This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/15 11:08] val [Лабораторные работы: Использование Microsoft AD] |
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/27 12:39] val [Лабораторные работы: Использование Microsoft AD] |
||
---|---|---|---|
Line 5: | Line 5: | ||
* [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | * [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | ||
+ | ===== Вебинар ===== | ||
+ | |||
+ | * [[https://global.gotomeeting.com/join/636766717]] | ||
===== Модуль 0. Подготовка стенда в классе ===== | ===== Модуль 0. Подготовка стенда в классе ===== | ||
Line 37: | Line 40: | ||
λ cd | λ cd | ||
- | λ test -e conf && rm -r conf | + | λ test -e conf && rm -rf conf |
λ git clone http://val.bmstu.ru/unix/conf.git | λ git clone http://val.bmstu.ru/unix/conf.git | ||
Line 44: | Line 47: | ||
!!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | !!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | ||
+ | 4 - номер курса | ||
- | λ ./setup.sh X | + | λ ./setup.sh X 4 |
</code> | </code> | ||
Line 306: | Line 310: | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | ||
- | * Доступ на основе членства в группе (на примере группы wheel/sudo) | + | * Доступ на основе членства в группе (на примере группы group1) |
=== 5.3 Подключение Linux клиентов к файловому серверу CIFS === | === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | ||
Line 312: | Line 316: | ||
__бонусная лабораторная работа__ | __бонусная лабораторная работа__ | ||
- | * [[Подключение к файловым серверам CIFS из UNIX#NTLM аутентификация]] на серверах CIFS для пользователей UNIX | + | * [[Подключение к файловым серверам CIFS из UNIX]] на серверах CIFS для пользователей UNIX (NTLM аутентификация) |
==== Дополнительные материалы ==== | ==== Дополнительные материалы ==== | ||
Line 347: | Line 351: | ||
__1-я бонусная лабораторная работа__ | __1-я бонусная лабораторная работа__ | ||
- | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | + | * [[Подключение к файловым серверам CIFS из UNIX#Установка ПО]], [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов |
__2-я бонусная лабораторная работа__ | __2-я бонусная лабораторная работа__ | ||
Line 353: | Line 357: | ||
* Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
* Добавляем пользователя user3, синхронизируем NIS | * Добавляем пользователя user3, синхронизируем NIS | ||
- | * Добавляем linux client3 | + | * Добавляем linux client3 [[Инсталяция системы в конфигурации Desktop]] |
* Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | ||
* Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | ||
Line 454: | Line 458: | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | ||
+ | |||
+ | <code> | ||
+ | gate# systemctl disable nmbd | ||
+ | |||
+ | gate# systemctl stop nmbd | ||
+ | </code> | ||
+ | |||
+ | * Добавялем gate в DNS | ||
* Установка [[Сервис SSH#WinScp]] на server MS AD | * Установка [[Сервис SSH#WinScp]] на server MS AD | ||
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | ||
Line 473: | Line 485: | ||
* Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | ||
- | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | + | * Настраиваем [[Авторизация с использованием LDAP сервера#Установка библиотеки nss ldap]] client1 и настройуа на windows AD |
Line 540: | Line 552: | ||
==== Подготовка к следующему модулю ==== | ==== Подготовка к следующему модулю ==== | ||
- | * !!! Импортировать windows client3 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 | + | * !!! Импортировать windows client4 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 |
+ | * !!! Очень долго перезагружается, отключить сервис обновлений | ||
==== Примечание ==== | ==== Примечание ==== | ||
Line 576: | Line 589: | ||
* [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] (система gate) | * [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] (система gate) | ||
* Проверяем наличие gate в DNS | * Проверяем наличие gate в DNS | ||
- | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] для сервисов HTTP и IMAP | + | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] для сервиса HTTP (IMAP, SMTP и XMPP для преподавателя) |
* [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
* [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
Line 586: | Line 599: | ||
* !!! сервис cifs не удалось заставить работает с @group1 | * !!! сервис cifs не удалось заставить работает с @group1 | ||
* [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | ||
+ | |||
=== 9.2 Для генерации UNIX атрибутов пользователей Microsoft AD === | === 9.2 Для генерации UNIX атрибутов пользователей Microsoft AD === | ||
Line 602: | Line 616: | ||
* [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
* [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
+ | |||
=== 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | ||
- | * Добавляем пользователя user1 в группу group1 | + | * Добавляем пользователя user1 в microsoft группу group1 |
* SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | * SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | ||
<code> | <code> | ||
Line 614: | Line 629: | ||
=== 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
- | * Демонстрация [[Сервис sssd]] на системе client4 | + | * Демонстрация [[Сервис sssd]] на системе linux client5 |
- | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | + | === 9.5 Альтернатива WINBIND и SSSD - создаем учетные записи через PAM === |
+ | * Проверяем работоспособность linux client3 в такой конфигурации | ||
* [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | * [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 634: | Line 650: | ||
* Выводим Windows клиенты из домена AD | * Выводим Windows клиенты из домена AD | ||
- | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3 | + | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4 |
* Отключаем WINBIND в nsswitch.conf на gate | * Отключаем WINBIND в nsswitch.conf на gate | ||
<code> | <code> | ||
Line 658: | Line 674: | ||
* [[Контроллер домена SAMBA 4#Инициализация домена]] | * [[Контроллер домена SAMBA 4#Инициализация домена]] | ||
* Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | ||
- | * Включаем в домен Windows client3 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) | + | * Включаем в домен Windows client4 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) |
- | * Регистрируемся в Windows client3 как Administrator | + | * Регистрируемся в Windows client4 как Administrator |
* Включаем в домен Windows client2 | * Включаем в домен Windows client2 | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
Line 671: | Line 687: | ||
gate# kinit user2 | gate# kinit user2 | ||
</code> | </code> | ||
+ | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate | ||
* Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | ||
- | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3) | + | * Файловый сервер SAMBA [[Файловый сервер SAMBA#Публичный каталог доступный на чтение]] |
+ | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4) | ||
* [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
Line 678: | Line 696: | ||
Для gate используем winbind: | Для gate используем winbind: | ||
+ | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для удаления системы gate | ||
* Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | * Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | ||
* [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | ||
+ | * [[Контроллер домена SAMBA 4#Управление DNS]] для SRV записи XMPP и [[Сервис OpenFire]] | ||
* WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] |