active directory | IT-блог Жаконды

Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

07.01.2020 Автор:Жаконда

467 Просмотров Комментариев нет

Как известно система лицензирования Microsoft штука не дешевая и поэтому рассмотрим как установить файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch.

Исходные данные:

Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
Система по файловый сервер (datastore1) на Debian 9 Stretch

Подготовка системы (Debian 9 Stretch)

Перед началом выполнения ниже описанных действий обновляем систему до актуального состояния:

1	apt-get update && apt-get upgrade -y

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

1	datastore1.jakonda.local

Так же файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

1 2	127.0.0.1 localhost 127.0.1.1 datastore1.jakonda.local datastore1

Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

1

2

3

apt-get install ntp ntpdate

ntpdate dc1.jakonda.local

Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

(Еще нет оценок)

Загрузка...

Настройка интеграции ejabberd 18.12.1 с Active Directory на Debian 9. Настройка SSO (Single Sign On) авторизации.

08.02.2019 Автор:Жаконда

2 453 Просмотров 8 комментариев

Продолжаю свое знакомство с XMPP-сервером, на базе ejabberd и реализацию задачи по организации достойного корпоративного мессенджера.

Рассмотрим как интегрировать ejabberd с Active Directory на базе (Windows Server 2012 R2), в частности возможность входа на XMPP-сервер по доменным учетным данным, формирование списка контактов (ростера) на основе пользовательских данных с Active Directory, загрузка пользовательских сведений в vCard из Active Directory, а так же рассмотрим вариант настройки SSO (Single Sign On) авторизации в ejabberd.

Исходные данные:

XMPP-сервер ejabberd 18.12.1 на Debian 9 (установленный по этой статье).
Домен (example.com) развернут на Windows Server 2012 R2 (развернутый по этой статье).

Настройка домена

В конфигурационном файле (/etc/ejabberd/ejabberd.yml), указываем обслуживаемый виртуальный домен, в моем примере это example.com:

1 2	hosts: - "example.com"

Создание сертификата

Для использования SSL, генерируем самоподписной сертификат, для обслуживаемого домена:

1

2

3

4

openssl req -new -x509 -nodes -newkey rsa:1024 -days 1825 -keyout private.key -out ejabberd.pem

## Common Name (e.g. server FQDN or YOUR name) []:example.com

Важно в процессе генерации сертификата, в поле Common Name, указать FQDN домена, для которого генерируется сертификат.

(Еще нет оценок)

Загрузка...

Интеграция Zabbix с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

15.10.2018 Автор:Жаконда

8 337 Просмотров 6 комментариев

Разберем как интегрировать Zabbix с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

Исходные данные:

Развернутая система Zabbix 4.0 (по этой статье)
Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

Для интеграции Zabbix с Active Directory, необходимо создать пользователя который будет выступать администратором Zabbix и с помощью которого будет осуществляться чтение LDAP, для авторизации пользователей системы Zabbix.

Создание пользователя в Active Directory

Создаем пользователя (прим. zabbix), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

(3 голос(ов), в среднем: 3,67 из 5)

Загрузка...

Включение корзины Active Directory в Windows Server 2012 R2

15.06.2018 Автор:Жаконда

2 270 Просмотров Комментариев нет

C помощью корзины Active Directory администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory.

Корзина Active Directory впервые появилась в Windows Server 2008 R2 и управлялась она только с помощью командной строки (PowerShell) и утилиты LDP.exe. В Windows Server 2012 добавили возможность управление корзиной Active Directory из графической консоли Центр администрирования Active Directory (Active Directory Administrative Center).

Для включения корзины ActiveDirectory необходимо выполнить следующие требования:

Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
Функциональный уровень леса должен быть не менее Windows Server 2008 R2
Администратор входящий в состав групп безопасности «Администраторы домена», «Администратор предприятия»

Включаем корзину Active Directory

Запускаем оснастку Центр администрирования Active Directory (Active Directory Administrative Center):

(Еще нет оценок)

Загрузка...

Изменение путей перенаправления контейнеров пользователей и компьютеров в Active Directory, на базе Windows Server 2012 R2

23.05.2018 Автор:Жаконда

876 Просмотров Комментариев нет

В Active Directory создаваемые учетные записи пользователей и учетные записи компьютеров помещаются по-умолчанию в контейнеры Users, Computers. Разберем как изменить пути контейнеров по-умолчанию.

Контейнеры определяются в контексте именования домена, в атрибуте wellKnownObjects. Для его изменения в Windows есть специальные утилиты redircmp.exe (перенаправление компьютеров)и redirusr.exe (перенаправление пользователей),находящиеся в папке C:\Windows\System32.

Необходимые требования для выполнения операции перенаправления контейнеров:

• Функциональный уровень домена не ниже Windows Server 2003
• Должен быть доступен контролер домена с ролью PDC Emulator
• Все действия должны производится с правами администратора домена

(Еще нет оценок)

Загрузка...

Интеграция аутентификации MediaWiki 1.30.0 с Active Directory

24.03.2018 Автор:Жаконда

3 940 Просмотров 14 комментариев

Разберем как интегрировать MediaWiki с Active Directory.

Исходные данные:

Развернутая система MediaWiki 1.30.0 (по этой статье) (mediawiki) на Debian 8 Jessie
Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

Для интеграции MediaWiki с Active Directory, необходимо создать пользователя с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы MediaWiki.

Создание пользователя в Active Directory

Создаем служебного пользователя (прим. admin.mediawiki), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен».

(Еще нет оценок)

Загрузка...

Настройка SSO (Single Sign On) авторизации на Apache в Active Directory (Debian 8 Jessie/Ubuntu Server 14.04)

11.03.2018 Автор:Жаконда

5 238 Просмотров 4 комментария

SSO (Single Sing-on) – позволяет пользователям вошедшим в систему не вводить пароль при авторизации на доменных сетевых ресурсах. Этот же механизм можно запросто прикрепить к Apache, что бы позволить доменным пользователям проходить аутентификацию, например на внутреннем сайте компании, не вводя имя пользователя и пароль.

Исходные данные:

Контроллер домена (DC1) на Windows Server 2012 R2, домен JAKONDA.LOCAL
Веб-сервер (webserver) (Apache 2.4.10) на Debian 8 Jessie

Настройка системы (Debian 8 Jessie)

Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле (/etc/hostname):

1	webserver.jakonda.local

Файл (/etc/hosts) приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP:

1 2	127.0.0.1 localhost 127.0.1.1 webserver.jakonda.local webserver

Настраиваем синхронизацию времени с контроллером домена, выполняем установку NTP, выполняем синхронизацию времени с контроллером домена:

1

2

3

apt-get install ntp ntpdate

ntpdate dc1.jakonda.local

Более подробно о синхронизации времени на Debian 8 Jessie/Ubuntu Server 14.04 можно почитать в этой статье

(Еще нет оценок)

Загрузка...

Интеграция OTRS 6.0.5 (Open-source Ticket Request System) с Active Directory. Настройка прозрачной аутентификации SSO (Single Sign On).

26.02.2018 Автор:Жаконда

6 781 Просмотров 11 комментариев

Разберем как интегрировать OTRS с Active Directory. Рассмотрим два варианта аутентификации, обычная и прозрачная (SSO).

Исходные данные:

Развернутая система OTRS 6.0.5 (по этой статье)
Домен контроллер Windows Server 2012 R2 (JAKONDA.LOCAL)

Для интеграции OTRS с Active Directory, необходимо создать пользователя который будет выступать администратором OTRS и с помощью которого будет осуществляться чтение LDAP, для авторизации всех остальных пользователей системы OTRS.

Создание пользователя в Active Directory

Создаем пользователя (прим. admin.otrs), снимаем галочку «Требовать смены пароля при следующем входе в систему», выставляем галочки «Запретить смену пароля пользователем», «Срок действия пароля не ограничен». После создания пользователя, в свойствах его, указываем адрес электронной почты.

(1 голос(ов), в среднем: 5,00 из 5)

Загрузка...

Ограничиваем скорость доступа пользователям в интернет с помощью прокси-сервера Squid

21.11.2016 Автор:Жаконда

23 677 Просмотров 1 Комментарий

Рано или поздно все сталкиваются с задачей ограничения скорости доступа в интернет для пользователей. Рассмотрим решение данной задачи при помощи прокси-сервера Squid (установить его можно по этой статье)

За ограничение скорости в Squid отвечает параметр delay_pools. Принцип работы delay_pools: каждый запрашиваемый объект сначала попадает в пул, а затем передается клиенту. Каждый пул определяется двумя параметрами: скоростью его заполнения и размером буфера. Прим. размер пула 8000 и размер буфера 8000, означает что скорость заполнения буфера будет 64 кБ/с. Неограниченный размер буфера и скорости задается как -1/-1. Размер буфера и скорость задается в байта.

Скорость заполнения пула зависит от класса delay_class. Варианты доступных классов:

Общие ограничения скорости загрузки для всех.
Общие ограничения скорости загрузки и скорость каждого хоста.
Общие ограничения скорости загрузки, скорость сети и скорость каждого хоста.
Все ограничения класса 3 + ограничения на уровне отдельно взятых пользователей (требуется аутентификация пользователей в правилах http_access).
Запросы группируются по тэгам определяемым в external_acl

Вид записей delay_parameters, в зависимости от выбранного класса:

delay_parameters <номер пула> <общие ограничения для всех>
delay_parameters <номер пула> <общие ограничения для всех> <ограничения для хоста>
delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста>
delay_parameters <номер пула> <общие ограничения для всех> <ограничения для подсети> <ограничения для хоста> <ограничения для пользователя>
delay_parameters <номер пула> <тегированные ограничения>

(Еще нет оценок)

Загрузка...

Работа Squid с Active Directory. Kerberos-аутентификация. Права доступа на основе групп Active Directory.

25.09.2016 Автор:Жаконда

9 884 Просмотров 22 комментария

Разберем как настроить связь Squid 3.5 c Active Directory через kerberos авторизацию, чтобы доступ в интернет предоставлялся только по доменным учетным записям, а так же возможность использования Active Directory групп для разграничения прав доступа в интернет.

Исходные данные:

Установленный на Ubuntu 14.04 Trusty Tahr (srv-squid-s) Squid 3.5
Домен контроллер SRV-DC1 (testzone.local) на базе Windows Server 2008 R2

Подготовка системы Ubuntu 14.04 Trusty Tahr (srv-squid-s)

Укажем корректное имя системы для работы с Active Directory. В файле (/etc/hostname) дописываем к имени системы название вашего домена (в моем случае я дописываю .testzone.local):

1	srv-squid-s.testzone.local

В файле (/etc/hosts) под записью «127.0.0.1 localhost» прописываем данные нашей системы:

1	192.168.1.5 srv-squid-s.testzone.local srv-squid-s

Для применения изменений перезагрузим систему:

1	sudo reboot

(2 голос(ов), в среднем: 4,50 из 5)

Загрузка...

Разворачиваем файловый сервер Samba 4.5 с интеграцией Active Directory на Debian 9 Stretch

Подготовка системы (Debian 9 Stretch)