This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/15 12:28] val [Лабораторные работы: Использование сервиса WINBIND] |
linux._интеграция_с_корпоративными_решениями_microsoft [2023/06/20 07:36] val [Теория] |
||
---|---|---|---|
Line 166: | Line 166: | ||
* [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | ||
* [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | ||
- | * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка PAM]] | + | * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы аутентификации]] |
==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ||
Line 182: | Line 182: | ||
* [[Использование библиотеки PAM#Терминология PAM]] | * [[Использование библиотеки PAM#Терминология PAM]] | ||
- | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 из консоли client1 на gate) | + | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 с client1 на gate) |
* [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | ||
Line 231: | Line 231: | ||
</code> | </code> | ||
* Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | * Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | ||
- | * !!! Можно заранее выполнить лабораторную работу 4.4 Настройка desktop на client1 | + | * !!! Можно заранее запустить установку Desktop на client1 |
=== 4.2 Установка KDC и регистрация принципалов === | === 4.2 Установка KDC и регистрация принципалов === | ||
Line 286: | Line 286: | ||
* Переименовываем ее в client2 | * Переименовываем ее в client2 | ||
* Установка GSSAPI клиентских программ: | * Установка GSSAPI клиентских программ: | ||
- | * [[Сервис SSH#PuTTY]] | + | * [[http://val.bmstu.ru/unix/SSH/putty.exe|putty.exe]] в C:\bin\ |
- | * [[Сервис SSH#WinScp]] | + | * [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] |
- | * [[https://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) | + | * [[http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) |
- | * [[https://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] | + | * [[http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] |
- | * [[Сервис OpenFire#Spark]] | + | |
- | * Очень долго раскрывается (в корень диска C:\ !!!) архив [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | + | |
* Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | * Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | ||
Line 343: | Line 341: | ||
* [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | ||
- | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian 10 не заработал доступ к homes, в Debian 11 все ОК) | + | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК) |
- | __1-я бонусная лабораторная работа__ | + | __бонусная лабораторная работа__ |
* [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
- | |||
- | __2-я бонусная лабораторная работа__ | ||
- | |||
- | * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
- | * Добавляем пользователя user3, синхронизируем NIS | ||
- | * Добавляем linux client3 | ||
- | * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | ||
- | * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | ||
==== Дополнительные материалы ==== | ==== Дополнительные материалы ==== | ||
Line 390: | Line 380: | ||
* Отключаем NIS на server | * Отключаем NIS на server | ||
- | === 7.2 Использование протокола GSSAPI для сервисов электронной почты === | + | === 7.2 Использование протокола GSSAPI для сервиса imap === |
* !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | ||
Line 396: | Line 386: | ||
__демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
- | Можно через ansible на gate | + | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate |
- | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] | + | |
* [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | * [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | ||
- | * [[Сервер dovecot#Установка]] imap и smtp | + | * Установка [[UA mail]] на системе gate |
- | * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] | + | * [[Сервер dovecot#Установка]] imap сервера dovecot на gate |
- | * [[Web интерфейс к почте#roundcube]] | + | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate |
- | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | |
- | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] | + | |
- | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] | + | |
- | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для roundcube | + | |
=== 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | ||
- | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] (уже имеются при использовании migrationtools) | + | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] |
- | * [[Thunderbird#Получение списка контактов через LDAP]] в [[Thunderbird]] | + | |
* Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | ||
- | * Добавление атрибутов jpegPhoto | + | * Добавление атрибутов mail, telephoneNumber |
- | * roundcube ldap | + | * [[Thunderbird#Получение списка контактов через LDAP]] в Thunderbird |
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 447: | Line 432: | ||
* Добавляем windows server (от 2Gb RAM) | * Добавляем windows server (от 2Gb RAM) | ||
* [[Развертывание Active Directory]] | * [[Развертывание Active Directory]] | ||
- | * [[PowerShell#Добавление в домен пользователей]] user1/Pa$$w0rd1 и user2/Pa$$w0rd2 | + | * Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2 |
=== 8.3 Включение в домен рабочих станций windows и серверов Linux === | === 8.3 Включение в домен рабочих станций windows и серверов Linux === | ||
Line 454: | Line 439: | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | ||
- | * Установка [[Сервис SSH#WinScp]] на server MS AD | + | * Установка [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] на server MS AD |
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | ||
* Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | ||
Line 467: | Line 452: | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | ||
* [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | ||
- | |||
* [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | * [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | ||
- | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - UNIX атрибуты идентичные ранее имевшимся | + | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся |
- | * Создаем группу group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 | + | * Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 |
* Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | ||
- | |||
* Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | ||
Line 496: | Line 479: | ||
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | ||
- | |||
- | * [[Сервис OpenFire#Spark]] для Linux и [[Сервис OpenFire#Управление контактами]] на основе членства в группе Microsoft | ||
- | |||
* Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | ||
* [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | ||
- | |||
- | * [[Сервис SSH#Управление доступом на основе членства в группе]] на уровне UNIX для сервиса SSH | ||
- | * Обсудить [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе UNIX | ||
__демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
- | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервисов IMAP и SMTP и клиента [[Thunderbird]] | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервиса imap |
* Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | * Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | ||
<code> | <code> | ||
Line 517: | Line 493: | ||
* [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
- | * Проверяем работоспособность linux client3 в такой конфигурации (обратить внимание, что система ничего не знает о пользователе, даже ФИО) | + | * [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе |
=== 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | === 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | ||
Line 525: | Line 501: | ||
* Назначение атрибутов General->Telephone number и E-mail | * Назначение атрибутов General->Telephone number и E-mail | ||
* [[Thunderbird#Получение списка контактов через LDAP]] | * [[Thunderbird#Получение списка контактов через LDAP]] | ||
- | * Добавление атрибутов jpegPhoto и настройка [[Web интерфейс к почте#roundcube]] на адресную книгу и см. фото в Spark! | ||
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 611: | Line 586: | ||
* [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] (как ни странно, принципал cifs не надо создавать, но, откуда то он берется у клиента :) | * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] (как ни странно, принципал cifs не надо создавать, но, откуда то он берется у клиента :) | ||
- | * Проверяем работоспособность linux client3 в такой конфигурации | ||
=== 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
- | * Демонстрация [[Сервис sssd]] на системе linux client5 | + | * Демонстрация [[Сервис sssd]] на системе client4 |
=== 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === |