• Интеграция Squid 4.9 с Active Directory на Debian 9 Stretch. Реализация Kerberos аутентификации и LDAP авторизации.

    29.01.2020 Автор:Жаконда
    4 317 Просмотров 5 комментариев

    Разберем как настроить связь Squid 4.9 c Active Directory через Kerberos аутентификацию и Basic LDAP авторизацию, для предоставления доступа в интернет по доменным учетным записям и разграничение прав согласно заданным группам безопасности Active Directory.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Прокси-сервер Squid 4.9 (squid) на Debian 9 Stretch

     

    Подготовка системы (Debian 9 Stretch)

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

     

    Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

    07.01.2020 Автор:Жаконда
    5 572 Просмотров 1 Комментарий

    Как известно система лицензирования Microsoft штука не дешевая и поэтому рассмотрим как установить файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Система по файловый сервер (datastore1) на Debian 9 Stretch

     

    Подготовка системы (Debian 9 Stretch)

    Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

     

    Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Настройка интеграции ejabberd 18.12.1 с Active Directory на Debian 9. Настройка SSO (Single Sign On) авторизации.

    08.02.2019 Автор:Жаконда
    5 568 Просмотров 10 комментариев

    Продолжаю свое знакомство с XMPP-сервером, на базе ejabberd и реализацию задачи по организации достойного корпоративного мессенджера.

     

    Рассмотрим как интегрировать ejabberd с Active Directory на базе (Windows Server 2012 R2), в частности возможность входа на XMPP-сервер по доменным учетным данным, формирование списка контактов (ростера) на основе пользовательских данных с Active Directory, загрузка пользовательских сведений в vCard из Active Directory, а так же рассмотрим вариант настройки SSO (Single Sign On) авторизации в ejabberd.

     

    Исходные данные:

    • XMPP-сервер ejabberd 18.12.1 на Debian 9 (установленный по этой статье).
    • Домен (example.com) развернут на Windows Server 2012 R2 (развернутый по этой статье).

     

    Настройка домена

    В конфигурационном файле (/etc/ejabberd/ejabberd.yml), указываем обслуживаемый виртуальный домен, в моем примере это example.com:

     

    Создание сертификата

    Для использования SSL, генерируем самоподписной сертификат, для обслуживаемого домена:

    Важно в процессе генерации сертификата, в поле Common Name, указать FQDN домена, для которого генерируется сертификат.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Интеграция Zabbix с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    15.10.2018 Автор:Жаконда
    13 488 Просмотров 8 комментариев

    Разберем как интегрировать Zabbix с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система Zabbix 4.0 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции Zabbix с Active Directory, необходимо создать пользователя который будет выступать администратором Zabbix и с помощью которого будет осуществляться чтение LDAP, для авторизации пользователей системы Zabbix.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. zabbix), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (3 голос(ов), в среднем: 3,67 из 5)
    Загрузка...

  • Включение корзины Active Directory в Windows Server 2012 R2

    15.06.2018 Автор:Жаконда
    4 387 Просмотров Комментариев нет

    C помощью корзины Active Directory администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory.

     

    Корзина Active Directory впервые появилась в Windows Server 2008 R2 и управлялась она только с помощью командной строки (PowerShell) и утилиты LDP.exe. В Windows Server 2012 добавили возможность управление корзиной Active Directory из графической консоли Центр администрирования Active Directory (Active Directory Administrative Center).

     

    Для включения корзины ActiveDirectory необходимо выполнить следующие требования:

    • Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
    • Функциональный уровень леса должен быть не менее Windows Server 2008 R2
    • Администратор входящий в состав групп безопасности «Администраторы домена», «Администратор предприятия»

     

    Включаем корзину Active Directory

    Запускаем оснастку Центр администрирования Active Directory (Active Directory Administrative Center):

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Изменение путей перенаправления контейнеров пользователей и компьютеров в Active Directory, на базе Windows Server 2012 R2

    23.05.2018 Автор:Жаконда
    1 459 Просмотров Комментариев нет

    В Active Directory создаваемые учетные записи пользователей и учетные записи компьютеров помещаются по-умолчанию в контейнеры Users, Computers. Разберем как изменить пути контейнеров по-умолчанию.

     

    Контейнеры определяются в контексте именования домена, в атрибуте wellKnownObjects. Для его изменения в Windows есть специальные утилиты redircmp.exe (перенаправление компьютеров)и redirusr.exe (перенаправление пользователей),находящиеся в папке C:\Windows\System32.

     

    Необходимые требования для выполнения операции перенаправления контейнеров:

    • Функциональный уровень домена не ниже Windows Server 2003
    • Должен быть доступен контролер домена с ролью PDC Emulator
    • Все действия должны производится с правами администратора домена

     

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Интеграция аутентификации MediaWiki 1.30.0 с Active Directory

    24.03.2018 Автор:Жаконда
    7 249 Просмотров 29 комментариев

    Разберем как интегрировать MediaWiki с Active Directory.

     

    Исходные данные:

    • Развернутая система MediaWiki 1.30.0 (по этой статье) (mediawiki) на Debian 8 Jessie
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции MediaWiki с Active Directory, необходимо создать пользователя с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы MediaWiki.

     

    Создание пользователя в Active Directory

    Создаем служебного пользователя (прим. admin.mediawiki), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен».

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Настройка SSO (Single Sign On) авторизации на Apache в Active Directory (Debian 8 Jessie/Ubuntu Server 14.04)

    11.03.2018 Автор:Жаконда
    9 288 Просмотров 4 комментария

    SSO (Single Sing-on) – позволяет пользователям вошедшим в систему не вводить пароль при авторизации на доменных сетевых ресурсах. Этот же механизм можно запросто прикрепить к Apache, что бы позволить доменным пользователям проходить аутентификацию, например на внутреннем сайте компании, не вводя имя пользователя и пароль.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
    • Веб-сервер (webserver) (Apache 2.4.10) на Debian 8 Jessie

     

    Настройка системы (Debian 8 Jessie)

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

    Файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

     

    Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

    Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...

  • Интеграция OTRS 6.0.5 (Open-source Ticket Request System) с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

    26.02.2018 Автор:Жаконда
    11 042 Просмотров 11 комментариев

    Разберем как интегрировать OTRS с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

     

    Исходные данные:

    • Развернутая система OTRS 6.0.5 (по этой статье)
    • Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

     

    Для интеграции OTRS с Active Directory, необходимо создать пользователя который будет выступать администратором OTRS и с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы OTRS.

     

    Создание пользователя в Active Directory

    Создаем пользователя (прим. admin.otrs), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 5,00 из 5)
    Загрузка...

  • Как изменить стандартные права доступа для создаваемых групповых политик (GPO) в Windows Server 2008 R2/2012 R2

    07.08.2017 Автор:Жаконда
    3 568 Просмотров 5 комментариев

    Разберем как модифицировать шаблон прав доступа, применяемых по-умолчанию к создаваемым групповым политикам. Этот шаблон хранится в AD Schema в объекте Group-Policy-Container, атрибуте defaultSecurityDescriptor.

     

    По умолчанию, права на групповые политики предоставлены следующим группам:

    Добавим в шаблон, права для группы Domain Computers, с разрешением Read.

    Информация: Для внесения изменений в Active Directory Schema ваша учетная запись должна входить в группу Schema Admins

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (Еще нет оценок)
    Загрузка...
Следующая страница
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика