tobaraの投稿 - Crieit

LAGざっくりまとめ

2021-06-28T16:36:27+09:00

LAG（Link Aggregation Group）とは

・複数の物理リンク（最大8本）を仮想的に一つのリンクにみなすための技術
・リンクの帯域幅を増やしたり、冗長化を実現できる
・単にリンクアグリゲーション、もしくはポートトランキングとも呼ばれる
※Ciscoでは「EtherChannel」
・静的に構成するか、もしくは「PAgP（Cisco独自）」「LACP（標準プロトコル）」
を使って動的に論理リンクを構成
※ PAgP(Port Aggrgaion Protocol)、LACP(Link Aggregation Contorol Protocol)

LAGの設定（コマンド）

SW1(config-if)#channel-group <チャネルグループ番号> mode <モード>

モード集

モード	特徴
on	・静的設定し、無条件に論理リンクを構成
active	・LACPパケットを送信し、能動的に論理リンクを構成
passive	・LACPパケットを受信したら論理リンクを構成
desireble	・PAgPパケットを送信し、能動的に論理リンクを構成
auto	・PAgPパケットを受信したら論理リンクを構成

論理リンク（Port-channel）の確認（コマンド）

SW1#show etherchannel summary

論理リンクの制限

・論理リンクを静的、もしくはPAgPで構成する場合、最大8本まで束ねることができる
※LACPの場合、HotStandby用として、9本以上を同じチャンネルグループに設定可能

AD値ざっくりまとめ

2021-06-28T16:18:38+09:00

AD値とは

経路情報の信頼度をあらわす数値
– スタティックルーティング、ダイナミックルーティング含め、様々な情報源から経路情報を得ている
– ルーティングテーブルに載るのは最適な経路だけ
– 同じ経路情報を複数の情報源から得た場合、どの情報を信頼して最適な経路としてルーティングテーブルに載せていくのか、

情報源	AD値	情報源	AD値	情報源	AD値
Connected	0	EIGRP(内部)	90	RIP	120
Static	1	IGRP	100	ODR	160
EIGRP(集約ルート)	5	OSPF	110	EIGRP(再配送ルート)	170
eBGP	20	IS-IS	115	iBGP	200

その信頼度をあらわすのがAD値
– AD値は小さいほど、信頼度が高い（設定のよる変更可能）

経路ごとに自分でAD値を設定する方法

– 障害時に意図した迂回経路に切り替わるように、AD値を高くしたスタティックルートを設定する

コマンド

RT1(config)#ip˽route ˽<宛先ネットワークアドレス>˽<サブネットマスク>˽<ネクストホップアドレス>˽

デフォルトルートを利用しても実現できる

– 障害時にはデフォルトルートを利用して通信する

コマンド

RT1(config)#ip˽route˽0.0.0.0˽0.0.0.0

デフォルトルートとは

– デフォルトルート（0.0.0.0/0）はネットワーク部が 0bit（範囲としては 0.0.0.0～255.255.255.255）
⇒全てのネットワークが対象
– ルーティングテーブルに載っていないネットワークには中継することができない（データは破棄される）
⇒デフォルトルートを設定しておけば、破棄されずにネクストホップに転送される
※プレフィックス長は最小（/0）なので、常にルーティングテーブル上の他の経路が優先される

ロンゲストマッチざっくりまとめ

2021-06-28T15:48:28+09:00

ロンゲストマッチとは

複数の宛先ルートがある場合にネットワーク部のビット数が大きいもの（プレフィックス長が長いもの）が優先されて、データが転送されるルールみたいなもの

もうちょい詳しく

172.16.1.0/24～172.16.255.0/24の集約ルートである

172.16.0.0/16

と

172.16.25.0/24

があった場合

Network	Next Hop
S 172.16.0.0/16	192.168.1.2
S 172.16.25.0/24	192.168.2.2

プレフィックス長が長い172.16.25.0/24が優先されてデータが転送される。

DHCP設定まとめ(Cisco)

2021-06-24T16:27:36+09:00

DHCPとは

IPアドレスを自動で割り振ってくれるやつ
詳しくはDHCPざっくりまとめ

コマンド集（手順書）

◆DHCPサーバ設定


【STEP1】 除外IPアドレスの設定
※他のネットワーク機器やサーバなどのIPアドレスは配布しないように事前に除外しておく（範囲指定も可能）
– Router(config)#ip˽dhcp˽excluded-address˽<除外するIPアドレスの先頭>˽<除外するIPアドレスの最後>

【STEP2】 DHCPプール名の設定
Router(config)#ip˽dhcp˽pool˽ 
※設定後、DHCPコンフィギュレーションモードに移行
Router(dhcp-config)#
※以降のステップはDHCPコンフィギュレーションモードにて設定

【STEP3】 配布IPアドレスの設定
– Router(dhcp-config)#network˽<ネットワークアドレス>˽<サブネットマスク/プレフィックス長>

【STEP4】 デフォルトゲートウェイの設定
– Router(dhcp-config)#default-router˽
※同様にDNSサーバのIPアドレス、リース期間（デフォルト1日）なども設定可能

DHCPプールに関する情報の確認
– Router#show˽ip˽dhcp˽pool

実際に配布したIPアドレスの確認
– Router#show˽ip˽dhcp˽binding

DHCPサーバとDHCPクライアントが別ネットワークにある場合の追加設定

※DHCPサーバがDHCPクライアントと別ネットワークにある場合ブロードキャストが届かない。
⇒DHCPリレーエージェントを経由させる必要がある
（DHCPリレーエージェントとDHCPサーバ間はユニキャスト通信になる）

※DHCPリレー設定（ブロードキャストを受け取るインターフェースで設定）
– Router(config-if)#ip˽helper-address˽

双方向NATざっくりメモ（コマンド集）

2021-06-22T17:24:23+09:00

双方向NATとは

「内部送信元IPアドレス変換」と「外部送信元IPアドレス変換」を同時に行うNAT

のことで、お互いのホストのIPアドレスを知らなくても通信できる

双方向NAT（スタティック）の設定(コマンド)

– Router(config)#ip˽nat˽inside˽source ˽ static˽<内部ローカルアドレス>˽<内部グローバルアドレス>
– Router(config)#ip˽nat˽outside˽source ˽ static˽<外部グローバルアドレス>˽<外部ローカルアドレス>˽add-route
※ 「add-route」オプションを付けずに、別途スタティックルートの設定でも可
Router(config)#ip˽route˽<外部ローカルアドレス> ˽<出力インターフェース（outside）>

NATの外部から内部の設定まとめ（コマンド集）

2021-06-22T17:08:28+09:00

初めに

NATとはプライベートIPアドレスとグローバルIPアドレスを変換してくれる機能
詳しくはNATざっくりメモ
ここでは外部ネットワークから内部ネットワークにデータが送信されるための設定を書いていく。

なんで外部から内部でめんどくさい設定をする必要があるのか

NATの処理順序では

内部ネットワークから外部ネットワークの場合はルーティングをしてからNATを行う

逆に

外部ネットワークから内部ネットワークの場合はルーティングをしてからNATを行う

なので

ルーティング情報を登録していないとうまく通信が成立しない

から行うのである
もっと詳しく言うと
受信側インターフェース（inside）が送信側インターフェース(outside)として使用されてしまうため送信側インターフェースへの道しるべを作ってあげる必要がある
ということ

コマンド集

少しわかりやすくここでは内部(inside)側のインターフェースをGigabitethernet 0/0
外側(outside)側のインターフェースをGigabitethernet 0/1とする
◆スタティックNATの設定

– Router(config)#ip˽nat˽outside˽source ˽ static˽<外部グローバルアドレス>˽<外部ローカルアドレス>
※設定後にNATテーブルを確認
Router#show˽ip˽nat˽translations
– Router(config)#ip route <外部ローカルアドレス> <サブネットマスク>　Gigabitethernet 0/1
↑ここで送信側インターフェースへの道しるべを作ってあげてる

機器によっては add-routeオプションを使って簡単に書くことができる※自動的にスタティックルートを追加してくれる

– Router(config)#ip˽nat˽outside˽source ˽ static˽<外部グローバルアドレス>˽<外部ローカルアドレス>˽add-route
※自動的にスタティックルートを追加

PAT（NAPT）ざっくりまとめ｛コマンド集込み｝

2021-06-22T16:34:52+09:00

PAT(Port Address Translation)とは

– 1つのIPアドレスを複数のコンピュータで共有する技術のことで一般的にはNAPT（Network Address Port Translation）、またはIPマスカレードとも呼ばれる。PATはCisco独自の言葉。
– スタティックNATでもダイナミックNATでも、IPアドレスを1対1で変換するので、例えば複数のコンピュータが同時にインターネット接続したいということであれば、グローバルIPアドレスが接続したいコンピュータの台数分必要
– PATではIPアドレスの他にポート番号も動的に変換することでそれぞれのコンピュータの通信をポート番号で識別し、1つのグローバルIPアドレスを共有しながら同時接続することを可能にしている。

まとめると1個のIPアドレスを複数のコンピュータに割り当てられる。ポート番号で識別してる。

コマンド集（手順書）

大体ダイナミックNATの設定と一緒。大きく違うところはアドレスプールの最初と最後を一緒にする点。

【STEP1】内部グローバルアドレスのIPアドレスプールを定義
Router (config)#ip˽nat˽pool˽˽<先頭のIPアドレス>˽<最後のIPアドレス>˽netmask˽<サブネットマスク>
↑最初と最後のIPアドレスを一緒にする
【STEP2】変換対象となる送信元IPアドレスを標準ACLで定義
Router (config)#access-list˽<リスト番号>˽permit˽<送信元IPアドレス>˽＜ワイルドカードマスク＞
【STEP3】ACLとIPアドレスプールをひもづける
Router (config)#ip˽nat˽inside˽source˽list˽<アクセスリスト番号>˽pool˽＜IPアドレスプール名＞˽overload
↑「overload」はもともと過負荷をかけるという意味

NATざっくりメモ

2021-06-22T12:31:16+09:00

NAT(Network Address Translation)とは

2つのTCP/IPネットワークの境界にあるルーターやゲートウェイにおいて、双方のIPアドレスを変換してデータを転送する技術。
ざっくりいうとプライベートIPアドレスをグローバルIPアドレスに変換してくれる。
プライベートは企業側、グローバルはインターネット側。

NATをやるうえで覚えておきたい単語

NAT用語	Cisco上での出力	内容
内部ローカルアドレス	Inside local	内部ネットワークで扱われる、内部ネットワークのホストのIPアドレス
内部グローバルアドレス	Inside global	外部ネットワークで扱われる、内部ネットワークのホストのIPアドレス
外部ローカルアドレス	Outside local	内部ネットワークで扱われる、外部ネットワークのホストのIPアドレス
外部グローバルアドレス	Outside global	外部ネットワークで扱われる、外部ネットワークのホストIPアドレス

Inside or Outside→どこのネットワークのホストを扱うか
global or local→ どこのネットワークで扱うか

インターフェースで設定する（コマンド集）

かさばるから別ページへ
NATコマンド集

NATの設定方法の種類

スタティックNATとダイナミックNATの2種類がある。
◆スタティックNAT
– あらかじめNATテーブルに1対1の変換エントリを設定しておく

◆ダイナミックNAT
– NAT変換で使用するIPアドレスの範囲を設定しておくことで、内部から外部へ、もしくは外部から内部への通信が発生した時にその範囲内のIPアドレスを1つ使用して変換する

– 範囲内の小さい値のIPアドレスから順に割り当てる。

※1つのルータでスタティックNATとダイナミックNATの両方が設定されている場合、スタティックNATの設定を優先

NATコマンド集（手順書）

2021-06-22T12:30:14+09:00

初めに

NATとはプライベートIPアドレスとグローバルIPアドレスの変換を行ってくれる機能である。

コマンド集

◆インターフェースで設定する

– 内部ネットワーク（inside network）の設定
Router(config-if)#ip˽nat˽inside
※一般的には企業LAN側のインターフェースに設定
– 外部ネットワーク（outside network）の設定
Router(config-if)#ip˽nat˽outside
※一般的にはインターネット側のインターフェースに設定

◆スタティックNATの設定

– Router(config)#ip˽nat˽inside˽source ˽ static˽<内部ローカルアドレス>˽<内部グローバルアドレス>
※設定後にNATテーブルを確認
Router#show˽ip˽nat˽translations

↑ここまでで内部ネットワークから外部ネットワークまでの設定が終わった

↓外部ネットワークから内部ネットワークまでの設定はこっちで
NATの外部から内部の設定まとめ
◆ダイナミックNATの設定①

【STEP1】内部グローバルアドレスのIPアドレスプールを定義
Router (config)#ip˽nat˽pool˽˽<先頭のIPアドレス>˽<最後のIPアドレス>˽
netmask˽<サブネットマスク>
【STEP2】変換対象となる送信元IPアドレスを標準ACLで定義
Router (config)#access-list˽<リスト番号>˽permit˽<送信元IPアドレス>˽＜ワイルドカードマスク＞
【STEP3】ACLとIPアドレスプールをひもづける
Router (config)#ip˽nat˽inside˽source˽list˽<アクセスリスト番号>˽pool˽＜IPアドレスプール名＞

telnetで使用するVTYにACLを適用させるメモ

2021-06-10T12:26:48+09:00

telnet?ACL?って何ぞや

telnetとは

リモートアクセスでの遠隔操作用のプロトコル
暗号化されてない
詳しくは→リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ

ACLとは

通信の種類によって通したり通さなかったりする設定をまとめたリスト
詳しくは→ACLメモ

なんでこんなやり方でやるのか

– 物理インターフェース毎にACLを適用するのは大変
– 宛先のIPアドレス（TelnetサーバのIPアドレス）として、そのネットワーク機器が持つ全てのIPアドレスを考慮する必要がある

設定の仕方（コマンド集）

【STEP1】標準ACLの作成
※送信元IPアドレスで制限するのが一般的
詳しくは→標準ACLメモ
【STEP2】VTYにACLを適用

Router(config)#line˽vty˽0˽4
Router(config-line)#access-class˽<リスト名(番号)>˽in

拡張ACLメモ

2021-06-10T11:59:54+09:00

拡張ACLとは

いろいろ細かく設定（IPアドレス以外にポート番号やプロトコル等）できるACL
概要として
– 条件として送信元(宛先)IPアドレス、送信元(宛先)ポート番号、プロトコル(ip/icmp/tcp/udp)等を使用する
– 名前付き拡張ACLと番号付き拡張ACLがある
の2点がある

設定の仕方

【STEP1】ACLの作成
◎名前付き拡張ACLの作成

Router(config)#ip˽access-list˽extended˽<リスト名>
Router(config-ext-nacl)#＜行番号＞˽permit(deny)˽<プロトコル>˽<送信元IPアドレス>˽＜Wildcard Mask＞˽<（演算子）送信元ポート番号>˽<宛先IPアドレス>˽＜Wildcard Mask＞˽<（演算子）宛先ポート番号>

