User Tools
linux._интеграция_с_корпоративными_решениями_microsoft
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision Last revision Both sides next revision | ||
|
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/16 14:12] val [Лабораторные работы] |
linux._интеграция_с_корпоративными_решениями_microsoft [2022/05/31 15:38] val [Лабораторные работы] |
||
|---|---|---|---|
| Line 182: | Line 182: | ||
| * [[Использование библиотеки PAM#Терминология PAM]] | * [[Использование библиотеки PAM#Терминология PAM]] | ||
| - | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 из консоли client1 на gate) | + | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 с client1 на gate) |
| * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | ||
| Line 231: | Line 231: | ||
| </code> | </code> | ||
| * Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | * Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | ||
| - | * !!! Можно заранее выполнить лабораторную работу 4.4 Настройка desktop на client1 | + | * !!! Можно заранее запустить установку Desktop на client1 |
| === 4.2 Установка KDC и регистрация принципалов === | === 4.2 Установка KDC и регистрация принципалов === | ||
| Line 286: | Line 286: | ||
| * Переименовываем ее в client2 | * Переименовываем ее в client2 | ||
| * Установка GSSAPI клиентских программ: | * Установка GSSAPI клиентских программ: | ||
| - | * [[Сервис SSH#PuTTY]] | + | * [[http://val.bmstu.ru/unix/SSH/putty.exe|putty.exe]] в C:\bin\ |
| - | * [[Сервис SSH#WinScp]] | + | * [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] |
| - | * [[https://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) | + | * [[http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) |
| - | * [[https://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] | + | * [[http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] |
| - | * [[Сервис OpenFire#Spark]] | + | |
| - | * Очень долго раскрывается (в корень диска C:\ !!!) архив [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | + | |
| * Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | * Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | ||
| Line 343: | Line 341: | ||
| * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
| * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | ||
| - | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian 10 не заработал доступ к homes, в Debian 11 все ОК) | + | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК) |
| - | __1-я бонусная лабораторная работа__ | + | __бонусная лабораторная работа__ |
| * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
| - | |||
| - | __2-я бонусная лабораторная работа__ | ||
| - | |||
| - | * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
| - | * Добавляем пользователя user3, синхронизируем NIS | ||
| - | * Добавляем linux client3 | ||
| - | * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | ||
| - | * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | ||
| ==== Дополнительные материалы ==== | ==== Дополнительные материалы ==== | ||
| Line 390: | Line 380: | ||
| * Отключаем NIS на server | * Отключаем NIS на server | ||
| - | === 7.2 Использование протокола GSSAPI для сервисов электронной почты === | + | === 7.2 Использование протокола GSSAPI для сервиса imap === |
| * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | ||
| Line 396: | Line 386: | ||
| __демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
| - | Можно через ansible на gate | + | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate |
| - | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] | + | |
| * [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | * [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | ||
| - | * [[Сервер dovecot#Установка]] imap и smtp | + | * Установка [[UA mail]] на системе gate |
| - | * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] | + | * [[Сервер dovecot#Установка]] imap сервера dovecot на gate |
| - | * [[Web интерфейс к почте#roundcube]] | + | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate |
| - | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | |
| - | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] | + | |
| - | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] | + | |
| - | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для roundcube | + | |
| === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | ||
| - | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] (уже имеются при использовании migrationtools) | + | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] |
| - | * [[Thunderbird#Получение списка контактов через LDAP]] в [[Thunderbird]] | + | |
| * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | ||
| - | * Добавление атрибутов jpegPhoto | + | * Добавление атрибутов mail, telephoneNumber |
| - | * roundcube ldap | + | * [[Thunderbird#Получение списка контактов через LDAP]] в Thunderbird |
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 447: | Line 432: | ||
| * Добавляем windows server (от 2Gb RAM) | * Добавляем windows server (от 2Gb RAM) | ||
| * [[Развертывание Active Directory]] | * [[Развертывание Active Directory]] | ||
| - | * [[PowerShell#Добавление в домен пользователей]] user1/Pa$$w0rd1 и user2/Pa$$w0rd2 | + | * Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2 |
| === 8.3 Включение в домен рабочих станций windows и серверов Linux === | === 8.3 Включение в домен рабочих станций windows и серверов Linux === | ||
| Line 454: | Line 439: | ||
| * Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
| * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | ||
| - | * Установка [[Сервис SSH#WinScp]] на server MS AD | + | * Установка [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] на server MS AD |
| * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | ||
| * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | ||
| Line 467: | Line 452: | ||
| * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | ||
| * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | ||
| - | |||
| * [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | * [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | ||
| - | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - UNIX атрибуты идентичные ранее имевшимся | + | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся |
| - | * Создаем группу group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 | + | * Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 |
| * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | ||
| - | |||
| * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | ||
| Line 496: | Line 479: | ||
| * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | ||
| - | |||
| - | * [[Сервис OpenFire#Spark]] для Linux и [[Сервис OpenFire#Управление контактами]] на основе членства в группе Microsoft | ||
| - | |||
| * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | ||
| * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | ||
| - | |||
| - | * [[Сервис SSH#Управление доступом на основе членства в группе]] на уровне UNIX для сервиса SSH | ||
| - | * Обсудить [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе UNIX | ||
| __демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
| - | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервисов IMAP и SMTP и клиента [[Thunderbird]] | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервиса imap |
| * Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | * Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | ||
| <code> | <code> | ||
| Line 517: | Line 493: | ||
| * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
| - | * Проверяем работоспособность linux client3 в такой конфигурации (обратить внимание, что система ничего не знает о пользователе, даже ФИО) | + | * [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе |
| === 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | === 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | ||
| Line 525: | Line 501: | ||
| * Назначение атрибутов General->Telephone number и E-mail | * Назначение атрибутов General->Telephone number и E-mail | ||
| * [[Thunderbird#Получение списка контактов через LDAP]] | * [[Thunderbird#Получение списка контактов через LDAP]] | ||
| - | * Добавление атрибутов jpegPhoto и настройка [[Web интерфейс к почте#roundcube]] на адресную книгу и см. фото в Spark! | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 540: | Line 515: | ||
| ==== Подготовка к следующему модулю ==== | ==== Подготовка к следующему модулю ==== | ||
| - | * !!! Импортировать windows client4 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 | + | * !!! Импортировать windows client3 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 |
| - | * !!! Очень долго перезагружается, отключить сервис обновлений | + | |
| ==== Примечание ==== | ==== Примечание ==== | ||
| Line 603: | Line 577: | ||
| * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
| * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
| - | |||
| === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | ||
| Line 616: | Line 589: | ||
| === 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
| - | * Демонстрация [[Сервис sssd]] на системе linux client5 | + | * Демонстрация [[Сервис sssd]] на системе client4 |
| === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | ||
| - | * Проверяем работоспособность linux client3 в такой конфигурации | ||
| * [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | * [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
| ==== Вопросы ==== | ==== Вопросы ==== | ||
| Line 637: | Line 609: | ||
| * Выводим Windows клиенты из домена AD | * Выводим Windows клиенты из домена AD | ||
| - | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4 | + | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3 |
| * Отключаем WINBIND в nsswitch.conf на gate | * Отключаем WINBIND в nsswitch.conf на gate | ||
| <code> | <code> | ||
| Line 661: | Line 633: | ||
| * [[Контроллер домена SAMBA 4#Инициализация домена]] | * [[Контроллер домена SAMBA 4#Инициализация домена]] | ||
| * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | ||
| - | * Включаем в домен Windows client4 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) | + | * Включаем в домен Windows client3 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) |
| - | * Регистрируемся в Windows client4 как Administrator | + | * Регистрируемся в Windows client3 как Administrator |
| * Включаем в домен Windows client2 | * Включаем в домен Windows client2 | ||
| * Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
| Line 674: | Line 646: | ||
| gate# kinit user2 | gate# kinit user2 | ||
| </code> | </code> | ||
| - | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate | ||
| * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | ||
| - | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4) | + | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3) |
| * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
| Line 682: | Line 653: | ||
| Для gate используем winbind: | Для gate используем winbind: | ||
| - | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для удаления системы gate | ||
| * Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | * Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | ||
| * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | ||
| - | * [[Контроллер домена SAMBA 4#Управление DNS]] для SRV записи XMPP и [[Сервис OpenFire]] | ||
| * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | ||
linux._интеграция_с_корпоративными_решениями_microsoft.txt · Last modified: 2023/06/20 07:36 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
