User Tools

Site Tools


linux._управление_учетными_записями

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
linux._управление_учетными_записями [2022/10/15 21:35]
val [Модуль 6. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows]
linux._управление_учетными_записями [2023/12/13 14:21] (current)
val [Лабораторные работы: Знакомство с сервисом Samba]
Line 7: Line 7:
 ===== Задача курса ===== ===== Задача курса =====
  
-  * Изучение технологий Single sign-on SSO - единого входа ​и сквозной аутентификации пользователей+  * Изучение технологий Single sign-on SSO - единого входасквозной аутентификации пользователей ​и Workplace Innovation (WPI) - универсального рабочего места
  
 ===== Модуль 0. Подготовка стенда в классе ===== ===== Модуль 0. Подготовка стенда в классе =====
Line 40: Line 40:
  
 λ cd λ cd
- 
-λ test -e conf && rm -r conf 
  
 λ git clone http://​val.bmstu.ru/​unix/​conf.git λ git clone http://​val.bmstu.ru/​unix/​conf.git
Line 47: Line 45:
 λ cd conf/​virtualbox/​ λ cd conf/​virtualbox/​
  
-!!! 4 - это номер курса, вместо X укажите Ваш номер стенда,​ если не помните, спросите преподавателя !!!+!!! 4 - это номер курса, вместо X укажите Ваш номер стенда,​ если не знаете его, спросите преподавателя !!!
  
 λ ./setup.sh X 4 λ ./setup.sh X 4
Line 54: Line 52:
 === 1.2 Настройка сети VM gate и server === === 1.2 Настройка сети VM gate и server ===
  
 +  * Запустить gate и server ​
 +  * Запустить импорт системы client1
   * [[Настройка стендов слушателей#​Настройка виртуальных систем Unix]] с использованием [[Настройка стендов слушателей#​Скрипты автоконфигурации]]   * [[Настройка стендов слушателей#​Настройка виртуальных систем Unix]] с использованием [[Настройка стендов слушателей#​Скрипты автоконфигурации]]
  
Line 91: Line 91:
 nameserver 192.168.X.10 nameserver 192.168.X.10
 </​code><​code>​ </​code><​code>​
 +debian11# apt install host 
 +
 # host ns # host ns
 </​code>​ </​code>​
Line 178: Line 180:
   * [[http://​gentoo.theserverside.ru/​book/​ar68s18.html|Управление пользователями,​ NSS и PAM]]   * [[http://​gentoo.theserverside.ru/​book/​ar68s18.html|Управление пользователями,​ NSS и PAM]]
   * [[http://​www.bog.pp.ru/​work/​NSS.html|Bog BOS: NSS (Name Service Switch)]]   * [[http://​www.bog.pp.ru/​work/​NSS.html|Bog BOS: NSS (Name Service Switch)]]
-  * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка ​PAM]]+  * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы ​аутентификации]]
  
 ==== Лабораторные работы:​ ААА с использованием NSS и PAM ==== ==== Лабораторные работы:​ ААА с использованием NSS и PAM ====
Line 188: Line 190:
 <​code>​ <​code>​
 client1:~# scp /​etc/​nsswitch.conf gate:/​etc/​nsswitch.conf client1:~# scp /​etc/​nsswitch.conf gate:/​etc/​nsswitch.conf
 +
 +debian11# service nscd restart && service nscd reload
 </​code>​ </​code>​
  
Line 223: Line 227:
   - Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки,​ начинающейся с символа «+»   - Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки,​ начинающейся с символа «+»
   - Какой командой можно посмотреть учетные записи из всех источников данных?​   - Какой командой можно посмотреть учетные записи из всех источников данных?​
-  - Какая подсистема (facility) библиотеки PAM позволяет временно запретить ​аутентификацию пользователей?​+  - Какая подсистема (facility) библиотеки PAM позволяет временно запретить ​регистрацию пользователей?​
   - Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?​   - Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?​
   - По умолчанию,​ при первом подключении клиента к SSH серверу,​ он получает предупреждение о недостоверном ...   - По умолчанию,​ при первом подключении клиента к SSH серверу,​ он получает предупреждение о недостоверном ...
Line 238: Line 242:
  
   * [[Финальная настройка DNS сервера#​Настройка зоны corpX.un]]   * [[Финальная настройка DNS сервера#​Настройка зоны corpX.un]]
 +  * [[Сервис DNS#​Утилиты тестирования DNS]]
 +
 <​code>​ <​code>​
 server# nslookup -q=SRV _kerberos._udp.corpX.un server# nslookup -q=SRV _kerberos._udp.corpX.un
Line 309: Line 315:
   * [[Файловый сервер SAMBA#​Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]]   * [[Файловый сервер SAMBA#​Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]]
   * Доступ на основе членства в группе group1   * Доступ на основе членства в группе group1
 +  * [[Файловый сервер SAMBA#​Автоматическое создание домашних каталогов]] в SAMBA
  
 === 5.3 Подключение Linux клиентов к файловому серверу CIFS === === 5.3 Подключение Linux клиентов к файловому серверу CIFS ===
Line 322: Line 329:
   * Импортируем VM client3 из образа "linux с графическим интерфейсом"​   * Импортируем VM client3 из образа "linux с графическим интерфейсом"​
 <​code>​ <​code>​
-cat /​etc/​hostname+client3:​~# ​cat /​etc/​hostname
 </​code><​code>​ </​code><​code>​
 client3 client3
 </​code><​code>​ </​code><​code>​
-cat /etc/hosts+client3:​~# ​cat /etc/hosts
 </​code><​code>​ </​code><​code>​
 127.0.0.1 ​      ​localhost 127.0.0.1 ​      ​localhost
  
