User Tools
kerberos_сервера_на_замену_microsoft_ad
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
kerberos_сервера_на_замену_microsoft_ad [2023/04/28 15:10] val |
kerberos_сервера_на_замену_microsoft_ad [2023/04/29 06:03] (current) val |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== Cамое простое решение для Kerberos сервера на замену Microsoft AD? ====== | ====== Cамое простое решение для Kerberos сервера на замену Microsoft AD? ====== | ||
| + | |||
| + | * [[https://habr.com/ru/articles/732290/]] | ||
| Всем привет! | Всем привет! | ||
| Line 9: | Line 11: | ||
| Если бы мы уже использовали инфраструктуру Microsoft AD, то выбрали бы [[https://youtu.be/Y4RzavhVwxY|миграцию на Samba 4]], но задача касалась только вводимых в эксплуатацию рабочих станций Linux и мы выбрали "ванильный" [[https://web.mit.edu/kerberos/krb5-devel/doc/admin/install.html|MIT Kerberos]]. | Если бы мы уже использовали инфраструктуру Microsoft AD, то выбрали бы [[https://youtu.be/Y4RzavhVwxY|миграцию на Samba 4]], но задача касалась только вводимых в эксплуатацию рабочих станций Linux и мы выбрали "ванильный" [[https://web.mit.edu/kerberos/krb5-devel/doc/admin/install.html|MIT Kerberos]]. | ||
| - | В двух словах про [[https://bestprogrammer.ru/izuchenie/kerberos-za-5-minut-znakomstvo-s-setevoj-autentifikatsiej|Kerberos]], это протокол аутентификации, позволяющий использовать свой логин и пароль на любом компьютере, подключенном к kerberos сфере (входящем в домен, в терминах Microsoft). А кроме того, он реализует [[https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D0%B5%D0%B4%D0%B8%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B2%D1%85%D0%BE%D0%B4%D0%B0|технологию единого входа (Single Sign-On)]], что позволяет, например, предоставить "прозрачный" доступ в Интернет через прокси сервер с аутентификацией пользователей. | + | В двух словах про [[https://bestprogrammer.ru/izuchenie/kerberos-za-5-minut-znakomstvo-s-setevoj-autentifikatsiej|Kerberos]], это протокол аутентификации, позволяющий использовать свой логин и пароль на любом компьютере, подключенном к kerberos сфере (входящем в домен, в терминах Microsoft). Кроме того, он реализует [[https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D0%B5%D0%B4%D0%B8%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B2%D1%85%D0%BE%D0%B4%D0%B0|технологию единого входа (Single Sign-On)]] что позволяет, например, предоставить "прозрачный" доступ в Интернет через прокси сервер с аутентификацией пользователей. |
| Итак, реализация: | Итак, реализация: | ||
| Line 46: | Line 48: | ||
| </code> | </code> | ||
| - | Теперь можно подключать к kerberos сфере (вводить в домен) рабочие станции, [[https://habr.com/ru/articles/718632/|например, таким способом]] и пользователи смогут работать на них используя свои логины и пароли. | + | Теперь можно подключать к kerberos сфере (вводить в домен) рабочие станции, [[https://habr.com/ru/articles/718632/|например, таким способом]], и пользователи смогут работать на них, используя свои логины и пароли. |
| Далее, разворачиваем прокси сервер для аутентификации и учета доступа пользователей в Интернет (тоже, очень важно, указать корректный hostname и соответствующую A запись в DNS) | Далее, разворачиваем прокси сервер для аутентификации и учета доступа пользователей в Интернет (тоже, очень важно, указать корректный hostname и соответствующую A запись в DNS) | ||
| Line 56: | Line 58: | ||
| </code> | </code> | ||
| - | Добавляем в kdc principal сервиса HTTP, работающего на authproxy (у нас он будет использоваться браузером для SSO аутентификации в squid, но так же, может быть использован и c web сервером, например - apache), выгружаем ключи и копируем их на authproxy: | + | Добавляем в kdc principal сервиса HTTP, работающего на authproxy (у нас он будет использоваться браузером для SSO аутентификации в squid, но так же, может быть использован и c web сервером, например - apache) выгружаем ключи и копируем их на authproxy: |
| <code> | <code> | ||
| Line 66: | Line 68: | ||
| </code> | </code> | ||
| - | Подключаем прокси сервер к kerberos сфере, копируем ключи в системный файл и предоставляем доступ к нему для сервиса squid | + | Подключаем прокси сервер к kerberos сфере, копируем ключи в системный файл и предоставляем доступ к нему для сервиса squid: |
| <code> | <code> | ||
| Line 110: | Line 112: | ||
| </code> | </code> | ||
| - | Происходящие процессы аутентификации можно наблюдать в этих журнальных файлах: | + | Происходящие процессы аутентификации можно наблюдать в этих журнальных файлах (частой причиной проблем в работе протокола kerberos, кроме DNS, может быть расхождение времени в системах более чем на 5 минут) |
| <code> | <code> | ||
| Line 118: | Line 120: | ||
| </code> | </code> | ||
| - | Частой причиной проблем в работе протокола kerberos, кроме DNS, может быть расхождение времени в системах более чем на 5 минут. | + | |
| Аналогично можно настроить "прозрачный" доступ соответствующих программ к сервисам SMTP, IMAP, LDAP, XMPP, CIFS и, даже, SSH:) | Аналогично можно настроить "прозрачный" доступ соответствующих программ к сервисам SMTP, IMAP, LDAP, XMPP, CIFS и, даже, SSH:) | ||
kerberos_сервера_на_замену_microsoft_ad.1682683802.txt.gz · Last modified: 2023/04/28 15:10 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
