• Замена корпоративных решений Microsoft

• Дисклеймер, хотелось бы чтобы то, что мы с Вами сделаем, было просто интересным хаком, развлечением, разминкой для инженера, но возможно, что перед Вами эта задача уже возникла всерьез, поэтому, будем поэтапно, “на ходу” заменять в сети предприятия системы Microsoft начиная с Desktop и заканчивая Active Directiory на Open Source решения без потерь привычной функциональности

• Курс посвящен изучению технологий Single sign-on SSO - единого входа, сквозной аутентификации пользователей и Workplace Innovation (WPI) - универсального рабочего места

• Узнать свой номер стенда
• Проверить наличие дистрибутивов и образов

!!! Рассказывать в паузах !!!

• Linux. Уровень 2. Администрирование сервисов и сетей
• Сервис KERBEROS
• Сервис DNS SRV записи

• Запускаем процесс импорта winserver2016, подключаем к NAT адаптеру и проводим Развертывание Active Directory, по окончании, подключем к VirtualBox Host-Only Ethernet Adapter и настраиваем .10-й IP адрес

Запустите с правами Administrator

C:\cmder\Cmder.exe

λ bash

λ cd

λ git clone http://val.bmstu.ru/unix/conf.git

λ cd conf/virtualbox/

!!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!

λ ./setup.sh X 4

• Запустить gate
• Преподавателю запустить импорт будущей системы lin clientN
• Запустить импорт системы win client2

# sh net_gate.sh

# init 6

• Создать в Putty профиль 192.168.X.1 gate и подключиться

gate:~# apt update

gate:~# sh conf/dhcp.sh

!!! Делает преподаватель и выкладывает для всех (уточнив, что в ОО это надо сделать самостоятельно)

!!! Из-за неготовности DNS подключить VM к сети класса, выяснить ip и, через ssh:

• Настройка сети в Linux Динамическая настройка параметров
• Локализация окружения
• Локализация временной зоны
• Инсталяция системы в конфигурации Desktop
• Преподаватель экспортируем получившуюся VM (удалив адаптер) в образ “lin_clientN” в общий доступ !!! Копировать в переыв, иначе, DoS)
• Запускаем импортируем и, по окончании, подключаем к LAN lin client1

gate# dhcp-lease-list

• Добавление в домен пользователей (слушатели через командную строку, преподаватель через csv файл)

• Включение в домен Windows клиентов
• Регистрируемся на client2 как user2

• GSS-API-Википедия

• Настройки DNS клиентов
• Настройка Kerberos клиента на gate
• Настройка DNS сервера - добавляем gate
• Установка, настройка и запуск пакета SQUID на gate
• Настраиваем Kerberos GSSAPI аутентификация для squid на gate
• Копируем ключи в системный keytab
• Настройка сервиса SQUID на использование GSSAPI
• Настройки proxy через Использование групповых политик

gate# tail -f /var/log/squid/access.log

• Удаляем пользователей gate* из AD
• Удаляем файлы с ключами на AD

C:\>del *keytab

• Удаляем ключи сервисов с gate

gate# rm -v /root/*keytab /etc/krb5.keytab

• Удалить запись gate из dns

• Установка службы winbindd
• Регистрация unix системы в домене в режиме ADS (система gate)
• Проверяем наличие gate в DNS
• Управление ключами KERBEROS в режиме ADS для сервисов HTTP

• Создаем группу group1 включаем в нее user1
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH

• Преподаватель демонстрирует Авторизация на основе членства в группе для squid на gate

• Установка файлового сервера SAMBA
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND
• Автоматическое создание домашних каталогов

• Для пересылки почты в рамках одного сервера можно не настраивать MX записи
• Установка и настройка MTA на обработку почты домена hostname на системе gate
• Настройка MTA на обработку почты домена corpX.un
• Установка UA mail на системе gate
• Установка imap сервера dovecot на gate
• Настройка с использованием стандартных mailboxes и аутентификации открытым текстом на сервере dovecot на gate
• Web интерфейс к почте roundcube

gate# apt install ansible

gate# ansible-playbook conf/ansible/roles/mail.yml

• Kerberos GSSAPI аутентификация сервисов SMTP/IMAP на gate
• Использование групповых политик для установки ПО
• Авто конфигурация клиента Thunderbird

• Получение списка контактов через LDAP в Thunderbird (может понадобиться добавление email через оснастку AD)
• GUI интерфейс к LDAP - Apache Directory Studio (требует JRE, раскрывать в VM из УЗ student, лучше через 7zip, переместить в корень C:\ для лаб с OpenLDAP), для подключения к LDAP использовать учетную запись Administrator Microsoft Active Directory

• Использование pam_krb5 для сервиса login/xdm для аутентификации через Web интерфейс к почте roundcube (делаем все, проверяем, подключаясь user1 к gate с host системы)
• Настройка Roundcube LDAP Addressbook (продемонстрировать jpegPhoto и проверить поиск)

• Примеры LDAP запросов с gate (Авторизация с использованием LDAP сервера)

