Инструменты пользователя

Инструменты сайта


linux._интеграция_с_корпоративными_решениями_microsoft

Содержание

Linux. Интеграция с корпоративными решениями Microsoft

Программа курса

Модуль 0. Подготовка стенда в классе

  • Узнать свой номер стенда
  • Удалить виртуалки
  • Удалить профили putty
  • Отключить не используемые адаптеры
  • Записать логин пароль и IP (сообщить преподавателю) рабочей станции
  • Проверить наличие дистрибутивов и образов

Модуль 1. Развертывание сети предприятия

Теория

Лабораторные работы: Развертывание сети предприятия

# cat /etc/resolv.conf
search corpX.un
nameserver 192.168.X.10

Вопросы

  1. Что определяет порядок использования файлов /etc/hosts и /etc/resolv.conf для разрешения DNS имен?

Модуль 2. Ретроспектива механизмов аутентификации и авторизации в UNIX

Теория

Лабораторные работы: Классика ААА в UNIX

2.1 Использование протокола NIS для аутентификации и авторизации пользователей в UNIX сети

login: user1
uid: 10001
homedir: /home/user1
shell: bash
gecos: Ivan Ivanovitch Ivanov,RA1,401,499-239-45-23
pass: password1

login: user2
uid: 10002
homedir: /home/user2
shell: bash
gecos: Petr Petrovitch Petrov,RA7,402,499-323-55-53
pass: password2
server# groupadd -g 15001 group1

server# useradd -u 10001 -m -s /bin/bash -c "Ivan Ivanovitch Ivanov,RA7,401,499-239-45-23" -G group1 user1

server# useradd -u 10002 -m -s /bin/bash -c "Petr Petrovitch Petrov,RA7,402,499-323-55-53" -G group1 user2

server# passwd user1
   password1

server# passwd user2
   password2
client1# mkdir -p /home/user1
client1# mkdir -p /home/user2

client1# chown -R user1:user1 /home/user1/
client1# chown -R user2:user2 /home/user2/

2.2 Использование протокола NFS для поддержки перемещаемых профилей пользователей

демонстрирует преподаватель

Вопросы

  1. Какие поля в учетной записи UNIX используются для аутентификации?
  2. Какие поля в учетной записи UNIX используются для авторизации?
  3. Для чего используется поле GECOS учетной записи пользователя UNIX?
  4. Что такое NIS домен?
  5. Что такое NIS карты?
  6. Какая утилита используется для инициализации NIS карт?
  7. Какая утилита используется для тестирования NIS

Модуль 3. Современные механизмы аутентификации в Linux

Теория

Лабораторные работы: ААА с использованием NSS и PAM

3.1 Авторизация с использованием библиотеки NSS

3.2 Аутентификация с использованием библиотеки PAM

3.3 Решение задачи SSO с помощью протоколов SSH

user1@client1:~$ ps -x
...
...    Ss     0:00 ssh-agent
...
user1@client1:~$ env | grep SSH

user1@client1:~$ ssh gate
user1@client1:~$ rm .ssh/id*

Вопросы

  1. Какие задачи решает библиотека NSS
  2. Какой идентификатор источника данных в NSS позволяет подключить NIS через указание в файлах учетных записей системы строки, начинающейся с символа «+»
  3. Какой командой можно посмотреть учетные записи из всех источников данных?
  4. Какая подсистема (facility) библиотеки PAM позволяет временно запретить аутентификацию пользователей?
  5. Какая подсистема (facility) библиотеки PAM может быть использована для создания домашних каталогов пользователей?
  6. Для чего используется OPIE - для аутентификации или авторизации?
  7. По умолчанию, при первом подключении клиента к SSH серверу, он получает предупреждение о недостоверном …
  8. Клиент ssh использует ssh-agent для получения расшифрованного …

