User Tools
linux._управление_учетными_записями
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
|
linux._управление_учетными_записями [2022/10/15 21:35] val [Модуль 6. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows] |
linux._управление_учетными_записями [2023/07/14 16:37] val [Лабораторные работы: Использование сервиса WINBIND] |
||
|---|---|---|---|
| Line 7: | Line 7: | ||
| ===== Задача курса ===== | ===== Задача курса ===== | ||
| - | * Изучение технологий Single sign-on SSO - единого входа и сквозной аутентификации пользователей | + | * Изучение технологий Single sign-on SSO - единого входа, сквозной аутентификации пользователей и Workplace Innovation (WPI) - универсального рабочего места |
| ===== Модуль 0. Подготовка стенда в классе ===== | ===== Модуль 0. Подготовка стенда в классе ===== | ||
| Line 40: | Line 40: | ||
| λ cd | λ cd | ||
| - | |||
| - | λ test -e conf && rm -r conf | ||
| λ git clone http://val.bmstu.ru/unix/conf.git | λ git clone http://val.bmstu.ru/unix/conf.git | ||
| Line 47: | Line 45: | ||
| λ cd conf/virtualbox/ | λ cd conf/virtualbox/ | ||
| - | !!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!! | + | !!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!! |
| λ ./setup.sh X 4 | λ ./setup.sh X 4 | ||
| Line 54: | Line 52: | ||
| === 1.2 Настройка сети VM gate и server === | === 1.2 Настройка сети VM gate и server === | ||
| + | * Запустить gate и server | ||
| + | * Запустить импорт системы client1 | ||
| * [[Настройка стендов слушателей#Настройка виртуальных систем Unix]] с использованием [[Настройка стендов слушателей#Скрипты автоконфигурации]] | * [[Настройка стендов слушателей#Настройка виртуальных систем Unix]] с использованием [[Настройка стендов слушателей#Скрипты автоконфигурации]] | ||
| Line 91: | Line 91: | ||
| nameserver 192.168.X.10 | nameserver 192.168.X.10 | ||
| </code><code> | </code><code> | ||
| + | debian11# apt install host | ||
| + | |||
| # host ns | # host ns | ||
| </code> | </code> | ||
| Line 178: | Line 180: | ||
| * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | ||
| * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | ||
| - | * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка PAM]] | + | * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы аутентификации]] |
| ==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ||
| Line 188: | Line 190: | ||
| <code> | <code> | ||
| client1:~# scp /etc/nsswitch.conf gate:/etc/nsswitch.conf | client1:~# scp /etc/nsswitch.conf gate:/etc/nsswitch.conf | ||
| + | |||
| + | debian11# service nscd restart && service nscd reload | ||
| </code> | </code> | ||
| Line 223: | Line 227: | ||
| - Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+» | - Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+» | ||
| - Какой командой можно посмотреть учетные записи из всех источников данных? | - Какой командой можно посмотреть учетные записи из всех источников данных? | ||
| - | - Какая подсистема (facility) библиотеки PAM позволяет временно запретить аутентификацию пользователей? | + | - Какая подсистема (facility) библиотеки PAM позволяет временно запретить регистрацию пользователей? |
| - Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей? | - Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей? | ||
| - По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном ... | - По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном ... | ||
| Line 238: | Line 242: | ||
| * [[Финальная настройка DNS сервера#Настройка зоны corpX.un]] | * [[Финальная настройка DNS сервера#Настройка зоны corpX.un]] | ||
| + | * [[Сервис DNS#Утилиты тестирования DNS]] | ||
| + | |||
| <code> | <code> | ||
| server# nslookup -q=SRV _kerberos._udp.corpX.un | server# nslookup -q=SRV _kerberos._udp.corpX.un | ||
| Line 309: | Line 315: | ||
| * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | ||
| * Доступ на основе членства в группе group1 | * Доступ на основе членства в группе group1 | ||
| + | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
| === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | ||
| Line 322: | Line 329: | ||
| * Импортируем VM client3 из образа "linux с графическим интерфейсом" | * Импортируем VM client3 из образа "linux с графическим интерфейсом" | ||
| <code> | <code> | ||
| - | cat /etc/hostname | + | client3:~# cat /etc/hostname |
| </code><code> | </code><code> | ||
| client3 | client3 | ||
| </code><code> | </code><code> | ||
| - | cat /etc/hosts | + | client3:~# cat /etc/hosts |
| </code><code> | </code><code> | ||
| 127.0.0.1 localhost | 127.0.0.1 localhost | ||
| 127.0.1.1 client3 | 127.0.1.1 client3 | ||
| + | </code><code> | ||
| + | init 6 | ||
| + | |||
| + | client3:~# DEBIAN_FRONTEND=noninteractive apt -y install krb5-user cifs-utils nfs-common libpam-krb5 libpam-script | ||
| + | |||
| + | client3:~# cat /etc/krb5.conf | ||
| + | [libdefaults] | ||
| + | default_realm = CORPX.UN | ||
| </code> | </code> | ||
| * [[Использование библиотеки PAM#Использование pam_script]] для автоматического создания учетных записей | * [[Использование библиотеки PAM#Использование pam_script]] для автоматического создания учетных записей | ||
| <code> | <code> | ||
| - | client1:~# find /home/ | + | client3:~# id user2 |
| + | |||
| + | client3:~# find /home/ | ||
| </code> | </code> | ||
| - | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
| * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | ||
| + | |||
| + | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] в серверам CIFS | ||
| * [[Зачем вводить системы Linux в домен Microsoft#3.5 Монтирование домашнего каталога ручном режиме]] | * [[Зачем вводить системы Linux в домен Microsoft#3.5 Монтирование домашнего каталога ручном режиме]] | ||
| Line 355: | Line 373: | ||
| - Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA? | - Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA? | ||
| - | ===== Модуль 6. Использование Kerberos сферы для SSO пользователей рабочих станций Windows ===== | + | ===== Модуль 6. Использование Linux Kerberos сферы для SSO пользователей рабочих станций Windows ===== |
| ==== Теория ==== | ==== Теория ==== | ||
| Line 407: | Line 425: | ||
| </code> | </code> | ||
| - | * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]]) | + | * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]] и [[Авторизация с использованием LDAP сервера#Установка библиотеки nss ldap]]) |
| * Отключаем NIS на server | * Отключаем NIS на server | ||
| - | === 7.2 Использование протокола GSSAPI для сервиса imap === | + | === 7.2 Использование протокола GSSAPI для сервиса электронной почты === |
| - | * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | + | * !!! Приступить к развертыванию AD на Windows Server из модуля 8, по окончании ЗАЛОГИНИТЬСЯ !!! |
| __демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
| Line 421: | Line 439: | ||
| * [[Сервер dovecot#Установка]] imap сервера dovecot на gate | * [[Сервер dovecot#Установка]] imap сервера dovecot на gate | ||
| * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | ||
| - | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] сервисов SMTP/IMAP на gate |
| === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | ||
| * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] | ||
| - | * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | + | * Преподаватель устанавливает "дружественный" интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]], раскрывать в VM лучше через 7zip) |
| * [[Thunderbird#Авто конфигурация клиента]] Thunderbird | * [[Thunderbird#Авто конфигурация клиента]] Thunderbird | ||
| Line 432: | Line 450: | ||
| * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube | ||
| - | * Настройка доступа к адресной книге в [[Web интерфейс к почте#roundcube]] (проверить поиск) | + | * Настройка доступа к адресной книге в [[Web интерфейс к почте#roundcube]] (продемонстрировать jpegPhoto и проверить поиск) |
| * [[Инструмент GitLab#Использование LDAP]] для управления пользователями в GitLab | * [[Инструмент GitLab#Использование LDAP]] для управления пользователями в GitLab | ||
| Line 642: | Line 660: | ||
| === 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
| - | * Демонстрация [[Сервис sssd]] на системе client4 | + | * Демонстрация [[Сервис sssd]] на системе client3 |
| === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | ||
| Line 662: | Line 680: | ||
| * Выводим Windows клиенты из домена AD | * Выводим Windows клиенты из домена AD | ||
| - | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3 | + | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4 |
| * Отключаем WINBIND в nsswitch.conf на gate | * Отключаем WINBIND в nsswitch.conf на gate | ||
| <code> | <code> | ||
linux._управление_учетными_записями.txt · Last modified: 2023/12/13 14:21 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
