Linux. Niveau 4: Gestion des identités et contrôle d'accès - cours 34 490 RUB. de Spécialiste, formation, Date: 30 novembre 2023.
Miscellanea / / December 03, 2023
Prenons le réseau d'une entreprise typique. Nous verrons plusieurs dizaines de postes de travail, quelques serveurs de fichiers, un serveur de messagerie et une passerelle Internet. Comment s'assurer qu'un collaborateur saisit son login et son mot de passe une fois le matin, après quoi il pourra tout utiliser « en toute transparence » services d'entreprise - surfer sur Internet, lire des messages dans le chat et le courrier électronique d'entreprise, travailler avec des fichiers sur le serveur ?
Tout cela n'est pas difficile si vous utilisez des logiciels d'un seul fabricant, par exemple Microsoft. Cependant, ce n'est pas toujours le cas. Et si nous avions des postes de travail Linux en plus de Windows? Et si nous avions un serveur de messagerie Postfix/Dovecot? Est-il possible d'organiser un accès Internet autorisé via un serveur proxy Squid? Est-il possible d'organiser un serveur de fichiers sous Linux avec le package Samba? Est-il possible d'économiser sur les licences Microsoft AD et de déployer un analogue sur un serveur Linux? Quels sont les avantages et les inconvénients de telle ou telle solution ?
Réponses à ces questions et à d’autres liées à l’authentification unique (SSO) sécurisée et transparente (unique) identification des utilisateurs et organisation de lieux de travail unifiés - innovation sur le lieu de travail (WPI), contient Dans ce cours. Vous vous familiariserez avec des technologies telles que NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Trois options vous seront proposées pour organiser un système d'identification sur le réseau :
Dans le même temps, les services eux-mêmes - SSH, HTTP, CIFS, IMAP, SMTP, XMPP fonctionneront sous notre système d'exploitation préféré - Linux.
L'objectif du cours est d'aider les étudiants à choisir la solution la plus optimale en termes de coût et de fonctionnalité.
Tu vas apprendre:
Comprendre la composition et les principes de fonctionnement de produits packagés tels que Microsoft Active Directory et, en général, pourquoi y inclure des systèmes Linux
Utilisez les bibliothèques PAM et NSS pour identifier les utilisateurs sur les systèmes Linux.
Utilisez le protocole LDAP pour stocker des informations sur les utilisateurs sur le réseau d'entreprise.
Déployez votre propre analogue de FreeIPA pour identifier les utilisateurs dans les réseaux mixtes Linux/Windows.
Utilisez Microsoft Active Directory avec les postes de travail et les serveurs Linux.
Utilisez les serveurs Samba comme serveur de fichiers et contrôleur de domaine.
Module 1. Déploiement d'un réseau d'entreprise (1 ac. h.)
Disposition des stands
Atelier: Configuration de base des systèmes Linux
Module 2. Rétrospective des mécanismes d'authentification et d'autorisation sous UNIX (2 ac. h.)
Mécanismes d'authentification et d'autorisation de base sous UNIX
Système d'authentification et d'autorisation réseau NIS
Atelier: Utilisation du protocole NIS pour authentifier et autoriser les utilisateurs Linux
Atelier: Utilisation de NFS pour stocker de manière centralisée les profils d'utilisateurs itinérants
Module 3. Mécanismes modernes d’authentification et d’autorisation sous UNIX (2 ac. h.)
Bibliothèque PAM
Bibliothèque NSS
Atelier: Autorisation à l'aide de la bibliothèque NSS
Atelier: Authentification à l'aide de la bibliothèque PAM
Atelier: Utilisation de modules pour l'authentification SSO des utilisateurs du service SSH
Module 4. Authentification via le protocole Kerberos (3 ac. h.)
Protocole Kerberos – Principes de fonctionnement et cas d'utilisation
GSSAPI est une interface logicielle pour implémenter le SSO
Atelier: Ajout d'enregistrements SRV au DNS et synchronisation de l'heure
Atelier: Installation d'un KDC et enregistrement des utilisateurs et des principaux de service dans le domaine Kerberos
Laboratoire: Utilisation du protocole GSSAPI pour l'authentification SSO des services SSH, HTTP, IMAP, SMTP, CIFS, XMPP pour les utilisateurs Linux
Module 5. Clients Windows dans la sphère Kerberos de Linux (3 ac. h.)
Architecture d'authentification locale et de domaine des postes Windows
Atelier: Enregistrement des clients Windows dans le domaine Kerberos de Linux
Laboratoire: Utilisation du protocole GSSAPI pour l'authentification SSO des services SSH, HTTP, IMAP, SMTP, CIFS, XMPP pour les utilisateurs Windows
Module 6. Protocole LDAP (3 ac. h.)
Protocole LDAP – Bases, objectif et cas d'utilisation
Atelier: Utiliser LDAP pour authentifier les utilisateurs Linux
Lab: Utilisation d'un annuaire LDAP pour stocker des informations supplémentaires sur les utilisateurs du réseau (carnet d'adresses d'entreprise)
Module 7. Utilisation de Microsoft Active Directory pour l'authentification et l'autorisation des utilisateurs et des services (3 ac. h.)
Architecture et interfaces Microsoft AD
Atelier: Déployer un contrôleur de domaine
Atelier: Joindre des postes de travail Windows et Linux à un domaine
Atelier: Utilisation de l'interface LDAP pour authentifier les utilisateurs Linux dans Microsoft AD
Atelier: Enregistrement des principaux de service Linux dans Microsoft AD
Laboratoire: Utilisation des protocoles SSPI et GSSAPI pour authentifier les utilisateurs Windows et Linux sur les serveurs SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Module 8. Utilisation des services Winbind et SSSD/Realmd (3 ac. h.)
Architecture et cas d'utilisation des services Winbind et SSSD/RealmdLab: Utilisation des services Winbind et SSSD/Realm pour enregistrer des systèmes Linux dans Microsoft AD
Atelier: Utiliser Winbind pour gérer les clés de service dans Microsoft AD
Atelier: Utilisation de Winbind et SSSD/Realm Services pour générer des attributs utilisateur UNIX Microsoft AD
Atelier: Utilisation de Winbind pour authentifier les utilisateurs Microsoft AD sur les serveurs Linux
Module 9. Utilisation du package Samba4 comme contrôleur de domaine (3 ac. h.)
Histoire du développement des systèmes d'identification Microsoft
Avantages et inconvénients de Samba4 en tant que contrôleur de domaine
Atelier: Configurer Samba4 en tant que contrôleur de domaine
Atelier: Enregistrement de postes de travail Windows et Linux dans un domaine Samba4
Laboratoire: Utiliser un domaine Samba4 pour authentifier et autoriser les utilisateurs Windows et Linux sur les serveurs SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Atelier: Utilisation des stratégies de groupe dans Samba4
Module 10. Résultats et conclusions (1 académique. h.)
Comparaison des technologies d'authentification et d'autorisation, leurs côtés positifs et négatifs.