linux_freebsd_взаимодействие_с_microsoft_windows

Table of Contents

Linux (Ubuntu)/FreeBSD. Взаимодействие с Microsoft Windows

Программа курса

Модуль 1. Развертывание сети предприятия

1.1 Настройка виртуальных систем Gate (256m), Server(512m)

1.2 Настройка виртуальной системы Client1(512m)

Debian/Ubuntu

root@localhost:~# cat /etc/hostname
client1.corpX.un
root@localhost:~# cat /etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
        address 192.168.X.30
        netmask 255.255.255.0
        gateway 192.168.X.1
root@localhost:~# init 6

...

root@client1:~# apt-get update

FreeBSD

# cat /etc/rc.conf
hostname="client1.corpX.un"
ifconfig_em0="192.168.X.30/24"
defaultrouter=192.168.X.1

keyrate="fast"
sshd_enable=yes
# init 6

1.3 !!! Для Ubuntu 16

Во всех 3-х системах добавить в репозиторий обновления!!!

# cat /etc/apt/sources.list
deb http://ru.archive.ubuntu.com/ubuntu/ xenial main restricted universe multiverse
deb http://ru.archive.ubuntu.com/ubuntu/ xenial-updates main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial-security main restricted universe multiverse
# apt update

Модуль 2. Ретроспектива механизмов аутентификации и авторизации в UNIX

2.1 Использование протокола NIS для аутентификации и авторизации пользователей в UNIX сети

  • Удаляем на server пользователя student
  • В систему server добавляем учетные записи
login: user1
uid: 10001
homedir: /home/user1
shell: bash  (csh для freebsd)
gecos: Ivan Ivanovitch Ivanov,RA1,401,499-239-45-23
pass: password1

login: user2
uid: 10002
homedir: /home/user2
shell: bash  (csh для freebsd)
gecos: Petr Petrovitch Petrov,RA7,402,499-323-55-53
pass: password2
client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

2.2 Использование протокола NFS для поддержки перемещаемых профилей пользователей

демонстрирует преподаватель

Модуль 3. Современные механизмы аутентификации и авторизации в UNIX

3.1 Авторизация с использованием библиотеки NSS

3.2 Аутентификация с использованием библиотеки PAM

3.3 Решение задачи SSO с помощью протоколов SSH

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...

user1@client1:~$ ssh gate
user1@client1:~$ rm .ssh/id*

Модуль 4. Аутентификация с использованием протокола Kerberos

4.1 Принцип работы протокола

4.2 Подготовка сети к использованию протокола Kerberos

server# nslookup -q=SRV _kerberos._udp.corpX.un
  • Удаляем лишние записи из /etc/hosts (!!! оставить запись для имени системы)
  • Синхронизируем время в системах client1, gate и server (Сервис NTP)

4.3 Установка KDC и регистрация принципалов

4.4 Использование протокола GSSAPI для аутентификации

4.4.1 Использование протокола GSSAPI для сервиса ssh

4.4.2 Настройка desktop на client1

4.4.3 Использование протокола GSSAPI для сервиса http proxy

4.4.4 Использование протокола GSSAPI для сервиса imap

Модуль 5. Протокол LDAP

5.1 Использованием протокола LDAP для авторизации пользователей Linux/FreeBSD

  • Отключаем NIS на gate debian/ubuntu
gate# apt purge nis

gate# apt autoremove
  • Отключаем NIS на gate freebsd
gate# service ypbind stop

gate# cat /etc/rc.conf
...
nis_client_enable="NO"
...

5.2 Использование LDAP каталога для хранения дополнительной информации о пользователях сети

Модуль 6. Использование пакета SAMBA для реализации файлового сервиса CIFS

6.1 Добавление в сеть предприятия рабочих станций

6.2 NTLM аутентификация и авторизация Windows клиентов на файловом сервере Samba

демонстрирует преподаватель

6.3 Подключение UNIX клиентов к файловому серверу CIFS

бонусная лабораторная работа

Модуль 7. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

демонстрирует преподаватель

7.1 Регистрация рабочих станций Windows в Kerberos сфере

7.2 Использование протокола GSSAPI для аутентификации Windows клиентов на UNIX сервисах

  • !!! рекомендуется в настройках ПО указывать имена серверов полностью с доменом !!!
  • SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY, IMAP

7.3 SSO GSSAPI аутентификация для сервиса CIFS

бонусная лабораторная работа

Модуль 8. Использование Microsoft AD для аутентификации и авторизации в гетерогенных сетях

8.1 Подготовка стенда

  • Выключаем client1, можно сделать tar home (При Windows Server 2016 убрать + в файлах passwd groups shadow)
  • Отключаем nss_ldap на gate
  • Выключаем server
  • Удаляем ключи сервисов с gate
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

8.2 Развертывание контроллера домена

8.3 Включение в домен рабочих станций windows

8.4 Включение в домен рабочих станций и серверов unix

  • Настройка Windows сервера в качестве NIS сервера
  • Создаем группы guser1, guser2, назначаем им и пользователям user1 и user2 - unix атрибуты идентичные ранее имевшимся
  • Создаем групп group1, назначаем ей ранее имевшийся GID, включаем в нее user1 и user2
  • Запускаем unix client1
  • Проверяем NIS
  • Kerberos GSSAPI аутентификация unix клиентов в HTTP proxy

8.5 Использование Windows 2008 в качестве NFS сервера

демонстрирует преподаватель

  • Настройка в Windows 2008 протокола NFS
  • Монтируем /home, создаем домашние каталоги
client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2
client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

8.6 Использование протокола LDAP

8.7 Использование протоколов SSPI и GSSAPI

демонстрирует преподаватель

gate# service smbd restart

бонусные лабораторные работы

8.8 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях

демонстрирует преподаватель

Модуль 9. Использование сервиса WINBIND

!!! Можно объединить все лабораторные работы

9.1 Использование сервиса WINBIND для управления ключами сервисов в Microsoft AD

  • Удаляем пользователей gate* из AD
  • Удаляем файлы с ключами на AD
C:\>del *keytab
  • Удаляем ключи сервисов с gate
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

демонстрирует преподаватель

9.2 Использование сервиса WINBIND для генерации UNIX атрибутов пользователей Microsoft AD

демонстрирует преподаватель

9.3 Использование сервиса WINBIND для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux/FreeBSD

Модуль 10. Использование пакета Samba4 в качестве контроллера домена

10.1 Подготовка стенда

Debian/Ubuntu/FreeBSD

server# cat /etc/resolv.conf
search corpX.un
nameserver 172.16.1.254

Debian/Ubuntu

server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

FreeBSD

# service slapd stop
# service kdc stop
# service named stop
# service ypserv stop

# cat /etc/rc.conf
...
named_enable="NO"
kdc_enable="NO"
slapd_enable="NO"
nis_server_enable="NO"
...

10.2 Настройка SAMBA4 как DC

10.3 Использование SAMBA4 DC для аутентификации

10.4 Использование SAMBA4 DC для авторизации

Дополнительные материалы

linux_freebsd_взаимодействие_с_microsoft_windows.txt · Last modified: 2019/01/28 15:50 by val