Представим себе ситуацию, что есть некий сервер на базе Debian GNU/Linux, который уже введён в домен Active Directory с помощью SSSD и realmd и на нём уже имеется keytab-файл, который используется для механизмов аутентификации Kerberos и Single sign-on (SSO) при подключении к серверу по протоколу SSH. И вот возникает необходимость на данном Linux-сервере дополнительно настроить роль веб-сервера для служебных администраторских задач и организовать Kerberos SSO при подключении к веб-узлам этого веб-сервера. По ранее описанным примерам (здесь, здесь и здесь), предполагается, что для целей Kerberos-аутентификации веб-сервера Apache в домене Active Directory (AD) создаётся отдельная сервисная учётная запись типа User, для которой генерируется keytab-файл и в последствии привязывается к настройкам Apache на стороне Linux-сервера. С точки зрения аспектов безопасности такой поход (отдельный Linux-сервис = отдельная учётная запись в AD со своим keytab-файлом) можно считать вполне правильным. Но что, если Linux-сервис, использующий Kerberos-аутентификацию, используется не широким кругом пользователей, а исключительно для административных целей парой-тройкой системных администраторов? В таком случае создание отдельной учётной записи типа User в домене со своим keytab-файлом может показаться избыточным. В этой заметке мы рассмотрим пример того, как добавить дополнительную нужную нам запись servicePrincipalName (SPN) (на примере SPN-записи типа HTTP/) в уже имеющийся на Linux-сервере keytab-файл, ориентированный на сам хост (содержащий SPN-записи типа HOST/). В результате мы получим Kerberos аутентификацию на веб-узлах нашего Linux-сервера и при этом не будем плодить в домене лишние сервисные учётные записи типа User.
-
Добавление SPN записей в keytab-файл (на стороне сервера Linux с помощью утилиты ktutil), связанный с учётной записью Computer в домене Active Directory
-
Обходное решение для ошибки регистрации servicePrincipalName (ATT_OR_VALUE_EXISTS) при подключении Debian GNU/Linux Jessie к домену Active Directory с помощью realm join
На днях получил по электронной почте интересный комментарий к статье про подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd от одного из наших читателей - Степана Кохановского. В силу того, что данный комментарий объёмен и описывает некоторое обходное решение известной проблемы, я решил опубликовать его в виде отдельного поста. -
Создание keytab-файла, содержащего несколько разных Kerberos Principal
Разные службы и приложения, работающие в Linux и использующие аутентификацию Kerberos, например в связке с контроллерами домена Active Directory (AD), используют для механизмов этой самой аутентификации специальный keytab-файл, который содержит хеши пароля доменной учётной записи пользователя, с которым ассоциирована та или иная служба в Linux-системе (как с Kerberos Principal). И вполне типичной и распространённой практикой является создание отдельного keytab-файла для каждого принципала Kerberos. То есть, как правило, прослеживается такая логика: отдельная учётная запись служебного пользователя в AD, для которого зарегистрировано конкретное имя службы ServicePrincipalName (SPN) => отдельный keytab-файл, сопоставимый с записью SPN в AD. -
Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd
На большом количестве разных интернет-ресурсов можно встретить описание процедуры присоединения серверов на базе ОС Linux к домену Active Directory, и практически везде в таких описаниях в виде неотъемлемой части присутствует установка Samba с последующим использованием Winbind. Мы тоже не стали в этом плане исключением. В этой заметке я хочу рассмотреть пример использования альтернативного средства расширения функционала аутентификации и авторизации в Linux – службы SSSD (System Security Services Daemon), которая будет автоматически настроена с помощью пакета realmd (Realm Discovery). В этом примере нами будет настроена аутентификация и авторизация на сервере Debian GNU/Linux 8.6 (Jessie) с подключением к домену Active Directory (на базе Windows Server 2012 R2). -
Развёртывание и настройка oVirt 4.0. Часть 10. Настройка Single sign-on (SSO) на базе Kerberos для упрощения аутентификации на веб-порталах oVirt
В этом части описания мы продолжим тему интеграции oVirt 4.0 с внешним LDAP-каталогом на базе домена Microsoft Active Directory (AD) и поговорим о настройке механизма Single sign-on (SSO) средствами протокола Kerberos для веб-сервера Apache с целью облегчения процедуры аутентификации пользователей при входе на веб-порталы oVirt. -
System Center 2012 R2 App Controller Hight Availability на базе узлов кластера Virtual Machine Manager
Несмотря на то, что такой продукт, как App Controller из состава System Center 2012 R2, можно сказать, уже близок к завершению своего жизненного цикла, выполнять его установку и настройку, да ещё и в варианте Hight Availability, мне до сих пор не доводилось. Практика показала, что процедура такого развёртывания имеет свои нюансы, и поэтому в данной заметке я попытаюсь пошагово описать данный процесс. Основным и главным условием развёртывания высоко-доступного App Controller в моём случае будет использование уже имеющихся серверов System Center 2012 R2 Virtual Machine Manager (VMM), то есть установка служб App Controller будет выполняться на узлы действующего кластера VMM, конфигурация которого рассматривалась ранее в заметке Обновляем System Center 2012 SP1 Virtual Machine Manager до уровня System Center 2012 R2 на Windows Server 2012 R2 и SQL Server 2012 SP1 с параллельным переходом в режим Highly Available. -
SSO-подключение к серверу Ubuntu Server 14.04 LTS по протоколу SSH с помощью PuTTY с компьютера на базе Windows в домене Active Directory
Продолжая тему интеграции систем на базе Linux в доменную инфраструктуру Active Directory (AD), в этой заметке мы рассмотрим вопрос настройки Single sign-on (SSO) при подключении к Linux-серверу на базе Ubuntu Server 14.04 LTS по протоколу SSH с клиентских компьютеров под управлением Windows. Начнём с настроек на стороне Linux-сервера, который будет выступать в качестве сервера SSH на базе пакета OpenSSH (описание установки и базовой настройки рассмотрено ранее). -
Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 4. Конфигурация Kerberos и NTLM
В этой части мы рассмотрим порядок настройки Ubuntu Server 14.04 LTS для обеспечения возможности работы с механизмами аутентификации пользователей прокси-сервера Squid 3 по протоколам Kerberos и NTLM в среде домена Active Directory (AD). Для поддержки NTLM наш Linux-сервер будет присоединён к домену AD, а для поддержки Kerberos для сервера в домене будет создана специальная служебная учетная запись пользователя. В дальнейшем при конфигурации Squid, протокол Kerberos будет использоваться как приоритетный, а протокол NTLM будет применяться в случаях когда клиент прокси-сервера по какой-то причине не может использовать Kerberos. -
Установка и базовая настройка SharePoint Server 2013 SP1 на Windows Server 2012 R2 (в топологии Two-tier farm). Часть 8 – Настройка Службы поиска и создание сайта центра поиска
Данная заметка цикла об установке и базовой настройке SharePoint Server 2013 SP1 будет посвящена настройке общей службы SharePoint – Службе поиска (Search Service). Онлайн документацию на русском языке о развертывании и настройке Службы поиска можно найти в документе Создание и настройка приложения-службы поиска в SharePoint Server 2013. Все проводимые нами действия будут разделены на два основных этапа, каждый из которых имеет свои подзадачи:1. Настройка Службы поиска (Search Service Application)
1.1. Создаём управляемую учетную запись SharePoint Managed Account для Службы поиска
1.2. Создаём служебное веб-приложение Службы поиска (Service Application)
1.3. Настраиваем источники контента (Content Sources)
1.4. Запускаем первый обхода источника контента (Full Crawl) и проверяем результат.2. Настройка сайта Центра поиска (Global Search Center Site)
2.1. Создаем управляемую учетную запись (Managed Account)
2.2. Создаем веб-приложение (Web Application)
2.3. Создаем семейство сайтов (Site collection)
2.4. Регистрируем запись в DNS для Host Header
2.5. Регистрируем SPN для Host Header
2.6. Настраиваем доступ пользователей к корневому сайту
2.7. Задаем Центр поиска в настройках Службы поиска и проверяем результат. -
Установка и базовая настройка SharePoint Server 2013 SP1 на Windows Server 2012 R2 (в топологии Two-tier farm). Часть 6 – Создание семейства сайтов для Личных сайтов (My Sites)
Ёмкое определение ещё одной сущности SharePoint носящей название Личные сайты (My Sites) можно найти в документе Компоненты логической архитектуры (SharePoint Server 2010)Личные сайты — это особые сайты SharePoint, персонализированные для каждого пользователя. Создание личных сайтов включено по умолчанию как часть службы профилей пользователей, и каждый пользователь организации может создать свой уникальный личный сайт.
Как понятно из этого определения, перед развертыванием ещё одной общей службы, расширяющей функциональность фермы SharePoint – Службы профилей (User Profile Service) нам желательно уже иметь развернутое семейство сайтов для узлов Личных сайтов, чем мы и займёмся в данной части нашего цикла заметок об установке и базовой настройке SharePoint Server 2013 SP1
Описание архитектурных особенностей и полного порядка настройки выделенного Семейства сайтов для узлов Личных сайтов изложено на русском языке в документах:
- Обзор личных сайтов в SharePoint Server 2013
- Планирование личных сайтов в SharePoint Server 2013
- Настройка личных сайтов в SharePoint Server 2013Для развертывания нового семейства сайтов для узлов Личных сайтов нам нужно выполнить цепочку действий аналогичную той, что уже была ранее описана в заметке Часть 3 – Создание семейства сайтов, а именно:
1. Создание управляемой учетной записи SharePoint (Managed Account)
2. Создание веб-приложения SharePoint (Web Application)
3. Выполнение базовых настроек веб-приложения
4. Создание семейства сайтов (Site collection)
5. Регистрация записи в DNS для Host Header корневого сайта семейства сайтов
6. Регистрация Service Principal Name (SPN) для Host Header корневого сайта семейства сайтов для обеспечения аутентификации Kerberos
7. Проверка доступности корневого сайта семейства сайтовПоэтому, чтобы не повторяться с точки зрения демонстрации этих действий с использованием графического интерфейса SharePoint (через веб-узел Центра администрирования (ЦА)), в этот раз мы рассмотрим пример, того как все эти действия можно выполнить с помощью SharePoint 2013 Management Shell.
Онлайн-курсы Ильи Рудь {С купоном}
Виртуализация на основе Hyper-V и System Center VMMКурс в 22 лекции [5.5 часов]
Базовые инфраструктурные сервисы Windows Server 2016Курс в 23 лекции [6 часов]
Миграция на Exchange Server 2016 c Exchange Server 2010/2013Курс в 12 лекций [3 часа]
Планирование и установкаMicrosoft Exchange Server 2016Курс в 24 лекции [5.5 часов]
АдминистрированиеMicrosoft Exchange Server 2016Курс в 36 лекций [9 часов]
Планирование и установка Microsoft Skype for Business Server 2015Курс в 26 лекций [5.5 часов]
Телефония на базеSkype for Business Server 2015Курс в 21 лекцию [4.5 часов]
Последние комментарии