• Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft

• Узнать свой номер стенда
• Удалить виртуалки
• Удалить профили putty
• Отключить не используемые адаптеры
• Записать логин пароль и IP (сообщить преподавателю) рабочей станции
• Проверить наличие дистрибутивов и образов

• Linux. Уровень 2. Администрирование сервисов и сетей

Настраиваем необходимый для мониторинга минимум из курса Администрирование сервисов UNIX

• Для локальной сети использовать VirtualBox Host-Only Ethernet Adapter

Запустите с правами Administrator

C:\cmder\Cmder.exe

λ bash

λ cd

λ test -e conf && rm -r conf

λ git clone http://val.bmstu.ru/unix/conf.git

λ cd conf/virtualbox/

!!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!!

λ ./setup.sh X

• Настройка виртуальных систем Unix с использованием Скрипты автоконфигурации

• gate

# sh net_gate.sh

# init 6

• server

# sh net_server.sh

# init 6

• Создать в Putty профили gate, server и подключиться

• Сервис DHCP

gate:~# sh conf/dhcp.sh

• Финальная настройка DNS сервера

server:~# sh conf/dns.sh

• Настройка клиента DNS на gate и server

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

# host ns

• Настройка сети в Linux Динамическая настройка параметров

gate# dhcp-lease-list

1. Что определяет порядок использования файлов /etc/hosts и /etc/resolv.conf для разрешения DNS имен?

• Централизованное управление в сети Linux на базе NIS и NFS

• Удаление учетной записи пользователя student на server

• В систему server добавляем группу group1 и включаем в нее user1 и user2 (Управление учетными записями в Linux)

server# groupadd -g 15001 group1

server# useradd -u 10001 -m -s /bin/bash -c "Ivan Ivanovitch Ivanov,RA7,401,499-239-45-23" -G group1 user1

server# useradd -u 10002 -m -s /bin/bash -c "Petr Petrovitch Petrov,RA7,402,499-323-55-53" -G group1 user2

server# passwd user1
   password1

server# passwd user2
   password2

• Настройка Unix сервера server как сервер NIS

• Настройка клиента client1 как клиента NIS

client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

демонстрирует преподаватель

• Экспорт домашних каталогов по NFS с системы server (Установка, настройка и запуск сервиса)
• Для linux Установка nfs клиента на client1
• Монтирование домашних каталогов по NFS на client1 (Использование сервиса)
• Видео урок: Как пользователи использовали UNIX :)

1. Какие поля в учетной записи UNIX используются для аутентификации?
2. Какие поля в учетной записи UNIX используются для авторизации?
3. Для чего используется поле GECOS учетной записи пользователя UNIX?
4. Что такое NIS домен?
5. Что такое NIS карты?
6. Какая утилита используется для инициализации NIS карт?
7. Какая утилита используется для тестирования NIS?

• Управление пользователями, NSS и PAM
• Bog BOS: NSS (Name Service Switch)
• Pluggable Authentication Modules (PAM) - настройки системы аутентификации

• Настройка клиента gate как клиента NIS (не редактируем файлы /etc/passwd и прочие)
• Использование библиотеки пространства имен для идентификации в системе gate (Использование библиотеки NSSWITCH)

client1:~# scp gate:/etc/nsswitch.conf /etc/nsswitch.conf

• Терминология PAM
• Приостановка регистрации пользователей (демонстрирует преподаватель, проверять подключаясь user1 с client1 на gate)
• Автоматическое создание домашних каталогов для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2)

• Домашнее задание по видео уроку SSH SSO
• Использование ssh_agent (Аутентификация с использованием ключей ssh)
• Использование SSH как решение SSO (Использование pam_ssh для сервиса login) с user1@client1 на gate и на server

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...
user1@client1:~$ env | grep SSH

user1@client1:~$ ssh gate

user1@client1:~$ rm .ssh/id*

1. Какие задачи решает библиотека NSS
2. Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+»
3. Какой командой можно посмотреть учетные записи из всех источников данных?
4. Какая подсистема (facility) библиотеки PAM позволяет временно запретить аутентификацию пользователей?
5. Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?
6. По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном …
7. Клиент ssh использует ssh-agent для получения расшифрованного …

• Сервис KERBEROS

• Настройка зоны corpX.un

server# nslookup -q=SRV _kerberos._udp.corpX.un

• Синхронизируем время в системах client1, gate и server (Локализация временной зоны, Сервис NTP)
• !!! Можно заранее запустить установку Desktop на client1

• Настройка KDC (на системе server)
• Регистрация принципалов пользователей в базе данных kerberos
• Настройка Kerberos клиента (на системах client1 и gate)

• Блокировка учетной записи (исключаем использование паролей через Сервис NIS)
• Использование pam_krb5 для сервиса login/xdm на client1
• Аутентификация с использованием протокола GSSAPI для сервиса ssh на gate

• Локализация окружения
• Инсталяция системы в конфигурации Desktop

!!! Подготовка к 5-му модулю: Импортируем клиентскую систему windows

• Использование pam_krb5 для сервиса login/xdm на client1
• Установка, настройка и запуск пакета SQUID на gate
• Kerberos GSSAPI аутентификация для squid на gate
• Firefox Управление конфигурацией
• Авторизация на основе членства в группе для squid на gate

1. Kerberos обеспечивает механизм …
2. Что такое Kerberos realm (сфера)?
3. Какие объекты представляются учетными записями (Principal) в Kerberos?
4. Используется ли в протоколе Kerberos SSL или TLS?
5. Используются ли в протоколе Kerberos сертификаты?
6. Что хранится в TGT?
7. Какая команда может быть использована для получения TGT?
8. Разница в настройке времени между системами, взаимодействующими по протоколу Kerberos, не должна составлять более …
9. В каком файле, по умолчанию, на стороне сервера хранятся учетные записи сервисов?
10. Для чего используется GSSAPI?
11. Какого типа сервиса должен быть добавлен в KDC для использование Kerberos с сервисом Squid?

• Server Message Block

• Добавляем в сеть клиентскую систему windows
• Переименовываем ее в client2
• Установка GSSAPI клиентских программ:
• putty.exe в C:\bin\
• WinScp
• Firefox (можно использовать MSIE)
• Thunderbird 17.0.exe
• Создаем и подключаемся локальным пользователем user2 с паролем wpassword2

• Из командной строки с правами администратора

net user user2 wpassword2 /add

• Установка файлового сервера SAMBA

Лучше сделать, понадобится в следующем модуле, можно не отлаживать

• Идентификация доступа к файловому серверу на основе копии базы данных учетных записей
• Доступ на основе членства в группе (на примере группы wheel/sudo)

бонусная лабораторная работа

• NTLM аутентификация на серверах CIFS для пользователей UNIX

• Видео урок: Использование пакета SAMBA для реализации файлового сервиса CIFS

1. Какой режим безопасности должен быть настроен в SAMBA для работы с собственной базой данных пользователей?
2. Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?

• Регистрация рабочих станций windows в KDC
• Подключение к сфере KERBEROS рабочих станций windows

• SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY

• Автоматическое создание домашних каталогов в SAMBA
• Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM
• GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК)

бонусная лабораторная работа

• GSSAPI аутентификация протокола CIFS для UNIX клиентов

• Видео урок. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

1. Какого типа сервис должен быть добавлен в KDC для регистрации рабочей станций Windows при использовании Kerberos сферы?
2. Где хранится пользовательский профиль при использовании Kerberos сферы для аутентификации пользователей рабочих станций Windows?
3. Какой режим безопасности должен быть настроен в пакете SAMBA для работы с базой данных пользователей в KDC?

• LDAP для учёных-ракетчиков
• Термины служб каталогов и LDAP
• OpenLDAP, addressbook, web интерфейс и все все все

• Установка и настройка OpenLDAP
• Хранение учетных записей UNIX в LDAP

• Отключаем NIS на gate и client1, на server лучше после окончательного внедрения LDAP

# apt purge nis && apt autoremove

• Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога (Авторизация с использованием LDAP сервера)
• Отключаем NIS на server

• !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!!

демонстрирует преподаватель

• Установка и настройка MTA на обработку почты домена hostname на системе gate
• Настройка MTA на обработку почты домена corpX.un
• Установка UA mail на системе gate
• Установка imap сервера dovecot на gate
• Настройка с использованием стандартных mailboxes и аутентификации открытым текстом на сервере dovecot на gate
• Kerberos GSSAPI аутентификация на сервере dovecot на gate

• Пример назначения номеров телефонов и адресов email
• Дружественный интерфейс к LDAP - Apache Directory Studio (требует JRE)
• Добавление атрибутов mail, telephoneNumber
• Получение списка контактов через LDAP в Thunderbird

1. В виде какой структуры представляются записи в LDAP?
2. Для чего используется формат LDIF?
3. Как в протоколе LDAP называется операция аутентификации?
4. Что такое DN и RDN в LDAP?
5. Сколько атрибутов класса (object class) может быть у записи?

• Active Directory

• Отключаем nss_ldap на gate и client1 Настройка библиотеки nsswitch
• Отмонтируем /home на client1
• Выключаем server
• Удаляем ключи сервисов с gate

gate# rm -v /root/*keytab

gate# rm /etc/krb5.keytab

• Добавляем windows server (от 2Gb RAM)
• Развертывание Active Directory
• Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2

• Включение в домен Windows клиентов (client2)
• Регистрируемся в Windows client2 как user2
• Настройка Kerberos клиента на gate
• Установка WinScp на server MS AD
• Kerberos GSSAPI аутентификация windows клиентов в HTTP proxy
• Настройки proxy через Использование групповых политик

демонстрирует преподаватель

• Сервис OpenFire
• Интеграция Asterisk с системами IM и Presence в инфраструктуре Microsoft AD, часть 1

• Настройка Kerberos клиента на client1
• Использование pam_krb5 для сервиса login/xdm на client1
• Настройка Windows сервера на поддержку UNIX атрибутов
• Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
• Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
• Можно автоматизировать, используя Пример назначения UNIX атрибутов в Microsoft AD
• Настраиваем Авторизация с использованием LDAP сервера windows на client1

демонстрирует преподаватель

• Настройка в Windows Server протокола NFS
• Монтируем /home, создаем домашние каталоги

client1# id user1

client1# mount server:/home /home

client1# chmod 755 /home

• Автоматическое создание домашних каталогов

• Kerberos GSSAPI аутентификация linux клиентов в HTTP proxy
• Настраиваем Авторизация с использованием LDAP сервера windows на gate
• Аутентификация с использованием протокола GSSAPI для сервиса SSH

демонстрирует преподаватель

• Kerberos GSSAPI аутентификация для сервиса imap
• Kerberos GSSAPI (Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM)

gate# service smbd restart

бонусные лабораторные работы

• GSSAPI аутентификация протокола CIFS для UNIX клиентов
• Авторизация доступа к ресурсам через SQUID на основе членства в группе

демонстрирует преподаватель

• Назначение атрибутов General→Telephone number и E-mail
• Получение списка контактов через LDAP

1. Какой утилитой можно добавить учетную запись сервиса UNIX в Microsoft AD?
2. Какой утилитой можно вывести список сервисов, привязанных к учетной записи Microsoft AD?
3. Что нужно сделать для хранения в Microsoft AD атрибутов учетных записей UNIX?
4. Что нужно сделать для развертывания сервиса NFS на Microsoft Windows Server?

• Видеоурок: Авторизация доступа пользователей домена MS Active Directory в Internet с использованием proxy-сервера Squid

• !!! Импортировать windows client3 (назначить 2 ядра) и Развертывание средств администрирования Active Directory для модуля 10

• !!! Можно объединить все лабораторные работы

• Настройка файлового сервера Samba с интеграцией в Active Directory
• SSSD vs Winbind

• Удаляем пользователей gate* из AD
• Удаляем файлы с ключами на AD

C:\>del *keytab

• Удаляем ключи сервисов с gate

gate# rm -v /root/*keytab /etc/krb5.keytab

gate# cp /etc/samba/smb.conf /root/

gate# apt purge samba samba-common

gate# apt autoremove

gate# rm -r /etc/samba/

• Установка службы winbindd
• Удалить запись gate из dns
• Регистрация unix системы в домене в режиме ADS (система gate)
• Проверяем наличие gate в DNS
• Управление ключами KERBEROS в режиме ADS для сервисов HTTP и IMAP
• Настройка сервиса sshd на использование GSSAPI
• Настройка сервиса SQUID на использование GSSAPI

