Linux. Niveau 4: Identiteitsbeheer en toegangscontrole - cursus RUB 34.490. van Specialist, opleiding, Datum: 30 november 2023.
Gemengde Berichten / / December 03, 2023
Neem het netwerk van een typische onderneming. We zullen enkele tientallen werkstations zien, een paar bestandsservers, een e-mailserver en een internetgateway. Hoe zorg je ervoor dat een medewerker ’s ochtends één keer zijn login en wachtwoord invoert, waarna hij ‘transparant’ alles kan gebruiken zakelijke diensten - surfen op internet, berichten lezen in zakelijke chat en e-mail, werken met bestanden op server?
Dit alles is niet moeilijk als u software van één fabrikant gebruikt, bijvoorbeeld Microsoft. Dit is echter niet altijd het geval. Wat als we naast Windows ook Linux-werkstations hebben? Wat als we een Postfix/Dovecot-mailserver hebben? Is het mogelijk om geautoriseerde internettoegang te organiseren via een Squid-proxyserver? Is het mogelijk om een bestandsserver op Linux te organiseren met het Samba-pakket? Is het mogelijk om te besparen op Microsoft AD-licenties en een analoog op een Linux-server te implementeren? Wat zijn de voor- en nadelen van deze of gene oplossing?
Antwoorden op deze en andere vragen met betrekking tot veilige en transparante (eenmalige) Single Sign On (SSO) identificatie van gebruikers en organisatie van uniforme werkplekken - werkplekinnovatie (WPI), bevat in deze cursus. Je maakt kennis met technologieën als NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. U krijgt drie opties aangeboden voor het organiseren van een identificatiesysteem op het netwerk:
Tegelijkertijd zullen de services zelf - SSH, HTTP, CIFS, IMAP, SMTP, XMPP draaien onder ons favoriete besturingssysteem - Linux.
Het doel van de cursus is om studenten te helpen bij het kiezen van de meest optimale oplossing in termen van kosten en functionaliteit.
Je leert:
Begrijp de samenstelling en werkingsprincipes van verpakte producten als Microsoft Active Directory en, in het algemeen, waarom Linux-systemen daarin worden opgenomen
Gebruik PAM- en NSS-bibliotheken om gebruikers op Linux-systemen te identificeren.
Gebruik het LDAP-protocol om informatie over gebruikers op het bedrijfsnetwerk op te slaan.
Implementeer uw eigen analoog van FreeIPA om gebruikers in gemengde Linux/Windows-netwerken te identificeren.
Gebruik Microsoft Active Directory met Linux-werkstations en -servers.
Gebruik Samba-servers als bestandsserver en domeincontroller.
Module 1. Implementatie van een bedrijfsnetwerk (1 ac. H.)
Standindeling
Lab: Basisconfiguratie van Linux-systemen
module2. Retrospectief van authenticatie- en autorisatiemechanismen in UNIX (2 ac. H.)
Basisauthenticatie- en autorisatiemechanismen in UNIX
Netwerkauthenticatie- en autorisatiesysteem NIS
Lab: Het NIS-protocol gebruiken om Linux-gebruikers te authenticeren en autoriseren
Lab: NFS gebruiken om roaming-gebruikersprofielen centraal op te slaan
module3. Moderne authenticatie- en autorisatiemechanismen in UNIX (2 ac. H.)
PAM-bibliotheek
NSS-bibliotheek
Lab: Autorisatie via de NSS Bibliotheek
Lab: Authenticatie met behulp van de PAM-bibliotheek
Lab: Modules gebruiken voor SSO-authenticatie van SSH-servicegebruikers
module4. Authenticatie met behulp van het Kerberos-protocol (3 ac. H.)
Kerberos-protocol - Werkingsprincipes en gebruiksscenario's
GSSAPI is een software-interface voor het implementeren van SSO
Lab: SRV-records toevoegen aan DNS en tijd synchroniseren
Lab: Een KDC installeren en gebruikers- en service-principals registreren in de Kerberos-realm
Lab: Gebruik van het GSSAPI-protocol voor SSO-authenticatie van SSH-, HTTP-, IMAP-, SMTP-, CIFS-, XMPP-services voor Linux-gebruikers
module5. Windows-clients in de Kerberos-sfeer van Linux (3 ac. H.)
Architectuur van lokale en domeinauthenticatie van Windows-werkstations
Lab: Windows-clients registreren in de Kerberos-wereld van Linux
Lab: Gebruik van het GSSAPI-protocol voor SSO-authenticatie van SSH-, HTTP-, IMAP-, SMTP-, CIFS-, XMPP-services voor Windows-gebruikers
module6. LDAP-protocol (3 ac. H.)
LDAP-protocol - Basis, doel en gebruiksscenario's
Lab: LDAP gebruiken om Linux-gebruikers te authenticeren
Lab: Een LDAP-directory gebruiken om aanvullende informatie over netwerkgebruikers op te slaan (zakelijk adresboek)
Module 7. Gebruik van Microsoft Active Directory voor authenticatie en autorisatie van gebruikers en services (3 ac. H.)
Microsoft AD-architectuur en interfaces
Lab: Het implementeren van een domeincontroller
Lab: Windows- en Linux-werkstations koppelen aan een domein
Lab: De LDAP-interface gebruiken om Linux-gebruikers te authenticeren in Microsoft AD
Lab: Linux Service Principals registreren in Microsoft AD
Lab: SSPI- en GSSAPI-protocollen gebruiken om Windows- en Linux-gebruikers te authenticeren op SSH-, HTTP-, IMAP-, SMTP-, LDAP-, CIFS-, XMPP-servers
Module 8. Met behulp van Winbind- en SSSD/Realmd-services (3 ac. H.)
Architectuur en gebruiksscenario's voor Winbind- en SSSD/Realmd-servicesLab: Winbind- en SSSD/Realm-services gebruiken om Linux-systemen te registreren in Microsoft AD
Lab: Winbind gebruiken om servicesleutels te beheren in Microsoft AD
Lab: Winbind en SSSD/Realm Services gebruiken om UNIX Microsoft AD-gebruikerskenmerken te genereren
Lab: Winbind gebruiken om Microsoft AD-gebruikers op Linux-servers te authenticeren
Module 9. Het Samba4-pakket gebruiken als domeincontroller (3 ac. H.)
Geschiedenis van de ontwikkeling van Microsoft-identificatiesystemen
Voor- en nadelen van Samba4 als domeincontroller
Lab: Samba4 configureren als domeincontroller
Lab: Windows- en Linux-werkstations registreren in een Samba4-domein
Lab: Een Samba4-domein gebruiken om Windows- en Linux-gebruikers te authenticeren en autoriseren op SSH-, HTTP-, IMAP-, SMTP-, LDAP-, CIFS-, XMPP-servers
Lab: Groepsbeleid gebruiken in Samba4
Module 10. Resultaten en conclusies (1 academisch. H.)
Vergelijking van authenticatie- en autorisatietechnologieën, hun positieve en negatieve kanten.