Differences

This shows you the differences between two versions of the page.

--- замена_корпоративных_решений_microsoft [2024/07/20 18:35]
val [Лабораторные работы: Развертывание сети предприятия]
+++ замена_корпоративных_решений_microsoft [2025/10/13 13:54] (current)
val [Дополнительные материалы]
@@ Line 43: / Line 43: @@
 λ cd
-λ test -d conf && rm -r conf
+λ test -d conf && rm -rf conf
 λ git clone http://val.bmstu.ru/unix/conf.git
@@ Line 115: / Line 115: @@
   * [[Финальная настройка DNS сервера#Настройки DNS клиентов]]
-  * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate
+  * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate (понадобится только для копирования ключей в системный keytab)
   * [[Установка, настройка и запуск пакета SQUID]] на gate
@@ Line 177: / Line 177: @@
 </code>
+  * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] для сервисов imap и smtp
   * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] сервисов SMTP/IMAP на gate
   * [[Развертывание Active Directory#Использование групповых политик]] для установки ПО
   * [[Thunderbird#Авто конфигурация клиента]] Thunderbird
+  * [[Авторизация с использованием LDAP сервера#Установка LDAP клиента]] и подключение к [[Авторизация с использованием LDAP сервера#Microsoft Active Directory]] по протоколу LDAP из командной строки
   * [[Thunderbird#Получение списка контактов через LDAP]] в Thunderbird (может понадобиться добавление email через оснастку AD)
-  * GUI интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]], раскрывать в VM из УЗ student, лучше через [[https://val.bmstu.ru/unix/7z920.msi|7zip]], переместить в корень C:\ для лаб с OpenLDAP), для подключения к LDAP использовать учетную запись Administrator [[Авторизация с использованием LDAP сервера#Microsoft Active Directory]]
+  * GUI интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[https://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]], раскрывать в VM из УЗ student, лучше через [[https://val.bmstu.ru/unix/7z920.msi|7zip]] в корень C:\ для лаб после AD), для подключения к LDAP использовать учетную запись Administrator [[Авторизация с использованием LDAP сервера#Microsoft Active Directory]]
   * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для аутентификации через Web интерфейс к почте roundcube (делаем все, проверяем, подключаясь user1 к gate с host системы)
+  * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]]
   * Настройка [[Web интерфейс к почте#Roundcube LDAP Addressbook]] (продемонстрировать jpegPhoto и проверить поиск)
@@ Line 204: / Line 207: @@
 === 2.7 Сервис Keycloak ===
-  * Обсудить и предложить вебинар: [[Практические примеры Keycloak]] ([[https://youtu.be/ykWLHQ2i_8E|Практические примеры использования Keycloak в качестве корпоративного OpenID сервера]])
+  * Обсудить и предложить вебинар: [[Практические примеры Keycloak]] ([[https://rutube.ru/video/2a37e23851260b6130c53529a48c1219/|Практические примеры использования Keycloak в качестве корпоративного OpenID сервера]])
 ==== Вопросы ====
@@ Line 230: / Line 233: @@
 === 3.3 Управление рабочими станциями Linux ====
-  * [[Переменные окружения#Установка переменных окружения]]
+  * [[Переменные окружения#Установка переменных окружения]] для подключения через proxy
   * Преподаватель демонстрирует [[https://habr.com/ru/articles/732736/|GPO для Linux из подручных материалов]] с использованием [[Сервис Ansible]] и [[Сервис Ansible#ansible-pull]]
@@ Line 301: / Line 304: @@
   * [[Контроллер домена SAMBA 4#Переносим FSMO на новый сервер]]
-== 4.3.2 Настраиваем сервисы на новый сервер ==
+== 4.3.2 Настраиваем сервисы на новый сервер (вариант 1) ==
   * DNS client и Squid (для тестов user4@client4 - пускать всех, кто прошел аутентификацию)
 <code>
-gate/server2# cat /etc/resolv.conf
+gate# cat /etc/resolv.conf
 </code><code>
 search corpX.un
@@ Line 330: / Line 333: @@
   * Правим настройки клиента DNS рабочей станции слушателя через [[netsh]]
-== 4.3.3 Удаляем сервер MS AD ==
+== 4.3.3 Настраиваем сервисы на новый сервер (вариант 2) ==
+  * Останавливаем server
+<code>
+server2# cat /etc/network/interfaces
+</code><code>
+auto lo
+iface lo inet loopback
+auto eth0
+iface eth0 inet static
+        address 192.168.X.10
+        netmask 255.255.255.0
+        gateway 192.168.X.1
+auto eth0:0
+iface eth0:0 inet static
+         address 192.168.X.12
+         netmask 255.255.255.255
+</code><code>
+server2# init 6
+</code>
+== 4.3.4 Удаляем сервер MS AD ==
   * [[Контроллер домена SAMBA 4#Удаляем старый сервер]]
+Для варианта 2
+<code>
+server2# kinit Administrator
+server2# samba-tool dns add server2 corpX.un server A 192.168.X.10
+</code>
 === 4.4 Проверяем работу инфраструктуры ===
   * Вводим в домен win client4, подключаемся user4 и проверяем работу GPO по proxy и наличию иконки Thunderbird
-  * Настравиваем Thunderbird и [[Thunderbird|Получение списка контактов через LDAP]], проверяем client1
+  * Настраиваем Thunderbird и [[Thunderbird|Получение списка контактов через LDAP]] (может понадобиться указать server2), проверяем на client1
   * Добавляем через оснастки (на client2) атрибуты (телефон и email) пользователю user4 и включаем его в группу group1, проверяем CISF + [[Контроллер домена SAMBA 4#Управление доменом]]
   * Проверяем работу веб интерфейса к почте и адресную книгу в ней
@@ Line 529: / Line 564: @@
 ===== Дополнительные материалы =====
-<code>
+  * [[Замена корпоративных решений Microsoft Семинар]] (еще раз, краткое изложение курса :)
-$x = Read-Host -Prompt "Ваш X"; New-ADUser -Name "gatehttp" -SamAccountName "gatehttp" -AccountPassword(ConvertTo-SecureString -AsPlainText 'Pa$$w0rd' -Force) -Enabled $true -ChangePasswordAtLogon $false -CannotChangePassword $true -UserPrincipalName gatehttp@corp$X.un -DisplayName  gatehttp -PasswordNeverExpires $true
+  * Развертывание [[FreeIPA в Docker]] контейнере
-</code>
-==== Вебинар ====
-  * [[https://youtu.be/Y4RzavhVwxY|Замена корпоративных решений Microsoft в процессе импортозамещения. Мастер-класс]]
-Перед вебинаром:
-  - Удалить образы
-  - Восстановить образы
-  - Возвращаем настройки клиента DNS рабочей станции слушателя через [[netsh]]
-  - slmgr /rearm
-  - Отключить wpad
-  - В Squid пускать всех, кто прошел аутентификацию
-  - В smb.conf доступ к общей папке для
-<code>
-valid users = "@CORPX\domain users"
-</code>
-  - поправить настройку [[Сервис HTTP#NGINX]] в gitlab
-  - поправить start.sh [[Сервис Ansible#ansible-pull]]
-В самом начале вебинара кратко обсудить и продемонстрировать, что у нас есть на этом этапе:
-  - MS AD в локальной сети предприятия с базой учетных записей пользователей
-  - Рабочие станции Windows
-  - Групповые политики для Windows клиентов
-  - запустить импорт windows client4
-  - Сервера Linux с сервисами HTTP Proxy, CIFS, SMTP, IMAP (все на gate, klist)
-  - Адресная книга LDAP (с фото:) и web интерфейс к почте
-  - Рабочие станции Linux (подключены к домену двумя способами, показать на client3)
-  - запустить импорт linux client5
-  - GitLab с авторизацией через LDAP (используется как источник ansible-pull для управления рабочими станциями Linux)
-  - Новый linux server2

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools