Блог IT-KB
  • Вики
  • Форум
  • О нас
    • Команда авторов
    • Контактная форма

Собрание заметок об информационных технологиях

  • Базовая настройка Kerberos в IIS для пулов, исполняемых в контексте ApplicationPoolIdentity или gMSA, а также нюансы делегирования Constrained Delegation и Resource-Based Constrained Delegation

    17.12.2022 Автор:Алексей Максимов
    2 122 Просмотров Комментариев нет

    imageВ этой статье мы рассмотрим примеры базовой настройки протокола аутентификации Kerberos для пула приложений IIS v10 на сервере с ОС Windows Server 2022. При этом мы отдельно поговорим о разных вариантах настройки в зависимости от типа учётной записи, в контексте которой выполняется пул приложений IIS. Кроме того, попробуем рассмотреть задачу подключения к веб-сервису IIS (фронтенд) стороннего файлового ресурса (бэкенд) и делегирования аутентификации пользователей от фронтенда к бэкенду.

    Читать далее...

  • Добавление SPN записей в keytab-файл (на стороне сервера Linux с помощью утилиты ktutil), связанный с учётной записью Computer в домене Active Directory

    26.10.2017 Автор:Алексей Максимов
    11 035 Просмотров 2 комментария

    Представим себе ситуацию, что есть некий сервер на базе Debian GNU/Linux, который уже введён в домен Active Directory с помощью SSSD и realmd и на нём уже имеется keytab-файл, который используется для механизмов аутентификации Kerberos и Single sign-on (SSO) при подключении к серверу по протоколу SSH. И вот возникает необходимость на данном Linux-сервере дополнительно настроить роль веб-сервера для служебных администраторских задач и организовать Kerberos SSO при подключении к веб-узлам этого веб-сервера. По ранее описанным примерам (здесь, здесь и здесь), предполагается, что для целей Kerberos-аутентификации веб-сервера Apache в домене Active Directory (AD) создаётся отдельная сервисная учётная запись типа User, для которой генерируется keytab-файл и в последствии привязывается к настройкам Apache на стороне Linux-сервера. С точки зрения аспектов безопасности такой поход (отдельный Linux-сервис = отдельная учётная запись в AD со своим keytab-файлом) можно считать вполне правильным. Но что, если Linux-сервис, использующий Kerberos-аутентификацию, используется не широким кругом пользователей, а исключительно для административных целей парой-тройкой системных администраторов? В таком случае создание отдельной учётной записи типа User в домене со своим keytab-файлом может показаться избыточным. В этой заметке мы рассмотрим пример того, как добавить дополнительную нужную нам запись servicePrincipalName (SPN) (на примере SPN-записи типа HTTP/) в уже имеющийся на Linux-сервере keytab-файл, ориентированный на сам хост (содержащий SPN-записи типа HOST/). В результате мы получим Kerberos аутентификацию на веб-узлах нашего Linux-сервера и при этом не будем плодить в домене лишние сервисные учётные записи типа User.

    Читать далее...

  • Обходное решение для ошибки регистрации servicePrincipalName (ATT_OR_VALUE_EXISTS) при подключении Debian GNU/Linux Jessie к домену Active Directory с помощью realm join

    28.09.2017 Автор:Алексей Максимов
    5 378 Просмотров 2 комментария

    imageНа днях получил по электронной почте интересный комментарий к статье про подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd от одного из наших читателей - Степана Кохановского. В силу того, что данный комментарий объёмен и описывает некоторое обходное решение известной проблемы, я решил опубликовать его в виде отдельного поста.

    Читать далее...

  • Создание keytab-файла, содержащего несколько разных Kerberos Principal

    24.03.2017 Автор:Алексей Максимов
    48 392 Просмотров 8 комментариев

    Разные службы и приложения, работающие в Linux и использующие аутентификацию Kerberos, например в связке с контроллерами домена Active Directory (AD), используют для механизмов этой самой аутентификации специальный keytab-файл, который содержит хеши пароля доменной учётной записи пользователя, с которым ассоциирована та или иная служба в Linux-системе (как с Kerberos Principal). И вполне типичной и распространённой практикой является создание отдельного keytab-файла для каждого принципала Kerberos. То есть, как правило, прослеживается такая логика: отдельная учётная запись служебного пользователя в AD, для которого зарегистрировано конкретное имя службы ServicePrincipalName (SPN) => отдельный keytab-файл, сопоставимый с записью SPN в AD.

    Читать далее...

  • Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd

    15.10.2016 Автор:Алексей Максимов
    49 265 Просмотров 39 комментариев

    На большом количестве разных интернет-ресурсов можно встретить описание процедуры присоединения серверов на базе ОС Linux к домену Active Directory, и практически везде в таких описаниях в виде неотъемлемой части присутствует установка Samba с последующим использованием Winbind. Мы тоже не стали в этом плане исключением. В этой заметке я хочу рассмотреть пример использования альтернативного средства расширения функционала аутентификации и авторизации в Linux – службы SSSD (System Security Services Daemon), которая будет автоматически настроена с помощью пакета realmd (Realm Discovery). В этом примере нами будет настроена аутентификация и авторизация на сервере Debian GNU/Linux 8.6 (Jessie) с подключением к домену Active Directory (на базе Windows Server 2012 R2). Читать далее...

  • Развёртывание и настройка oVirt 4.0. Часть 10. Настройка Single sign-on (SSO) на базе Kerberos для упрощения аутентификации на веб-порталах oVirt

    04.10.2016 Автор:Алексей Максимов
    8 577 Просмотров 7 комментариев

    В этом части описания мы продолжим тему интеграции oVirt 4.0 с внешним LDAP-каталогом на базе домена Microsoft Active Directory (AD) и поговорим о настройке механизма Single sign-on (SSO) средствами протокола Kerberos для веб-сервера Apache с целью облегчения процедуры аутентификации пользователей при входе на веб-порталы oVirt. Читать далее...

  • System Center 2012 R2 App Controller Hight Availability на базе узлов кластера Virtual Machine Manager

    09.11.2015 Автор:Алексей Максимов
    4 402 Просмотров 1 Комментарий

    imageНесмотря на то, что такой продукт, как App Controller из состава System Center 2012 R2, можно сказать, уже близок к завершению своего жизненного цикла, выполнять его установку и настройку, да ещё и в варианте Hight Availability, мне до сих пор не доводилось. Практика показала, что процедура такого развёртывания имеет свои нюансы, и поэтому в данной заметке я попытаюсь пошагово описать данный процесс. Основным и главным условием развёртывания высоко-доступного App Controller в моём случае будет использование уже имеющихся серверов System Center 2012 R2 Virtual Machine Manager (VMM), то есть установка служб App Controller будет выполняться на узлы действующего кластера VMM, конфигурация которого рассматривалась ранее в заметке Обновляем System Center 2012 SP1 Virtual Machine Manager до уровня System Center 2012 R2 на Windows Server 2012 R2 и SQL Server 2012 SP1 с параллельным переходом в режим Highly Available.

    Читать далее...

  • SSO-подключение к серверу Ubuntu Server 14.04 LTS по протоколу SSH с помощью PuTTY с компьютера на базе Windows в домене Active Directory

    06.07.2014 Автор:Алексей Максимов
    14 739 Просмотров 3 комментария

    imageПродолжая тему интеграции систем на базе Linux в доменную инфраструктуру Active Directory (AD), в этой заметке мы рассмотрим вопрос настройки Single sign-on (SSO) при подключении к Linux-серверу на базе Ubuntu Server 14.04 LTS по протоколу SSH с клиентских компьютеров под управлением Windows. Начнём с настроек на стороне Linux-сервера, который будет выступать в качестве сервера SSH на базе пакета OpenSSH (описание установки и базовой настройки рассмотрено ранее).

    Читать далее...

  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 4. Конфигурация Kerberos и NTLM

    24.06.2014 Автор:Алексей Максимов
    104 355 Просмотров 100 комментариев

    image_thumbВ этой части мы рассмотрим порядок настройки Ubuntu Server 14.04 LTS для обеспечения возможности работы с механизмами аутентификации пользователей прокси-сервера Squid 3 по протоколам Kerberos и NTLM в среде домена Active Directory (AD). Для поддержки NTLM наш Linux-сервер будет присоединён к домену AD, а для поддержки Kerberos для сервера в домене будет создана специальная служебная учетная запись пользователя. В дальнейшем при конфигурации Squid, протокол Kerberos будет использоваться как приоритетный, а протокол NTLM будет применяться в случаях когда клиент прокси-сервера по какой-то причине не может использовать Kerberos. Читать далее...

  • Установка и базовая настройка SharePoint Server 2013 SP1 на Windows Server 2012 R2 (в топологии Two-tier farm). Часть 8 – Настройка Службы поиска и создание сайта центра поиска

    22.04.2014 Автор:Алексей Максимов
    21 730 Просмотров 29 комментариев

    Данная заметка цикла об установке и базовой настройке SharePoint Server 2013 SP1 будет посвящена настройке общей службы SharePoint – Службе поиска (Search Service). Онлайн документацию на русском языке о развертывании и настройке Службы поиска можно найти в документе Создание и настройка приложения-службы поиска в SharePoint Server 2013. Все проводимые нами действия будут разделены на два основных этапа, каждый из которых имеет свои подзадачи:

    1. Настройка Службы поиска (Search Service Application)

    1.1. Создаём управляемую учетную запись SharePoint Managed Account для Службы поиска
    1.2. Создаём служебное веб-приложение Службы поиска (Service Application)
    1.3. Настраиваем источники контента (Content Sources)
    1.4. Запускаем первый обхода источника контента (Full Crawl) и проверяем результат.

    2. Настройка сайта Центра поиска (Global Search Center Site)

    2.1. Создаем управляемую учетную запись (Managed Account)
    2.2. Создаем веб-приложение (Web Application)
    2.3. Создаем семейство сайтов (Site collection)
    2.4. Регистрируем запись в DNS для Host Header
    2.5. Регистрируем SPN для Host Header
    2.6. Настраиваем доступ пользователей к корневому сайту
    2.7. Задаем Центр поиска в настройках Службы поиска и проверяем результат.

    Читать далее...

Следующая страница

Онлайн-курсы Евгения Лейтана

Внедрение Microsoft System Center Operations (SCOM) 2016/2019
13 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!

E-mail подписка на блог

Вы можете подписаться на уведомления по электронной почте о появлении новых записей блога.
Уже подписалось: 404

RSS подписка

RSS лента RSS - Записи

RSS лента RSS — комментарии

Облако меток

Active Directory Backup CentOS CentOS 7 Cluster ConfigMgr Debian DPM Exchange Server firmware Free software Group Policy Hardware HP Hyper-V Linux Monitoring Networking Open Source OpsMgr oVirt PowerShell ProLiant RDS SCCM SCOM Script Security SharePoint SharePoint 2013 SQL Server System Center System Center 2012 System Center 2012 R2 Troubleshooting Ubuntu Update Upgrade Virtualization Web Server Windows 10 Windows Server Windows Server 2012 Windows Server 2012 R2 WSUS

Архив записей

  • Самое обсуждаемое
  • Случайные записи
  • Remote Desktop Services – Строим отказоустойчивую ферму RD Connection Broker на базе Windows Server 2012 (280 Комментариев)
  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 5. Конфигурация Squid 3 (141 Комментариев)
  • Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 4. Конфигурация Kerberos и NTLM (100 Комментариев)
  • Установка HP Systems Insight Manager (SIM) (92 Комментариев)
  • Remote Desktop Services - Строим отказоустойчивую ферму RD Connection Broker (87 Комментариев)
  • Обновление от 22.03.16: System Center 2012 R2 Data Protection Manager - защита Exchange 2016
  • Автоматизация Excel с помощью PowerShell без установки Microsoft Office Excel
  • Кеш контроллера HPE Smart Array в состоянии "Not Configured" при активном механизме SSD Smart Path
  • Получение списка и свойств БД SQL Server с использованием PowerShell и Excel
  • Windows Server 2003 – Пустой список установленных программ в Add/Remove Programs и ошибки исполнения сценариев VBScript

Мета

  • Войти
  • Лента записей
  • Лента комментариев
  • WordPress.org

Социальные ссылки

Email: Blog@IT-KB.RU

Статистика

Яндекс.Метрика
© Блог IT-KB All Rights Reserved. Theme zAlive by zenoven.
  • Контактная форма
  • Команда авторов
 

Загружаются Комментарии...