Table of Contents

Linux (Ubuntu)/FreeBSD. Взаимодействие с Microsoft Windows

Программа курса

Модуль 1. Развертывание сети предприятия

1.1 Настройка виртуальных систем Gate (256m), Server(512m)

1.2 Настройка виртуальной системы Client1(512m)

Debian/Ubuntu

root@localhost:~# cat /etc/hostname
client1.corpX.un
root@localhost:~# cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.30
        netmask 255.255.255.0
        gateway 192.168.X.1
root@localhost:~# init 6

...

root@client1:~# apt-get update

FreeBSD

# cat /etc/rc.conf
hostname="client1.corpX.un"
ifconfig_em0="192.168.X.30/24"
defaultrouter=192.168.X.1

keyrate="fast"
sshd_enable=yes
# init 6

1.3 !!! Для Ubuntu 16

Во всех 3-х системах добавить в репозиторий обновления!!!

# cat /etc/apt/sources.list
deb http://ru.archive.ubuntu.com/ubuntu/ xenial main restricted universe multiverse
deb http://ru.archive.ubuntu.com/ubuntu/ xenial-updates main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial-security main restricted universe multiverse
# apt update

Модуль 2. Ретроспектива механизмов аутентификации и авторизации в UNIX

2.1 Использование протокола NIS для аутентификации и авторизации пользователей в UNIX сети

login: user1
uid: 10001
homedir: /home/user1
shell: bash  (csh для freebsd)
gecos: Ivan Ivanovitch Ivanov,RA1,401,499-239-45-23
pass: password1

login: user2
uid: 10002
homedir: /home/user2
shell: bash  (csh для freebsd)
gecos: Petr Petrovitch Petrov,RA7,402,499-323-55-53
pass: password2
client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

2.2 Использование протокола NFS для поддержки перемещаемых профилей пользователей

демонстрирует преподаватель

Модуль 3. Современные механизмы аутентификации и авторизации в UNIX

3.1 Авторизация с использованием библиотеки NSS

3.2 Аутентификация с использованием библиотеки PAM

3.3 Решение задачи SSO с помощью протоколов SSH

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...

user1@client1:~$ ssh gate
user1@client1:~$ rm .ssh/id*

Модуль 4. Аутентификация с использованием протокола Kerberos

4.1 Принцип работы протокола

4.2 Подготовка сети к использованию протокола Kerberos

server# nslookup -q=SRV _kerberos._udp.corpX.un

4.3 Установка KDC и регистрация принципалов

4.4 Использование протокола GSSAPI для аутентификации

4.4.1 Использование протокола GSSAPI для сервиса ssh

4.4.2 Настройка desktop на client1

4.4.3 Использование протокола GSSAPI для сервиса http proxy

4.4.4 Использование протокола GSSAPI для сервиса imap

демонстрирует преподаватель

Модуль 5. Протокол LDAP

5.1 Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD

gate# apt purge nis

gate# apt autoremove
gate# service ypbind stop

gate# cat /etc/rc.conf
...
nis_client_enable="NO"
...

5.2 Использование LDAP каталога для хранения дополнительной информации о пользователях сети

Модуль 6. Использование пакета SAMBA для реализации файлового сервиса CIFS

6.1 Добавление в сеть предприятия рабочих станций

6.2 NTLM аутентификация и авторизация Windows клиентов на файловом сервере Samba

демонстрирует преподаватель

6.3 Подключение UNIX клиентов к файловому серверу CIFS

бонусная лабораторная работа

Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

демонстрирует преподаватель

7.1 Регистрация рабочих станций Windows в Kerberos сфере

7.2 Использование протокола GSSAPI для аутентификации Windows клиентов на UNIX сервисах

7.3 SSO GSSAPI аутентификация для сервиса CIFS

бонусная лабораторная работа

Модуль 8. Использование Microsoft AD для аутентификации и авторизации в гетерогенных сетях

8.1 Подготовка стенда

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

8.2 Развертывание контроллера домена

8.3 Включение в домен рабочих станций windows

8.4 Включение в домен рабочих станций и серверов unix

8.5 Использование Windows 2008 в качестве NFS сервера

демонстрирует преподаватель

client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2
client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

8.6 Использование протокола LDAP

8.7 Использование протоколов SSPI и GSSAPI

демонстрирует преподаватель

gate# service smbd restart

бонусные лабораторные работы

8.8 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях

демонстрирует преподаватель

Модуль 9. Использование сервиса WINBIND

!!! Можно объединить все лабораторные работы

9.1 Использование сервиса WINBIND для управления ключами сервисов в Microsoft AD

C:\>del *keytab
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

демонстрирует преподаватель

9.2 Использование сервиса WINBIND для генерации UNIX атрибутов пользователей Microsoft AD

демонстрирует преподаватель

9.3 Использование сервиса WINBIND для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux/FreeBSD

Модуль 10. Использование пакета Samba4 в качестве контроллера домена

10.1 Подготовка стенда

Debian/Ubuntu/FreeBSD

server# cat /etc/resolv.conf
search corpX.un
nameserver 172.16.1.254

Debian/Ubuntu

server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

FreeBSD

# service slapd stop
# service kdc stop
# service named stop
# service ypserv stop

# cat /etc/rc.conf
...
named_enable="NO"
kdc_enable="NO"
slapd_enable="NO"
nis_server_enable="NO"
...

10.2 Настройка SAMBA4 как DC

10.3 Использование SAMBA4 DC для аутентификации

gate# kinit Administrator

gate# kinit user2

10.4 Использование SAMBA4 DC для авторизации

Дополнительные материалы