Doménový řadič a další služby sítě: návrh

V minulém článku jsem popsal co si představit pod Doménovým řadičem a dalšími službami sítě, nyní je na čase popsat jak to bude fungovat. Pro úplnou představu toho co vlastně stavíme předkládám obrázek. Protože je obrázek trochu složitější, uvedu slovní popis:

Na obrázku vidíte server Hlavní doménový řadič (1), Záložní doménový řadič (2) a pobočkové servery (3 a 4). Každý ze serverů nabízí všechny služby a je schopen samostatné práce i bez napojení na VPN. Servery jsou propojeny přes síť Internet VPN tunelem. K serverům jsou připojení klienti s různými verzemi Windows (5, 6,7).

Popis pobočky 3 a klienta 8:
Pobočka 3 je tvořena serverem, který nabízí pro klienta 8 všechny podstatné služby. Nad rámec vlastních služeb zprostředkovává připojení globálního disku S: (sdílené dokumenty) a také vyhrazeného disku U: pro skupinu účetních pracovníků.

Popis pobočky 4 a klienta 9:
Pobočka 4 je tvořena serverem, který nabízí pro klienta 9 všechny podstatné služby. Nad rámec vlastních služeb zprostředkovává připojení globálního disku S: (sdílené dokumenty) a také vyhrazeného disku U: pro skupinu účetních pracovníků. Klientovi 9 také zprostředkovává namapování domácího disku H: ze serveru Pobočka 3

Cílem návrhu je poskytnout klientům všechny dostupné služby lokálně, aby v případě výpadku připojení k internetu mohli klienti lokálně pracovat (přihlásit se do Domény, přistupovat k lokálním sdíleným síťovým diskům).

Co tedy má infrastruktura zajišťovat?

  • Úložiště uživatelských účtů a hesel – Adresářový server
  • Služby Doménového řadiče s centrálním řízením účtů napříč celou sítí
  • Přidělování IP adres počítačům s síti
  • DNS překlad doménových jmen
  • www proxy s transparentní autentizací bez zadávání jména a hesla
  • autokonfiguraci proxy serveru, tak aby nemusela být proxy nastavována ručně uživatelem
  • Antivir na souborovém serveru
  • VPN server pro vzdálené připojení uživatelů s použitím jména a hesla pro Doménu
  • Radius protokol pro připojení na WiFi s použitím jména a hesla pro Doménu
  • NTP server pro přesné řízení času serverů a počítačů

Scénáře použití

Pro definici co všechno od sítě chceme, můžeme uvažovat standardní scénáře použití pro tyto uživatele:

  • uživatel, který se bude do sítě hlásit na pracovišti
  • uživatel, který se bude do sítě připojovat přes VPN
  • administrátor

Scénář použití infrastruktury pro uživatele na standardním pracovišti
Uživatel přijde ráno do práce a zapne si počítač. Po jeho zapnutí musí počítač obdržet IP adresu. Po nabootování OS Windows uživatel zadá přihlašovací jméno a heslo, tím se ověří jeho totožnost vůči doméně. Po přihlášení proběhnou logon scripty, které nastaví hodnoty prostředí podle potřeb daného administátora. Dále dojde k automatickému připojení síťových disků. Po otevření internetového prohlížeče se uživatel dostane na internet bez zadání jména a hesla.

Scénář použití infrastruktury pro uživatele, který se vzdáleně připojí do sítě přes VPN
Uživatel na svém operačním systému spustí OpenVPN klienta. Jako přihlašovací údaje zadá svůj login a heslo do Domény. VPN server uživatele ověří a naváže se spojení do interní sítě. Mapování disků pak může proběhnout ručně kliknutím na ikonu.

Scénář použití infrastruktury pro administrátora
Administrátor potřebuje pro správu Domény založit, editovat, zablokovat a smazat uživatele, vytvářet skupiny, zařadit uživatele do skupin, provést změnu hesla uživatele.
Přidání počítače do Domény by mělo proběhnout automaticky v rámci změny zařazení počítače skupina vs Doména.

Jaký software na infrastrukturu sítě použít?
Naším cílem je postavit vše na OpenSource software tak, aby vše bylo bez licenčních nákladů.

Jako operační systém je použit CentOS 6, u Doménového řadiče se souborovým serverem je volba celkem jasná: Samba server, použijeme poslední verzi 3.6. Adresářový server je možné použít od různých výrobců, v našem řešení využijeme OpenLDAP 2.4. Překlad doménových jmen – DNS server nám zajistí Bind nebo dnsmasq. Proxy server bude realizován přes Squid. Pro filtrování obsahu webů je možné použít SquidGuard. DHCP server, který bude klientům přidělovat IP adresy bude ISC DHCP (dhcpd), nebo dnsmasq. Soubory na sdílených discích budeme kontrolovat antivirem ClamAV. Čas bude řízen přes NTP (ntpd). Jako VPN server pro uživatele i mezi servery bude použit OpenVPN. Implementaci Radius serveru pro ověřování ve WiFi sítích zajistí program FreeRadius.

V příštím článku začnu s povídáním o Adresářovém serveru a důvodech jeho použití.