Linux. Управление учетными записями на предприятии

• Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft

• Изучение технологий Single sign-on SSO - единого входа, сквозной аутентификации пользователей и Workplace Innovation (WPI) - универсального рабочего места

• Узнать свой номер стенда
• Удалить виртуалки
• Удалить профили putty
• Отключить не используемые адаптеры
• Записать логин пароль и IP (сообщить преподавателю) рабочей станции
• Проверить наличие дистрибутивов и образов

• Linux. Уровень 2. Администрирование сервисов и сетей

• Разворачиваем инфраструктуру из курса Администрирование сервисов UNIX

• Для локальной сети используется VirtualBox Host-Only Ethernet Adapter

Запустите с правами Administrator

C:\cmder\Cmder.exe

λ bash

λ cd

λ git clone http://val.bmstu.ru/unix/conf.git

λ cd conf/virtualbox/

!!! 4 - это номер курса, вместо X укажите Ваш номер стенда, если не знаете его, спросите преподавателя !!!

λ ./setup.sh X 4

• Запустить gate и server
• Запустить импорт системы client1
• Настройка виртуальных систем Unix с использованием Скрипты автоконфигурации

• gate

# sh net_gate.sh

# init 6

• server

# sh net_server.sh

# init 6

• Создать в Putty профили gate, server и подключиться

• Сервис DHCP

gate:~# sh conf/dhcp.sh

• Финальная настройка DNS сервера

server:~# sh conf/dns.sh

• Настройка клиента DNS на gate и server

# cat /etc/resolv.conf

search corpX.un
nameserver 192.168.X.10

debian11# apt install host 

# host ns

• Настройка сети в Linux Динамическая настройка параметров

gate# dhcp-lease-list

• Локализация окружения
• Локализация временной зоны
• Установка переменных окружения http_proxy
• Инсталяция системы в конфигурации Desktop
• Экспортируем получившуюся VM в образ “linux с графическим интерфейсом”

1. Что определяет порядок использования файлов /etc/hosts и /etc/resolv.conf для разрешения DNS имен?

• Централизованное управление в сети Linux на базе NIS и NFS

• В системе server удаляем учетную запись student, добавляем группу group1 и создаем и включаем в нее новые учетные записи user1 и user2 (Управление учетными записями в Linux)

server# userdel -r student

server# groupadd -g 15001 group1

server# useradd -u 10001 -m -s /bin/bash -c "Ivan Ivanovitch Ivanov,RA7,401,499-239-45-23" -G group1 user1

server# useradd -u 10002 -m -s /bin/bash -c "Petr Petrovitch Petrov,RA7,402,499-323-55-53" -G group1 user2

server# useradd -u 10003 -m -s /bin/bash -c "Сидор Сидорович Сидоров,РА7,403,499-323-55-53" -G group1 user3

server# echo 'user1:password1' | chpasswd
   
server# echo 'user2:password2' | chpasswd

server# echo 'user3:password3' | chpasswd

• Настройка Unix сервера server как сервер NIS

• Настройка клиента client1 как клиента NIS (преподаватель показывает вариант с compat, слушатели сразу делают с Использование библиотеки NSSWITCH)

client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

демонстрирует преподаватель

• Экспорт домашних каталогов по NFS с системы server (Установка, настройка и запуск сервиса)
• Для linux Установка nfs клиента на client1
• Монтирование домашних каталогов по NFS на client1 (Использование сервиса)
• Видео урок: Как пользователи использовали UNIX :)

1. Какие поля в учетной записи UNIX используются для аутентификации?
2. Какие поля в учетной записи UNIX используются для авторизации?
3. Для чего используется поле GECOS учетной записи пользователя UNIX?
4. Что такое NIS домен?
5. Что такое NIS карты?
6. Какая утилита используется для инициализации NIS карт?
7. Какая утилита используется для тестирования NIS?

• Управление пользователями, NSS и PAM
• Bog BOS: NSS (Name Service Switch)
• Pluggable Authentication Modules (PAM) - настройки системы аутентификации

• Настройка клиента gate как клиента NIS с Использование библиотеки NSSWITCH

client1:~# scp /etc/nsswitch.conf gate:/etc/nsswitch.conf

debian11# service nscd restart && service nscd reload

• Терминология PAM
• Приостановка регистрации пользователей (демонстрирует преподаватель, проверять подключаясь user1 с client1 на gate)
• Автоматическое создание домашних каталогов для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2)

• Домашнее задание по видео уроку SSH SSO
• Использование ssh_agent (Аутентификация с использованием ключей ssh)
• Использование SSH как решение SSO (Использование pam_ssh для сервиса login) с user1@client1 на gate и на server

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...
user1@client1:~$ env | grep SSH

user1@client1:~$ ssh gate

user1@client1:~$ rm .ssh/id*

1. Какие задачи решает библиотека NSS
2. Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+»
3. Какой командой можно посмотреть учетные записи из всех источников данных?
4. Какая подсистема (facility) библиотеки PAM позволяет временно запретить регистрацию пользователей?
5. Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?
6. По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном …
7. Клиент ssh использует ssh-agent для получения расшифрованного …

• Сервис KERBEROS

• Настройка зоны corpX.un
• Утилиты тестирования DNS

server# nslookup -q=SRV _kerberos._udp.corpX.un

• Синхронизируем время в системах client1, gate и server (Локализация временной зоны, Сервис NTP)

• Настройка KDC (на системе server)
• Регистрация принципалов пользователей в базе данных kerberos
• Настройка Kerberos клиента (в системах client1 и gate)

• Блокировка учетной записи (исключаем использование паролей через Сервис NIS)
• Включаем Использование pam_krb5 для сервиса login/xdm на client1
• Настраиваем Аутентификация с использованием протокола GSSAPI для сервиса ssh на gate

!!! Подготовка к 5-му модулю: Запускаем импорт системы windows

• Установка, настройка и запуск пакета SQUID на gate
• Настраиваем Kerberos GSSAPI аутентификация для squid на gate
• Настраиваем Управление конфигурацией Firefox
• Преподаватель демонстрирует Авторизация на основе членства в группе для squid на gate

1. Kerberos обеспечивает механизм …
2. Что такое Kerberos realm (сфера)?
3. Какие объекты представляются учетными записями (Principal) в Kerberos?
4. Используется ли в протоколе Kerberos SSL или TLS?
5. Используются ли в протоколе Kerberos сертификаты?
6. Что хранится в TGT?
7. Какая команда может быть использована для получения TGT?
8. Разница в настройке времени между системами, взаимодействующими по протоколу Kerberos, не должна составлять более …
9. В каком файле, по умолчанию, на стороне сервера хранятся учетные записи сервисов?
10. Для чего используется GSSAPI?
11. Какого типа сервиса должен быть добавлен в KDC для использование Kerberos с сервисом Squid?

• Server Message Block

• Добавляем в стенд систему windows
• Переименовываем ее в client2

• Установка GSSAPI клиентских программ:
• PuTTY
• WinScp (не обязательно)
• Firefox (не обязательно, можно использовать MSIE)
• Thunderbird 17.0.exe (для преподавателя)

• Создаем локальную учтенную запись, используя командную строку с правами администратора

net user user2 wpassword2 /add

• Установка файлового сервера SAMBA

демонстрирует преподаватель

• Идентификация доступа к файловому серверу на основе копии базы данных учетных записей
• Доступ на основе членства в группе group1
• Автоматическое создание домашних каталогов в SAMBA

бонусная лабораторная работа

• NTLM аутентификация на серверах CIFS для пользователей Linux

• Запись вебинара: Зачем вводить системы Linux в домен Microsoft?

• Импортируем VM client3 из образа “linux с графическим интерфейсом”

client3:~# cat /etc/hostname

client3

client3:~# cat /etc/hosts

127.0.0.1       localhost

127.0.1.1       client3

init 6

client3:~# DEBIAN_FRONTEND=noninteractive apt -y install krb5-user cifs-utils nfs-common libpam-krb5 libpam-script

client3:~# cat /etc/krb5.conf
[libdefaults]
        default_realm = CORPX.UN

• Использование pam_script для автоматического создания учетных записей

client3:~# id user2

client3:~# find /home/

• Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM

• GSSAPI аутентификация к серверам CIFS

• 3.5 Монтирование домашнего каталога ручном режиме
• Использование pam_script для автоматического монтирования домашнего каталога

• 3.7 Подключение общего файлового ресурса компании пользователями linux

• Обсуждаем Шаг 4. Клонируем конфигурацию рабочей станции

• Видео урок: Использование пакета SAMBA для реализации файлового сервиса CIFS

1. Какой режим безопасности должен быть настроен в SAMBA для работы с собственной базой данных пользователей?
2. Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?

• Подключение к сфере KERBEROS рабочих станций windows

• Регистрация рабочих станций windows в KDC
• Подключение к сфере KERBEROS рабочих станций windows

• SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY

• GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК)

• Видео урок. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

1. Какого типа сервис должен быть добавлен в KDC для регистрации рабочей станций Windows при использовании Kerberos сферы?
2. Где хранится пользовательский профиль при использовании Kerberos сферы для аутентификации пользователей рабочих станций Windows?
3. Какой режим безопасности должен быть настроен в пакете SAMBA для работы с базой данных пользователей в KDC?

• LDAP для учёных-ракетчиков
• Термины служб каталогов и LDAP
• OpenLDAP, addressbook, web интерфейс и все все все

• Установка и настройка OpenLDAP
• Хранение учетных записей UNIX в LDAP

• Отключаем NIS на gate и client1, на server лучше после окончательного внедрения LDAP

# apt purge nis && apt autoremove

• Настройка библиотеки nsswitch на gate и client1 на использование LDAP каталога (Авторизация с использованием LDAP сервера и Установка библиотеки nss ldap)
• Отключаем NIS на server

• !!! Приступить к развертыванию AD на Windows Server из модуля 8, по окончании ЗАЛОГИНИТЬСЯ !!!

демонстрирует преподаватель

• Установка и настройка MTA на обработку почты домена hostname на системе gate
• Настройка MTA на обработку почты домена corpX.un
• Установка UA mail на системе gate
• Установка imap сервера dovecot на gate
• Настройка с использованием стандартных mailboxes и аутентификации открытым текстом на сервере dovecot на gate
• Kerberos GSSAPI аутентификация сервисов SMTP/IMAP на gate

• Пример назначения номеров телефонов и адресов email
• Преподаватель устанавливает “дружественный” интерфейс к LDAP - Apache Directory Studio (требует JRE, раскрывать в VM лучше через 7zip)

• Авто конфигурация клиента Thunderbird
• Получение списка контактов через LDAP в Thunderbird

• Использование pam_krb5 для сервиса login/xdm для аутентификации через Web интерфейс к почте roundcube
• Настройка доступа к адресной книге в roundcube (продемонстрировать jpegPhoto и проверить поиск)

• Использование LDAP для управления пользователями в GitLab

1. В виде какой структуры представляются записи в LDAP?
2. Для чего используется формат LDIF?
3. Как в протоколе LDAP называется операция аутентификации?
4. Что такое DN и RDN в LDAP?
5. Сколько атрибутов класса (object class) может быть у записи?

• Active Directory

• Отключаем nss_ldap на gate и client1 Настройка библиотеки nsswitch
• Отмонтируем /home на client1
• Выключаем server
• Удаляем ключи сервисов с gate

gate# rm -v /root/*keytab

gate# rm /etc/krb5.keytab

• Добавляем windows server (от 2Gb RAM)
• Развертывание Active Directory
• Добавление в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2

• Включение в домен Windows клиентов (client2)
• Регистрируемся в Windows client2 как user2
• Настройка Kerberos клиента на gate
• Установка WinScp на server MS AD
• Kerberos GSSAPI аутентификация windows клиентов в HTTP proxy
• Добавление gate в Настройка DNS сервера
• Настройки proxy через Использование групповых политик или Автоматизация использования SQUID

демонстрирует преподаватель

• Сервис OpenFire
• Видеоурок: Интеграция Asterisk с системами IM и Presence в инфраструктуре Microsoft AD, часть 1

• Настройка Kerberos клиента на client1
• Использование pam_krb5 для сервиса login/xdm на client1

Вариант 1 (лучше сделать в теме 8.6 для получения информации о пользователях на gate)

• Тестирование доступности каталога с клиентов
• Настройка Windows сервера на поддержку UNIX атрибутов
• Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
• Создаем группу group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
• Можно автоматизировать, используя Пример назначения UNIX атрибутов в Microsoft AD

• Настраиваем Авторизация с использованием LDAP сервера windows на client1

Вариант 2 - Запись вебинара: Зачем вводить системы Linux в домен Microsoft?

• Использование pam_script для автоматического создания учетных записей

client1:~# find /home/

демонстрирует преподаватель, не нужно для 2-го варианта работы 8.4

• Настройка в Windows Server протокола NFS
• Монтируем /home, создаем домашние каталоги

client1# id user1

client1# mount server:/home /home

client1# chmod 755 /home

• Все делаем Автоматическое создание домашних каталогов

• Kerberos GSSAPI аутентификация linux клиентов в HTTP proxy

• Настраиваем Авторизация с использованием LDAP сервера windows на gate
• Аутентификация с использованием протокола GSSAPI для сервиса SSH

демонстрирует преподаватель

• Kerberos GSSAPI аутентификация для сервисов IMAP/SMTP
• Thunderbird - Авто конфигурация клиента

• Kerberos GSSAPI (Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM)

gate# service smbd restart

бонусные лабораторные работы

• GSSAPI аутентификация протокола CIFS для Linux клиентов

• Авторизация доступа к ресурсам через SQUID на основе членства в группе

демонстрирует преподаватель

• Назначение атрибутов General→Telephone number и E-mail
• Thunderbird - Получение списка контактов через LDAP
• Roundcube LDAP Addressbook (проверить поиск)

1. Какой утилитой можно добавить учетную запись сервиса UNIX в Microsoft AD?
2. Какой утилитой можно вывести список сервисов, привязанных к учетной записи Microsoft AD?
3. Что нужно сделать для хранения в Microsoft AD атрибутов учетных записей UNIX?
4. Что нужно сделать для развертывания сервиса NFS на Microsoft Windows Server?

• Видеоурок: Авторизация доступа пользователей домена MS Active Directory в Internet с использованием proxy-сервера Squid

• !!! Импортировать windows client3 (назначить 2 ядра) и Развертывание средств администрирования Active Directory для модуля 10

• !!! Можно объединить все лабораторные работы

• Настройка файлового сервера Samba с интеграцией в Active Directory
• SSSD vs Winbind

• Удаляем пользователей gate* из AD
• Удаляем файлы с ключами на AD

C:\>del *keytab

• Удаляем ключи сервисов с gate

gate# rm -v /root/*keytab /etc/krb5.keytab

gate# cp /etc/samba/smb.conf /root/

gate# apt purge samba samba-common

gate# apt autoremove

gate# rm -r /etc/samba/

• Установка службы winbindd
• Удалить запись gate из dns
• Регистрация unix системы в домене в режиме ADS (система gate)
• Проверяем наличие gate в DNS
• Управление ключами KERBEROS в режиме ADS для сервисов HTTP и IMAP
• Настройка сервиса sshd на использование GSSAPI
• Настройка сервиса SQUID на использование GSSAPI

демонстрирует преподаватель

• Настройка dovecot на использование GSSAPI
• !!! сервис cifs не работает с winbind без unix атрибутов
• !!! сервис cifs не удалось заставить работает с @group1
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND

Следующие шаги можно пропустить:

• Останавливаем Linux клиент
• Отключаем unix свойства пользователей user1 и user2 в AD
• Удаляем группы guser1 и guser2
• Удаляем в Настройка Windows сервера поддержку UNIX атрибутов у пользователей user1 и user2 и group1

Можно делать отсюда:

• Отключаем ldap в nsswitch на gate
• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка сервиса sshd на использование GSSAPI
• Настройка dovecot на использование GSSAPI

• Добавляем пользователя user1 в группу group1
• SQUID Авторизация на основе членства в группе

gate# apt install samba

• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND (как ни странно, принципал cifs не надо создавать, но, откуда то он берется у клиента :)

• Демонстрация Сервис sssd на системе client3

• Зачем вводить системы Linux в домен Microsoft?

1. Для каких задач предназначен WINBIND?
2. Какая утилита позволяет проверить работу WINBIND?

• Возможности и ограничения Samba 4 как контроллера домена Active Directory

• Выводим Windows клиенты из домена AD
• Развертывание средств администрирования Active Directory на client4
• Отключаем WINBIND в nsswitch.conf на gate

debian# service nscd restart && service nscd reload

• Выводим gate из домена AD (Вывод unix системы из домена в режиме ADS)
• Останавливаем Windows AD
• Включаем Linux server

server# cat /etc/resolv.conf

search corpX.un
nameserver 172.16.1.254

server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

• Установка Samba4 из пакетов
• Инициализация домена
• Добавляем в домен пользователя user2/Pa$$w0rd2 (Управление доменом)
• Включаем в домен Windows client3 (Включение в домен Windows клиентов)
• Регистрируемся в Windows client3 как Administrator
• Включаем в домен Windows client2
• Регистрируемся в Windows client2 как user2

• Тестируем kerberos на gate

gate# kinit Administrator

gate# kinit user2

• Аутентификация доступа к SQUID Если в роли KDC выступает Samba4
• Настройки proxy через Использование групповых политик (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3)
• Настройка сервиса SQUID на использование GSSAPI

Для gate используем winbind:

• Регистрируем gate Регистрация unix системы в домене в режиме ADS
• Управление ключами KERBEROS в режиме ADS

• WINBIND Авторизация в режиме ADS/DOMAIN
• Использование WINBIND в библиотеке NSSWITCH
• Настройка samba сервера в режиме DOMAIN/ADS c WINBIND для доступа к ресурсам home и corp_share для всех пользователей group1

• Назначение атрибутов General→Telephone number и E-mail
• Использование групповых политик для установки Thunderbird.msi (Публичный каталог доступный на чтение, можно и на gate и на server)
• Управление ключами KERBEROS в режиме ADS
• Подключаемся как user1 на client3 и проверяем установку Thunderbird

Для client1 используем LDAP

• Настройка Windows сервера (который сейчас samba4) на поддержку UNIX атрибутов
• Настройка библиотеки nsswitch на client1 на использование LDAP каталога (Авторизация с использованием LDAP сервера)

Для server используем LDAP

server# userdel user1; userdel user2

• Авторизация с использованием LDAP сервера

server# samba-tool group add guser3 --gid-number=10003

server# samba-tool user create user3 --given-name Sidor --initials S --surname Sidorov --uid-number 10003 --gid-number 10003 --login-shell /bin/bash --unix-home /home/user3

server# mkdir /home/user3 && chown user3:guser3 /home/user3

!!! Примечание: не удалось настроить dovecot на создание домашних каталогов на gate

1. Какой ключ утилиты samba-tool используется для расширения схемы для хранения UNIX атрибутов при инициализации контроллера домена Samba4?
2. Какая утилита используется для управления учетными записями пользователей в контроллере домена Samba4?
3. Что нужно установить на рабочую станцию Windows для управления контроллером домена Samba4?
4. Поддерживает ли контроллер домена Samba4 групповые политики?
5. Какой вариант системы централизованного управления учетными записями самый лучший?

• Бонус - вебинар Зачем вводить системы Linux в домен Microsoft

• Организация централизованной системы аутентификации при помощи Fedora Directory Server и MIT Kerberos
• Материал из Википедии FreeIPA
• red-soft Ввод Windows в домен IPA

# DEBIAN_FRONTEND=noninteractive apt install krb5-user libpam-krb5 libnss-ldap cifs-utils nfs-common

# vim /etc/hostname
# vim /etc/hosts
# vim /etc/krb5.conf
# vim /etc/fstab
# vim /etc/libnss-ldap.conf
# vim /etc/nsswitch.conf

# init 6

# service nscd restart && service nscd reload
# kinit user1
# getent passwd