◎番号付き拡張ACLの作成

Router(config)#access-list˽<リスト番号>˽permit(deny)˽<プロトコル>˽<送信元IPアドレス>˽＜Wildcard Mask＞˽<（演算子）送信元ポート番号>˽<宛先IPアドレス>˽＜Wildcard Mask＞˽<（演算子）宛先ポート番号>

※利用できる番号は100～199、2000～2699
※ポート番号を指定する場合は演算子が必要
「eq:等しい」「neq:等しくない」「gt:より大きい」「lt:より小さい」「range:範囲を指定」

※ポート番号はキーワードで指定することも可能
「20番:ftp-data」「21番:ftp」「23番:telnet」「25番:smtp」「53番:domain」「80番:www」「110番:pop3」

※送信元（宛先）IPアドレスは「host」コマンドを利用するとホスト単体のアドレスを指定できる

【STEP2】インターフェースにACLを適用

Router(config-if)#ip˽access-group˽<リスト名(番号)>˽in(out)

拡張ACLを適用させる場所

– 拡張ACLはできるだけ送信元の近くに配置する
不要なパケットを流さないためにはなるべく手前で遮断条件が細かく設定できるので、他のネットワークへのアクセスにも影響が少ない

標準ACL メモ

2021-06-10T11:34:42+09:00

標準ＡＣＬとは

シンプルなACL。概要として
– 条件として送信元IPアドレスのみを使用できる
– 名前付き標準ACLと番号付き標準ACLがある
の2点があげられる

設定の仕方（コマンド集）

【STEP1】 ACLの作成
◎名前付き標準ACLの作成

Router(config)#ip˽access-list˽standard˽<リスト名>
Router(config-std-nacl)#＜行番号＞˽permit(deny)˽<送信元IPアドレス>˽＜Wildcard Mask＞

◎番号付き標準ACLの作成

Router(config)#access-list˽<リスト番号>˽permit(deny)˽<送信元IPアドレス>˽＜ワイルドカードマスク＞

※利用できる番号は1～99、1300～1999
【STEP2】インターフェースにACLを適用

Router(config-if)#ip˽access-group˽<リスト名(番号)>˽in(out)

標準ACLを適用させる場所

– 標準ACLはできるだけ宛先の近くに配置する
条件が送信元IPアドレスのみなので、手前で適用してしまうと他のネットワークへのアクセスにも影響がある

ACL(アクセスコントロールリスト)メモ

2021-06-10T11:19:52+09:00

ACLとは

文字通りこの端末はこの端末にアクセスしてもいいやつなのかどうかが書いてあるリスト的な奴。
ここではPCからPCにとある通信を送る際、間に入っているルータにACLを設定して通信を許可したり遮断して行うこととする。
英語が苦手民は

deny(拒否or遮断)、permit(許可)、any(全部)

の三つを頭の中に入れてから次の項目へ。

ACL基礎知識

①アクセスに対しての設定は受信する通信(inbound)、もしくは送信する通信(outbound)に対して「許可」もしくは「遮断」することができる

②コントロールする条件は送信元（宛先）IPアドレス、送信元（宛先）ポート番号、プロトコル等を使用する

③条件とそれを満たした時にどうするのかを列挙したリストみたいな形で存在すると頭に入れておく。
※行番号が小さい方から参照していき、条件があった所で、その条件に合った処理を行う（以降は参照しない）
※デフォルトで「暗黙のdeny any（すべてを遮断）」が最終行に入るようになっている
※作成しただけでは有効にならない（適用が必要）
※Router#show˽access-lists で確認(条件に合った数も表示)

ACLの種類

①標準ACL
– 条件として送信元IPアドレスのみを使用できる
– 名前付き標準ACLと番号付き標準ACLがある
詳しくは→標準ACLメモ
②拡張ACL
– 条件として送信元(宛先)IPアドレス、送信元(宛先)ポート番号、プロトコル(ip/icmp/tcp/udp)等を使用する
– 名前付き拡張ACLと番号付き拡張ACLがある
詳しくは→拡張ACLメモ
③telnetで使用するVTYにACLを適用させる
– 物理インターフェース毎にACLを適用するのは大変
– 宛先のIPアドレス（TelnetサーバのIPアドレス）として、そのネットワーク機器が持つ全てのIPアドレスを考慮する必要がある

