Differences

This shows you the differences between two versions of the page.

--- linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/16 14:12]
val [Лабораторные работы]
+++ linux._интеграция_с_корпоративными_решениями_microsoft [2023/06/20 07:36] (current)
val [Теория]
@@ Line 166: / Line 166: @@
   * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]]
   * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]]
-  * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка PAM]]
+  * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы аутентификации]]
 ==== Лабораторные работы: ААА с использованием NSS и PAM ====
@@ Line 182: / Line 182: @@
   * [[Использование библиотеки PAM#Терминология PAM]]
-  * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 из консоли client1 на gate)
+  * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 с client1 на gate)
   * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2)
@@ Line 231: / Line 231: @@
 </code>
   * Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]])
-  * !!! Можно заранее выполнить лабораторную работу 4.4 Настройка desktop на client1
+  * !!! Можно заранее запустить установку Desktop на client1
 === 4.2 Установка KDC и регистрация принципалов ===
@@ Line 286: / Line 286: @@
   * Переименовываем ее в client2
   * Установка GSSAPI клиентских программ:
-  * [[Сервис SSH#PuTTY]]
+  * [[http://val.bmstu.ru/unix/SSH/putty.exe|putty.exe]] в C:\bin\
-  * [[Сервис SSH#WinScp]]
+  * [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]]
-  * [[https://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE)
+  * [[http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE)
-  * [[https://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]]
+  * [[http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]]
-  * [[Сервис OpenFire#Spark]]
-  * Очень долго раскрывается (в корень диска C:\ !!!) архив [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]])
   * Создаем и подключаемся локальным пользователем user2 с паролем wpassword2
@@ Line 343: / Line 341: @@
   * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA
   * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]
-  * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian 10 не заработал доступ к homes, в Debian 11 все ОК)
+  * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК)
-__1-я бонусная лабораторная работа__
+__бонусная лабораторная работа__
   * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов
-__2-я бонусная лабораторная работа__
-  * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]]
-  * Добавляем пользователя user3, синхронизируем NIS
-  * Добавляем linux client3
-  * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]]
-  * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]]
 ==== Дополнительные материалы ====
@@ Line 390: / Line 380: @@
   * Отключаем NIS на server
-=== 7.2 Использование протокола GSSAPI для сервисов электронной почты ===
+=== 7.2 Использование протокола GSSAPI для сервиса imap ===
   * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!!
@@ Line 396: / Line 386: @@
 __демонстрирует преподаватель__
-Можно через ansible на gate
+  * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate
-  * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]]
   * [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]]
-  * [[Сервер dovecot#Установка]] imap и smtp
+  * Установка [[UA mail]] на системе gate
-  * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]]
+  * [[Сервер dovecot#Установка]] imap сервера dovecot на gate
-  * [[Web интерфейс к почте#roundcube]]
+  * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate
+  * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate
-  * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]]
-  * [[Сервер dovecot#Kerberos GSSAPI аутентификация]]
-  * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для roundcube
 === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети ===
-  * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] (уже имеются при использовании migrationtools)
+  * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]]
-  * [[Thunderbird#Получение списка контактов через LDAP]] в [[Thunderbird]]
   * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]])
-  * Добавление атрибутов jpegPhoto
+  * Добавление атрибутов mail, telephoneNumber
-  * roundcube ldap
+  * [[Thunderbird#Получение списка контактов через LDAP]] в Thunderbird
 ==== Вопросы ====
@@ Line 447: / Line 432: @@
   * Добавляем windows server (от 2Gb RAM)
   * [[Развертывание Active Directory]]
-  * [[PowerShell#Добавление в домен пользователей]] user1/Pa$$w0rd1 и user2/Pa$$w0rd2
+  * Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2
 === 8.3 Включение в домен рабочих станций windows и серверов Linux ===
@@ Line 454: / Line 439: @@
   * Регистрируемся в Windows client2 как user2
   * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate
-  * Установка [[Сервис SSH#WinScp]] на server MS AD
+  * Установка [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] на server MS AD
   * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy
   * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]]
@@ Line 467: / Line 452: @@
   * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1
   * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1
   * [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов
-  * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - UNIX атрибуты идентичные ранее имевшимся
+  * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
-  * Создаем группу group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
+  * Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
   * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]]
   * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1
@@ Line 496: / Line 479: @@
   * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy
-  * [[Сервис OpenFire#Spark]] для Linux и [[Сервис OpenFire#Управление контактами]] на основе членства в группе Microsoft
   * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate
   * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH
-  * [[Сервис SSH#Управление доступом на основе членства в группе]] на уровне UNIX для сервиса SSH
-  * Обсудить [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе UNIX
 __демонстрирует преподаватель__
-  * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервисов IMAP и SMTP и клиента [[Thunderbird]]
+  * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервиса imap
   * Kerberos GSSAPI  ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]])
 <code>
@@ Line 517: / Line 493: @@
   * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов
-  * Проверяем работоспособность linux client3 в такой конфигурации (обратить внимание, что система ничего не знает о пользователе, даже ФИО)
+  * [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе
 === 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях ===
@@ Line 525: / Line 501: @@
   * Назначение атрибутов General->Telephone number и E-mail
   * [[Thunderbird#Получение списка контактов через LDAP]]
-  * Добавление атрибутов jpegPhoto и настройка [[Web интерфейс к почте#roundcube]] на адресную книгу и см. фото в Spark!
 ==== Вопросы ====
@@ Line 540: / Line 515: @@
 ==== Подготовка к следующему модулю ====
-  * !!! Импортировать windows client4 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10
+  * !!! Импортировать windows client3 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10
-  * !!! Очень долго перезагружается, отключить сервис обновлений
 ==== Примечание ====
@@ Line 603: / Line 577: @@
   * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]]
   * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]]
 === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux ===
@@ Line 616: / Line 589: @@
 === 9.4 Альтернатива WINBIND - сервис SSSD ===
-  * Демонстрация [[Сервис sssd]] на системе linux client5
+  * Демонстрация [[Сервис sssd]] на системе client4
 === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM ===
-  * Проверяем работоспособность linux client3 в такой конфигурации
   * [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]]
 ==== Вопросы ====
@@ Line 637: / Line 609: @@
   * Выводим Windows клиенты из домена AD
-  * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4
+  * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3
   * Отключаем WINBIND в nsswitch.conf на gate
 <code>
@@ Line 661: / Line 633: @@
   * [[Контроллер домена SAMBA 4#Инициализация домена]]
   * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]])
-  * Включаем в домен Windows client4 ([[Развертывание Active Directory#Включение в домен Windows клиентов]])
+  * Включаем в домен Windows client3 ([[Развертывание Active Directory#Включение в домен Windows клиентов]])
-  * Регистрируемся в Windows client4 как Administrator
+  * Регистрируемся в Windows client3 как Administrator
   * Включаем в домен Windows client2
   * Регистрируемся в Windows client2 как user2
@@ Line 674: / Line 646: @@
 gate# kinit user2
 </code>
-  * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate
   * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]]
-  * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4)
+  * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3)
   * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]]
@@ Line 682: / Line 653: @@
 Для gate используем winbind:
-  * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для удаления системы gate
   * Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]]
   * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]]
-  * [[Контроллер домена SAMBA 4#Управление DNS]] для SRV записи XMPP и [[Сервис OpenFire]]
   * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]]

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools