[Вячеслав Лохтуров] Linux. Уровень 4. Импортозамещение корпоративных решений Microsoft (2024)

[vitriol0674]

[Вячеслав Лохтуров] Linux. Уровень 4. Импортозамещение корпоративных решений Microsoft (2024)​

Вы не только научитесь интегрировать UNIX-cистемы в домен, но и применять UNIX для усиления безопасности Active Directory.
Изучите использование Linux-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения.

Рассмотрим сеть типичного предприятия.
Мы увидим несколько десятков рабочих станций, пару файловых серверов, сервер электронной почты, шлюз в интернет.
Как сделать так, чтобы сотрудник утром один раз ввел логин и пароль, после чего мог «прозрачно» использовать все корпоративные сервисы – «ходить» в Интернет, читать сообщения в корпоративном чате и электронной почте, работать с файлами на сервере?
Все это несложно, если использовать ПО от Microsoft. А если нам нужно заменить рабочие станции Windows на Linux? А если у нас почтовый сервер Postfix/Dovecot? А можно организовать авторизованный доступ в интернет через прокси сервер Squid? Или организовать файловый сервер на Linux с пакетом Samba?
А как вообще отказаться от Microsoft AD и развернуть аналог на сервере Linux? Какие преимущества и недостатки у того или иного решения?
Ответы на эти и другие вопросы, связанные безопасной и прозрачной (одноразовой) Single Sign On (SSO) идентификацией пользователей и организации унифицированных рабочих мест – workplace innovation (WPI), содержатся в этом курсе. Вы познакомитесь c такими технологиями как NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Цель курса – помочь слушателям организовать переход с решений Microsoft на Linux.

Вам предложат три варианта организации системы идентификации в сети:
1. Microsoft Active Directory (сервер идентификации Windows, клиенты Windows/Linux)
2. Samba4 (сервер идентификации Linux, клиенты Windows/Linux)
3. Kerberos сфера (сервер идентификации Linux, клиенты Windows/Linux)

При этом, сами сервисы – SSH, HTTP, CIFS, IMAP, SMTP, XMPP будут работать под управлением нашей любимой операционной системы - Linux.

В дополнительных материалах к курсу
рассматривается возможность сохранить технологию единого входа, используемую Google и Microsoft, и сквозной аутентификации (single sign-on) для современных web-приложений и сервисов с помощью решения Keycloak, работающего по протоколу OpenID.
Для приложений GitLab, MinIO и BigBlueButton будет использоваться единая учетная запись со сквозной аутентификацией.

Вы научитесь:
1. Понимать состав и принципы работы таких коробочных продуктов как Microsoft Active Directory и вообще, зачем включать в них системы Linux
2. Использовать библиотеки PAM и NSS для идентификации пользователей в Linux системах.
3. Использовать протокол LDAP для хранения информации о пользователях в сети предприятия.
4. Разворачивать свой собственный аналог FreeIPA для идентификации пользователей в смешанных Linux/Windows сетях.
5. Использовать Microsoft Active Directory с рабочими станциями и серверами Linux.
6. Использовать сервера Samba в роли файлового сервера и контроллера домена.

Программа курса:
Модуль 1 - Развертывание сети предприятия

• Схема стенда
• Лабораторная работа: Базовая настройка систем Linux

Модуль 2 - Ретроспектива механизмов аутентификации и авторизации в UNIX

• Базовые механизмы аутентификации и авторизации в UNIX

Модуль 3 - Современные механизмы аутентификации и авторизации в UNIX

• Библиотека PAM
• Библиотека NSS
• Лабораторная работа: Авторизация с использованием библиотеки NSS
• Лабораторная работа: Аутентификация с использованием библиотеки PAM
• Лабораторная работа: Использование модулей для SSO аутентификации пользователей сервиса SSH

Модуль 4 - Аутентификация с использованием протокола Kerberos

• Протокол Kerberos – принципы работы и варианты использования
• GSSAPI – программный интерфейс для реализации SSO
• Лабораторная работа: Добавление SRV записей в DNS и синхронизация времени
• Лабораторная работа: Установка KDC и регистрация принципалов пользователей и сервисов в Kerberos-сфере
• Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Linux

Модуль 5 - Windows клиенты в Kerberos сфере Linux

• Архитектура локальной и доменной аутентификации рабочих станций Windows
• Лабораторная работа: Регистрация Windows клиентов в Kerberos сфере Linux
• Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Windows

Модуль 6 - Протокол LDAP

• Протокол LDAP – основы, назначение и варианты использования
• Лабораторная работа: Использование протокола LDAP для авторизации пользователей Linux
• Лабораторная работа: Использование LDAP каталога для хранения дополнительной информации о пользователях сети (корпоративная адресная книга)

Модуль 7 - Использование Microsoft Active Directory для аутентификации и авторизации пользователей и сервисов

• Архитектура и интерфейсы Microsoft AD
• Лабораторная работа: Развертывание контроллера домена
• Лабораторная работа: Включение в домен рабочих станций Windows и Linux
• Лабораторная работа: Использование интерфейса LDAP для авторизации Linux пользователей в Microsoft AD
• Лабораторная работа: Регистрация принципалов сервисов Linux в Microsoft AD
• Лабораторная работа: Использование протоколов SSPI и GSSAPI для аутентификации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP

Модуль 8 - Использование сервисов Winbind и SSSD/Realmd

• Архитектура и варианты использования сервисов Winbind и SSSD/Realmd
• Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для регистрации Linux систем в Microsoft AD
• Лабораторная работа: Использование сервиса Winbind для управления ключами сервисов в Microsoft AD
• Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для генерации UNIX атрибутов пользователей Microsoft AD
• Лабораторная работа: Использование сервиса Winbind для авторизации пользователей Microsoft AD на серверах Linux

Модуль 9 - Использование пакета Samba4 в качестве контроллера домена

• История развития систем идентификации компании Microsoft
• Достоинства и недостатки решения Samba4 в качестве контроллера домена
• Лабораторная работа: Настройка Samba4 в качестве контроллера домена
• Лабораторная работа: Регистрация рабочих станций Windows и Linux в домене Samba4
• Лабораторная работа: Использование домена Samba4 для аутентификации и авторизации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
• Лабораторная работа: Использование групповых политик в Samba4

Модуль 10 - Итоги и выводы

• Сравнение технологий аутентификации и авторизации, их положительных и отрицательных сторон.

Модуль 11 - Дополнительные материалы

• Практика применения Keycloak в качестве корпоративного OpenID сервера

2,76 Гб.

Скачать:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.