управление_идентификацией_в_сетях_unix_и_windows

This is an old revision of the document!


Table of Contents

Управление идентификацией в сетях UNIX и Windows

Видеозапись курса

Модуль 1. Развертывание сети предприятия

Настройка виртуальных систем Gate, Server

Настройка виртуальной системы Client1

Ubuntu

root@localhost:~# cat /etc/hostname
client1.corpX.un
root@localhost:~# cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.30
        netmask 255.255.255.0
        gateway 192.168.X.1
root@localhost:~# init 6

...

root@client1:~# apt-get update

FreeBSD

# cat /etc/rc.conf
hostname="client1.corpX.un"
ifconfig_em0="192.168.X.30/24"
defaultrouter=192.168.X.1

keyrate="fast"
sshd_enable=yes
# init 6

Модуль 2. Ретроспектива механизмов аутентификации и авторизации в UNIX

Использование протокола NIS для аутентификации и авторизации пользователей в UNIX сети

Использование протокола NFS для поддержки перемещаемых профилей пользователей

Решение задачи SSO с помощью протоколов RSH и RLOGIN

Демонстрирует преподаватель, в Ubuntu 12.04 не работает файл .rhosts если он располагается на NFS разделе

Модуль 3. Современные механизмы аутентификации и авторизации в UNIX

Авторизация с использованием библиотеки NSS

  • Использование библиотеки пространства имен для идентификации в системе gate (предварительно отключить NIS идентификацию в passwd и group) (Использование библиотеки NSSWITCH)

Аутентификация с использованием библиотеки PAM

Решение задачи SSO с помощью протоколов SSH

демонстрирует преподаватель

user1@client1:~$ rm .ssh/id*

Модуль 4. Аутентификация с использованием протокола Kerberos

Принцип работы протокола

Подготовка сети к использованию протокола Kerberos

Установка KDC и регистрация принципалов

Использование протокола GSSAPI для аутентификации

Использование протокола GSSAPI для сервиса ssh

Использование протокола GSSAPI для сервиса http proxy

Использование протокола GSSAPI для сервиса imap

демонстрирует преподаватель

Модуль 5. Протокол LDAP

Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD

Использование LDAP каталога для хранения дополнительной информации о пользователях сети

демонстрирует преподаватель

Модуль 6. Использование пакета SAMBA для реализации файлового сервиса CIFS

Добавление в сеть предприятия рабочих станций Windows

  • Добавляем в сеть клиентскую систему windows

NTLM аутентификация и авторизация Windows клиентов на файловом сервере Samba

Подключение UNIX клиентов к файловому серверу CIFS

демонстрирует преподаватель

Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

демонстрирует преподаватель

Подготовка сети к регистрации Windows клиентов в Kerberos сфере

Регистрация рабочих станций Windows в Kerberos сфере

  • Регистрация рабочих станций windows в KDC (Регистрация рабочих станций windows в KDC)
  • Установка утилиты для включения и отладочных средств Kerberos сфер для XP (ksetup.exe, kfw-3-2-2.exe)
  • Установка GSSAPI клиентских программ (putty_Centrify_GSS.zip, WinScp, Firefox, Thunderbird)
  • Подключение рабочих станций windows к KERBEROS сфере (Подключение к сфере KERBEROS)
  • Регистрация локальных пользователей в Windows с именами, соответствующими KDC (user2)
  • Для поддержки Dynamic DNS пришлось в свойствах компьютера прописать маленькими буквами значение домена по умолчанию, прописанного заглавными буквами, галку оставить

Использование протокола GSSAPI для аутентификации Windows клиентов на UNIX сервисах

Модуль 8. Использование Microsoft AD для аутентификации и авторизации в гетерогенных сетях

Подготовка стенда

  • Останавливаем оба клиента
  • Отключаем NIS на gate ubuntu
gate# apt-get purge nis

gate# apt-get autoremove
  • Отключаем NIS на gate freebsd
 
gate# /etc/rc.d/ypbind stop

gate# cat /etc/rc.conf
...
nis_client_enable="NO"
...
  • Отключаем nss_ldap на gate
  • Останавливаем server
  • Удаляем ключи сервисов с gate
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

Развертывание контроллера домена

Включение в домен рабочих станций windows

  • Включение в домен Windows XP client2 (Включение в домен Windows XP) (Необходимо, что бы в свойствах компьютера, около значения домена по умолчанию, была установлена галка))
  • Регистрируемся в Windows XP client2 как user2
  • HTTP Proxy Kerberos GSSAPI аутентификация для клиентов windows (Firefox, Kerberos GSSAPI аутентификация)

Включение в домен рабочих станций и серверов unix

  • Использование AD в качестве NIS сервера (Настройка Windows сервера)
  • Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
  • Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
  • Использование Windows 2008 в качестве NFS сервера
  • Запускаем unix client1
  • Проверяем NIS, монтируем /home, создаем домашние каталоги
client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2
client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

Использование протоколов SSPI и GSSAPI

Модуль 9. Использование сервиса WINBIND

Использование сервиса WINBIND для управления ключами сервисов в Microsoft AD

  • Удаляем пользователей gate* из AD
  • Удаляем файлы с ключами на AD
C:\>del *keytab
  • Удаляем ключи сервисов с gate
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

Использование сервиса WINBIND для авторизации на основе UNIX атрибутов пользователей Microsoft AD

Использование сервиса WINBIND для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux/FreeBSD

Модуль 10. Использование пакета Samba3 в качестве контроллера домена

Подготовка стенда

  • Выводим client2 из домена corpX.un
  • Отключаем WINBIND в nsswitch.conf
  • Удаляем gate из списка компьютеров в AD
  • Удаляем ключи сервисов с gate
gate# rm /etc/krb5.keytab
  • Останавливаем Windows 2003/2008 (AD)
  • Включаем unix server
  • Настраиваем еще одну windows систему client1

Настройка SAMBA как PDC

Использование SAMBA PDC для аутентификации

Использование SAMBA PDC для авторизации

Использование pam_winbind для unix сервисов

Ubuntu

root@gate:~# cat /etc/pam.d/dovecot
...
auth     sufficient      pam_winbind.so
@include common-auth
...
# Не заработало
session    required     pam_mkhomedir.so
@include common-session
...

FreeBSD

[gate:~] # cat /etc/pam.d/other
...
auth            sufficient      /usr/local/lib/pam_winbind.so
auth            required        pam_unix.so             no_warn try_first_pass
...
# session
session         required       /usr/local/lib/pam_mkhomedir.so
...

Модуль 11. Использование сертификатов

Основы SSL/TLS

Развертывание CA

Использование SSL/TLS для защиты механизмов идентификации

  • Сервис imaps с аутентификацией pam → winbind

Использование PKI

Дополнительные материалы

управление_идентификацией_в_сетях_unix_и_windows.1370410564.txt.gz · Last modified: 2013/06/05 09:36 by val