hosteons中文网

基础服务组件包括 DNS、DHCP、用户管理、身份鉴别、权限管理、事后审计、域控等。

1. DNS

DNS 是一个倒树形结构的分布式数据库，里面存储的信息主要有 IP 地址到域名的映射记录、域名到 IP 地址的映射记录、邮件路由记录等。Bind 就是用于实现这个数据库并且允许人们通过域名查询 IP、通过 IP 查询域名或者查询邮件服务器的信息等，我们在配置计算机网卡参数时要指定多个 DNS 服务器 IP 地址。

在中国，这些 DNS 服务器大部分都在电信机房，如果不设置或者 IP 地址设置错误，则计算机无法上网。不过，建议大家使用谷歌提供的 DNS 服务器，IP 地址是 8.8.8.8 和 8.8.4.4，速度快又方便记忆。

BIND（Berkeley Internet Name Domain）是一款开源的 DNS 服务器软件，是目前互联网上使用最广泛的 DNS 服务器软件，能在各种流行的操作系统上运行。现由互联网系统协会负责开发与维护，可从该组织的官方网站 http：//www.isc.org/ 下载源代码，然后编译安装，目前稳定版本是 9.11.0。

2. DHCP

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）允许一台计算机通过 DHCP 服务器自动获取网络配置参数，如网卡的 IP 地址、网关、掩码和主机名字等，这样只要启动计算机就能上网，而不用手工去配置计算机的网络参数。

DHCP 服务器的第二个功能是定义一些与自动安装操作系统有关的参数，比如一台计算机设置从网卡启动，只要 DHCP 服务器配置了 PXE 启动有关的参数，那么用户的计算机就能自动根据配置参数来启动或者安装操作系统，而不管原来有没有安装操作系统。这一点在可伸缩云端和零存储云终端的环境下非常有用，服务器随时加入随时启用，云终端启动就自动下载统一的操作系统内核并运行统一的登录程序。

dhcp3-server 和 isc-dhcp-server 都是目前比较流行的开源 DHCP 软件项目，前者已经被广泛使用；后者发展迅速，操作系统 Ubuntu12.04 版本开始使用它了。isc-dhcp-server 也是由互联网系统协会负责开发与维护的，可从该组织的官方网站 http：//www.isc.org/ 下载源代码，然后编译安装，目前稳定版本是 4.3.5。

3. Kerberos

Kerberos 这一名词来源于希腊神话“三个头的狗——地狱之门守护者”。但在 IT 领域，Kerberos 是指一种计算机网络上的身份认证协议，主要用来在非安全的计算机网络中，对个人通信以安全的手段进行身份认证。

Kerberos 又指麻省理工学院为这个协议开发的一套计算机软件（参见官方网站 http：//web.mit.edu/kerberos/），软件设计上采用客户机/服务器结构，并且能够进行相互认证，即客户端和服务器端均可对对方进行身份认证，可以用于防止窃听、防止重放攻击、保护数据完整性等场合，是一种应用对称密钥机制进行密钥管理的系统。Kerberos 的扩展产品也使用公开密钥加密方法进行认证。

当有 N 个人使用该系统时，为确保在任意两个人之间进行秘密对话，系统至少保存有其与每个人的共享密钥，所需的最少会话密钥数为 N 个。Kerberos 身份认证流程如图 1 所示。

如果想进一步了解 Kerberos 的原理，请在网上搜索“Kerberos 原理对话”，其以四幕话剧的形式来阐述 Kerberos 的原理，非常经典。

Kerberos 可用来部署单点登录环境——只要记住一个密码就能登录到任何一个应用，类似购买景点通票。微软的 AD 域就采用了 Kerberos。另外，图 2 所示是笔者为国内一家大型企业部署的单点登录草图，实现了企业内部上千台 Linux 服务器的单点登录。

图 1  Kerberos 身份认证流程