Как настроить удаленный вход и разрешение DNS в среде малого бизнеса с централизованным сервером

Уважаемые коллеги-администраторы,

У меня очень животрепещущий вопрос, на который я все еще ищу ответ. У нас было техническое обслуживание, связанное с ИТ-инфраструктурой (новые компьютеры, кабели и т. Д.), Но мы обнаружили, что необходимы также улучшения со стороны программного обеспечения.

У меня есть небольшой центральный сервер, который представляет собой очень бычий компьютер, два больших (1 ТБ) жестких диска с RAID1, управляемым материнской платой, две сетевые карты и все такое, с установленным Ubuntu Server 12.04 x64. Этот сервер планируется использовать как в центральный сервер, управление разрешением имен, аренда IP, прокси, удаленные профили, локальный и удаленный веб-сайт, FTP и электронная почта. В общем, в принципе все на эту машину поставят.

Для меня не было проблемой настроить небольшие службы, но я зашел в тупик с DNS и частью удаленного профиля. На этом компьютере работает сервер на базе Linux, но наши рабочие станции (у нас их примерно 30) работают под управлением Windows 7, поэтому нам нужно SMB\CIFS слишком.

Я нашел способ настроить DHCP-сервер (предварительно настроенный адрес для рабочих станций dekstop и (с помощью ACL дросселя в Кальмар) более медленные подсети для случайных ноутбуков), используя Shorewall для брандмауэра. eth0 подключается к местный сеть, а eth1 это соединитель для остального Интернета. Это делается так, потому что встроенная карта работает быстрее, и у нас очень медленное соединение с миром. Клиентам необходимо использовать прокси-сервер (он настроен на рабочей станции) для доступа в Интернет. Кроме DNS и удаленных профилей все работает.

У нас ок. 90 пользователей, которым необходимо будет зарегистрироваться и которым потребуется доступ для входа в систему, они разделены на 5 групп, если эта информация может иметь какое-либо значение. Я обнаружил что LDAP было бы аккуратно и удобно, но я не могу найти хорошей документации, как ее настроить. Забавно то, что я нашел пошаговое руководство (с большой суммой объяснений на каждом этапе), но, к сожалению, оно включало использование определенного готового сценария Python для настройки чего-то, что в конечном итоге не удалось на 38-м шаге из 40 шаги ... и, используя мои небольшие познания в Python, я не смог решить проблему. Это руководство было где-то на UbuntuФорумы но, к сожалению, я потерял закладку.

Я прочитал другие вопросы (на этом сайте и в других местах) и ... давайте посмотрим, могу ли я что-нибудь еще предоставить в плане информации.

У нас есть зарегистрированное вне домена доменное имя, которое мы выделили с помощью квалифицированного регистратора, но в нашей внутренней сети могут быть и другие домены, которые нам необходимо разрешить локально. (Например: наш внешний домен something.org но у нас должна быть запись hosts в management.in)
Интернет приходит от провайдера и попадает на сервер на eth0 открытка. Сеть сервера настроена на автоматическое получение IP-адреса с DHCP-сервера провайдера. В eth1 card (для которой мне нужно будет установить IP-адрес) затем подключает сервер к локальному коммутатору, а после этого коммутатора с помощью еще нескольких коммутаторов подключаются рабочие станции. У нас также есть две точки беспроводного доступа, подключенные ко всей этой ветке. Эти переключатели пассивный свитчи, у них нет административного веб-сайта. Точки доступа распределяют только локальный Интернет по беспроводной сети, подключенные ноутбуки настроены (или будут) на аренду IP-адреса соответствующего центрального сервера.
Что касается серверов, мы привязаны к решениям с открытым исходным кодом. Мы - некоммерческая организация, и из-за проблем с бюджетом о лицензировании сервера Windows не может быть и речи. На рабочих станциях установлена легальная лицензия Windows 7 Ultimate или Enterprise (это может быть разная версия), и они в основном 64-битные.
Планируется, что наша внутренняя сеть будет в той же подсети с 192.168.1.0 является IP-адресом сервера (внешний IP-адрес может меняться каждые полгода, примерно каждые четыре месяца). Наши рабочие места названы WK01 а затем постепенно, с IP-адресами, начиная с .1.1 а затем тоже постепенно. Наши клиенты сгруппированы в 5 групп (условно называются GROUP_A, GROUP_B и так далее, и так далее) с дополнительной группой, называемой ADMINISTRATION.

Следующие службы уже установлены и в основном настроены на сервере:

dhcp3-сервер
Apache Веб-сервер (с MySQL для хостинга баз данных и php5 переводчик)
Постфикс для отправки и получения электронной почты
Кальмар это наш прокси-сервер
Webmin (для администрирования через браузер, но я предпочитаю командную строку)
OpenSSH для удаленного терминала, конечно.

Буду признателен, если смогу использовать bind9 как DNS-сервер, и скорее всего Самба для удаленного обмена и какого-то ldap для централизованной базы данных логинов. На рабочих станциях потребуется несколько удаленных папок, смонтированных как сетевой диск (например: H:\) с сервера. Мне нужно будет установить квоты для каждого пользователя на этом монтировании, и я снова не знаю, как это сделать.

Повторяю, следующие вопросы:

Как мне начать настраивать Разрешение DNS для доменов, предпочтительно используя bind9. Было бы здорово, если бы я также мог установить, что если клиент пытается получить доступ к системе, используя домен, доступный снаружи, он должен разрешаться локально (и на IP-адресе LAN), чтобы предотвратить бесполезный трафик данных?
Как я мог разумно управлять локальными рабочими станциями и их пользовательской базой данных, предпочтительно с помощью LDAP служба?
Есть ли способ настроить удаленные профили, если клиент Джон Смит входит в систему из WK02 (допустим, это имя рабочей станции), его профиль загружается с сервера. Затем он что-то изменил, выйдет из системы, и если он войдет из WK04 (другая рабочая станция), он сохранит свои изменения, потому что профиль сохранен удаленно?

Я, по сути, настроил нужную нам среду, используя Windows Server 2008 RC2, но из-за бюджета (и этой прискорбной вещи, подкрепленной некоторым удачным любопытством), я хотел бы передать наши пожелания на сервер на базе Linux.

Спасибо за ваше время и ваши ответы.

Установите samba-doc пакет. Он включает документ Samba3-By Example, который охватывает большую часть того, что вы хотите сделать. На данный момент вы можете захотеть использовать Samba3, но Samba4 быстро развивается и должна иметь возможность предоставлять службы AD (Active Directory). Я нашел версию оболочки ldapscripts легче работать, чем с smbldap-tools скрипты.

bind9 предоставит ваши требования к DNS. По умолчанию он обеспечивает рекурсивный поиск. Вам нужно будет настроить файл зоны для вашей внутренней зоны. Будет проще использовать регистратора домена для поддержки внешнего DNS. Если ваш домен example.com, возможно наличие домена как lan.example.com определено в вашей локальной привязке.

Если вы переместите внешний домен в локальную привязку, настройте конфигурацию разделенной зоны и запретите доступ к кешу и рекурсии для внешних пользователей. Это предотвратит использование вашего сервера в атаках усиления.

Я использовал множество инструментов администрирования LDAP. Если я правильно помню, я нашел gosa чтобы предоставить достаточно простой веб-интерфейс для управления пользователями LDAP и машинами Samba.

Простые ответы:

Установите bind9, настройте его как рекурсивный (независимый) или как пересылающий (полагается на Google / ISP / что-то еще). Я считаю, что bind9 выходит из коробки с включенной рекурсией, но руководство достаточно легко читать для изменений конфигурации.
Купите лицензию Windows Server. При необходимости запустите его на виртуальной машине.
См. 2.

Я знаю, что вы не хотите переходить на Windows. Если это так, то вам лучше пропустить функции Windows.