• Инструмент GitLab
• Использование NGINX для перенаправления mail и autoconfig
• Использование LDAP в GitLab

Обсудить и предложить вебинар: Интеграция Asterisk с системами IM и Presence в инфраструктуре Microsoft AD, часть 1

• Выключение GitLab Prometheus (конфликт порта 9090)
• Сервис OpenFire

• Обсудить и предложить вебинар: Практические примеры Keycloak (Практические примеры использования Keycloak в качестве корпоративного OpenID сервера)

• Зачем вводить системы Linux в домен Microsoft?
• SSSD vs Winbind

• Развертывание средств администрирования Active Directory

• Преподаватель импортирует client3 и демонстрирует по статье Самый простой способ ввести Linux в домен с использованием Использование pam_script

• Использование Сервис sssd на системе client1

• Установка переменных окружения

• Преподаватель демонстрирует GPO для Linux из подручных материалов с использованием Сервис Ansible и ansible-pull
• Systemd journald

• Установка ПО, linux проводник thunar, Иконка на Рабочий стол

• Второй контроллер домена - Windows Server 2016
• Контроллер домена SAMBA 4
• Замена корпоративных решений Microsoft в процессе импортозамещения. Мастер-класс

• Клонируем server→server2 в VBox, генерируем новый mac и запускаем
• Запускаем импорт win client4
• Настраиваем подключение к сети

# ifconfig eth0 inet 192.168.X.12/24

PuTTY

# sh net_server.sh

# hostnamectl set-hostname server2.corpX.un

# cat /etc/hosts

127.0.0.1               localhost

192.168.X.12 server2.corpX.un server2

# cat /etc/network/interfaces

...
        address 192.168.X.12
...

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

# init 6

• Установка Samba4 из пакетов
• Настройка контроллером существующего домена
• Настройка репликации
• Тестирование доступности каталога с клиентов на server2

• Переносим FSMO на новый сервер

• DNS client и Squid (для тестов user4@client4 - пускать всех, кто прошел аутентификацию)

gate/server2# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.12

gate# service squid restart

• DHCP

gate# cat /etc/dhcp/dhcpd.conf

...
option domain-name-servers 192.168.X.12;
...

gate# service isc-dhcp-server restart

• Правим настройки Roundcube LDAP Addressbook
• Правим настройки Использование LDAP в GitLab

• Правим настройки клиента DNS рабочей станции слушателя через netsh

• Удаляем старый сервер

• Вводим в домен win client4, подключаемся user4 и проверяем работу GPO по proxy и наличию иконки Thunderbird
• Настравиваем Thunderbird и Получение списка контактов через LDAP, проверяем client1
• Добавляем через оснастки (на client2) атрибуты (телефон и email) пользователю user4 и включаем его в группу group1, проверяем CISF + Управление доменом
• Проверяем работу веб интерфейса к почте и адресную книгу в ней
• Проверяем работу GitLab

• Cамое простое решение для Kerberos сервера на замену Microsoft AD?

• Сервис sssd Отключение от домена MS AD lin client1
• Отключение от домена MS AD win client2 и client4
• Сервис WINBIND Вывод unix системы из домена в режиме ADS (gate) + /etc/nsswitch.conf

# sh net_server.sh

# init 6

• Сервис NIS

server:~# sh conf/dns.sh

• Настройка клиента DNS

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

• DNS client

gate# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

• DHCP

gate# cat /etc/dhcp/dhcpd.conf

...
option domain-name-servers 192.168.X.10;
...

gate# service isc-dhcp-server restart

• Правим настройки клиента DNS рабочей станции слушателя через netsh

• Настройка зоны corpX.un

server# nslookup -q=SRV _kerberos._udp.corpX.un

• Настройка KDC (на системе server)
• Регистрация принципалов пользователей в базе данных kerberos

• lin client3 - уже все работает
• Регистрация рабочих станций windows в KDC и Подключение к сфере KERBEROS win client2

• Kerberos GSSAPI аутентификация для squid на gate

• Установка и настройка OpenLDAP

• Хранение учетных записей UNIX в LDAP
• Тестирование доступности каталога с клиентов

• Удаляем Сервис sssd и включаем Использование pam_krb5 для сервиса login/xdm и Установка библиотеки nss ldap на client1, подключаемся как user1

• Установка библиотеки nss ldap на gate
• Правим права)

gate# 
chown user1 /var/mail/user1
chown -R user1:user1 /home/user1
chown user2 /var/mail/user2
chown -R user2:user2 /home/user2
chown user3 /var/mail/user3
chown -R user3:user3 /home/user3

• Настраиваем Аутентификация с использованием протокола GSSAPI для сервиса ssh на gate

• Сервис NFS
• Сервер dovecot Kerberos GSSAPI аутентификация

• Пример назначения номеров телефонов и адресов email
• Настройка доступа к адресной книге в roundcube (может понадобиться исправить ФИО в неверной кодировке через Apache Directory Studio)

• Модификация информации в ldap каталоге (назначаем пароль, если не импортировали из /etc/passwd)
• Использование LDAP в GitLab

1. Что определяет порядок использования файлов /etc/hosts и /etc/resolv.conf для разрешения DNS имен?
2. Какие поля в учетной записи UNIX используются для аутентификации?
3. Какие поля в учетной записи UNIX используются для авторизации?
4. Для чего используется поле GECOS учетной записи пользователя UNIX?
5. Что такое NIS домен?
6. Что такое NIS карты?
7. Какая утилита используется для инициализации NIS карт?
8. Какая утилита используется для тестирования NIS?
9. Какие задачи решает библиотека NSS
10. Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+»
11. Какой командой можно посмотреть учетные записи из всех источников данных?
12. Какая подсистема (facility) библиотеки PAM позволяет временно запретить регистрацию пользователей?
13. Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?
14. По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном …
15. Клиент ssh использует ssh-agent для получения расшифрованного …
16. Kerberos обеспечивает механизм …
17. Что такое Kerberos realm (сфера)?
18. Какие объекты представляются учетными записями (Principal) в Kerberos?
19. Используется ли в протоколе Kerberos SSL или TLS?
20. Используются ли в протоколе Kerberos сертификаты?
21. Что хранится в TGT?
22. Какая команда может быть использована для получения TGT?
23. Разница в настройке времени между системами, взаимодействующими по протоколу Kerberos, не должна составлять более …
24. В каком файле, по умолчанию, на стороне сервера хранятся учетные записи сервисов?
25. Для чего используется GSSAPI?
26. Какого типа сервиса должен быть добавлен в KDC для использование Kerberos с сервисом Squid?
27. Какой режим безопасности должен быть настроен в SAMBA для работы с собственной базой данных пользователей?
28. Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?
29. Какого типа сервис должен быть добавлен в KDC для регистрации рабочей станций Windows при использовании Kerberos сферы?
30. Где хранится пользовательский профиль при использовании Kerberos сферы для аутентификации пользователей рабочих станций Windows?
31. Какой режим безопасности должен быть настроен в пакете SAMBA для работы с базой данных пользователей в KDC?
32. В виде какой структуры представляются записи в LDAP?
33. Для чего используется формат LDIF?
34. Как в протоколе LDAP называется операция аутентификации?
35. Что такое DN и RDN в LDAP?
36. Сколько атрибутов класса (object class) может быть у записи?
37. Какой утилитой можно добавить учетную запись сервиса UNIX в Microsoft AD?
38. Какой утилитой можно вывести список сервисов, привязанных к учетной записи Microsoft AD?
39. Что нужно сделать для хранения в Microsoft AD атрибутов учетных записей UNIX?
40. Что нужно сделать для развертывания сервиса NFS на Microsoft Windows Server?
41. Для каких задач предназначен WINBIND?
42. Какая утилита позволяет проверить работу WINBIND?
43. Какой ключ утилиты samba-tool используется для расширения схемы для хранения UNIX атрибутов при инициализации контроллера домена Samba4?
44. Какая утилита используется для управления учетными записями пользователей в контроллере домена Samba4?
45. Что нужно установить на рабочую станцию Windows для управления контроллером домена Samba4?
46. Поддерживает ли контроллер домена Samba4 групповые политики?
47. Какой вариант системы централизованного управления учетными записями самый лучший?

$x = Read-Host -Prompt "Ваш X"; New-ADUser -Name "gatehttp" -SamAccountName "gatehttp" -AccountPassword(ConvertTo-SecureString -AsPlainText 'Pa$$w0rd' -Force) -Enabled $true -ChangePasswordAtLogon $false -CannotChangePassword $true -UserPrincipalName gatehttp@corp$X.un -DisplayName  gatehttp -PasswordNeverExpires $true

• Замена корпоративных решений Microsoft в процессе импортозамещения. Мастер-класс

Перед вебинаром:

1. Удалить образы
2. Восстановить образы
3. Возвращаем настройки клиента DNS рабочей станции слушателя через netsh
4. slmgr /rearm
5. Отключить wpad
6. В Squid пускать всех, кто прошел аутентификацию
7. В smb.conf доступ к общей папке для

valid users = "@CORPX\domain users"

1. поправить настройку NGINX в gitlab
2. поправить start.sh ansible-pull

В самом начале вебинара кратко обсудить и продемонстрировать, что у нас есть на этом этапе:

1. MS AD в локальной сети предприятия с базой учетных записей пользователей
2. Рабочие станции Windows
3. Групповые политики для Windows клиентов
4. запустить импорт windows client4
5. Сервера Linux с сервисами HTTP Proxy, CIFS, SMTP, IMAP (все на gate, klist)
6. Адресная книга LDAP (с фото:) и web интерфейс к почте
7. Рабочие станции Linux (подключены к домену двумя способами, показать на client3)
8. запустить импорт linux client5
9. GitLab с авторизацией через LDAP (используется как источник ansible-pull для управления рабочими станциями Linux)
10. Новый linux server2