受信側と送信側

ACL基礎知識①で触れている受信側と送信側に対して許可や拒否を設定するとは何ぞやの話
ルータで話すと

PC1ーーーRouterーーーPC２

の場合PC1からPC2にicmpを通したい（通したくない）場合
受信側で拒否、許可設定を設定するとしたら

PC1ーーー☆RouterーーーPC２

☆の部分で許可（permit）、拒否（deny）を設定してるイメージ

送信側で拒否、許可設定を設定するとしたら

PC1ーーーRouter★ーーーPC２

★で許可（permit）、拒否（deny）を設定してるイメージ

ホワイトリスト方式とブラックリスト方式

– ホワイトリスト方式は基本的にすべて「遮断」、その上で「許可」する対象だけをリストに載せる方式（※ACLは「暗黙のdeny any」があるのでこちらになっている）
– 逆にブラックリスト方式は基本的にすべて「許可」、その上で「遮断」する対象だけをリストに載せる方式
簡単に言うとブラックリストはダメな奴を追加していってホワイトリストはいいやつを追加していくイメージ

まとめ

①ACLは通信を許可とか拒否してくれるやつ
②シンプルな条件な奴は標準ACL、条件がいっぱいあるやつは
③拒否、許可のタイミングは受信したときか送信するときで選べる
④deny any（全拒否）、permit any（全許可）が最初から設定されてる状態から通っていい通信、通したくない通信の条件を後付けでどんどん足してくイメージ

リモートでルータなどのネットワーク機器を使用したい時に見るざっくりメモ（Cisco）

2021-06-07T20:47:39+09:00

初めに

リモートでネットワーク機器に接続する場合以下の2種類の方法がある。
1.コンソール接続
2.ネットワークを介してアクセス

1のコンソール接続とはCiscoデバイスにコンソールポートというポートがあり、そのポートからコンソールケーブルでPCと直接接続する方式

2のネットワークを介してアクセスとは遠隔操作用のプロトコルtelnet、sshを利用してネットワークを通じて接続する方式
ここでは後者である2のほうを解説していく

telnetとssh

どちらもリモートアクセスでの遠隔操作用のプロトコル
大きな違いとしてtelnetは暗号化されていない、sshは暗号化通信であること

telnetをもうちょい詳しく

TCPポート番号23
リモート接続にはVTY（Virtual Teletype）回線を使用
VTY回線は仮想的な回線で、利用するためには認証の設定が必要。
（機器によって5~16回線用意されている）さらに前提として、enableパスワード設定が必要。

sshをもうちょい詳しく

TCPポート番号22
sshを利用した通信は、telnet同様VTY回線を使用するが、暗号化されてるので、telnetを利用するよりセキュア。今回のメモで認証にはパスワード認証を利用し、その際には機器に設定したユーザーアカウントで認証を行う。