демонстрирует преподаватель

• Настройка dovecot на использование GSSAPI
• !!! сервис cifs не работает с winbind без unix атрибутов
• !!! сервис cifs не удалось заставить работает с @group1
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND

Следующие шаги можно пропустить:

• Останавливаем Linux клиент
• Отключаем unix свойства пользователей user1 и user2 в AD
• Удаляем группы guser1 и guser2
• Удаляем в Настройка Windows сервера поддержку UNIX атрибутов у пользователей user1 и user2 и group1

Можно делать отсюда:

• Отключаем ldap в nsswitch на gate
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка сервиса sshd на использование GSSAPI
• Настройка dovecot на использование GSSAPI

• Добавляем пользователя user1 в группу group1
• SQUID Авторизация на основе членства в группе

gate# apt install samba

• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND (как ни странно, принципал cifs не надо создавать, но, откуда то он берется у клиента :)

• Демонстрация Сервис sssd на системе client4

• Зачем вводить системы Linux в домен Microsoft?

1. Для каких задач предназначен WINBIND?
2. Какая утилита позволяет проверить работу WINBIND?

• Возможности и ограничения Samba 4 как контроллера домена Active Directory

• Выводим Windows клиенты из домена AD
• Развертывание средств администрирования Active Directory на client3
• Отключаем WINBIND в nsswitch.conf на gate

debian# service nscd restart && service nscd reload

• Выводим gate из домена AD (Вывод unix системы из домена в режиме ADS)
• Останавливаем Windows AD
• Включаем Linux server

server# cat /etc/resolv.conf

search corpX.un
nameserver 172.16.1.254

server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

• Установка Samba4 из пакетов
• Инициализация домена
• Добавляем в домен пользователя user2/Pa$$w0rd2 (Управление доменом)
• Включаем в домен Windows client3 (Включение в домен Windows клиентов)
• Регистрируемся в Windows client3 как Administrator
• Включаем в домен Windows client2
• Регистрируемся в Windows client2 как user2

• Тестируем kerberos на gate

gate# kinit Administrator

gate# kinit user2

• Аутентификация доступа к SQUID Если в роли KDC выступает Samba4
• Настройки proxy через Использование групповых политик (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3)
• Настройка сервиса SQUID на использование GSSAPI

Для gate используем winbind:

• Регистрируем gate Регистрация unix системы в домене в режиме ADS
• Управление ключами KERBEROS в режиме ADS

• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND для доступа к ресурсам home и corp_share для всех пользователей group1

• Назначение атрибутов General→Telephone number и E-mail
• Использование групповых политик для установки Thunderbird.msi (Публичный каталог доступный на чтение, можно и на gate и на server)
• Управление ключами KERBEROS в режиме ADS
• Подключаемся как user1 на client3 и проверяем установку Thunderbird

Для client1 используем LDAP

• Настройка Windows сервера (который сейчас samba4) на поддержку UNIX атрибутов
• Настройка библиотеки nsswitch на client1 на использование LDAP каталога (Авторизация с использованием LDAP сервера)

Для server используем LDAP

server# userdel user1; userdel user2

• Авторизация с использованием LDAP сервера

server# samba-tool group add guser3 --gid-number=10003

server# samba-tool user create user3 --given-name Sidor --initials S --surname Sidorov --uid-number 10003 --gid-number 10003 --login-shell /bin/bash --unix-home /home/user3

server# mkdir /home/user3 && chown user3:guser3 /home/user3

!!! Примечание: не удалось настроить dovecot на создание домашних каталогов на gate

1. Какой ключ утилиты samba-tool используется для расширения схемы для хранения UNIX атрибутов при инициализации контроллера домена Samba4?
2. Какая утилита используется для управления учетными записями пользователей в контроллере домена Samba4?
3. Что нужно установить на рабочую станцию Windows для управления контроллером домена Samba4?
4. Поддерживает ли контроллер домена Samba4 групповые политики?
5. Какой вариант системы централизованного управления учетными записями самый лучший?

• Бонус - вебинар Зачем вводить системы Linux в домен Microsoft

• Организация централизованной системы аутентификации при помощи Fedora Directory Server и MIT Kerberos
• FreeIPA