User Tools
управление_идентификацией_в_сетях_unix_и_windows
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
|
управление_идентификацией_в_сетях_unix_и_windows [2013/05/30 12:56] val [Решение задачи SSO с помощью протоколов RSH и RLOGIN] |
управление_идентификацией_в_сетях_unix_и_windows [2013/06/05 15:10] val [Использование протоколов SSPI и GSSAPI] |
||
|---|---|---|---|
| Line 72: | Line 72: | ||
| * Монтирование домашних каталогов по NFS на client1 и gate ([[Сервис NFS#Использование сервиса]]) | * Монтирование домашних каталогов по NFS на client1 и gate ([[Сервис NFS#Использование сервиса]]) | ||
| - | ==== Решение задачи SSO с помощью протоколов RSH и RLOGIN (демонстрирует преподаватель) ==== | + | ==== Решение задачи SSO с помощью протоколов RSH и RLOGIN ==== |
| - | !!! В Ubuntu 12.04 не работает файл .rhosts если он располагается на NFS разделе | + | __Демонстрирует преподаватель__, в Ubuntu 12.04 не работает файл .rhosts если он располагается на NFS разделе |
| * Использование RSH как решение SSO c client1 на gate ([[Сервисы TELNET RSH]]) | * Использование RSH как решение SSO c client1 на gate ([[Сервисы TELNET RSH]]) | ||
| - | |||
| ===== Модуль 3. Современные механизмы аутентификации и авторизации в UNIX ===== | ===== Модуль 3. Современные механизмы аутентификации и авторизации в UNIX ===== | ||
| Line 87: | Line 86: | ||
| * [[Использование библиотеки PAM#Терминология PAM]] | * [[Использование библиотеки PAM#Терминология PAM]] | ||
| - | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (проверяем подключаясь user1 с client1 на gate) | + | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 с client1 на gate) |
| * Отмонтируем по nfs каталог /home на gate | * Отмонтируем по nfs каталог /home на gate | ||
| * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с системы client1 как user1 и user2) | * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с системы client1 как user1 и user2) | ||
| - | * [[Аутентификация с использованием OPIE]] c host системы на gate с использованием [[http://val.bmstu.ru/unix/opie/]] (!!! В Ubuntu 12.04 отсутствует !!!) | + | * [[Аутентификация с использованием OPIE]] c host системы на gate с использованием [[http://val.bmstu.ru/unix/opie/]] (__демонстрирует преподаватель__, в Ubuntu 12.04 отсутствует) |
| * Отключаем OPIE | * Отключаем OPIE | ||
| - | |||
| ==== Решение задачи SSO с помощью протоколов SSH ==== | ==== Решение задачи SSO с помощью протоколов SSH ==== | ||
| + | |||
| + | __демонстрирует преподаватель__ | ||
| * Использование ssh_agent ([[Сервис SSH#Управление идентификацией]]) | * Использование ssh_agent ([[Сервис SSH#Управление идентификацией]]) | ||
| Line 102: | Line 102: | ||
| user1@client1:~$ rm .ssh/id* | user1@client1:~$ rm .ssh/id* | ||
| </code> | </code> | ||
| - | |||
| ===== Модуль 4. Аутентификация с использованием протокола Kerberos ===== | ===== Модуль 4. Аутентификация с использованием протокола Kerberos ===== | ||
| Line 118: | Line 117: | ||
| * [[Настройка KDC серверов и клиентов#Настройка KDC]] (на системе server) | * [[Настройка KDC серверов и клиентов#Настройка KDC]] (на системе server) | ||
| - | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] (на системах client1 и gate) | ||
| * [[Регистрация ключей принципалов в KDC#Регистрация принципалов пользователей в базе данных kerberos]] | * [[Регистрация ключей принципалов в KDC#Регистрация принципалов пользователей в базе данных kerberos]] | ||
| + | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] (на системах client1 и gate) | ||
| ==== Использование протокола GSSAPI для аутентификации ==== | ==== Использование протокола GSSAPI для аутентификации ==== | ||
| Line 125: | Line 124: | ||
| === Использование протокола GSSAPI для сервиса ssh === | === Использование протокола GSSAPI для сервиса ssh === | ||
| - | * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса ssh на gate | ||
| * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | ||
| + | * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса ssh на gate | ||
| === Использование протокола GSSAPI для сервиса http proxy === | === Использование протокола GSSAPI для сервиса http proxy === | ||
| Line 137: | Line 136: | ||
| === Использование протокола GSSAPI для сервиса imap === | === Использование протокола GSSAPI для сервиса imap === | ||
| + | |||
| + | __демонстрирует преподаватель__ | ||
| * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate | ||
| Line 143: | Line 144: | ||
| * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate | ||
| * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | ||
| - | |||
| ===== Модуль 5. Протокол LDAP ===== | ===== Модуль 5. Протокол LDAP ===== | ||
| - | [[http://www.ignix.ru/public/daemon/openldap_addressbook]] | + | * Терминология ([[http://pro-ldap.ru/agreements.html]]) |
| - | + | * Теория, пример реализации ([[http://www.ignix.ru/public/daemon/openldap_addressbook]]) | |
| - | [[http://www.linuxcenter.ru/lib/articles/soft/address_book_ldap.phtml]] | + | |
| ==== Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD ==== | ==== Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD ==== | ||
| Line 157: | Line 156: | ||
| ==== Использование LDAP каталога для хранения дополнительной информации о пользователях сети ==== | ==== Использование LDAP каталога для хранения дополнительной информации о пользователях сети ==== | ||
| + | |||
| + | __демонстрирует преподаватель__ | ||
| * [[Хранение адресной книги в LDAP]] | * [[Хранение адресной книги в LDAP]] | ||
| * Thunderbird [[Thunderbird#Получение списка контактов через LDAP]] | * Thunderbird [[Thunderbird#Получение списка контактов через LDAP]] | ||
| * Дружественный интерфейс к LDAP ([[Интерфейс phpldapadmin]]) | * Дружественный интерфейс к LDAP ([[Интерфейс phpldapadmin]]) | ||
| - | |||
| ===== Модуль 6. Использование пакета SAMBA для реализации файлового сервиса CIFS ===== | ===== Модуль 6. Использование пакета SAMBA для реализации файлового сервиса CIFS ===== | ||
| Line 177: | Line 177: | ||
| ==== Подключение UNIX клиентов к файловому серверу CIFS ==== | ==== Подключение UNIX клиентов к файловому серверу CIFS ==== | ||
| - | * Подключение к файловым серверам CIFS из UNIX ([[Подключение к файловым серверам CIFS из UNIX#NTLM аутентификация]]) | + | __демонстрирует преподаватель__ |
| + | * Подключение к файловым серверам CIFS из UNIX ([[Подключение к файловым серверам CIFS из UNIX#NTLM аутентификация]]) | ||
| ===== Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows ===== | ===== Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows ===== | ||
| + | __демонстрирует преподаватель__ | ||
| ==== Подготовка сети к регистрации Windows клиентов в Kerberos сфере ==== | ==== Подготовка сети к регистрации Windows клиентов в Kerberos сфере ==== | ||
| Line 244: | Line 246: | ||
| * [[Развертывание Active Directory#Настройка адреса и имени сервера]] | * [[Развертывание Active Directory#Настройка адреса и имени сервера]] | ||
| - | * Установка ПО (WinScp и Firefox) | + | * Установка ПО (WinScp) |
| * [[Развертывание Active Directory#Настройка временной зоны и синхронизации времени]] | * [[Развертывание Active Directory#Настройка временной зоны и синхронизации времени]] | ||
| * [[Развертывание Active Directory#Установка AD]] | * [[Развертывание Active Directory#Установка AD]] | ||
| Line 294: | Line 296: | ||
| * Использование протокола GSSAPI для сервиса SSH ([[Сервис SSH#Аутентификация с использованием протокола GSSAPI]]) | * Использование протокола GSSAPI для сервиса SSH ([[Сервис SSH#Аутентификация с использованием протокола GSSAPI]]) | ||
| * Использование протокола GSSAPI для сервиса imap ([[Сервер dovecot#Kerberos GSSAPI аутентификация]]) | * Использование протокола GSSAPI для сервиса imap ([[Сервер dovecot#Kerberos GSSAPI аутентификация]]) | ||
| - | * Использование протокола GSSAPI для сервиса CIFS ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) !!! Не заработало из Win | + | * Использование протокола GSSAPI для сервиса CIFS ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) !!! __Не заработало из Win__ !!! |
| ===== Модуль 9. Использование сервиса WINBIND ===== | ===== Модуль 9. Использование сервиса WINBIND ===== | ||
| Line 318: | Line 320: | ||
| * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
| - | ==== Использование сервиса WINBIND для генерации UNIX атрибутов пользователей Microsoft AD ==== | + | ==== Использование сервиса WINBIND для авторизации на основе UNIX атрибутов пользователей Microsoft AD ==== |
| * Останавливаем unix клиент | * Останавливаем unix клиент | ||
| Line 326: | Line 328: | ||
| * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | ||
| * [[Сервис WINBIND#Использование WINBIND в библиотеке NSSWITCH]] | * [[Сервис WINBIND#Использование WINBIND в библиотеке NSSWITCH]] | ||
| - | + | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | |
| - | ==== Использование сервиса WINBIND для авторизации пользователей Microsoft AD на серверах Linux/FreeBSD ==== | + | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] |
| + | ==== Использование сервиса WINBIND для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux/FreeBSD ==== | ||
| * Отключаем unix атрибуты у группы group1 | * Отключаем unix атрибуты у группы group1 | ||
| * Добавляем пользователя user1 в группу group1 | * Добавляем пользователя user1 в группу group1 | ||
| * SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | * SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | ||
| - | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
| - | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
| - | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
| * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | ||
| - | |||
| ===== Модуль 10. Использование пакета Samba3 в качестве контроллера домена ===== | ===== Модуль 10. Использование пакета Samba3 в качестве контроллера домена ===== | ||
управление_идентификацией_в_сетях_unix_и_windows.txt · Last modified: 2015/10/15 09:51 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