初期設定

enable（特権モード）のパスワード設定

セキュリティ的にまずこれはやらないとダメ

暗号化無し版

Router(config)#enable password パスワード

暗号化有り版

Router(config)#enable secret パスワード

telnetの設定（コマンド集）

①ラインコンフィギュレーションモードへ移動

Router(config)#line vty 開始ライン番号 終了ライン番号

②ログインパスワードの設定

Router(config-line)#password パスワード
Router(config-line)#login

※ホスト名も設定しておかないと、どの機器にリモート接続しているのかわからなくなってしまうのでできればhostnameコマンドで名前も付けたほうがいい

③リモート接続する（ルータから他のネットワーク機器にリモートアクセスする場合）

Router#telnet 対象機器のIPアドレス/ホスト名

④現在のTelnetログイン状況の確認
（操作しているデバイスに「＊」がついて表示）

Router#show users

sshの設定（コマンド集）

前提として必要な設定

①ユーザアカウントの設定（enableパスワードとは違う）

Router(config)#username ユーザ名 password パスワード

②ホスト名の設定

Router(config)#hostname ホスト名

③ドメイン名の設定

Router(config)#ip domain-name ドメイン名

sshに関する設定

①RSA暗号鍵の設定

RT1(config)#crypto key generate rsa
↓
暗号鍵のbit数を問われるのでbit数を打ち込む（デフォルトで512だが2048以上が普通）

②ローカル認証設定(設定したユーザアカウントで認証)

RT1(config)#line vty 開始ライン番号 終了ライン番号
RT1(config-line)#login local

③VTY回線での接続許可設定

RT1(config-line)#transport input all/telnet/ssh/none
※デフォルトでは「all」になっている
⇒ telnet、ssh、両方が許可されている

④リモート接続する（ルータから他のネットワーク機器にリモートアクセスする場合）

Router#ssh –l ユーザ名 対象機器のIPアドレス/ホスト名

⑤sshのログイン状況確認コマンド

RT1#show ssh

おまけ

コンソール接続にもパスワード設定できる（コマンド集）

①ラインコンフィギュレーションモードへ移動

Router(config)#line console 0

②ログインパスワードの設定

Router(config-line)#password パスワード
Router(config-line)#login

パスワードの暗号化設定

enableパスワード以外のパスワードを暗号化する場合、専用のコマンドがないので、まとめてパスワードを暗号化するコマンドを利用（Type７を使用して暗号化）

RT1(config)#service password-encryption

ActiveDirectoryとワークグループまとめ

2021-06-03T17:29:55+09:00

Active Directoryとワークグループとは

Windowsコンピュータをネットワークに接続して利⽤・管理するには、以下2種類の⽅式がある。
そして、それぞれユーザーの認証⽅法が異なる。

ワークグループ

家庭や数⼈程度の会社に適した設定

ユーザーアカウントを各コンピュータが管理する⽅式

ここでのアカウントはローカルアカウントと呼ばれる
ユーザー名とパスワードは、「SAM」と呼ばれる特殊なデータベースに格納される
複数台のコンピュータを使う場合、それぞれのコンピュータが「SAM」を持つので、ユーザ名とパスワードは台数分設定が必要

ActiveDirectory

企業ネットワークに適した設定
ネットワーク上にドメインコントローラーの役割を持つサーバが最低1台必要です

「ドメイン」と⾔う論理的な単位で、組織のネットワークに接続されたコンピュータをまとめ、「ドメインコントローラー」と呼ばれる役割を持つサーバが、ユーザーアカウントを集中管理する⽅式

ユーザー名、パスワードは「SAM」ではなく、ドメインコントローラーが持つNTDSデータベースで集中管理
ここでのアカウントはドメインアカウントと呼ばれる
ドメインで管理できるPCは、Windows10 Professional以上
ドメインアカウントを所持していると、ドメインに参加したPC全てに、サインインできる(制限している場合を除く)

ActivDirectoryざっくりまとめ

2021-06-03T16:44:52+09:00

ActiveDirectoryとは

同じネットワーク内にいるデバイスをまとめて管理できるやつ。

ActiveDirectoryの基本機能

大きく分けて
1. ディレクトリサービス
2. ユーザ認証
3. クライアント管理
の3つがある。

ディレクトリサービス

ネットワーク上に存在するリソース情報を、記録・検索できるデータベース

身近なもので例えると住民基本台帳
例えば、ユーザ(社員)・コンピュータ(社員のPC)・プリンター(オフィスの複合機)の情報管理ができる

ユーザー認証

ディレクトリサービスの情報へアクセスするユーザを識別する機能

身近なもので例えるとマイナンバーカード
例えば、企業の社員じゃない⼈は「社員情報データベースへアクセスできない」、「社員⽤のコンピュータにサインインできない」といった、「アクセスしようとしているユーザーが本当に正しいユーザーかどうか」判別する仕組みを提供してくれる

クライアント管理

Active Directoryの管理下にあるコンピュータに対して、設定(グループポリシー)を配布する機能

身近なもので例えると法律
例えば、情報漏洩の恐れがある「USBメモリの利⽤を禁⽌する」設定を、全PCに⼀括適⽤する仕組みを提供してくれる。

管理者側のメリット

• ドメイン管理下のユーザアカウント管理が簡単になる
• ファイルサーバへのアクセス許可の管理が簡単になる
• ドメイン管理下のコンピュータに同じ設定を簡単に適⽤できる

利用者側のメリット

• ドメイン管理下のコンピュータと連携アプリケーション(Officeや
Teamsなど)は、同じユーザ名とパスワードでログオン可能
• Windows Update等のセキュリティ管理を利⽤者側で意識しなくても良い
• 検索機能を使えば、ユーザ(全社員の情報)を簡単に検索できる

Linuxでサーバ作る流れがわからなくなったら見るざっくりメモ

2021-05-31T16:58:23+09:00

フロー

①yumコマンドを使用してパッケージのインストール

Webサーバ構築手順、yum使ったインストールのメモあり

②vimコマンドを使って設定ファイルの編集

Vimざっくりまとめた記事

③systemctlコマンドを使って起動設定、自動起動設定を編集、確認

systemctlコマンドの概要、コマンド集メモ

④firewall-cmdコマンドを使ってファイアウォールの設定

ファイアウォールの設定コマンドメモ

⑤動作確認

おしまい

LinuxでWebサーバを構築した後どこにhtmlのファイルを張ればいいのかわからなくなったとき用メモ

2021-05-31T16:43:20+09:00

結論

これ

# vim /var/www/html/index.html

もうちょい詳しく

Webサーバにはドキュメントルートと呼ばれる、公開するコンテンツを配置するディレクトリがある。
httpdの場合は「 /var/www/html/」

Linux（CentOS7）でファイアウォールの設定する方法(firewall-cmdコマンド)

2021-05-31T16:21:19+09:00

ファイアーウォールを操作するコマンド

CentOS7ではファイアーウォールに firewalld が採⽤されています。
firewalldをコマンドで操作できるのが firewall-cmd です。

# firewall-cmd [オプション]

オプションコマンド集

オプション                                               効果
--add-service=サービス                          指定サービスの通信を許可する
--removeservice=サービス                        指定サービスの通信を許可しない
--permanent                                     永続化を指定※即時反映には--reloadが必須
--reload                                        設定をリロードする
--list-services                                 許可されたサービスを確認する
--list-all                                      ゾーンの状態を確認する
--get-services                                  --add-servicesコマンドで指定できるサービス名を確認する

ワンポイント

オプション --permanent を加えない場合は設定が即時反映されますがfirewalld を再起動すると設定が元に戻ります。

LInuxでサーバの起動とか停止を管理してくれるsystemctlコマンド

2021-05-31T16:00:31+09:00

systemctlコマンドとは

Linuxの起動処理やシステム管理をコントロールするためのコマンド。
サービスの起動や停⽌の操作をする際に⽋かせない。
systemctlは、systemdを採⽤しているディストリビューションで使われる。

# systemctl [サブコマンド] [サービス名(ユニット名)]
例(Webサーバを自動起動設定する場合)
# systemctl enable httpd

サブコマンド集

サブコマンド                  効果
    start                   開始する
    restart                 再起動する
    stop                    停⽌する
    status                  状態を確認する
    enable                  ⾃動起動を有効にする
    disable                 ⾃動起動を無効にする
    is-enabled              ⾃動起動の状態を確認する
    list-unitfiles          インストールされているユニットを表⽰する