Управление идентификацией в сетях UNIX и Windows

http://val.bmstu.ru/video/un3/

Настройка стендов слушателей

Общие файлы конфигурации

root@localhost:~# cat /etc/hostname

client1.corpX.un

root@localhost:~# cat /etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.30
        netmask 255.255.255.0
        gateway 192.168.X.1

root@localhost:~# init 6

...

root@client1:~# apt-get update

# cat /etc/rc.conf

hostname="client1.corpX.un"
ifconfig_em0="192.168.X.30/24"
defaultrouter=192.168.X.1

keyrate="fast"
sshd_enable=yes

# init 6

# pkg update -f

# pkg install pkg

• В систему server добавляем пользователей user1 с uid=10001 gid=10001 и user2 с uid=10002 gid=10002
• Заполняем поля GECOS
• В систему server добавляем группу group1 и включаем в нее user1 и user2
• Для FreeBSD русифицируем пользователей user1 и user2
• Управление учетными записями в Linux, Управление учетными записями в FreeBSD
• Настройка системы server как сервер NIS (Настройка Unix сервера)
• Настройка систем gate и client1 как клиенты NIS (Настройка клиента)

• Экспорт домашних каталогов по NFS с системы server (Установка, настройка и запуск сервиса)
• Для linux Установка nfs клиента на gate и client1
• Монтирование домашних каталогов по NFS на client1 и gate (Использование сервиса)

Демонстрирует преподаватель, в Ubuntu 12.04 не работает файл .rhosts если он располагается на NFS разделе

• Использование RSH как решение SSO c client1 на gate (Сервисы TELNET RSH)

• Использование библиотеки пространства имен для идентификации в системе gate (предварительно отключить NIS идентификацию в passwd и group) (Использование библиотеки NSSWITCH)

• Терминология PAM
• Приостановка регистрации пользователей (демонстрирует преподаватель, проверять подключаясь user1 с client1 на gate)
• Отмонтируем по nfs каталог /home на gate
• Автоматическое создание домашних каталогов для сервиса sshd на gate (для проверки подключаемся с системы client1 как user1 и user2)
• Аутентификация с использованием OPIE c host системы на gate с использованием http://val.bmstu.ru/unix/opie/ (демонстрирует преподаватель, в Ubuntu 12.04 отсутствует)
• Отключаем OPIE

демонстрирует преподаватель

• Использование ssh_agent (Управление идентификацией)
• Использование SSH как решение SSO (Использование pam_ssh для сервиса login) с client1 на gate (!!! В Ubuntu 12.04 отсутствует !!!)
• Отключаем SSH как решение SSO

user1@client1:~$ rm .ssh/id*

• Сервис KERBEROS

• Финальная настройка DNS сервера
• Синхронизируем время в системах client1, gate и server (Сервис NTP)
• Адрес системы client1 оставляем в /etc/hosts систем gate и server

• Настройка KDC (на системе server)
• Регистрация принципалов пользователей в базе данных kerberos
• Настройка Kerberos клиента (на системах client1 и gate)

• Использование pam_krb5 для сервиса login/xdm на client1
• Аутентификация с использованием протокола GSSAPI для сервиса ssh на gate

• Настройка desktop на client1 (Локализация окружения, Инсталяция системы в конфигурации Desktop, Работа с Internet сервисами, Локализация X сервера)
• Использование pam_krb5 для сервиса login/xdm на client1
• Установка, настройка и запуск пакета SQUID на gate
• Kerberos GSSAPI аутентификация для squid на gate
• Авторизация на основе членства в группе для squid на gate

демонстрирует преподаватель

• Установка и настройка MTA на обработку почты домена hostname на системе gate
• Установка UA mail на системе gate
• Установка imap сервера dovecot на gate
• Настройка с использованием стандартных mailboxes и аутентификации открытым текстом на сервере dovecot на gate
• Kerberos GSSAPI аутентификация на сервере dovecot на gate

• Терминология (http://pro-ldap.ru/agreements.html)
• Теория, пример реализации (http://www.ignix.ru/public/daemon/openldap_addressbook)

• Установка, настройка и запуск ldap сервера (Установка и настройка OpenLDAP)
• Импорт данных в каталог (Хранение учетных записей UNIX в LDAP)
• Настройка библиотеки nsswitch на использование LDAP каталога (Авторизация с использованием LDAP сервера)

демонстрирует преподаватель

• Хранение адресной книги в LDAP
• Thunderbird Получение списка контактов через LDAP
• Дружественный интерфейс к LDAP (Интерфейс phpldapadmin)

• Сервис DHCP
• Добавляем в сеть клиентскую систему windows

• Файловый сервер SAMBA (Установка)
• Идентификация доступа к файловому серверу на основе копии базы данных учетных записей
• Доступ на основе членства в группе (на примере группы wheel/sudo)

демонстрирует преподаватель

• Подключение к файловым серверам CIFS из UNIX (NTLM аутентификация)

демонстрирует преподаватель

• Настраиваем WinXP - устанавливаем имя client2
• Настройка сети в Linux (Динамическая настройка параметров)
• Настройка сети в FreeBSD (Динамическая настройка параметров)
• Удаляем из /etc/hosts запись про client1
• Сервис DNS Настройка поддержки динамических обновлений от DHCP сервера
• Сервис DHCP Конфигурация с поддержкой динамических обновлений зон DNS
• Перезапускаем client1 и client2

• Регистрация рабочих станций windows в KDC (Регистрация рабочих станций windows в KDC)
• Установка утилиты для включения и отладочных средств Kerberos сфер для XP (ksetup.exe, kfw-3-2-2.exe)
• Установка GSSAPI клиентских программ (putty_Centrify_GSS.zip, WinScp, Firefox, Thunderbird)
• Подключение рабочих станций windows к KERBEROS сфере (Подключение к сфере KERBEROS)
• Регистрация локальных пользователей в Windows с именами, соответствующими KDC (user2)
• Для поддержки Dynamic DNS пришлось в свойствах компьютера прописать маленькими буквами значение домена по умолчанию, прописанного заглавными буквами, галку оставить

• !!! рекомендуется в настройках ПО указывать имена серверов полностью с доменом !!!
• SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY, IMAP
• SSO GSSAPI аутентификация для сервиса CIFS (Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM)
• Подключение к файловым серверам CIFS из UNIX (GSSAPI аутентификация)

• Останавливаем оба клиента
• Отключаем NIS на gate ubuntu

gate# apt-get purge nis

gate# apt-get autoremove

• Отключаем NIS на gate freebsd

 
gate# /etc/rc.d/ypbind stop

gate# cat /etc/rc.conf

...
nis_client_enable="NO"
...

• Отключаем nss_ldap на gate
• Останавливаем server
• Удаляем ключи сервисов с gate

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

• Настройка адреса и имени сервера
• Установка ПО (WinScp)
• Настройка временной зоны и синхронизации времени
• Установка AD
• Настройка DNS сервера
• Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2

• Включение в домен Windows XP client2 (Включение в домен Windows XP) (Необходимо, что бы в свойствах компьютера, около значения домена по умолчанию, была установлена галка))
• Регистрируемся в Windows XP client2 как user2
• HTTP Proxy Kerberos GSSAPI аутентификация для клиентов windows (Firefox, Kerberos GSSAPI аутентификация)

• Использование AD в качестве NIS сервера (Настройка Windows сервера)
• Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
• Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
• Использование Windows 2008 в качестве NFS сервера
• Запускаем unix client1
• Проверяем NIS, монтируем /home, создаем домашние каталоги

client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2

• Управление оконными менеджерами
• Правим владельцев домашних каталогов

client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

• HTTP Proxy Kerberos GSSAPI аутентификация для клиентов unix (Kerberos GSSAPI аутентификация)
• Использование LDAP интерфейса AD в unix (Авторизация с использованием LDAP сервера)
• Авторизация доступа к ресурсам SQUID на основе членства в группе (Авторизация доступа к ресурсам через SQUID)

• Использование протокола GSSAPI для сервиса SSH (Аутентификация с использованием протокола GSSAPI)
• Использование протокола GSSAPI для сервиса imap (Kerberos GSSAPI аутентификация)
• Использование протокола GSSAPI для сервиса CIFS (Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM) !!! Не заработало из Win !!!

• Удаляем пользователей gate* из AD
• Удаляем файлы с ключами на AD

C:\>del *keytab

• Удаляем ключи сервисов с gate

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

• Установка службы winbindd (Установка службы winbindd)
• Регистрируем gate в AD (Регистрация unix системы в домене в режиме ADS)
• Создаем keytab и ключи для сервисов HTTP и IMAP (Управление ключами KERBEROS в режиме ADS)
• Настройка сервиса sshd на использование GSSAPI
• Настройка сервиса SQUID на использование GSSAPI
• Настройка dovecot на использование GSSAPI

• Останавливаем unix клиент
• Отключаем ldap в nsswitch на gate
• Отключаем unix свойтва пользователей user1 и user2 в AD
• Удаляем группы guser1 и guser2
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка сервиса sshd на использование GSSAPI
• Настройка dovecot на использование GSSAPI

• Отключаем unix атрибуты у группы group1
• Добавляем пользователя user1 в группу group1
• SQUID Авторизация на основе членства в группе
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND

• Выводим client2 из домена corpX.un
• Отключаем WINBIND в nsswitch.conf
• Удаляем gate из списка компьютеров в AD
• Удаляем ключи сервисов с gate

gate# rm /etc/krb5.keytab

• Останавливаем Windows 2003/2008 (AD)
• Включаем unix server
• Настраиваем еще одну windows систему client1

• Настройка сервера SAMBA как PDC
• Добавление рабочих станций windows в SAMBA домен
• Добавление пользователей в SAMBA домен
• Добавление серверов unix в SAMBA домен
• Регистрация unix системы в домене в режиме DOMAIN

• NTLM Аутентификация в режиме DOMAIN
• NTLM Winbind аутентификация аутентификация доступа к SQUID (работает в MSIE)

• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND для доступа к ресурсам home и share
• Автоматическое монтирование сетевых дисков (Использование Logon скрипта)
• Сервер dovecot (NTLM аутентификация и авторизация)

root@gate:~# cat /etc/pam.d/dovecot
...
auth     sufficient      pam_winbind.so
@include common-auth
...
# Не заработало
session    required     pam_mkhomedir.so
@include common-session
...

[gate:~] # cat /etc/pam.d/other
...
auth            sufficient      /usr/local/lib/pam_winbind.so
auth            required        pam_unix.so             no_warn try_first_pass
...
# session
session         required       /usr/local/lib/pam_mkhomedir.so
...

• Создание самоподписанного сертификата и Поддержка протокола HTTPS

• Создание центра сертификации (Создание центра сертификации)
• Использование серверного сертификата для протокола HTTPS (Создание сертификата сервиса, подписанного CA, Поддержка протокола HTTPS)
• Использование серверного сертификата для протокола IMAPS (Создание сертификата сервиса, подписанного CA, Использование сертификатов для шифрования трафика)

• Сервис imaps с аутентификацией pam → winbind

• Использование пользовательских сертификатов для аутентификации по протоколу HTTPS (Создание пользовательского сертификата, подписанного CA, Управление доступом к HTTP серверу на основе сертификатов)
• Использование пользовательских сертификатов для аутентификации по протоколу IMAP (Создание пользовательского сертификата, подписанного CA, Аутентификация на основе пользовательских сертификатов)
• Использование сертификатов для PGP
• Отзыв сертификатов

http://www.securitylab.ru/analytics/264318.php

http://www.linux.org.ru/forum/admin/1781344

http://www.opennet.ru/docs/RUS/fds/

http://technet.microsoft.com/en-us/library/bb457114.aspx

http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html

http://www.ibm.com/developerworks/ru/library/linux_migr/part1.html

http://www.ibm.com/developerworks/ru/library/linux_migr/part2.html

http://www.ibm.com/developerworks/ru/library/linux_migr/part3.html

http://www.ibm.com/developerworks/ru/library/linux_migr/part4.html

http://www.ibm.com/developerworks/ru/library/linux_migr/part5.html