-record> --addip --commit Postup je potřeba opakovat pro každou zónu zvlášt. Direktiva --addip byla přidána až v této verzi Saurona, aby nedocházelo k přepisu existujících IPv4 adres načtenými IPv6 adresami. Pro správné generování konfigurace je potřeba ještě přes webové rozhraní přidat reverzní master zónu pro daný rozsah. Pro výše uvedený případ by se jednalo o 1.0.8.1.8.1.7.0.e.f.e.f.ip6.arpa 8

2.4.3 Import IPv4 DHCP Importování informací z konfigurace IPv4 DHCP serveru je možné až po importu informací z DNS konfigurace. Kromě načtení parametrů DHCP jsou doplňovány MAC adresy k již existujícím záznamům (podle IPv4 adresy). Postup je následující: 1. Nahrát stávající konfiguraci IPv4 DHCP do adresáře <dhcp4-config-dir> 2. Spustit import příkazy # cd /usr/local/sauron/ #./import-dhcp --global <server-name> <dhcp4-config-dir>/dhcpd.conf 3. Pokud import neskončí výpisem řádky All done., došlo k chybě při parsování konfigurace a je potřeba konfiguraci opravit. 4. Stávající importovací nástroj pro DHCPv4 si neumí poradit s vícenásobným přidělovaním IP adres (např. fixed-address <IP1>, <IP2>;). U takovýchto záznamů se objeví varování typu Ignoring host with multiple IPs: <domain-name>.<zone> Tento druh záznamů je nutno doplnit ručně přes web pomocí možnosti ethernet alias, takže ve finální konfiguraci mohou opět existovat. 5. Vzhledem k interní reprezentaci dynamických poolů je potřeba, aby všechny IPv4 adresy z daného poolu měly své záznamy. Pokud v DNS příslušné záznamy chybí, objeví se varování typu Warning: <n> DNS records for pool <start-ipv4>-<end-ipv4> not found! Pokud chybí pouze jednotky IP adres, jedná se zřejmě o nekonzistenci v konfiguracích DNS a DHCP a je vhodné chybějící záznamy doplnil. Pokud dosud nebylo zvykem mít pro dynamické pooly doménová jména, je vhodnější použít standardní nástroj systému Sauron generatehosts. Pokud je importovaná konfigurace ručně udržovaná, nekonzistence mezi konfigurací DNS a DHCP bývá poměrně značná, takže jejich postupné opravování si obvykle vyžádá několik pokusů o import. Pomocí nástroje /usr/local/sauron/import-nets lze dále vytvořit strukturu podsítí (subnets), která je přes web Saurona vidět v menu Nets/+All. Soubor <nets-filename> s obsahem <cidr>,"<name>","<description>","<vlan>","<t f>"... lze po ručním přidání VLAN <vlan> naimportovat příkazem # cd /usr/local/sauron #./import-nets --cidr=1 --name=2 --descr=3 --vlan=4 --dhcp=5 <server-name> \ <nets-filename> --commit Import sítí ze souboru je vhodný pro jednorázové dávkové přidání definic podsítí. Nástroj umí pracovat s IPv4 i IPv6 CIDR. 9

2.4.4 Import IPv6 DHCP Importování informací z konfigurace IPv6 DHCP serveru je možné až po importu informací z DNS konfigurace. Kromě načtení parametrů DHCP jsou doplňovány DUID k již existujícím záznamům (podle IPv6 adresy). Postup je následující: 1. Nahrát stávající konfiguraci IPv6 DHCP do adresáře <dhcp6-config-dir> 2. Spustit import příkazy # cd /usr/local/sauron/ #./import-dhcp --dhcp6 <server-name> <dhcp6-config-dir>/dhcpd.conf 3. Pokud import neskončí výpisem řádky All done., došlo k chybě při parsování konfigurace a je potřeba konfiguraci opravit. 4. Vzhledem k interní reprezantaci dynamických poolů je potřeba, aby všechny IPv6 adresy z daného poolu měly své záznamy. Pokud v DNS příslušné záznamy chybí, objeví se varování typu Warning: <n> DNS records for pool <start-ipv6>-<end-ipv6> not found! Pokud chybí pouze jednotky IP adres, jedná se zřejmě o nekonzistenci v konfiguracích DNS a DHCP a je vhodné chybějící záznamy doplnil. Pokud dosud nebylo zvykem mít pro dynamické pooly doménová jména, je vhodnější použít standardní nástroj systému Sauron generatehosts. Pokud je importovaná konfigurace ručně udržovaná, nekonzistence mezi konfigurací DNS a DHCP bývá poměrně značná, takže jejich postupné opravování si obvykle vyžádá několik pokusů o import. Také je možné dávkově přidat informace o IPv6 podsítích stejným způsobem, který je popsán v závěru oddílu 2.4.3. 3 Praktická doporučení V této části jsou uvedeny tipy a doporučení, která vycházejí z téměř desetiletých zkušeností s nasazením systému Sauron na Západočeské univerzitě v Plzni. 3.1 Záloha upgradovaného systému Před upgradováním systému Sauron na novou verzi je doporučeno provést zálohování původního stavu, aby v případě problémů bylo možné se vrátit zpět. Pokud je použita standardní instalace systému Sauron, stačí postupovat podle pokynů v tomto oddílu. 3.1.1 Postup vytvoření zálohy Nejprve je potřeba vytvořit dump databáze # su postgres $ pg_dump -U <sauron-dbuser> <sauron-dbname> > <backup-dir>/backup.dump kde <sauron-dbuser> je jméno uživatele, pod kterým původní systém Sauron přistupuje ke své databázi pojmenované <sauron-dbname>. Dále pak zkopírovat skripty a konfigurační soubory systému Sauron # mkdir <backup-dir>/usr-local-sauron # mkdir <backup-dir>/usr-local-etc-sauron # cp -r /usr/local/sauron/* <backup-dir>/usr-local-sauron/ # cp -r /usr/local/etc/sauron/* <backup-dir>/usr-local-etc-sauron Konfigurace webového serveru, úlohy v cronu a případné další uživatelské skripty nebudou instalací nové verze dotčeny. 10

3.1.2 Postup obnovy ze zálohy Obnova databáze z dumpu je provedena následujícími příkazy # su postgres $ dropdb <sauron-dbname> $ createdb <sauron-dbname> $ psql -d <sauron-dbname> -f <backup-dir>/backup.dump Zkopírování původních verzí skriptů a konfiguračních souborů # cp -r <backup-dir>/usr-local-sauron/* /usr/local/sauron/ # cp -r <backup-dir>/usr-local-etc-sauron/* /usr/local/etc/sauron/ 3.2 Volitelná konfigurace systému Sauron V konfiguračním souboru /usr/local/etc/sauron/config je doporučeno dále nastavit (nebo odkomentovat) následující parametry. Chcete-li, aby uživatelé mohli nahlížet pouze do zón, které mají explicitně povoleny, nastavte $SAURON_PRIVILEGE_MODE = 1; Chcete-li, aby autentizace probíhala externím způsobem dle konfigurace webového serveru (např. WebAuth, CoSign, Shibboleth apod.), nastavte $SAURON_AUTH_MODE = 1; 3.3 Postup pro generování konfigurace Systém Sauron je nainstalován na samostatném virtuálním serveru odděleném od produkčních DNS a DHCP serverů. Cílem je zajistit, aby na produkční servery byla vždy doručena pouze funkční konfigurace. Na obrázku 2 je graficky znázorněn postup generování a distribuce konfigurace. Kromě výstupu systému Sauron jsou odděleně uchovávána doplňková data, která jsou modifikačním skriptem doplněna do vygenerované konfigurace. Tato finální konfigurace je otestována na syntaktické chyby a základní funkčnost (např. příslušný démon nastartuje bez chyby, všechny zóny se podařilo načíst, od minulé změny nezmizely žádné MX záznamy, apod.), což lze snadno provést, protože na serveru jsou nainstalovány stejné verze ISC DHCP a ISC BIND jako na produkčních serverech, ale nejsou dostupné klientům. Pokud dojde k chybě v jedné nebo více z větvích (DNS/DHCP IPv4/DHCP IPv6) je e-mailem informován operátor a další postup je zastaven. V opačném případě je zkontrolovaná konfigurace zkopírována a připravena k distribuci. Vlastní distribuci je možné provádět uložením na datové úložiště, odkud si ji v pravidelných intervalech servery sami stahují, nebo přímo zkopírováním a vzdáleným restartem příslušných démonů. V tomto schématu je tedy vždy dostupná poslední funkční konfigurace a případná chyba uživatelů systému Sauron (např. zadání DHCP options ve špatném tvaru) nebo dočasná nedostupnost doplňkové konfigurace nezapříčiní nefunkčnost produkčních DNS a DHCP serverů. 3.4 (Re)inicializace globálních informací Kromě uživatelských dat jsou v databázi Saurona také uloženy některé globální informace: Seznam kořenových DNS serverů umožňuje správné generování kořenové (. ) zóny. IANA OUI (Organizationally Unique Identifier) umožňuje odvodit výrobce sít ové karty z MAC adresy. 11

Obrázek 2: Schéma doporučeného postupu generování konfigurace Informace o kořenových DNS serverech musí být importovány (v případ nové instalace) nebo doplněny o IPv6 adresy (v případě upgrade). Prakticky však není na škodu občas tento seznam zaktualizovat. Vše výše uvedené lze provést následujícími příkazy: # wget http://www.internic.net/domain/named.root /tmp/named.root # cd /usr/local/sauron #./import-roots default /tmp/named.root --update Informace o OUI nejsou kritické pro funkčnost Saurona. Vložení aktuálních informací lze docílit následujícími příkazy: # cd /usr/local/sauron # wget https://standards.ieee.org/develop/regauth/oui/oui.txt -O /tmp/oui.txt #./import-ethers /tmp/oui.txt 12

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář