This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision | ||
linux._интеграция_с_корпоративными_решениями_microsoft [2021/10/26 09:52] val [Лабораторные работы: Знакомство с сервисом Samba] |
linux._интеграция_с_корпоративными_решениями_microsoft [2023/06/20 07:36] (current) val [Теория] |
||
---|---|---|---|
Line 5: | Line 5: | ||
* [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | * [[http://www.specialist.ru/course/yun3-b|Linux. Уровень 4. Интеграция с корпоративными решениями Microsoft]] | ||
- | ===== Вебинар ===== | ||
- | |||
- | * [[https://global.gotomeeting.com/join/636766717]] | ||
===== Модуль 0. Подготовка стенда в классе ===== | ===== Модуль 0. Подготовка стенда в классе ===== | ||
Line 40: | Line 37: | ||
λ cd | λ cd | ||
- | λ test -e conf && rm -rf conf | + | λ test -e conf && rm -r conf |
λ git clone http://val.bmstu.ru/unix/conf.git | λ git clone http://val.bmstu.ru/unix/conf.git | ||
Line 47: | Line 44: | ||
!!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | !!!! Вместо X укажите Ваш номер стенда, если не помните, спросите преподавателя !!!! | ||
- | 4 - номер курса | ||
- | λ ./setup.sh X 4 | + | λ ./setup.sh X |
</code> | </code> | ||
Line 170: | Line 166: | ||
* [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | * [[http://gentoo.theserverside.ru/book/ar68s18.html|Управление пользователями, NSS и PAM]] | ||
* [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | * [[http://www.bog.pp.ru/work/NSS.html|Bog BOS: NSS (Name Service Switch)]] | ||
- | * [[https://www.ibm.com/developerworks/ru/library/l-pam/index.html|Основы и настройка PAM]] | + | * [[https://redos.red-soft.ru/base/manual/admin-manual/safe-redos/pam/|Pluggable Authentication Modules (PAM) - настройки системы аутентификации]] |
==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ==== Лабораторные работы: ААА с использованием NSS и PAM ==== | ||
Line 186: | Line 182: | ||
* [[Использование библиотеки PAM#Терминология PAM]] | * [[Использование библиотеки PAM#Терминология PAM]] | ||
- | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 из консоли client1 на gate) | + | * [[Использование библиотеки PAM#Приостановка регистрации пользователей]] (__демонстрирует преподаватель__, проверять подключаясь user1 с client1 на gate) |
* [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | * [[Использование библиотеки PAM#Автоматическое создание домашних каталогов]] для сервиса sshd на gate (для проверки подключаемся с host системы как user1 и user2) | ||
Line 235: | Line 231: | ||
</code> | </code> | ||
* Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | * Синхронизируем время в системах client1, gate и server ([[Локализация системы#Локализация временной зоны]], [[Сервис NTP]]) | ||
- | * !!! Можно заранее выполнить лабораторную работу 4.4 Настройка desktop на client1 | + | * !!! Можно заранее запустить установку Desktop на client1 |
=== 4.2 Установка KDC и регистрация принципалов === | === 4.2 Установка KDC и регистрация принципалов === | ||
Line 290: | Line 286: | ||
* Переименовываем ее в client2 | * Переименовываем ее в client2 | ||
* Установка GSSAPI клиентских программ: | * Установка GSSAPI клиентских программ: | ||
- | * [[Сервис SSH#PuTTY]] | + | * [[http://val.bmstu.ru/unix/SSH/putty.exe|putty.exe]] в C:\bin\ |
- | * [[Сервис SSH#WinScp]] | + | * [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] |
- | * [[https://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) | + | * [[http://val.bmstu.ru/unix/WWW/Firefox%20Setup%2017.0.1.exe|Firefox]] (можно использовать MSIE) |
- | * [[https://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] | + | * [[http://val.bmstu.ru/unix/Mail/Thunderbird%20Setup%2017.0.exe|Thunderbird 17.0.exe]] |
- | * [[Сервис OpenFire#Spark]] | + | |
- | * Очень долго раскрывается (в корень диска C:\ !!!) архив [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | + | |
* Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | * Создаем и подключаемся локальным пользователем user2 с паролем wpassword2 | ||
Line 310: | Line 304: | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе копии базы данных учетных записей]] | ||
- | * Доступ на основе членства в группе (на примере группы group1) | + | * Доступ на основе членства в группе (на примере группы wheel/sudo) |
=== 5.3 Подключение Linux клиентов к файловому серверу CIFS === | === 5.3 Подключение Linux клиентов к файловому серверу CIFS === | ||
Line 347: | Line 341: | ||
* [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | * [[Файловый сервер SAMBA#Автоматическое создание домашних каталогов]] в SAMBA | ||
* [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | * [[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]] | ||
- | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian 10 не заработал доступ к homes, в Debian 11 все ОК) | + | * GSSAPI аутентификация протокола CIFS для Windows клиентов (использовать FQDN \\gate.corpX.un, в Debian10, после обновления не заработала, в Debian11 все ОК) |
- | __1-я бонусная лабораторная работа__ | + | __бонусная лабораторная работа__ |
* [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
- | |||
- | __2-я бонусная лабораторная работа__ | ||
- | |||
- | * Запись вебинара [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
- | * Добавляем пользователя user3, синхронизируем NIS | ||
- | * Добавляем linux client3 | ||
- | * Устанавливаем ПО из [[Зачем вводить системы Linux в домен Microsoft#Шаг 4. Клонируем конфигурацию рабочей станции]] | ||
- | * Настраиваем используя [[Зачем вводить системы Linux в домен Microsoft#Исправления и альтернативные варианты]] | ||
==== Дополнительные материалы ==== | ==== Дополнительные материалы ==== | ||
Line 394: | Line 380: | ||
* Отключаем NIS на server | * Отключаем NIS на server | ||
- | === 7.2 Использование протокола GSSAPI для сервисов электронной почты === | + | === 7.2 Использование протокола GSSAPI для сервиса imap === |
* !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | * !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!! | ||
Line 400: | Line 386: | ||
__демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
- | Можно через ansible на gate | + | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] на системе gate |
- | * [[Сервис MTA#Установка и настройка MTA на обработку почты домена hostname]] | + | |
* [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | * [[Сервис MTA#Настройка MTA на обработку почты домена corpX.un]] | ||
- | * [[Сервер dovecot#Установка]] imap и smtp | + | * Установка [[UA mail]] на системе gate |
- | * [[Сервис MTA#Настройка MTA на релеинг почты на основе аутентификации]] | + | * [[Сервер dovecot#Установка]] imap сервера dovecot на gate |
- | * [[Web интерфейс к почте#roundcube]] | + | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] на сервере dovecot на gate |
- | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] на сервере dovecot на gate | |
- | * [[Сервер dovecot#Настройка с использованием стандартных mailboxes и аутентификации открытым текстом]] | + | |
- | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] | + | |
- | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] для roundcube | + | |
=== 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | === 7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети === | ||
- | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] (уже имеются при использовании migrationtools) | + | * [[Хранение учетных записей UNIX в LDAP#Пример назначения номеров телефонов и адресов email]] |
- | * [[Thunderbird#Получение списка контактов через LDAP]] в [[Thunderbird]] | + | |
* Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | * Дружественный интерфейс к LDAP - [[https://val.bmstu.ru/unix/ldap/ApacheDirectoryStudio-2.0.0.v20150606-M9-win32.win32.x86_64.zip|Apache Directory Studio]] (требует [[http://val.bmstu.ru/unix/java/jre-8u211-windows-x64.exe|JRE]]) | ||
- | * Добавление атрибутов jpegPhoto | + | * Добавление атрибутов mail, telephoneNumber |
- | * roundcube ldap | + | * [[Thunderbird#Получение списка контактов через LDAP]] в Thunderbird |
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 451: | Line 432: | ||
* Добавляем windows server (от 2Gb RAM) | * Добавляем windows server (от 2Gb RAM) | ||
* [[Развертывание Active Directory]] | * [[Развертывание Active Directory]] | ||
- | * [[PowerShell#Добавление в домен пользователей]] user1/Pa$$w0rd1 и user2/Pa$$w0rd2 | + | * Добавляем в домен пользователей user1/Pa$$w0rd1 и user2/Pa$$w0rd2 |
=== 8.3 Включение в домен рабочих станций windows и серверов Linux === | === 8.3 Включение в домен рабочих станций windows и серверов Linux === | ||
Line 458: | Line 439: | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на gate | ||
- | * Установка [[Сервис SSH#WinScp]] на server MS AD | + | * Установка [[http://val.bmstu.ru/unix/SSH/winscp433setup.exe|WinScp]] на server MS AD |
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] windows клиентов в HTTP proxy | ||
* Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] | ||
Line 471: | Line 452: | ||
* [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | * [[Настройка KDC серверов и клиентов#Настройка Kerberos клиента]] на client1 | ||
* [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | * [[Использование библиотеки PAM#Использование pam_krb5 для сервиса login/xdm]] на client1 | ||
- | |||
* [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | * [[Сервис NIS#Настройка Windows сервера]] на поддержку UNIX атрибутов | ||
- | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - UNIX атрибуты идентичные ранее имевшимся | + | * Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся |
- | * Создаем группу group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 | + | * Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2 |
* Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | * Можно автоматизировать, используя [[Хранение учетных записей UNIX в LDAP#Пример назначения UNIX атрибутов в Microsoft AD]] | ||
- | |||
* Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на client1 | ||
Line 500: | Line 479: | ||
* [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | * [[Аутентификация доступа к SQUID#Kerberos GSSAPI аутентификация]] linux клиентов в HTTP proxy | ||
- | |||
- | * [[Сервис OpenFire#Spark]] для Linux и [[Сервис OpenFire#Управление контактами]] на основе членства в группе Microsoft | ||
- | |||
* Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | * Настраиваем [[Авторизация с использованием LDAP сервера]] windows на gate | ||
* [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | * [[Сервис SSH#Аутентификация с использованием протокола GSSAPI]] для сервиса SSH | ||
- | |||
- | * [[Сервис SSH#Управление доступом на основе членства в группе]] на уровне UNIX для сервиса SSH | ||
- | * Обсудить [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе UNIX | ||
__демонстрирует преподаватель__ | __демонстрирует преподаватель__ | ||
- | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервисов IMAP и SMTP и клиента [[Thunderbird]] | + | * [[Сервер dovecot#Kerberos GSSAPI аутентификация]] для сервиса imap |
* Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | * Kerberos GSSAPI ([[Файловый сервер SAMBA#Идентификация доступа к файловому серверу на основе регистрации в Active Directory/DOMAIN/Kerberos REALM]]) | ||
<code> | <code> | ||
Line 521: | Line 493: | ||
* [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | * [[Подключение к файловым серверам CIFS из UNIX#GSSAPI аутентификация]] протокола CIFS для UNIX клиентов | ||
- | * Проверяем работоспособность linux client3 в такой конфигурации (обратить внимание, что система ничего не знает о пользователе, даже ФИО) | + | * [[Авторизация доступа к ресурсам через SQUID]] на основе членства в группе |
=== 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | === 8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях === | ||
Line 529: | Line 501: | ||
* Назначение атрибутов General->Telephone number и E-mail | * Назначение атрибутов General->Telephone number и E-mail | ||
* [[Thunderbird#Получение списка контактов через LDAP]] | * [[Thunderbird#Получение списка контактов через LDAP]] | ||
- | * Добавление атрибутов jpegPhoto и настройка [[Web интерфейс к почте#roundcube]] на адресную книгу и см. фото в Spark! | ||
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 544: | Line 515: | ||
==== Подготовка к следующему модулю ==== | ==== Подготовка к следующему модулю ==== | ||
- | * !!! Импортировать windows client4 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 | + | * !!! Импортировать windows client3 (назначить 2 ядра) и [[Материалы по Windows#Развертывание средств администрирования Active Directory]] для модуля 10 |
- | * !!! Очень долго перезагружается, отключить сервис обновлений | + | |
==== Примечание ==== | ==== Примечание ==== | ||
Line 607: | Line 577: | ||
* [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | * [[Сервис SSH#Настройка сервиса sshd на использование GSSAPI]] | ||
* [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | * [[Сервер dovecot#Настройка dovecot на использование GSSAPI]] | ||
- | |||
=== 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | === 9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux === | ||
Line 620: | Line 589: | ||
=== 9.4 Альтернатива WINBIND - сервис SSSD === | === 9.4 Альтернатива WINBIND - сервис SSSD === | ||
- | * Демонстрация [[Сервис sssd]] на системе linux client5 | + | * Демонстрация [[Сервис sssd]] на системе client4 |
=== 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | === 9.5 Альтернатива WINBIND и SSSD - создаем учтные записи через PAM === | ||
- | * Проверяем работоспособность linux client3 в такой конфигурации | ||
* [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | * [[https://youtu.be/S7QOkcznEVY|Зачем вводить системы Linux в домен Microsoft?]] | ||
==== Вопросы ==== | ==== Вопросы ==== | ||
Line 641: | Line 609: | ||
* Выводим Windows клиенты из домена AD | * Выводим Windows клиенты из домена AD | ||
- | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client4 | + | * [[Материалы по Windows#Развертывание средств администрирования Active Directory]] на client3 |
* Отключаем WINBIND в nsswitch.conf на gate | * Отключаем WINBIND в nsswitch.conf на gate | ||
<code> | <code> | ||
Line 665: | Line 633: | ||
* [[Контроллер домена SAMBA 4#Инициализация домена]] | * [[Контроллер домена SAMBA 4#Инициализация домена]] | ||
* Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | * Добавляем в домен пользователя user2/Pa$$w0rd2 ([[Контроллер домена SAMBA 4#Управление доменом]]) | ||
- | * Включаем в домен Windows client4 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) | + | * Включаем в домен Windows client3 ([[Развертывание Active Directory#Включение в домен Windows клиентов]]) |
- | * Регистрируемся в Windows client4 как Administrator | + | * Регистрируемся в Windows client3 как Administrator |
* Включаем в домен Windows client2 | * Включаем в домен Windows client2 | ||
* Регистрируемся в Windows client2 как user2 | * Регистрируемся в Windows client2 как user2 | ||
Line 678: | Line 646: | ||
gate# kinit user2 | gate# kinit user2 | ||
</code> | </code> | ||
- | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для добавления системы gate | ||
* Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | * Аутентификация доступа к SQUID [[Аутентификация доступа к SQUID#Если в роли KDC выступает Samba4]] | ||
- | * Файловый сервер SAMBA [[Файловый сервер SAMBA#Публичный каталог доступный на чтение]] | + | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client3) |
- | * Настройки proxy через [[Развертывание Active Directory#Использование групповых политик]] (Может не заработать на client2, после всех экспериментов его лучше переустановить, или использовать client4) | + | |
* [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | * [[Аутентификация доступа к SQUID#Настройка сервиса SQUID на использование GSSAPI]] | ||
Line 687: | Line 653: | ||
Для gate используем winbind: | Для gate используем winbind: | ||
- | * Используем [[Контроллер домена SAMBA 4#Управление DNS]] для удаления системы gate | ||
* Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | * Регистрируем gate [[Сервис WINBIND#Регистрация unix системы в домене в режиме ADS]] | ||
* [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | * [[Сервис WINBIND#Управление ключами KERBEROS в режиме ADS]] | ||
- | * [[Контроллер домена SAMBA 4#Управление DNS]] для SRV записи XMPP и [[Сервис OpenFire]] | ||
* WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] | * WINBIND [[Сервис WINBIND#Авторизация в режиме ADS/DOMAIN]] |