Модуль 4. Аутентификация с использованием протокола Kerberos

Теория

Лабораторные работы: Настройка KDC

4.1 Подготовка сети к использованию протокола Kerberos

server# nslookup -q=SRV _kerberos._udp.corpX.un
  • Синхронизируем время в системах client1, gate и server (Сервис NTP)

4.2 Установка KDC и регистрация принципалов

4.3 Использование протокола GSSAPI для аутентификации сервиса ssh

4.4 Настройка desktop на client1

4.5 Использование протокола GSSAPI для сервиса http proxy

Подготовка к 5-му модулю: Импортируем клиентскую систему windows

Вопросы

  1. Kerberos обеспечивает механизм …
  2. Что такое Kerberos realm (сфера)?
  3. Какие объекты представляются учетными записями (Principal) в Kerberos?
  4. Используется ли в протоколе Kerberos SSL или TLS?
  5. Используются ли в протоколе Kerberos сертификаты?
  6. Что хранится в TGT?
  7. Какая команда может быть использована для получения TGT?
  8. Разница в настройке времени между системами, взаимодействующими по протоколу Kerberos, не должна составлять более …
  9. В каком файле, по умолчанию, на стороне сервера хранятся учетные записи сервисов?
  10. Для чего используется GSSAPI?
  11. Какого типа сервиса должен быть добавлен в KDC для использование Kerberos с сервисом Squid?

Модуль 5. Аутентификация и авторизация Windows клиентов на файловом сервере Samba по протоколу CIFS

Теория

Лабораторные работы: Знакомство с сервисом Samba

5.1 Добавление в сеть предприятия рабочих станций

5.2 Аутентификация и авторизация Windows клиентов на файловом сервере Samba по протоколу CIFS

Лучше сделать, понадобится в следующем модуле, можно не отлаживать

5.3 Подключение Linux клиентов к файловому серверу CIFS

бонусная лабораторная работа

Дополнительные материалы

Вопросы

  1. Какой режим безопасности должен быть настроен в SAMBA для работы с собственной базой данных пользователей?
  2. Какая утилита используется для управления учетными записями пользователей в файловом сервере SAMBA?

Модуль 6. Использование Kerberos сферы для аутентификации пользователей рабочих станций Windows

Теория

Лабораторные работы

6.1 Регистрация рабочих станций Windows в Kerberos сфере

6.2 Использование протокола GSSAPI для аутентификации Windows клиентов на UNIX сервисах

  • !!! рекомендуется в настройках ПО указывать имена серверов полностью с доменом !!!
  • SSO GSSAPI аутентификация для сервисов SSH, HTTP PROXY

6.3 SSO GSSAPI аутентификация для сервиса CIFS

бонусная лабораторная работа

Дополнительные материалы

Вопросы

  1. Какого типа сервис должен быть добавлен в KDC для регистрации рабочей станций Windows при использовании Kerberos сферы?
  2. Где хранится пользовательский профиль при использовании Kerberos сферы для аутентификации пользователей рабочих станций Windows?
  3. Какой режим безопасности должен быть настроен в пакете SAMBA для работы с базой данных пользователей в KDC?

Модуль 7. Протокол LDAP

Теория

Лабораторные работы: Варианты использования протокола LDAP

7.1 Использованием протокола LDAP для авторизации учетных записей Linux

  • Отключаем NIS на gate и client1
# apt purge nis

# apt autoremove

7.2 Использование протокола GSSAPI для сервиса imap

  • !!! Приступить к развертыванию AD на Windows Server из модуля 8 !!!

демонстрирует преподаватель

7.3 Использование LDAP каталога для хранения дополнительной информации о пользователях сети

Вопросы

  1. В виде какой структуры представляются записи в LDAP?
  2. Для чего используется формат LDIF?
  3. Как в протоколе LDAP называется операция аутентификации?
  4. Что такое DN и RDN в LDAP?
  5. Сколько атрибутов класса (object class) может быть у записи?

Модуль 8. Использование Microsoft AD для аутентификации и авторизации в гетерогенных сетях

Теория

Лабораторные работы: Использование Microsoft AD

8.1 Подготовка стенда

gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

8.2 Развертывание контроллера домена

8.3 Включение в домен рабочих станций windows и серверов Linux

8.4 Включение в домен рабочих станций Linux

8.5 Использование Windows Server в качестве NFS сервера

демонстрирует преподаватель

  • Настройка в Windows Server протокола NFS
  • Монтируем /home, создаем домашние каталоги
client1# id user1

client1# mount server:/home /home

client1# mkdir /home/user1

client1# mkdir /home/user2

client1# chmod 755 /home

client1# chown -R user1:guser1 /home/user1/

client1# chown -R user2:guser2 /home/user2/

8.6 Использование протоколов SSPI и GSSAPI

демонстрирует преподаватель

gate# service smbd restart

бонусные лабораторные работы

8.7 Использование AD как LDAP каталога для хранения дополнительной информации о пользователях

демонстрирует преподаватель

Вопросы

  1. Какой утилитой можно добавить учетную запись сервиса UNIX в Microsoft AD?
  2. Какой утилитой можно вывести список сервисов, привязанных к учетной записи Microsoft AD?
  3. Что нужно сделать для хранения в Microsoft AD атрибутов учетных записей UNIX?
  4. Что нужно сделать для развертывания сервиса NFS на Microsoft Windows Server?

Дополнительные материалы

Модуль 9. Использование сервиса WINBIND

Подготовка к следующему модулю

Примечание

  • !!! Можно объединить все лабораторные работы

Теория

Лабораторные работы: Использование сервиса WINBIND

9.1 Для управления ключами сервисов в Microsoft AD

  • Удаляем пользователей gate* из AD
  • Удаляем файлы с ключами на AD
C:\>del *keytab
  • Удаляем ключи сервисов с gate
gate# rm /root/*keytab

gate# rm /etc/krb5.keytab

демонстрирует преподаватель

9.2 Для генерации UNIX атрибутов пользователей Microsoft AD

Следующие шаги можно пропустить:

  • Останавливаем Linux клиент
  • Отключаем unix свойства пользователей user1 и user2 в AD
  • Удаляем группы guser1 и guser2
  • Удаляем в Настройка Windows сервера поддержку UNIX атрибутов у пользователей user1 и user2 и group1

Можно делать отсюда:

9.3 Для авторизации пользователей на основе членства в группах Microsoft AD на серверах Linux

Вопросы

  1. Для каких задач предназначен WINBIND?
  2. Какая утилита позволяет проверить работу WINBIND?

Модуль 10. Использование пакета Samba4 в качестве контроллера домена

Теория

Лабораторные работы

10.1 Подготовка стенда

debian# service nscd restart && service nscd reload
server# cat /etc/resolv.conf
search corpX.un
nameserver 172.16.1.254
server# apt purge krb5-kdc krb5-admin-server bind9 slapd ldap-utils nis

server# apt autoremove

10.2 Настройка SAMBA4 как DC

10.3 Использование SAMBA4 DC для аутентификации

  • Тестируем kerberos на gate
gate# kinit Administrator

gate# kinit user2

10.4 Использование SAMBA4 DC для авторизации

Для gate:

Для client1

Для server

server# userdel user1; userdel user2
server# mkdir /home/user3 && chown user3:guser3 /home/user3

Вопросы

  1. Какой ключ утилиты samba-tool используется для расширения схемы для хранения UNIX атрибутов при инициализации контроллера домена Samba4?
  2. Какая утилита используется для управления учетными записями пользователей в контроллере домена Samba4?
  3. Что нужно установить на рабочую станцию Windows для управления контроллером домена Samba4?
  4. Поддерживает ли контроллер домена Samba4 групповые политики?
  5. Какой вариант системы централизованного управления учетными записями самый лучший?

Дополнительные материалы

linux._интеграция_с_корпоративными_решениями_microsoft.txt · Последние изменения: 2019/11/08 12:10 — val