• Linux/FreeBSD. Уровень 3. Взаимодействие с Microsoft Windows

• Настройка стендов слушателей

• Общие файлы конфигурации

root@localhost:~# cat /etc/hostname

client1.corpX.un

root@localhost:~# cat /etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.30
        netmask 255.255.255.0
        gateway 192.168.X.1

root@localhost:~# init 6

...

root@client1:~# apt-get update

# cat /etc/rc.conf

hostname="client1.corpX.un"
ifconfig_em0="192.168.X.30/24"
defaultrouter=192.168.X.1

keyrate="fast"
sshd_enable=yes

# init 6

Во всех 3-х системах добавить в репозиторий обновления!!!

# cat /etc/apt/sources.list

deb http://ru.archive.ubuntu.com/ubuntu/ xenial main restricted universe multiverse
deb http://ru.archive.ubuntu.com/ubuntu/ xenial-updates main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial-security main restricted universe multiverse

# apt update

• Удаляем на server пользователя student
• В систему server добавляем учетные записи

login: user1
uid: 10001
homedir: /home/user1
shell: bash  (csh для freebsd)
gecos: Ivan Ivanovitch Ivanov,RA1,401,499-239-45-23
pass: password1

login: user2
uid: 10002
homedir: /home/user2
shell: bash  (csh для freebsd)
gecos: Petr Petrovitch Petrov,RA7,402,499-323-55-53
pass: password2

• В систему server добавляем группу group1 и включаем в нее user1 и user2
• Для FreeBSD русифицируем учетные записи user1 и user2
• Управление учетными записями в Linux, Управление учетными записями в FreeBSD

• Настройка Unix сервера server как сервер NIS

• Настройка клиента client1 как клиента NIS

client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

демонстрирует преподаватель

• Экспорт домашних каталогов по NFS с системы server (Установка, настройка и запуск сервиса)
• Для linux Установка nfs клиента на client1
• Монтирование домашних каталогов по NFS на client1 (Использование сервиса)
• Видео урок: Как пользователи использовали UNIX :)

• Настройка клиента gate как клиента NIS (не редактируем файлы /etc/passwd и прочие)
• Использование библиотеки пространства имен для идентификации в системе gate (Использование библиотеки NSSWITCH)

• Терминология PAM
• Приостановка регистрации пользователей (демонстрирует преподаватель, проверять подключаясь user1 с client1 на gate)
• Автоматическое создание домашних каталогов для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2)
• Домашнее задание по видео уроку Использование одноразовых паролей OPIE
• Аутентификация с использованием OPIE

• Домашнее задание по видео уроку SSH SSO
• Использование ssh_agent (Аутентификация с использованием ключей ssh)
• Использование SSH как решение SSO (Использование pam_ssh для сервиса login) с client1 на gate

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...

user1@client1:~$ ssh gate

user1@client1:~$ rm .ssh/id*

• Сервис KERBEROS

• Финальная настройка DNS сервера

server# nslookup -q=SRV _kerberos._udp.corpX.un

• Удаляем лишние записи из /etc/hosts (!!! оставить запись для имени системы)
• Синхронизируем время в системах client1, gate и server (Сервис NTP)

• Настройка KDC (на системе server)
• Регистрация принципалов пользователей в базе данных kerberos
• Настройка Kerberos клиента (на системах client1 и gate)

• Использование pam_krb5 для сервиса login/xdm на client1
• Аутентификация с использованием протокола GSSAPI для сервиса ssh на gate

• Локализация окружения
• Инсталяция системы в конфигурации Desktop
• Выбор пользователем оконного менеджера (в FreeBSD)

• Использование pam_krb5 для сервиса login/xdm на client1
• Установка, настройка и запуск пакета SQUID на gate
• Kerberos GSSAPI аутентификация для squid на gate
• Авторизация на основе членства в группе для squid на gate

демонстрирует преподаватель

• Установка и настройка MTA на обработку почты домена hostname на системе gate
• Настройка MTA на обработку почты домена corpX.un
• Установка UA mail на системе gate
• Установка imap сервера dovecot на gate
• Настройка с использованием стандартных mailboxes и аутентификации открытым текстом на сервере dovecot на gate
• Kerberos GSSAPI аутентификация на сервере dovecot на gate

• LDAP для учёных-ракетчиков
• Термины служб каталогов и LDAP
• OpenLDAP, addressbook, web интерфейс и все все все

• Установка и настройка OpenLDAP
• Хранение учетных записей UNIX в LDAP

• Отключаем NIS на gate debian/ubuntu

gate# apt purge nis

gate# apt autoremove

• Отключаем NIS на gate freebsd

gate# service ypbind stop

gate# cat /etc/rc.conf

...
nis_client_enable="NO"
...

• Настройка библиотеки nsswitch на gate на использование LDAP каталога (Авторизация с использованием LDAP сервера)

• Дружественный интерфейс к LDAP (Apache Directory Studio)
• Добавление атрибутов mail, telephoneNumber
• Получение списка контактов через LDAP в Thunderbird

• Видео урок: Использование пакета SAMBA для реализации файлового сервиса CIFS

• Добавляем в сеть клиентскую систему windows
• Настраиваем Windows - устанавливаем ip адрес 192.168.X.31/24
• Установка GSSAPI клиентских программ:
• putty.exe http://val.bmstu.ru/unix/SSH/putty.exe
• WinScp http://val.bmstu.ru/unix/SSH/winscp433setup.exe
• Firefox (можно оставить IE8), http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe
• Thunderbird http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe

• Установка файлового сервера SAMBA

демонстрирует преподаватель

• Идентификация доступа к файловому серверу на основе копии базы данных учетных записей
• Доступ на основе членства в группе (на примере группы wheel/admin)

бонусная лабораторная работа

• NTLM аутентификация на серверах CIFS для пользователей UNIX

• Настраиваем Windows - устанавливаем имя client2
• Видео урок. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

демонстрирует преподаватель

• Регистрация рабочих станций windows в KDC
• Регистрация локальных пользователей в Windows с именами, соответствующими KDC (user2)
• Подключение к сфере KERBEROS рабочих станций windows

• !!! рекомендуется в настройках ПО указывать имена серверов полностью с доменом !!!
• SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY, IMAP

бонусная лабораторная работа

• Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM
• Удаляем через Apache Directory Studio пользователя user2 из group1 и перезапускаем smbd
• GSSAPI аутентификация протокола CIFS для UNIX клиентов

• Выключаем client1, можно сделать tar home (При Windows Server 2016 убрать + в файлах passwd groups shadow)
• Отключаем nss_ldap на gate
• Выключаем server
• Удаляем ключи сервисов с gate

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

• Развертывание Active Directory
• Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2

• Включение в домен Windows клиентов (client2)
• Регистрируемся в Windows client2 как user2
• Kerberos GSSAPI аутентификация windows клиентов в HTTP proxy
• Видеоурок: Авторизация доступа пользователей домена MS Active Directory в Internet с использованием proxy-сервера Squid
• Настройки proxy через Использование групповых политик

• Настройка Windows сервера в качестве NIS сервера
• Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
• Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
• Запускаем unix client1
• Проверяем NIS
• Kerberos GSSAPI аутентификация unix клиентов в HTTP proxy

демонстрирует преподаватель

• Настройка в Windows 2008 протокола NFS
• Монтируем /home, создаем домашние каталоги

client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2

• Выбор пользователем оконного менеджера во FreeBSD
• Правим владельцев домашних каталогов

client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

• Авторизация с использованием LDAP сервера windows для unix сервисов

• Аутентификация с использованием протокола GSSAPI для сервиса SSH

демонстрирует преподаватель

• Kerberos GSSAPI аутентификация для сервиса imap
• Kerberos GSSAPI (Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM)

gate# service smbd restart

бонусные лабораторные работы

• GSSAPI аутентификация протокола CIFS для UNIX клиентов
• Авторизация доступа к ресурсам через SQUID на основе членства в группе

демонстрирует преподаватель

• Назначение атрибутов General→Telephone number и E-mail
• Получение списка контактов через LDAP
• Поддержка фотографий в LADP каталоге

!!! Можно объединить все лабораторные работы

• Удаляем пользователей gate* из AD
• Удаляем файлы с ключами на AD

C:\>del *keytab

• Удаляем ключи сервисов с gate

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

• Установка службы winbindd
• Удалить запись gate из dns
• Регистрация unix системы в домене в режиме ADS (система gate)
• Проверяем наличие gate в DNS
• Управление ключами KERBEROS в режиме ADS для сервисов HTTP и IMAP
• Настройка сервиса sshd на использование GSSAPI
• Настройка сервиса SQUID на использование GSSAPI

демонстрирует преподаватель

• Настройка dovecot на использование GSSAPI
• !!! сервис cifs не работает с winbind без unix атрибутов
• !!! сервис cifs не удалось заставить работает с @group1

• Останавливаем UNIX клиент (если планируем его использовать с samba4, надо удалить nis)
• Импортируем и настраиваем Windows client1 (указать имя копьютера)
• Отключаем ldap в nsswitch на gate
• Отключаем unix свойства пользователей user1 и user2 в AD
• Удаляем группы guser1 и guser2
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH (В ubuntu может потребоваться удалить winbind и samba через purge)
• Настройка сервиса sshd на использование GSSAPI

демонстрирует преподаватель

• Включаем client1 в домен
• Настройка dovecot на использование GSSAPI

• Отключаем unix атрибуты у группы group1
• Добавляем пользователя user1 в группу group1
• SQUID Авторизация на основе членства в группе
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND (как ни странно, принципал cifs не надо создавать, но, откуда то он берется у клиента :)

• Выводим Windows клиенты из домена AD
• Развертывание средств администрирования Active Directory на client1
• Отключаем WINBIND в nsswitch.conf на gate
• Выводим gate из домена AD (Вывод unix системы из домена в режиме ADS)
• Останавливаем Windows AD
• Включаем unix server

server# cat /etc/resolv.conf

search corpX.un
nameserver 172.16.1.254

server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

# service slapd stop
# service kdc stop
# service named stop
# service ypserv stop

# cat /etc/rc.conf

...
named_enable="NO"
kdc_enable="NO"
slapd_enable="NO"
nis_server_enable="NO"
...

• Установка Samba4 из пакетов
• Инициализация домена
• Добавляем в домен пользователя user2/Pa$$w0rd2 (Управление доменом)
• Включаем в домен Windows client1 (Включение в домен Windows клиентов)
• Регистрируемся в Windows client1 как Administrator (может, лучше завести для него отдельный client3)
• Включаем в домен Windows client2
• Регистрируемся в Windows client2 как user2

• Тестируем kerberos на gate

gate# kinit Administrator

gate# kinit user2

• Регистрируем gate Регистрация unix системы в домене в режиме ADS
• Управление ключами KERBEROS в режиме ADS
• Развертывание средств администрирования Active Directory
• Настройки proxy через Использование групповых политик
• Настройка сервиса SQUID на использование GSSAPI

• SAMBA4 не реализует протокол NIS, НО поддерживает NIS расширения схемы
• Хранение учетных записей UNIX в LDAP
• Авторизация с использованием LDAP сервера Microsoft Active Directory
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND для доступа к ресурсам home и share для всех пользователей domain users
• Использование групповых политик для установки Thunderbird.msi (Публичный каталог доступный на чтение)
• Подключаемся как user1 на client1 и проверяем установку Thunderbird

• Настраиваем Kerberos поверх LDAP
• Организация централизованной системы аутентификации при помощи Fedora Directory Server и MIT Kerberos
• Technet: Understanding Logon and Authentication
• Руководство по миграции на Linux для региональных администраций. Часть 1
• Руководство по миграции на Linux для региональных администраций. Часть 2
• Руководство по миграции на Linux для региональных администраций. Часть 3
• Руководство по миграции на Linux для региональных администраций. Часть 4
• Руководство по миграции на Linux для региональных администраций. Часть 5