This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
linux._управление_учетными_записями [2022/10/17 09:51] val [Задача курса] |
linux._управление_учетными_записями [2023/12/13 14:21] val [Лабораторные работы: Знакомство с сервисом Samba] |
||
---|---|---|---|
Line 45: | Line 45: | ||
λ cd conf/virtualbox/ | λ cd conf/virtualbox/ | ||
- | !!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!! | + | !!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!! |
λ ./setup.sh X 4 | λ ./setup.sh X 4 | ||
Line 91: | Line 91: | ||
nameserver 192.168.X.10 | nameserver 192.168.X.10 | ||
</code><code> | </code><code> | ||
+ | debian11# apt install host | ||
+ | |||
# host ns | # host ns | ||
</code> | </code> | ||
Line 178: | Line 180: | ||
* [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | ||
* [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | ||
- | * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка PAM]] | + | * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы аутентификации]] |
==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ||
Line 188: | Line 190: | ||
<code> | <code> | ||
client1:~# scp /etc/nsswitch.conf gate:/etc/nsswitch.conf | client1:~# scp /etc/nsswitch.conf gate:/etc/nsswitch.conf | ||
+ | |||
+ | debian11# service nscd restart && service nscd reload | ||
</code> | </code> | ||
Line 223: | Line 227: | ||
- Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+» | - Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+» | ||
- Какой командой можно посмотреть учетные записи из всех источников данных? | - Какой командой можно посмотреть учетные записи из всех источников данных? | ||
- | - Какая подсистема (facility) библиотеки PAM позволяет временно запретить аутентификацию пользователей? | + | - Какая подсистема (facility) библиотеки PAM позволяет временно запретить регистрацию пользователей? |
- Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей? | - Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей? | ||
- По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном ... | - По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном ... | ||
Line 238: | Line 242: | ||
* [[Финальная настройка DNS сервера#Настройка зоны corpX.un]] | * [[Финальная настройка DNS сервера#Настройка зоны corpX.un]] | ||
+ | * [[Сервис DNS#Утилиты тестирования DNS]] | ||
+ | |||
<code> | <code> | ||
server# nslookup -q=SRV _kerberos._udp.corpX.un | server# nslookup -q=SRV _kerberos._udp.corpX.un | ||
Line 309: | Line 315: | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | ||
* Доступ на основе членства в группе group1 | * Доступ на основе членства в группе group1 | ||
+ | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
=== 5.3 Подключение Linux клиентов к файловому серверу CIFS === | === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | ||
Line 322: | Line 329: | ||
* Импортируем VM client3 из образа "linux с графическим интерфейсом" | * Импортируем VM client3 из образа "linux с графическим интерфейсом" | ||
<code> | <code> | ||
- | cat /etc/hostname | + | client3:~# cat /etc/hostname |
</code><code> | </code><code> | ||
client3 | client3 | ||
</code><code> | </code><code> | ||
- | cat /etc/hosts | + | client3:~# cat /etc/hosts |
</code><code> | </code><code> | ||
127.0.0.1 localhost | 127.0.0.1 localhost | ||
127.0.1.1 client3 | 127.0.1.1 client3 | ||
+ | </code><code> | ||
+ | init 6 | ||
+ | |||
+ | client3:~# DEBIAN_FRONTEND=noninteractive apt -y install krb5-user cifs-utils nfs-common libpam-krb5 libpam-script | ||
+ | |||
+ | client3:~# cat /etc/krb5.conf | ||
+ | [libdefaults] | ||
+ | default_realm = CORPX.UN | ||
</code> | </code> | ||
* [[Использование библиотеки PAM#Использование pam_script]] для автоматического создания учетных записей | * [[Использование библиотеки PAM#Использование pam_script]] для автоматического создания учетных записей | ||
<code> | <code> | ||
- | client1:~# find /home/ | + | client3:~# id user2 |
+ | |||
+ | client3:~# find /home/ | ||
</code> | </code> | ||
- | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | ||
+ | |||
+ | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] к серверам CIFS | ||
* [[Зачем вводить системы Linux в домен Microsoft#3.5 Монтирование домашнего каталога ручном режиме]] | * [[Зачем вводить системы Linux в домен Microsoft#3.5 Монтирование домашнего каталога ручном режиме]] | ||
Line 407: | Line 425: | ||
</code> | </code> | ||
- | * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]]) | + | * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]] и [[Авторизация с использованием LDAP сервера#Установка библиотеки nss ldap]]) |
* Отключаем NIS на server | * Отключаем NIS на server | ||
- | === 7.2 Использование протокола GSSAPI для сервиса imap === | + | === 7.2 Использование протокола GSSAPI для сервиса электронной почты === |
- | * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | + | * !!! Приступить к развертыванию AD на Windows Server из модуля 8, по окончании ЗАЛОГИНИТЬСЯ !!! |
__демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
Line 421: | Line 439: | ||
* [[Сервер dovecot#Установка]] imap сервера dovecot на gate | * [[Сервер dovecot#Установка]] imap сервера dovecot на gate | ||
* [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | ||
- | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] сервисов SMTP/IMAP на gate |
=== 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | ||
* [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] | ||
- | * Преподаватель устанавливает "дружественный" интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | + | * Преподаватель устанавливает "дружественный" интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]], раскрывать в VM лучше через 7zip) |
* [[Thunderbird#Авто конфигурация клиента]] Thunderbird | * [[Thunderbird#Авто конфигурация клиента]] Thunderbird | ||
Line 432: | Line 450: | ||
* [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube | ||
- | * Настройка доступа к адресной книге в [[Web интерфейс к почте#roundcube]] (проверить поиск) | + | * Настройка доступа к адресной книге в [[Web интерфейс к почте#roundcube]] (продемонстрировать jpegPhoto и проверить поиск) |
* [[Инструмент GitLab#Использование LDAP]] для управления пользователями в GitLab | * [[Инструмент GitLab#Использование LDAP]] для управления пользователями в GitLab | ||
Line 642: | Line 660: | ||
=== 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
- | * Демонстрация [[Сервис sssd]] на системе client4 | + | * Демонстрация [[Сервис sssd]] на системе client3 |
=== 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | ||
Line 662: | Line 680: | ||
* Выводим Windows клиенты из домена AD | * Выводим Windows клиенты из домена AD | ||
- | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3 | + | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4 |
* Отключаем WINBIND в nsswitch.conf на gate | * Отключаем WINBIND в nsswitch.conf на gate | ||
<code> | <code> |