This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
linux_freebsd_взаимодействие_с_microsoft_windows [2017/07/24 09:56] val [3.1 Авторизация с использованием библиотеки NSS] |
linux_freebsd_взаимодействие_с_microsoft_windows [2019/01/28 15:03] val [10.2 Настройка SAMBA4 как DC] |
||
---|---|---|---|
Line 1: | Line 1: | ||
====== Linux (Ubuntu)/FreeBSD. Взаимодействие с Microsoft Windows ====== | ====== Linux (Ubuntu)/FreeBSD. Взаимодействие с Microsoft Windows ====== | ||
+ | ===== Программа курса ===== | ||
+ | * [[http://www.specialist.ru/course/yun3-b|Linux/FreeBSD. Уровень 3. Взаимодействие с Microsoft Windows]] | ||
===== Модуль 1. Развертывание сети предприятия ===== | ===== Модуль 1. Развертывание сети предприятия ===== | ||
Line 12: | Line 14: | ||
* [[Настройка стендов слушателей#Общие файлы конфигурации]] | * [[Настройка стендов слушателей#Общие файлы конфигурации]] | ||
- | === Ubuntu === | + | === Debian/Ubuntu === |
<code> | <code> | ||
root@localhost:~# cat /etc/hostname | root@localhost:~# cat /etc/hostname | ||
Line 85: | Line 87: | ||
homedir: /home/user2 | homedir: /home/user2 | ||
shell: bash (csh для freebsd) | shell: bash (csh для freebsd) | ||
- | gecos: Petr Petrovich Petrov,RA1,402,499-239-45-24 | + | gecos: Petr Petrovitch Petrov,RA7,402,499-323-55-53 |
pass: password2 | pass: password2 | ||
</code> | </code> | ||
Line 118: | Line 120: | ||
==== 3.1 Авторизация с использованием библиотеки NSS ==== | ==== 3.1 Авторизация с использованием библиотеки NSS ==== | ||
- | * [[Сервис NIS#Настройка клиента]] gate как клиента NIS (не редактирую файлы /etc/passwd и прочие) | + | * [[Сервис NIS#Настройка клиента]] gate как клиента NIS (не редактируем файлы /etc/passwd и прочие) |
* Использование библиотеки пространства имен для идентификации в системе gate ([[Использование библиотеки NSSWITCH]]) | * Использование библиотеки пространства имен для идентификации в системе gate ([[Использование библиотеки NSSWITCH]]) | ||
Line 132: | Line 134: | ||
* **Домашнее задание** по видео уроку [[http://youtu.be/kXi1KXYy-NE|SSH SSO]] | * **Домашнее задание** по видео уроку [[http://youtu.be/kXi1KXYy-NE|SSH SSO]] | ||
- | * Использование ssh_agent ([[Сервис SSH#Управление идентификацией]]) | + | * Использование ssh_agent ([[Сервис SSH#Аутентификация с использованием ключей ssh]]) |
* Использование SSH как решение SSO ([[Использование библиотеки PAM#Использование pam_ssh для сервиса login]]) с client1 на gate | * Использование SSH как решение SSO ([[Использование библиотеки PAM#Использование pam_ssh для сервиса login]]) с client1 на gate | ||
Line 158: | Line 160: | ||
* [[Финальная настройка DNS сервера]] | * [[Финальная настройка DNS сервера]] | ||
- | * Удаляем лишние записи из /etc/hosts (client1 можно оставить в системе gate) | + | <code> |
+ | server# nslookup -q=SRV _kerberos._udp.corpX.un | ||
+ | </code> | ||
+ | * Удаляем лишние записи из /etc/hosts (!!! оставить запись для имени системы) | ||
* Синхронизируем время в системах client1, gate и server ([[Сервис NTP]]) | * Синхронизируем время в системах client1, gate и server ([[Сервис NTP]]) | ||
Line 178: | Line 183: | ||
* [[Локализация окружения]] | * [[Локализация окружения]] | ||
* [[Инсталяция системы в конфигурации Desktop]] | * [[Инсталяция системы в конфигурации Desktop]] | ||
- | * [[Инсталяция системы в конфигурации Desktop#Выбор пользователем оконного менеджера]] во FreeBSD | + | * [[Инсталяция системы в конфигурации Desktop#Выбор пользователем оконного менеджера]] (в FreeBSD) |
=== 4.4.3 Использование протокола GSSAPI для сервиса http proxy === | === 4.4.3 Использование протокола GSSAPI для сервиса http proxy === | ||
Line 199: | Line 204: | ||
===== Модуль 5. Протокол LDAP ===== | ===== Модуль 5. Протокол LDAP ===== | ||
- | * Терминология ([[http://pro-ldap.ru/agreements.html]]) | + | * [[https://pro-ldap.ru/tr/zytrax/ch2/|LDAP для учёных-ракетчиков]] |
- | * Теория, пример реализации ([[http://www.ignix.ru/public/daemon/openldap_addressbook]]) | + | * [[http://pro-ldap.ru/agreements.html|Термины служб каталогов и LDAP]] |
+ | * [[http://www.ignix.ru/public/daemon/openldap_addressbook|OpenLDAP, addressbook, web интерфейс и все все все]] | ||
==== 5.1 Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD ==== | ==== 5.1 Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD ==== | ||
Line 206: | Line 212: | ||
* [[Установка и настройка OpenLDAP]] | * [[Установка и настройка OpenLDAP]] | ||
* [[Хранение учетных записей UNIX в LDAP]] | * [[Хранение учетных записей UNIX в LDAP]] | ||
- | * Отключаем NIS на gate ubuntu | ||
+ | * Отключаем NIS на gate debian/ubuntu | ||
<code> | <code> | ||
gate# apt purge nis | gate# apt purge nis | ||
Line 241: | Line 247: | ||
* Добавляем в сеть клиентскую систему windows | * Добавляем в сеть клиентскую систему windows | ||
* Настраиваем Windows - устанавливаем ip адрес 192.168.X.31/24 | * Настраиваем Windows - устанавливаем ip адрес 192.168.X.31/24 | ||
- | * Установка GSSAPI клиентских программ (putty.exe, WinScp, Firefox (можно оставить IE8), Thunderbird) | + | * Установка GSSAPI клиентских программ: |
+ | * putty.exe [[http://val.bmstu.ru/unix/SSH/putty.exe]] | ||
+ | * WinScp [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe]] | ||
+ | * Firefox (можно оставить IE8), http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe | ||
+ | * Thunderbird [[http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe]] | ||
Line 261: | Line 271: | ||
===== Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows ===== | ===== Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows ===== | ||
- | * Настраиваем Windows - устанавливаем имя client2 | + | * Настраиваем Windows - устанавливаем имя **client2** |
* [[https://youtu.be/rLrYjBinrLE|Видео урок. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows]] | * [[https://youtu.be/rLrYjBinrLE|Видео урок. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows]] | ||
Line 290: | Line 300: | ||
==== 8.1 Подготовка стенда ==== | ==== 8.1 Подготовка стенда ==== | ||
- | * Выключаем client1 | + | * Выключаем client1, можно сделать tar home (При Windows Server 2016 убрать + в файлах passwd groups shadow) |
* Отключаем nss_ldap на gate | * Отключаем nss_ldap на gate | ||
* Выключаем server | * Выключаем server | ||
Line 377: | Line 387: | ||
* Назначение атрибутов General->Telephone number и E-mail | * Назначение атрибутов General->Telephone number и E-mail | ||
* [[Thunderbird#Получение списка контактов через LDAP]] | * [[Thunderbird#Получение списка контактов через LDAP]] | ||
- | <code> | ||
- | Base DN: cn=Users,dc=corpX,dc=un | ||
- | Base DN: cn=Administrator,cn=Users,dc=corpX,dc=un (можно не указывать для GSSAPI) | ||
- | </code> | ||
* [[Thunderbird#Поддержка фотографий в LADP каталоге]] | * [[Thunderbird#Поддержка фотографий в LADP каталоге]] | ||
Line 411: | Line 417: | ||
* [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
- | * !!! сервис cifs не работает с winbind без unix атрибутов (из логов: Failed to create BUILTIN\Administrators group! Can Winbind allocate gids?) | + | * !!! сервис cifs не работает с winbind без unix атрибутов |
+ | * !!! сервис cifs не удалось заставить работает с @group1 | ||
==== 9.2 Использование сервиса WINBIND для генерации UNIX атрибутов пользователей Microsoft AD ==== | ==== 9.2 Использование сервиса WINBIND для генерации UNIX атрибутов пользователей Microsoft AD ==== | ||
- | * Останавливаем UNIX клиент | + | * Останавливаем UNIX клиент (если планируем его использовать с samba4, надо удалить nis) |
* Импортируем и настраиваем Windows client1 (указать имя копьютера) | * Импортируем и настраиваем Windows client1 (указать имя копьютера) | ||
* Отключаем ldap в nsswitch на gate | * Отключаем ldap в nsswitch на gate | ||
Line 447: | Line 454: | ||
* Включаем unix server | * Включаем unix server | ||
- | === Ubuntu/FreeBSD === | + | === Debian/Ubuntu/FreeBSD === |
<code> | <code> | ||
server# cat /etc/resolv.conf | server# cat /etc/resolv.conf | ||
Line 455: | Line 462: | ||
</code> | </code> | ||
- | === Ubuntu === | + | === Debian/Ubuntu === |
<code> | <code> | ||
server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis | server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis | ||
Line 485: | Line 492: | ||
* Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | ||
* Включаем в домен Windows client1 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) | * Включаем в домен Windows client1 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) | ||
- | * Регистрируемся в Windows client1 как Administrator | + | * Регистрируемся в Windows client1 как Administrator (может, лучше завести для него отдельный client3) |
* Включаем в домен Windows client2 | * Включаем в домен Windows client2 | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
Line 505: | Line 512: | ||
==== 10.4 Использование SAMBA4 DC для авторизации ==== | ==== 10.4 Использование SAMBA4 DC для авторизации ==== | ||
+ | * SAMBA4 не реализует протокол NIS, НО поддерживает NIS расширения схемы | ||
* Авторизация с использованием LDAP сервера [[Авторизация с использованием LDAP сервера#Microsoft Active Directory]] | * Авторизация с использованием LDAP сервера [[Авторизация с использованием LDAP сервера#Microsoft Active Directory]] | ||
* WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] |