Linux. Nível 4: Gerenciamento de identidade e controle de acesso - curso RUB 34.490. de Especialista, treinamento, Data: 30 de novembro de 2023.
Miscelânea / / December 03, 2023
Considere a rede de uma empresa típica. Veremos várias dezenas de estações de trabalho, alguns servidores de arquivos, um servidor de e-mail e um gateway de Internet. Como garantir que um funcionário insira seu login e senha uma vez pela manhã, após o que ele poderá usar tudo de forma “transparente” serviços corporativos - navegue na Internet, leia mensagens em bate-papo corporativo e e-mail, trabalhe com arquivos no servidor?
Tudo isso não é difícil se você usar software de um fabricante, por exemplo, Microsoft. No entanto, nem sempre é esse o caso. E se tivermos estações de trabalho Linux além do Windows? E se tivermos um servidor de e-mail Postfix/Dovecot? É possível organizar o acesso autorizado à Internet através de um servidor proxy Squid? É possível organizar um servidor de arquivos no Linux com o pacote Samba? É possível economizar em licenças do Microsoft AD e implantar um analógico em um servidor Linux? Quais são as vantagens e desvantagens desta ou daquela solução?
Respostas a estas e outras perguntas relacionadas ao Single Sign On (SSO) seguro e transparente (único) identificação de usuários e organização de locais de trabalho unificados - inovação no local de trabalho (WPI), contém nesse curso. Você se familiarizará com tecnologias como NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Serão oferecidas três opções para organizar um sistema de identificação na rede:
Ao mesmo tempo, os próprios serviços - SSH, HTTP, CIFS, IMAP, SMTP, XMPP serão executados em nosso sistema operacional favorito - Linux.
O objetivo do curso é ajudar os alunos a escolher a solução mais ideal em termos de custo e funcionalidade.
Você vai aprender:
Compreender a composição e os princípios operacionais de produtos empacotados como o Microsoft Active Directory e, em geral, por que incluir sistemas Linux neles
Use bibliotecas PAM e NSS para identificar usuários em sistemas Linux.
Use o protocolo LDAP para armazenar informações sobre usuários na rede corporativa.
Implante seu próprio análogo do FreeIPA para identificar usuários em redes mistas Linux/Windows.
Use o Microsoft Active Directory com estações de trabalho e servidores Linux.
Use servidores Samba como servidor de arquivos e controlador de domínio.
Módulo 1. Implantação de rede corporativa (1 ac. h.)
Layout do estande
Laboratório: Configuração Básica de Sistemas Linux
Módulo 2. Retrospectiva dos mecanismos de autenticação e autorização em UNIX (2 ac. h.)
Mecanismos básicos de autenticação e autorização em UNIX
Sistema de autenticação e autorização de rede NIS
Laboratório: Usando o protocolo NIS para autenticar e autorizar usuários Linux
Laboratório: Usando NFS para armazenar centralmente perfis de usuários móveis
Módulo 3. Mecanismos modernos de autenticação e autorização em UNIX (2 ac. h.)
Biblioteca PAM
Biblioteca NSS
Laboratório: Autorização usando a biblioteca NSS
Laboratório: Autenticação usando a biblioteca PAM
Laboratório: Usando módulos para autenticação SSO de usuários de serviços SSH
Módulo 4. Autenticação utilizando o protocolo Kerberos (3 ac. h.)
Protocolo Kerberos – Princípios Operacionais e Casos de Uso
GSSAPI é uma interface de software para implementação de SSO
Laboratório: Adicionando registros SRV ao DNS e sincronizando o horário
Laboratório: Instalando um KDC e registrando usuários e entidades de serviço no Kerberos Realm
Laboratório: Usando o protocolo GSSAPI para autenticação SSO de serviços SSH, HTTP, IMAP, SMTP, CIFS, XMPP para usuários Linux
Módulo 5. Clientes Windows na esfera Kerberos do Linux (3 ac. h.)
Arquitetura de autenticação local e de domínio de estações de trabalho Windows
Laboratório: Registrando clientes Windows no Kerberos Realm do Linux
Laboratório: Usando o protocolo GSSAPI para autenticação SSO de serviços SSH, HTTP, IMAP, SMTP, CIFS, XMPP para usuários do Windows
Módulo 6. Protocolo LDAP (3ac. h.)
Protocolo LDAP – Noções básicas, finalidade e casos de uso
Laboratório: Usando LDAP para autenticar usuários Linux
Laboratório: Usando um diretório LDAP para armazenar informações adicionais sobre usuários da rede (catálogo de endereços corporativo)
Módulo 7. Utilização do Microsoft Active Directory para autenticação e autorização de usuários e serviços (3 ac. h.)
Arquitetura e interfaces do Microsoft AD
Laboratório: Implantando um controlador de domínio
Laboratório: Unindo estações de trabalho Windows e Linux a um domínio
Laboratório: Usando a interface LDAP para autenticar usuários Linux no Microsoft AD
Laboratório: Registrando entidades de serviço Linux no Microsoft AD
Laboratório: Usando protocolos SSPI e GSSAPI para autenticar usuários Windows e Linux em servidores SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Módulo 8. Usando serviços Winbind e SSSD/Realmd (3 ac. h.)
Arquitetura e casos de uso para serviços Winbind e SSSD/RealmdLab: Usando serviços Winbind e SSSD/Realm para registrar sistemas Linux no Microsoft AD
Laboratório: Usando Winbind para gerenciar chaves de serviço no Microsoft AD
Laboratório: Usando Winbind e SSSD/Realm Services para gerar atributos de usuário UNIX Microsoft AD
Laboratório: Usando Winbind para autenticar usuários do Microsoft AD em servidores Linux
Módulo 9. Usando o pacote Samba4 como controlador de domínio (3 ac. h.)
História do desenvolvimento de sistemas de identificação Microsoft
Prós e contras do Samba4 como controlador de domínio
Laboratório: Configurando o Samba4 como controlador de domínio
Laboratório: Registrando estações de trabalho Windows e Linux em um domínio Samba4
Laboratório: Usando um domínio Samba4 para autenticar e autorizar usuários Windows e Linux em servidores SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Laboratório: Usando Políticas de Grupo no Samba4
Módulo 10. Resultados e conclusões (1 acadêmico. h.)
Comparação de tecnologias de autenticação e autorização, seus lados positivos e negativos.