Microsoft TechDayshttp://www.techdays.ru

Интеграция Linux с инфраструктурой предприятия на основе Active Directory (часть I)

Цыганов ФедорSoftline

Microsoft TechDayshttp://www.techdays.ru

Интеграция Linux в AD - I• Обзор• Likewise Open

Интеграция Linux в AD - II• Identity Management for

Unix• http://www.techdays.ru/videos/2460.

html

Интеграция Linux в AD - III• Samba + Kerberos• http://www.techdays.ru/videos/2461.

html

Интеграция Linux в AD - IV• LDAP + Kerberos + AD• http://www.techdays.ru/videos/2462.

html

Microsoft TechDayshttp://www.techdays.ru

Содержание

Способы интеграцииИнтеграция с использованием программного обеспечения Likewise OpenДемонстрация

Microsoft TechDayshttp://www.techdays.ru

Обзор технологии

Преимущества интеграции

+ Пользователи работают с одним логином и паролем

+ Пароль меняется единожды для всех систем сразу

+ Снижение расходов на администрирование: нет необходимости создавать учетные записи на всех системах

+ Политики паролей наследуются из AD

Microsoft TechDayshttp://www.techdays.ru

Обзор технологии: способы интеграции

Коммерческие или бесплатные продукты

ПЛЮСЫ МИНУСЫ

+ Очень простая установка - Приобретение лицензий ($)

+ Предоставляются (все) сервисы AD

- Используется закрытое ПО

+ Дополнительные возможности: групповые политики

+ Включение Linux клиента в домен

+ Техническая поддержка

Microsoft TechDayshttp://www.techdays.ru

Обзор технологии: способы интеграции

Microsoft Server for NIS (AD Identity Management for Unix)

ПЛЮСЫ МИНУСЫ

+ Стандартные компоненты - Использует NIS в качестве службы каталога

+ Простая установка и настройка

- Не осуществляется подключение к домену

+ Централизованное сопоставление учетных записей (UID, GID)

Microsoft TechDayshttp://www.techdays.ru

Обзор технологии: способы интеграции

Samba + Kerberos

ПЛЮСЫ МИНУСЫ

+ Нет необходимости в конфигурировании Windows Server

- Часть информации продолжает храниться на Linux клиенте; возможно потребует периодической синхронизации

+ Простая установка и настройка Linux клиентов

- Отсутствие технической поддержки

+ Широко используемая и известная технология

+ Осуществляется включение Linux клиента в домен

+ Не требует лицензирования

Microsoft TechDayshttp://www.techdays.ru

Обзор технологии: способы интеграции

LDAP + Kerberos + AD

ПЛЮСЫ МИНУСЫ

+ Для доступа к службе каталога используется LDAP

- Комплексная настройка

+ Стандартное (открытое) решение

- Не осуществляется подключение к домену*

+ Есть Solution Accelerator - Отсутствие технической поддержки

+ Не требует лицензирования

* Для включения в домен можно дополнительно использовать Samba+Winbind

Microsoft TechDayshttp://www.techdays.ru

Интеграция: Likewise Open

+ Бесплатный продукт + Не требуется изменение схемы AD

+ Простые установка и настройка

+ Кэширование реквизитов (Caching Credentials)

+ Включение в домен + Поддерживаются политики паролей

+ SSO для SSH и Putty + Поддерживаются Kerberos, NTLM

+ Есть графический интерфейс

http://www.likewise.com/products/likewise_open/index.php

Microsoft TechDayshttp://www.techdays.ru

Быстрый старт

Загрузить

Установить

Присоединить к домену

Зайти под пользователем AD

Microsoft TechDayshttp://www.techdays.ru

Что еще необходимо учесть?

DNS, Синхронизация времени …

DNS DNS Сервер – контроллер домена

NTP NTP Сервер – контроллер домена

Microsoft TechDayshttp://www.techdays.ru

Что еще необходимо учесть?

Firewall: открыть порты

53 TCP/UDP DNS

88 TCP/UDP Kerberos

123 UDP NTP

137 UDP Netbios Name Service

139 TCP Netbios SMB

445 TCP SMB over TCP

464 TCP/UDP Смена пароля компьютера

3268 TCP Поиск GC

Microsoft TechDayshttp://www.techdays.ru

Что еще необходимо учесть?

Зависимости

glibc

Рекомендуется установить последние обновления

Microsoft TechDayshttp://www.techdays.ru

Что еще необходимо учесть?Демоны

lsassd Аутентификация, авторизация, кэширование

netlogond Поиск DC и GC

lwiod Коммуникации по SMB с SMB серверами

dcerpcd RPC коммуникации

eventlogd Сбор данных для журнала событий

gpagentd Агент групповых политик (Likewise Enterprise)

eventfwdd Передача событий (Likewise Enterprise)

#service DAEMON status#service DAEMON start#service DAEMON stop#service DAEMON restart

Установка и подключение к домену

# Установка./LikewiseOpen-5.1.0.3551-linux-i386-rpm-installer

# Перезагрузкаreboot

# Включение в домен mydomain.com, от имени пользователя admin/opt/likewise/bin/domainjoin-cli join mydomain.com admin

Microsoft TechDayshttp://www.techdays.ru

Конфигурация стенда

Microsoft TechDayshttp://www.techdays.ru

Интеграция с помощью Likewise Open

Демонстрация

Microsoft TechDayshttp://www.techdays.ru

Полезные ресурсы

http://interopsystems.comМного информации по интеграцииhttp://www.likewise.com/products/likewise_open/index.php

ПО Likewise Openhttp://www.microsoft.com/downloads/en/confirmation.aspx?familyId=144f7b82-65cf-4105-b60c-44515299797d&displayLang=en

Windows Security and Directory Services for Unix

Microsoft TechDayshttp://www.techdays.ru