• Интеграция Zabbix с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    Разберем как интегрировать Zabbix с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система Zabbix 4.0 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции Zabbix с Active Directory, необходимо создать пользователя который будет выступать администратором Zabbix и с помощью которого будет осуществляться чтение LDAP, для авторизации пользователей системы Zabbix.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. zabbix), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 3,67 из 5)
    Загрузка...
  • Включение корзины Active Directory в Windows Server 2012 R2

    C помощью корзины Active Directory администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory.

     

    Корзина Active Directory впервые появилась в Windows Server 2008 R2 и управлялась она только с помощью командной строки (PowerShell) и утилиты LDP.exe. В Windows Server 2012 добавили возможность управление корзиной Active Directory из графической консоли Центр администрирования Active Directory (Active Directory Administrative Center).

     

    Для включения корзины ActiveDirectory необходимо выполнить следующие требования:

    • Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
    • Функциональный уровень леса должен быть не менее Windows Server 2008 R2
    • Администратор входящий в состав групп безопасности «Администраторы домена», «Администратор предприятия»

     

    Включаем корзину Active Directory

    Запускаем оснастку Центр администрирования Active Directory (Active Directory Administrative Center):

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Изменение путей перенаправления контейнеров пользователей и компьютеров в Active Directory, на базе Windows Server 2012 R2

    В Active Directory создаваемые учетные записи пользователей и учетные записи компьютеров помещаются по-умолчанию в контейнеры Users, Computers. Разберем как изменить пути контейнеров по-умолчанию.

     

    Контейнеры определяются в контексте именования домена, в атрибуте wellKnownObjects. Для его изменения в Windows есть специальные утилиты redircmp.exe (перенаправление компьютеров)и redirusr.exe (перенаправление пользователей),находящиеся в папке C:\Windows\System32.

     

    Необходимые требования для выполнения операции перенаправления контейнеров:

    • Функциональный уровень домена не ниже Windows Server 2003
    • Должен быть доступен контролер домена с ролью PDC Emulator
    • Все действия должны производится с правами администратора домена

     

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция аутентификации MediaWiki 1.30.0 с Active Directory

    Разберем как интегрировать MediaWiki с Active Directory.

     

    Исходные данные:

    • Развернутая система MediaWiki 1.30.0 (по этой статье) (mediawiki) на Debian 8 Jessie
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции MediaWiki с Active Directory, необходимо создать пользователя с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы MediaWiki.

     

    Создание пользователя в Active Directory

    Создаем служебного пользователя (прим. admin.mediawiki), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен».

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Настройка SSO (Single Sign On) авторизации на Apache в Active Directory (Debian 8 Jessie/Ubuntu Server 14.04)

    SSO (Single Sing-on) – позволяет пользователям вошедшим в систему не вводить пароль при авторизации на доменных сетевых ресурсах. Этот же механизм можно запросто прикрепить к Apache, что бы позволить доменным пользователям проходить аутентификацию, например на внутреннем сайте компании, не вводя имя пользователя и пароль.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Веб-сервер (webserver) (Apache 2.4.10) на Debian 8 Jessie

     

    Настройка системы (Debian 8 Jessie)

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

    webserver.jakonda.local

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    apt-get install ntp ntpdate
    
    ntpdate dc1.jakonda.local
    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция OTRS 6.0.5 (Open-source Ticket Request System) с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    Разберем как интегрировать OTRS с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система OTRS 6.0.5 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции OTRS с Active Directory, необходимо создать пользователя который будет выступать администратором OTRS и с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы OTRS.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. admin.otrs), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Ограничиваем скорость доступа пользователям в интернет с помощью SQUID.

    Рано или поздно все сталкиваются с задачей ограничения скорости доступа в интернет для пользователей. Эту задачу будем решать с помощью Squid. Мы рассмотрим различные варианты общего ограничения скорости доступа, ограничения скорости при скачивании определенных файлов из сети интернет, ограничение скорости на основе Active Directory групп.

    Все операции проделываться будут на Ubuntu server 14.04.5 с развернутым Squid 3.5.19 по этой инструкции.

    За ограничение скорости в Squid отвечает параметр delay_pools. Принцип работы delay_pools: каждый запрашиваемый объект сначала попадает в пул, а затем передается клиенту. Каждый пул определяется двумя параметрами: скоростью его заполнения и размером буфера. Прим. размер пула 8000 и размер буфера 8000, означает что скорость заполнения буфера будет 64 кБ/с. Неограниченный размер буфера и скорости задается как -1/-1. Размер буфера и скорость задается в байта.

    Скорость заполнения пула зависит от класса delay_class. Варианты доступных классов:

    1. Общие ограничения скорости загрузки для всех.
    2. Общие ограничения скорости загрузки и скорость каждого хоста.
    3. Общие ограничения скорости загрузки, скорость сети и скорость каждого хоста.
    4. Все ограничения класса 3 + ограничения на уровне отдельно взятых пользователей (требуется аутентификация пользователей в правилах http_access).
    5. Запросы группируются по тэгам определяемым в external_acl

    Вид записей delay_parameters, в зависимости от выбранного класса:

    1. delay_parameters <номер пула> <общие ограничения для всех>
    2. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для хоста>
    3. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста>
    4. delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста> <ограничения для пользователя>
    5. delay_parameters <номер пула> <тегированные ограничения>

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.

    В предыдущей статье мы разбирали как развернуть прокси-сервер Squid 3.5.19 на Ubuntu 14.04.5 LTS. А сейчас мы разберем как подружить Squid 3.5.19 c Active Directory, чтобы доступ в интернет предоставлялся только по доменным учетным записям, а так же возможность использования Active Directory групп для разграничения прав доступа в интернет.

     

    Squid у меня установлен на Ubuntu 14.04.5 LTS x64 (srv-squid), имеется домен контроллер srv-dc1 (testzone.local) на Windows Server 2008 R2. Авторизацию Squid будем делать через Kerberos. Поехали..

     

    Проведем подготовительные работы на машине где установлен Squid.

     

    Укажем корректное для работы сActive Directory название машины. Вызываем редактирование файла /etc/hostname

    sudo nano /etc/hostname

    И к названию системы дописываем название вашего домена (в моем случае я дописываю .testzone.local)

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 4,50 из 5)
    Загрузка...