• Ввод Debian 10 Buster в домен Windows с помощью Kerberos, Samba, Winbind

    Ниже опишу как ввести linux систему Debian 10 в домен Windows с помощью Kerberos, Samba, Winbind.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2019, домен SYSOS.LOCAL
    • Linux система (datastore1) на Debian 10 Buster

     

    Подготовка системы

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname:

    datastore1.sysos.local

     

    Так же файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

    127.0.0.1	localhost
    127.0.1.1	datastore1.sysos.local datastore1

     

     

    Настройка синхронизации времени

    Если разница будет более 5 минут, то будет не возможно получить билет от Kerberos. Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP:

    apt-get install ntp ntpdate

     

    В файле конфигурации /etc/ntp.conf, добавляем в него информацию о вашем сервере времени (в моем случае указываю контролер домена):

    # You do need to talk to an NTP server or two (or three).
    server dc1.sysos.local

     

    Перезапускаем службу времени:

    /etc/init.d/ntp restart

     

     

    Для единовременной синхронизации можно воспользоваться командой:

    ntpdate dc1.sysos.local
    Рекомендую ознакомится подробней о синхронизации времени на Linux системах можно почитать в этой статье и выполнить его настройку.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция Squid 4.9 с Active Directory на Debian 9 Stretch. Реализация Kerberos аутентификации и LDAP авторизации.

    Разберем как настроить связь Squid 4.9 c Active Directory через Kerberos аутентификацию и Basic LDAP авторизацию, для предоставления доступа в интернет по доменным учетным записям и разграничение прав согласно заданным группам безопасности Active Directory.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Прокси-сервер Squid 4.9 (squid) на Debian 9 Stretch

     

    Подготовка системы (Debian 9 Stretch)

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

    squid.jakonda.local

     

    Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

    127.0.0.1	localhost
    127.0.1.1	squid.jakonda.local squid

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    apt-get install ntp ntpdate
    
    ntpdate dc1.jakonda.local
    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

    Как известно система лицензирования Microsoft штука не дешевая и поэтому рассмотрим как установить файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Система по файловый сервер (datastore1) на Debian 9 Stretch

     

    Подготовка системы (Debian 9 Stretch)

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

    datastore1.jakonda.local

     

    Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

    127.0.0.1	localhost
    127.0.1.1	datastore1.jakonda.local datastore1

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    apt-get install ntp ntpdate
    
    ntpdate dc1.jakonda.local
    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (2 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
  • Настройка интеграции ejabberd 18.12.1 с Active Directory на Debian 9. Настройка SSO (Single Sign On) авторизации.

    Продолжаю свое знакомство с XMPP-сервером, на базе ejabberd и реализацию задачи по организации достойного корпоративного мессенджера.

     

    Рассмотрим как интегрировать ejabberd с Active Directory на базе (Windows Server 2012 R2), в частности возможность входа на XMPP-сервер по доменным учетным данным, формирование списка контактов (ростера) на основе пользовательских данных с Active Directory, загрузка пользовательских сведений в vCard из Active Directory, а так же рассмотрим вариант настройки SSO (Single Sign On) авторизации в ejabberd.

     

    Исходные данные:

    • XMPP-сервер ejabberd 18.12.1 на Debian 9 (установленный по этой статье).
    • Домен (example.com) развернут на Windows Server 2012 R2 (развернутый по этой статье).

     

    Настройка домена

    В конфигурационном файле (/etc/ejabberd/ejabberd.yml), указываем обслуживаемый виртуальный домен, в моем примере это example.com:

    hosts:
      - "example.com"
    

     

    Создание сертификата

    Для использования SSL, генерируем самоподписной сертификат, для обслуживаемого домена:

    openssl req -new -x509 -nodes -newkey rsa:1024 -days 1825 -keyout private.key -out ejabberd.pem
    
    
    ## Common Name (e.g. server FQDN or YOUR name) []:example.com
    Важно в процессе генерации сертификата, в поле Common Name, указать FQDN домена, для которого генерируется сертификат.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция Zabbix с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    Разберем как интегрировать Zabbix с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система Zabbix 4.0 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции Zabbix с Active Directory, необходимо создать пользователя который будет выступать администратором Zabbix и с помощью которого будет осуществляться чтение LDAP, для авторизации пользователей системы Zabbix.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. zabbix), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 3,67 из 5)
    Загрузка...
  • Включение корзины Active Directory в Windows Server 2012 R2

    C помощью корзины Active Directory администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory.

     

    Корзина Active Directory впервые появилась в Windows Server 2008 R2 и управлялась она только с помощью командной строки (PowerShell) и утилиты LDP.exe. В Windows Server 2012 добавили возможность управление корзиной Active Directory из графической консоли Центр администрирования Active Directory (Active Directory Administrative Center).

     

    Для включения корзины ActiveDirectory необходимо выполнить следующие требования:

    • Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
    • Функциональный уровень леса должен быть не менее Windows Server 2008 R2
    • Администратор входящий в состав групп безопасности «Администраторы домена», «Администратор предприятия»

     

    Включаем корзину Active Directory

    Запускаем оснастку Центр администрирования Active Directory (Active Directory Administrative Center):

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Изменение путей перенаправления контейнеров пользователей и компьютеров в Active Directory, на базе Windows Server 2012 R2

    В Active Directory создаваемые учетные записи пользователей и учетные записи компьютеров помещаются по-умолчанию в контейнеры Users, Computers. Разберем как изменить пути контейнеров по-умолчанию.

     

    Контейнеры определяются в контексте именования домена, в атрибуте wellKnownObjects. Для его изменения в Windows есть специальные утилиты redircmp.exe (перенаправление компьютеров)и redirusr.exe (перенаправление пользователей),находящиеся в папке C:\Windows\System32.

     

    Необходимые требования для выполнения операции перенаправления контейнеров:

    • Функциональный уровень домена не ниже Windows Server 2003
    • Должен быть доступен контролер домена с ролью PDC Emulator
    • Все действия должны производится с правами администратора домена

     

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция аутентификации MediaWiki 1.30.0 с Active Directory

    Разберем как интегрировать MediaWiki с Active Directory.

     

    Исходные данные:

    • Развернутая система MediaWiki 1.30.0 (по этой статье) (mediawiki) на Debian 8 Jessie
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции MediaWiki с Active Directory, необходимо создать пользователя с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы MediaWiki.

     

    Создание пользователя в Active Directory

    Создаем служебного пользователя (прим. admin.mediawiki), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен».

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Настройка SSO (Single Sign On) авторизации на Apache в Active Directory Windows на Debian 10 Buster.

    SSO (Single Sing-on) – позволяет пользователям вошедшим в систему не вводить пароль при авторизации на доменных сетевых ресурсах. Этот же механизм можно запросто прикрепить к Apache, что бы позволить доменным пользователям проходить аутентификацию, например на внутреннем сайте компании, не вводя имя пользователя и пароль.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Веб-сервер (webserver) (Apache 2.4.10) на Debian 10 Buster.

     

    ИНФОРМАЦИЯ. Данная статья так же применительная будет ко всем debian-like системам.

     

    Подготовка системы

    # Обновляем информацию о репозиториях и обновляем установленные пакеты:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname:

    webserver.jakonda.local

    Файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP хоста:

    127.0.0.1 localhost 
    127.0.1.1 webserver.jakonda.local webserver

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    apt-get install ntp ntpdate
    
    ntpdate dc1.jakonda.local
    Более подробно о синхронизации времени на Debian можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
  • Интеграция OTRS 6.0.5 (Open-source Ticket Request System) с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    Разберем как интегрировать OTRS с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система OTRS 6.0.5 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции OTRS с Active Directory, необходимо создать пользователя который будет выступать администратором OTRS и с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы OTRS.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. admin.otrs), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика