Linux. Livello 4: gestione dell'identità e controllo degli accessi - corso RUB 34.490. da Specialista, formazione, Data: 30 novembre 2023.
Miscellanea / / December 03, 2023
Consideriamo la rete di un'impresa tipica. Vedremo diverse dozzine di workstation, un paio di file server, un server di posta elettronica e un gateway Internet. Come assicurarsi che un dipendente inserisca login e password una volta al mattino, dopodiché possa utilizzare tutto in modo “trasparente” servizi aziendali: navigare in Internet, leggere messaggi nella chat aziendale e nella posta elettronica, lavorare con file sul server?
Tutto ciò non è difficile se utilizzi software di un produttore, ad esempio Microsoft. Tuttavia, non è sempre così. Cosa succede se abbiamo workstation Linux oltre a Windows? Cosa succede se abbiamo un server di posta Postfix/Dovecot? È possibile organizzare l'accesso autorizzato a Internet tramite un server proxy Squid? È possibile organizzare un file server su Linux con il pacchetto Samba? È possibile risparmiare sulle licenze Microsoft AD e distribuire un analogo su un server Linux? Quali sono i vantaggi e gli svantaggi di questa o quella soluzione?
Risposte a queste e ad altre domande relative al Single Sign On (SSO) sicuro e trasparente (una tantum) identificazione degli utenti e organizzazione dei luoghi di lavoro unificati - Workplace Innovation (WPI), contiene in questo corso. Acquisirai familiarità con tecnologie come NIS, PAM, NSS, Kerberos, LDAP, GSSAPI. Ti verranno offerte tre opzioni per organizzare un sistema di identificazione sulla rete:
Allo stesso tempo, i servizi stessi: SSH, HTTP, CIFS, IMAP, SMTP, XMPP verranno eseguiti con il nostro sistema operativo preferito: Linux.
Lo scopo del corso è aiutare gli studenti a scegliere la soluzione più ottimale in termini di costi e funzionalità.
Imparerai:
Comprendere la composizione e i principi di funzionamento di prodotti pacchettizzati come Microsoft Active Directory e, in generale, perché includervi sistemi Linux
Utilizza le librerie PAM e NSS per identificare gli utenti sui sistemi Linux.
Utilizza il protocollo LDAP per archiviare informazioni sugli utenti nella rete aziendale.
Distribuisci il tuo analogo di FreeIPA per identificare gli utenti in reti miste Linux/Windows.
Utilizza Microsoft Active Directory con workstation e server Linux.
Utilizzare i server Samba come file server e controller di dominio.
Modulo 1. Realizzazione di una rete aziendale (1 ac. H.)
Disposizione dello stand
Laboratorio: Configurazione di base di sistemi Linux
Modulo 2. Retrospettiva sui meccanismi di autenticazione e autorizzazione in UNIX (2 ac. H.)
Meccanismi di autenticazione e autorizzazione di base in UNIX
Sistema di autenticazione e autorizzazione della rete NIS
Laboratorio: Utilizzo del protocollo NIS per autenticare e autorizzare gli utenti Linux
Lab: Utilizzo di NFS per archiviare centralmente i profili utente roaming
Modulo 3. Moderni meccanismi di autenticazione e autorizzazione in UNIX (2 ac. H.)
Biblioteca PAM
Biblioteca dell'NSS
Lab: Autorizzazione utilizzando la libreria NSS
Lab: Autenticazione utilizzando la libreria PAM
Laboratorio: Utilizzo dei moduli per l'autenticazione SSO degli utenti del servizio SSH
Modulo 4. Autenticazione tramite protocollo Kerberos (3 ac. H.)
Protocollo Kerberos: principi operativi e casi d'uso
GSSAPI è un'interfaccia software per l'implementazione di SSO
Laboratorio: Aggiunta di record SRV al DNS e sincronizzazione dell'ora
Laboratorio: installazione di un KDC e registrazione di entità utente e servizio nell'ambito Kerberos
Lab: Utilizzo del protocollo GSSAPI per l'autenticazione SSO dei servizi SSH, HTTP, IMAP, SMTP, CIFS, XMPP per utenti Linux
Modulo 5. Client Windows nell'ambito Kerberos di Linux (3 ac. H.)
Architettura di autenticazione locale e di dominio delle postazioni di lavoro Windows
Laboratorio: Registrazione dei client Windows nel regno Kerberos di Linux
Lab: Utilizzo del protocollo GSSAPI per l'autenticazione SSO dei servizi SSH, HTTP, IMAP, SMTP, CIFS, XMPP per utenti Windows
Modulo 6. Protocollo LDAP (3ac. H.)
Protocollo LDAP: nozioni di base, scopo e casi d'uso
Laboratorio: Utilizzo di LDAP per autenticare gli utenti Linux
Lab: Utilizzo di una directory LDAP per memorizzare informazioni aggiuntive sugli utenti della rete (rubrica aziendale)
Modulo 7. Utilizzo di Microsoft Active Directory per l'autenticazione e l'autorizzazione di utenti e servizi (3 ac. H.)
Architettura e interfacce di Microsoft AD
Laboratorio: Distribuzione di un controller di dominio
Laboratorio: Unione di workstation Windows e Linux a un dominio
Laboratorio: utilizzo dell'interfaccia LDAP per autenticare gli utenti Linux in Microsoft AD
Laboratorio: registrazione delle entità servizio Linux in Microsoft AD
Laboratorio: Utilizzo dei protocolli SSPI e GSSAPI per autenticare utenti Windows e Linux su server SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Modulo 8. Utilizzo dei servizi Winbind e SSSD/Realmd (3 ac. H.)
Architettura e casi d'uso per i servizi Winbind e SSSD/RealmdLab: utilizzo dei servizi Winbind e SSSD/Realm per registrare i sistemi Linux in Microsoft AD
Lab: Utilizzo di Winbind per gestire le chiavi di servizio in Microsoft AD
Laboratorio: Utilizzo di Winbind e dei servizi SSSD/Realm per generare attributi utente UNIX Microsoft AD
Laboratorio: utilizzo di Winbind per autenticare gli utenti Microsoft AD su server Linux
Modulo 9. Utilizzando il pacchetto Samba4 come controller di dominio (3 ac. H.)
Storia dello sviluppo dei sistemi di identificazione Microsoft
Pro e contro di Samba4 come controller di dominio
Laboratorio: Configurazione di Samba4 come controller di dominio
Laboratorio: Registrazione di workstation Windows e Linux in un dominio Samba4
Lab: Utilizzo di un dominio Samba4 per autenticare e autorizzare utenti Windows e Linux su server SSH, HTTP, IMAP, SMTP, LDAP, CIFS, XMPP
Laboratorio: Utilizzo dei criteri di gruppo in Samba4
Modulo 10. Risultati e conclusioni (1 accademico. H.)
Confronto tra tecnologie di autenticazione e autorizzazione, loro lati positivi e negativi.