ЛР 4.3 - Сервисы Linux в инфраструктуре MS AD

Настройка прокси-сервера SQUID с аутентификацией в домене

Цель лабораторной работы - выпускать доменных пользователей "наружу" через SQUID с прозрачной аутентификацией по GSSAPI.

  1. Установите SQUID на gwX:
    apt install squid
  2. Создайте новый конфиг /etc/squid/conf.d/labnet.conf:
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -d
acl labnet proxy_auth REQUIRED
http_access allow labnet
  1. Заведите новый сервис (нового принципала) в kerberos:
    kinit Administrator
    net ads keytab add_update_ads HTTP -k
    net ads setspn list gwX
    klist -ek /etc/krb5.keytab
    chmod +r /etc/krb5.keytab
  2. Перезапустите SQUID:
    systemctl restart squid
  3. Включите мониторинг логов SQUID:
    tail -f /var/log/squid/access.log
  4. Настройте браузер на машине WIN-CLIENT установите дополнительный браузер и настройте его для работы через прокси gwX:3128.

Настройка файлового сервиса SAMBA с аутентификацией в домене

  1. Клонируйте машину tmpl-ubuntu24-server в lin-fs, после этого выполните следующие работы:
    • смените имя машины в /etc/hostname и /etc/hosts
    • убедитесь, что машина получила настройки по dhcp
    • синхронизируйте время
  2. Введите машину в домен.
  3. Добавьте в /etc/samba/smb.conf индивидуальные папки пользователей домена и общую сетевую папку:
[global]
...
        winbind use default domain = Yes
        winbind expand groups = 1
        winbind enum users = yes
        winbind enum groups = yes
        winbind cache time = 36
        idmap config * : range = 20000-40000
        template homedir = /home/%U
        template shell = /bin/sh
        obey pam restrictions = yes

[homes]
        read only = no    
        valid users = %S   

[public]
        path = /public
        valid users = @LAB\publicgroup
        read only = no
        force user = <укажите_пользователя>
  1. Создайте указанную общую папку и сделайте её владельцем выбранного пользователя:
    mkdir /public
    chown <укажите_пользователя> /public
  2. Отредактируйте конфиг /etc/pam.d/samba для автоматического создания домашних папок:
...
session optional pam_mkhomedir.so
  1. Установите коннектор libnss-winbind и отредактируйте конфиг /etc/nsswitch.conf:
...
passwd:         files systemd winbind
group:          files systemd winbind
...
  1. Перезапустите ВМ, на WIN-DC добавьте группу publicgroup (включив в нее двух существующих пользователей) и проверьте доступность сетевых папок с машины WIN-CLIENT