Linux. Уровень 4: Импортозамещение корпоративных решений Microsoft [2024] [Специалист] [Вячеслав Лохтуров]
Вы не только научитесь интегрировать UNIX-cистемы в домен, но и применять UNIX для усиления безопасности Active Directory. Изучите использование Linux-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения.
Рассмотрим сеть типичного предприятия. Мы увидим несколько десятков рабочих станций, пару файловых серверов, сервер электронной почты, шлюз в интернет. Как сделать так, чтобы сотрудник утром один раз ввел логин и пароль, после чего мог «прозрачно» использовать все корпоративные сервисы – «ходить» в Интернет, читать сообщения в корпоративном чате и электронной почте, работать с файлами на сервере?
Все это несложно, если использовать ПО от Microsoft. А если нам нужно заменить рабочие станции Windows на Linux? А если у нас почтовый сервер Postfix/Dovecot? А можно организовать авторизованный доступ в интернет через прокси сервер Squid? Или организовать файловый сервер на Linux с пакетом Samba? А как вообще отказаться от Microsoft AD и развернуть аналог на сервере Linux? Какие преимущества и недостатки у того или иного решения?
Ответы на эти и другие вопросы, связанные безопасной и прозрачной (одноразовой) Single Sign On (SSO) идентификацией пользователей и организации унифицированных рабочих мест – workplace innovation (WPI), содержатся в этом курсе. Вы познакомитесь c такими технологиями как NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Цель курса – помочь слушателям организовать переход с решений Microsoft на Linux.
Вам предложат три варианта организации системы идентификации в сети:
В дополнительных материалах к курсу рассматривается возможность сохранить технологию единого входа, используемую Google и Microsoft, и сквозной аутентификации (single sign-on) для современных web-приложений и сервисов с помощью решения Keycloak, работающего по протоколу OpenID. Для приложений GitLab, MinIO и BigBlueButton будет использоваться единая учетная запись со сквозной аутентификацией.
Вы научитесь:
Модуль 1. Развертывание сети предприятия (4 ак. ч.)
Модуль 2. Развертывание сервисов на Linux в инфраструктуре Microsoft Active Directory (5 ак. ч.)
Модуль 3. Добавление рабочих станций Linux в инфраструктуру Microsoft Active Directory (5 ак. ч.)
Модуль 4. Миграция инфраструктуры Microsoft Active Directory на Samba4 (5 ак. ч.)
Модуль 5. Развертывание аналога FreeIPA (5 ак. ч.)
Модуль 6. Дополнительные материалы
Цена: 34990р.
Вы не только научитесь интегрировать UNIX-cистемы в домен, но и применять UNIX для усиления безопасности Active Directory. Изучите использование Linux-сервера в качестве контроллера домена для сетей Windows, а также плюсы и минусы данного решения.
Рассмотрим сеть типичного предприятия. Мы увидим несколько десятков рабочих станций, пару файловых серверов, сервер электронной почты, шлюз в интернет. Как сделать так, чтобы сотрудник утром один раз ввел логин и пароль, после чего мог «прозрачно» использовать все корпоративные сервисы – «ходить» в Интернет, читать сообщения в корпоративном чате и электронной почте, работать с файлами на сервере?
Все это несложно, если использовать ПО от Microsoft. А если нам нужно заменить рабочие станции Windows на Linux? А если у нас почтовый сервер Postfix/Dovecot? А можно организовать авторизованный доступ в интернет через прокси сервер Squid? Или организовать файловый сервер на Linux с пакетом Samba? А как вообще отказаться от Microsoft AD и развернуть аналог на сервере Linux? Какие преимущества и недостатки у того или иного решения?
Ответы на эти и другие вопросы, связанные безопасной и прозрачной (одноразовой) Single Sign On (SSO) идентификацией пользователей и организации унифицированных рабочих мест – workplace innovation (WPI), содержатся в этом курсе. Вы познакомитесь c такими технологиями как NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Цель курса – помочь слушателям организовать переход с решений Microsoft на Linux.
Вам предложат три варианта организации системы идентификации в сети:
- Microsoft Active Directory (сервер идентификации Windows, клиенты Windows/Linux)
- Samba4 (сервер идентификации Linux, клиенты Windows/Linux)
- Kerberos сфера (сервер идентификации Linux, клиенты Windows/Linux)
В дополнительных материалах к курсу рассматривается возможность сохранить технологию единого входа, используемую Google и Microsoft, и сквозной аутентификации (single sign-on) для современных web-приложений и сервисов с помощью решения Keycloak, работающего по протоколу OpenID. Для приложений GitLab, MinIO и BigBlueButton будет использоваться единая учетная запись со сквозной аутентификацией.
Вы научитесь:
- Понимать состав и принципы работы таких коробочных продуктов как Microsoft Active Directory и вообще, зачем включать в них системы Linux
- Использовать библиотеки PAM и NSS для идентификации пользователей в Linux системах.
- Использовать протокол LDAP для хранения информации о пользователях в сети предприятия.
- Разворачивать свой собственный аналог FreeIPA для идентификации пользователей в смешанных Linux/Windows сетях.
- Использовать Microsoft Active Directory с рабочими станциями и серверами Linux.
- Использовать сервера Samba в роли файлового сервера и контроллера домена.
Модуль 1. Развертывание сети предприятия (4 ак. ч.)
Модуль 2. Развертывание сервисов на Linux в инфраструктуре Microsoft Active Directory (5 ак. ч.)
Модуль 3. Добавление рабочих станций Linux в инфраструктуру Microsoft Active Directory (5 ак. ч.)
Модуль 4. Миграция инфраструктуры Microsoft Active Directory на Samba4 (5 ак. ч.)
Модуль 5. Развертывание аналога FreeIPA (5 ак. ч.)
Модуль 6. Дополнительные материалы
Модуль 1 - Развертывание сети предприятия
- Схема стенда
- Лабораторная работа: Базовая настройка систем Linux
- Базовые механизмы аутентификации и авторизации в UNIX
- Библиотека PAM
- Библиотека NSS
- Лабораторная работа: Авторизация с использованием библиотеки NSS
- Лабораторная работа: Аутентификация с использованием библиотеки PAM
- Лабораторная работа: Использование модулей для SSO аутентификации пользователей сервиса SSH
- Протокол Kerberos – принципы работы и варианты использования
- GSSAPI – программный интерфейс для реализации SSO
- Лабораторная работа: Добавление SRV записей в DNS и синхронизация времени
- Лабораторная работа: Установка KDC и регистрация принципалов пользователей и сервисов в Kerberos-сфере
- Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Linux
- Архитектура локальной и доменной аутентификации рабочих станций Windows
- Лабораторная работа: Регистрация Windows клиентов в Kerberos сфере Linux
- Лабораторная работа: Использование протокола GSSAPI для SSO аутентификации сервисов SSH, HTTP, IMAP, SMTP, CIFS, XMPP пользователей Windows
- Протокол LDAP – основы, назначение и варианты использования
- Лабораторная работа: Использование протокола LDAP для авторизации пользователей Linux
- Лабораторная работа: Использование LDAP каталога для хранения дополнительной информации о пользователях сети (корпоративная адресная книга)
- Архитектура и интерфейсы Microsoft AD
- Лабораторная работа: Развертывание контроллера домена
- Лабораторная работа: Включение в домен рабочих станций Windows и Linux
- Лабораторная работа: Использование интерфейса LDAP для авторизации Linux пользователей в Microsoft AD
- Лабораторная работа: Регистрация принципалов сервисов Linux в Microsoft AD
- Лабораторная работа: Использование протоколов SSPI и GSSAPI для аутентификации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
- Архитектура и варианты использования сервисов Winbind и SSSD/Realmd
- Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для регистрации Linux систем в Microsoft AD
- Лабораторная работа: Использование сервиса Winbind для управления ключами сервисов в Microsoft AD
- Лабораторная работа: Использование сервисов Winbind и SSSD/Realm для генерации UNIX атрибутов пользователей Microsoft AD
- Лабораторная работа: Использование сервиса Winbind для авторизации пользователей Microsoft AD на серверах Linux
- История развития систем идентификации компании Microsoft
- Достоинства и недостатки решения Samba4 в качестве контроллера домена
- Лабораторная работа: Настройка Samba4 в качестве контроллера домена
- Лабораторная работа: Регистрация рабочих станций Windows и Linux в домене Samba4
- Лабораторная работа: Использование домена Samba4 для аутентификации и авторизации Windows и Linux пользователей на серверах SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
- Лабораторная работа: Использование групповых политик в Samba4
- Сравнение технологий аутентификации и авторизации, их положительных и отрицательных сторон.
- Практика применения Keycloak в качестве корпоративного OpenID сервера
https://www.specialist.ru/course/yun3-b