This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/16 14:12] val [Лабораторные работы] |
linux._интеграция_с_корпоративными_решениями_microsoft [2021/11/24 16:06] val [Лабораторные работы: Классика ААА в UNIX] |
||
---|---|---|---|
Line 5: | Line 5: | ||
* [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | * [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | ||
+ | ===== Вебинар ===== | ||
+ | |||
+ | * [[https://global.gotomeeting.com/join/636766717]] | ||
===== Модуль 0. Подготовка стенда в классе ===== | ===== Модуль 0. Подготовка стенда в классе ===== | ||
Line 37: | Line 40: | ||
λ cd | λ cd | ||
- | λ test -e conf && rm -r conf | + | λ test -e conf && rm -rf conf |
λ git clone http://val.bmstu.ru/unix/conf.git | λ git clone http://val.bmstu.ru/unix/conf.git | ||
Line 44: | Line 47: | ||
!!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | !!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | ||
+ | 4 - номер курса | ||
- | λ ./setup.sh X | + | λ ./setup.sh X 4 |
</code> | </code> | ||
Line 132: | Line 136: | ||
* [[Сервис NIS#Настройка Unix сервера]] server как сервер NIS | * [[Сервис NIS#Настройка Unix сервера]] server как сервер NIS | ||
- | * [[Сервис NIS#Настройка клиента]] client1 как клиента NIS | + | * [[Сервис NIS#Настройка клиента]] client1 как клиента NIS (можно параллельно и gate) |
<code> | <code> | ||
Line 306: | Line 310: | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | ||
- | * Доступ на основе членства в группе (на примере группы wheel/sudo) | + | * Доступ на основе членства в группе (на примере группы group1) |
=== 5.3 Подключение Linux клиентов к файловому серверу CIFS === | === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | ||
Line 312: | Line 316: | ||
__бонусная лабораторная работа__ | __бонусная лабораторная работа__ | ||
- | * [[Подключение к файловым серверам CIFS из UNIX#NTLM аутентификация]] на серверах CIFS для пользователей UNIX | + | * [[Подключение к файловым серверам CIFS из UNIX]] на серверах CIFS для пользователей UNIX (NTLM аутентификация) |
==== Дополнительные материалы ==== | ==== Дополнительные материалы ==== | ||
Line 347: | Line 351: | ||
__1-я бонусная лабораторная работа__ | __1-я бонусная лабораторная работа__ | ||
- | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | + | * [[Подключение к файловым серверам CIFS из UNIX#Установка ПО]], [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов |
__2-я бонусная лабораторная работа__ | __2-я бонусная лабораторная работа__ | ||
Line 353: | Line 357: | ||
* Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
* Добавляем пользователя user3, синхронизируем NIS | * Добавляем пользователя user3, синхронизируем NIS | ||
- | * Добавляем linux client3 | + | * Добавляем linux client3 [[Инсталяция системы в конфигурации Desktop]] |
* Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | ||
* Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | ||
Line 454: | Line 458: | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | ||
+ | |||
+ | <code> | ||
+ | gate# systemctl disable nmbd | ||
+ | |||
+ | gate# systemctl stop nmbd | ||
+ | </code> | ||
+ | |||
+ | * Добавялем gate в DNS | ||
* Установка [[Сервис SSH#WinScp]] на server MS AD | * Установка [[Сервис SSH#WinScp]] на server MS AD | ||
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | ||
Line 473: | Line 485: | ||
* Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | ||
- | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | + | * Настраиваем [[Авторизация с использованием LDAP сервера#Установка библиотеки nss ldap]] client1 и настройка на Microsoft AD |
Line 577: | Line 589: | ||
* [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] (система gate) | * [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] (система gate) | ||
* Проверяем наличие gate в DNS | * Проверяем наличие gate в DNS | ||
- | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] для сервисов HTTP и IMAP | + | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] для сервиса HTTP (IMAP, SMTP и XMPP для преподавателя) |
* [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
* [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
Line 587: | Line 599: | ||
* !!! сервис cifs не удалось заставить работает с @group1 | * !!! сервис cifs не удалось заставить работает с @group1 | ||
* [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | * [[Файловый сервер SAMBA#Настройка samba сервера в режиме DOMAIN/ADS c WINBIND]] | ||
+ | |||
=== 9.2 Для генерации UNIX атрибутов пользователей Microsoft AD === | === 9.2 Для генерации UNIX атрибутов пользователей Microsoft AD === | ||
Line 606: | Line 619: | ||
=== 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | ||
- | * Добавляем пользователя user1 в группу group1 | + | * Добавляем пользователя user1 в microsoft группу group1 |
* SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | * SQUID [[Авторизация доступа к ресурсам через SQUID#Авторизация на основе членства в группе]] | ||
<code> | <code> | ||
Line 618: | Line 631: | ||
* Демонстрация [[Сервис sssd]] на системе linux client5 | * Демонстрация [[Сервис sssd]] на системе linux client5 | ||
- | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | + | === 9.5 Альтернатива WINBIND и SSSD - создаем учетные записи через PAM === |
* Проверяем работоспособность linux client3 в такой конфигурации | * Проверяем работоспособность linux client3 в такой конфигурации | ||
Line 676: | Line 689: | ||
* Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate | ||
* Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | ||
+ | * Файловый сервер SAMBA [[Файловый сервер SAMBA#Публичный каталог доступный на чтение]] | ||
* Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4) | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4) | ||
* [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] |