EGround
Редактор
- Сообщения
- 24.288
- Реакции
- 127
Linux. Уровень 4: Импортозамещение корпоративных решений Microsoft [2024]
Специалист
Вячеслав Лохтуров
Вы не только научитесь интегрировать UNIX-cистемы в домен, но и применять UNIX для усиления безопасности Active Directory. Изучите использование Linux-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения.
Рассмотрим сеть типичного предприятия. Мы увидим несколько десятков рабочих станций, пару файловых серверов, сервер электронной почты, шлюз в интернет. Как сделать так, чтобы сотрудник утром один раз ввел логин и пароль, после чего мог «прозрачно» использовать все корпоративные сервисы – «ходить» в Интернет, читать сообщения в корпоративном чате и электронной почте, работать с файлами на сервере?
Все это несложно, если использовать ПО от Microsoft. А если нам нужно заменить рабочие станции Windows на Linux? А если у нас почтовый сервер Postfix/Dovecot? А можно организовать авторизованный доступ в интернет через прокси сервер Squid? Или организовать файловый сервер на Linux с пакетом Samba? А как вообще отказаться от Microsoft AD и развернуть аналог на сервере Linux? Какие преимущества и недостатки у того или иного решения?
Ответы на эти и другие вопросы, связанные безопасной и прозрачной (одноразовой) Single Sign On (SSO) идентификацией пользователей и организации унифицированных рабочих мест – workplace innovation (WPI), содержатся в этом курсе. Вы познакомитесь c такими технологиями как NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Цель курса – помочь слушателям организовать переход с решений Microsoft на Linux.
Вам предложат три варианта организации системы идентификации в сети:
1. Microsoft Active Directory (сервер идентификации Windows, клиенты Windows/Linux)
2. Samba4 (сервер идентификации Linux, клиенты Windows/Linux)
3. Kerberos сфера (сервер идентификации Linux, клиенты Windows/Linux)
При этом, сами сервисы – SSH, HTTP, CIFS, IMAP, SMTP, XMPP будут работать под управлением нашей любимой операционной системы — Linux.
В дополнительных материалах к курсу рассматривается возможность сохранить технологию единого входа, используемую Google и Microsoft, и сквозной аутентификации (single sign-on) для современных web-приложений и сервисов с помощью решения Keycloak, работающего по протоколу OpenID. Для приложений GitLab, MinIO и BigBlueButton будет использоваться единая учетная запись со сквозной аутентификацией.
Вы научитесь:
1. Понимать состав и принципы работы таких коробочных продуктов как Microsoft Active Directory и вообще, зачем включать в них системы Linux
2. Использовать библиотеки PAM и NSS для идентификации пользователей в Linux системах.
3. Использовать протокол LDAP для хранения информации о пользователях в сети предприятия.
4. Разворачивать свой собственный аналог FreeIPA для идентификации пользователей в смешанных Linux/Windows сетях.
5. Использовать Microsoft Active Directory с рабочими станциями и серверами Linux.
6. Использовать сервера Samba в роли файлового сервера и контроллера домена.
Спойлер: Содержание Модуль 1 — Развертывание сети предприятия
Модуль 2 — Ретроспектива механизмов аутентификации и авторизации в UNIX
Модуль 3 — Современные механизмы аутентификации и авторизации в UNIX
Модуль 4 — Аутентификация с использованием протокола Kerberos
Модуль 5 — Windows клиенты в Kerberos сфере Linux
Модуль 6 — Протокол LDAP
Модуль 7 — Использование Microsoft Active Directory для аутентификации и авторизации пользователей и сервисов
Модуль 8 — Использование сервисов Winbind и SSSD/Realmd
Модуль 9 — Использование пакета Samba4 в качестве контроллера домена
Модуль 10 — Итоги и выводы
Модуль 11 — Дополнительные материалы
Продажник
Специалист
Вячеслав Лохтуров
Вы не только научитесь интегрировать UNIX-cистемы в домен, но и применять UNIX для усиления безопасности Active Directory. Изучите использование Linux-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения.
Рассмотрим сеть типичного предприятия. Мы увидим несколько десятков рабочих станций, пару файловых серверов, сервер электронной почты, шлюз в интернет. Как сделать так, чтобы сотрудник утром один раз ввел логин и пароль, после чего мог «прозрачно» использовать все корпоративные сервисы – «ходить» в Интернет, читать сообщения в корпоративном чате и электронной почте, работать с файлами на сервере?
Все это несложно, если использовать ПО от Microsoft. А если нам нужно заменить рабочие станции Windows на Linux? А если у нас почтовый сервер Postfix/Dovecot? А можно организовать авторизованный доступ в интернет через прокси сервер Squid? Или организовать файловый сервер на Linux с пакетом Samba? А как вообще отказаться от Microsoft AD и развернуть аналог на сервере Linux? Какие преимущества и недостатки у того или иного решения?
Ответы на эти и другие вопросы, связанные безопасной и прозрачной (одноразовой) Single Sign On (SSO) идентификацией пользователей и организации унифицированных рабочих мест – workplace innovation (WPI), содержатся в этом курсе. Вы познакомитесь c такими технологиями как NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Цель курса – помочь слушателям организовать переход с решений Microsoft на Linux.
Вам предложат три варианта организации системы идентификации в сети:
1. Microsoft Active Directory (сервер идентификации Windows, клиенты Windows/Linux)
2. Samba4 (сервер идентификации Linux, клиенты Windows/Linux)
3. Kerberos сфера (сервер идентификации Linux, клиенты Windows/Linux)
При этом, сами сервисы – SSH, HTTP, CIFS, IMAP, SMTP, XMPP будут работать под управлением нашей любимой операционной системы — Linux.
В дополнительных материалах к курсу рассматривается возможность сохранить технологию единого входа, используемую Google и Microsoft, и сквозной аутентификации (single sign-on) для современных web-приложений и сервисов с помощью решения Keycloak, работающего по протоколу OpenID. Для приложений GitLab, MinIO и BigBlueButton будет использоваться единая учетная запись со сквозной аутентификацией.
Вы научитесь:
1. Понимать состав и принципы работы таких коробочных продуктов как Microsoft Active Directory и вообще, зачем включать в них системы Linux
2. Использовать библиотеки PAM и NSS для идентификации пользователей в Linux системах.
3. Использовать протокол LDAP для хранения информации о пользователях в сети предприятия.
4. Разворачивать свой собственный аналог FreeIPA для идентификации пользователей в смешанных Linux/Windows сетях.
5. Использовать Microsoft Active Directory с рабочими станциями и серверами Linux.
6. Использовать сервера Samba в роли файлового сервера и контроллера домена.
Спойлер: Содержание Модуль 1 — Развертывание сети предприятия
- Схема стенда
- Лабораторная работа: Базовая настройка систем Linux
Модуль 2 — Ретроспектива механизмов аутентификации и авторизации в UNIX
- Базовые механизмы аутентификации и авторизации в UNIX
Модуль 3 — Современные механизмы аутентификации и авторизации в UNIX
- Библиотека PAM
- Библиотека NSS
- Лабораторная работа: Авторизация с использованием библиотеки NSS
- Лабораторная работа: Аутентификация с использованием библиотеки PAM
- Лабораторная работа: Использование модулей для SSO аутентификации пользователей сервиса SSH
Модуль 4 — Аутентификация с использованием протокола Kerberos
- Протокол Kerberos – принципы работы и варианты использования
- GSSAPI – программный интерфейс для реализации SSO
- Лабораторная работа: Добавление SRV записей в DNS и синхронизация времени
- Лабораторная работа: Установка KDC и регистрация принципалов пользователей и сервисов в Kerberos-сфере
- Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Linux
Модуль 5 — Windows клиенты в Kerberos сфере Linux
- Архитектура локальной и доменной аутентификации рабочих станций Windows
- Лабораторная работа: Регистрация Windows клиентов в Kerberos сфере Linux
- Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Windows
Модуль 6 — Протокол LDAP
- Протокол LDAP – основы, назначение и варианты использования
- Лабораторная работа: Использование протокола LDAP для авторизации пользователей Linux
- Лабораторная работа: Использование LDAP каталога для хранения дополнительной информации о пользователях сети (корпоративная адресная книга)
Модуль 7 — Использование Microsoft Active Directory для аутентификации и авторизации пользователей и сервисов
- Архитектура и интерфейсы Microsoft AD
- Лабораторная работа: Развертывание контроллера домена
- Лабораторная работа: Включение в домен рабочих станций Windows и Linux
- Лабораторная работа: Использование интерфейса LDAP для авторизации Linux пользователей в Microsoft AD
- Лабораторная работа: Регистрация принципалов сервисов Linux в Microsoft AD
- Лабораторная работа: Использование протоколов SSPI и GSSAPI для аутентификации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Модуль 8 — Использование сервисов Winbind и SSSD/Realmd
- Архитектура и варианты использования сервисов Winbind и SSSD/Realmd
- Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для регистрации Linux систем в Microsoft AD
- Лабораторная работа: Использование сервиса Winbind для управления ключами сервисов в Microsoft AD
- Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для генерации UNIX атрибутов пользователей Microsoft AD
- Лабораторная работа: Использование сервиса Winbind для авторизации пользователей Microsoft AD на серверах Linux
Модуль 9 — Использование пакета Samba4 в качестве контроллера домена
- История развития систем идентификации компании Microsoft
- Достоинства и недостатки решения Samba4 в качестве контроллера домена
- Лабораторная работа: Настройка Samba4 в качестве контроллера домена
- Лабораторная работа: Регистрация рабочих станций Windows и Linux в домене Samba4
- Лабораторная работа: Использование домена Samba4 для аутентификации и авторизации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
- Лабораторная работа: Использование групповых политик в Samba4
Модуль 10 — Итоги и выводы
- Сравнение технологий аутентификации и авторизации, их положительных и отрицательных сторон.
Модуль 11 — Дополнительные материалы
- Практика применения Keycloak в качестве корпоративного OpenID сервера
Продажник