 127.0.1.1 ​      ​client3 127.0.1.1 ​      ​client3
 +</​code><​code>​
 +init 6
 +
 +client3:~# DEBIAN_FRONTEND=noninteractive apt -y install krb5-user cifs-utils nfs-common libpam-krb5 libpam-script
 +
 +client3:~# cat /​etc/​krb5.conf
 +[libdefaults]
 +        default_realm = CORPX.UN
 </​code>​ </​code>​
   * [[Использование библиотеки PAM#​Использование pam_script]] для автоматического создания учетных записей   * [[Использование библиотеки PAM#​Использование pam_script]] для автоматического создания учетных записей
 <​code>​ <​code>​
-client1:~# find /home/+client3:~# id user2 
 + 
 +client3:~# find /home/
 </​code>​ </​code>​
  
-  * [[Файловый сервер SAMBA#​Автоматическое создание домашних каталогов]] в SAMBA 
   * [[Файловый сервер SAMBA#​Идентификация доступа к файловому серверу на основе регистрации в Active Directory/​DOMAIN/​Kerberos REALM]]   * [[Файловый сервер SAMBA#​Идентификация доступа к файловому серверу на основе регистрации в Active Directory/​DOMAIN/​Kerberos REALM]]
 +
 +  * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] к серверам CIFS
  
   * [[Зачем вводить системы Linux в домен Microsoft#​3.5 Монтирование домашнего каталога ручном режиме]]   * [[Зачем вводить системы Linux в домен Microsoft#​3.5 Монтирование домашнего каталога ручном режиме]]
Line 355: Line 373:
   - Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?   - Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?
  
-===== Модуль 6. Использование Kerberos сферы для SSO пользователей рабочих станций Windows =====+===== Модуль 6. Использование ​Linux Kerberos сферы для SSO пользователей рабочих станций Windows =====
  
 ==== Теория ==== ==== Теория ====
Line 407: Line 425:
 </​code>​ </​code>​
  
-  * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]])+  * Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога ([[Авторизация с использованием LDAP сервера]] и [[Авторизация с использованием LDAP сервера#​Установка библиотеки nss ldap]])
   * Отключаем NIS на server   * Отключаем NIS на server
  
-=== 7.2 Использование протокола GSSAPI для сервиса ​imap ===+=== 7.2 Использование протокола GSSAPI для сервиса ​электронной почты ​===
  
-  * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!!+  * !!! Приступить к развертыванию AD на Windows Server из модуля 8, по окончании ЗАЛОГИНИТЬСЯ ​!!!
  
 __демонстрирует преподаватель__ __демонстрирует преподаватель__
Line 421: Line 439:
   * [[Сервер dovecot#​Установка]] imap сервера dovecot на gate   * [[Сервер dovecot#​Установка]] imap сервера dovecot на gate
   * [[Сервер dovecot#​Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate   * [[Сервер dovecot#​Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate
-  * [[Сервер dovecot#​Kerberos GSSAPI аутентификация]] ​на сервере dovecot ​на gate+  * [[Сервер dovecot#​Kerberos GSSAPI аутентификация]] сервисов SMTP/​IMAP ​на gate
  
 === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети ===
  
   * [[Хранение учетных записей UNIX в LDAP#​Пример назначения номеров телефонов и адресов email]]   * [[Хранение учетных записей UNIX в LDAP#​Пример назначения номеров телефонов и адресов email]]
-  * Дружественный интерфейс к LDAP - [[https://​val.bmstu.ru/​unix/​ldap/​ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://​val.bmstu.ru/​unix/​java/​jre-8u211-windows-x64.exe|JRE]])+  * Преподаватель устанавливает "дружественный" ​интерфейс к LDAP - [[https://​val.bmstu.ru/​unix/​ldap/​ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://​val.bmstu.ru/​unix/​java/​jre-8u211-windows-x64.exe|JRE]], раскрывать в VM лучше через 7zip)
  
   * [[Thunderbird#​Авто конфигурация клиента]] Thunderbird   * [[Thunderbird#​Авто конфигурация клиента]] Thunderbird
Line 432: Line 450:
  
   * [[Использование библиотеки PAM#​Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube   * [[Использование библиотеки PAM#​Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube
-  * Настройка доступа к адресной книге в [[Web интерфейс к почте#​roundcube]] (проверить поиск)+  * Настройка доступа к адресной книге в [[Web интерфейс к почте#​roundcube]] (продемонстрировать jpegPhoto и проверить поиск)
  
   * [[Инструмент GitLab#​Использование LDAP]] для управления пользователями в GitLab   * [[Инструмент GitLab#​Использование LDAP]] для управления пользователями в GitLab
Line 642: Line 660:
 === 9.4 Альтернатива WINBIND - сервис SSSD === === 9.4 Альтернатива WINBIND - сервис SSSD ===
  
-  * Демонстрация [[Сервис sssd]] на системе ​client4+  * Демонстрация [[Сервис sssd]] на системе ​client3
  
 === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM ===
Line 662: Line 680:
  
   * Выводим Windows клиенты из домена AD   * Выводим Windows клиенты из домена AD
-  * [[Материалы по Windows#​Развертывание средств администрирования Active Directory]] на client3+  * [[Материалы по Windows#​Развертывание средств администрирования Active Directory]] на client4
   * Отключаем WINBIND в nsswitch.conf на gate   * Отключаем WINBIND в nsswitch.conf на gate
 <​code>​ <​code>​
linux._управление_учетными_записями.1665858919.txt.gz · Last modified: 2022/10/15 21:35 by val