July 2016 - Sistemski inženjerSistemski inženjer

AD replikacija
Povezati sve replike imenika koje se moraju replicirati
Kontrolirati cijenu i latenciju replikacije
Preusmjeravati replikaciju između site-ova
Utjecati na afinitete klijenata

Unutar site-a replikacija je optimizirana za brzinu:
– Konekcije između domain kontrolera unutar iste domene su uvijek organizirane u obliku prstena
– Replikacija unutar site-a se pokreće pomoću mehanizma koji detektira promjene u AD-u, događa se s konfigurabilnim zakašnjenjem jer se najčešće nekoliko promjena događa odjednom
– Podaci nisu kompresirani
Između site-ova replikacija je optimizirana za što manje trošenje bandwitha:
– Podaci su kompresirani
– Svaka promjena samo jednom prelazi preko linka
– Replikacija se događa u konfigurabilnim intervalima
– Intersite topologija ima jednu konekciju za bilo koja dva site-a za svaku imeničku particiju i u praksi ne sadrži redundantne konekcije

Multimaster replikacija – svi DCi prihvačaju zahtjeve za izmjenom atributa AD objekata za koje su autoritativni

Pull replikacija

Store-and-forward replikacija

State-based replikacija

resetiranje passworda
Replikacija lozinki
– Replikacije je drukčija i od normalne i hitne replikacije
– Promjena lozinke se uvijek prvo odmah i bez obzira na sve intervale replicira na PDC
– Replikacija na ostale DC ove u domeni ide normalnim putem
– Ako je iz nekog razloga nemoguće replicirati odmah na PDC, replikacija ide normalnim putem
– Group Policy postavka “Contact PDC on logon failure” može biti „Disabled” da bi smanjili promet prema PDC-u koji je u drugom site-u, u tom slučaju replikacije ide normalnim putem

powershell kada se user zadnji put ulogirao
Get-ADUser -identity Administrator -properties * | FT Name, LastLogonDate
koliko se puta logirao
Get-ADUser -Filter * -Properties logonCount -Server LON-DC1 | Select Administrator, logonCount
koliko je puta failo login
Get-ADUser -Filter {Name -eq "Administrator"} -Properties * | Select-Object Name, msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon
zadnji put postavljan password
Get-ADGroupMember -Identity "Domain Admins" | Get-ADUser -Properties PasswordLastSet | Select-Object -Property Name, PasswordLastSet

tipovi openLDAP servera?

Samba4 vs Samba3

Samba 3 – file/print/old style NT domains
Samba 4 – AD controller

vCenter Single Sign On (v5)
– ponaša se kao autentikacijski servis za sv eVMWare aplikacije
– aplikacije međusobno komuniciraju preko tokena
Korištenje vCenter Single Sign-On ima slijedeće benefite:
-Brža autorizacija, autentifikacija, pojednostavljenje procesa
-Mogućnost VMware aplikacijama da „vjeruju jedna drugoj”
-Arhitektura koja je spremna za multi-instance i multi-site konfiguracije za kompletno autentifikacijsko rješenje kroz cijelu VMware-based IT infrastrukturu
vCenter Single Sign-On ima slijedeće mogućnosti:
-Podržava otvorene standarde
-Podržava višestruke „repozitorije” za autentifikaciju, kao AD i OpenLDAP
-Pruža mogućnost za spajanje više vCenter Server instanci
vCenter Single Sign On (v6)
– nije više servis, postaje dio općenitog servia PSC (Platform Services Controller)

LDAP
LDAP – imenički servis, nije klasična „baza podataka”
– nema naprednih mogućnosti za roll-back, komplicirane transakcije kao baze – za kompleksne update procedure
– kod direktorija nije bitno ako se prilikom sinhronizacije pojave nekonzistentnosti, ali na kraju se moraju sinhronizirati u konzistentno stanje
– optimizacija za operacije tipa read, browse i search
– LDAP – Lightweight Directory Access Protocol, lightweight protokol za pristup imeničkim servisima po X.500-based direktorijima (RFC 2251,…)
– LDAP koristi TCP/IP i općenito konekcijski orijentirane protokole za komunikaciju
– LDAP model bazira se na zapisima – kolekcija atributa bazirana na unikatnom DN-u (Distinguished Name)
– svaki atribut ima tip i jednu ili više vrijednosti – npr. cn za Common Name, mail za e-mail adrese
– informacije su organizirane u stablastim strukturama
– strukture su obično prilagođene odjelima, lokacijama, …
– postoje i stand-alone implementacije LDAP-a na Linuxu – slapd (lightweight X.500 directory server)
– različite verzije – LDAPv2 i v3 – v2 obsolete
Koristimo za:
– Autentifikacija i security – za različite servise
– Standalone ili connected na neki drugi imenički servis
– Access control – po IP-u, imenu domene, …
– Replikacija (HA, pouzdanost) uz korištenje slurpd-a uz slapd
Vrste konfiguracije:
– lokalni directory service – bez interakcije sa drugim directory serverima
– lokalni directory service with referrals – lokalni uz referral za sve upite izvan naše domene
– replicirani directory service – koristimo slurpd za propagaciju promjena između master i slave nodeova
– distribuirani – miješani model, više servera, superior/subordinate serveri, ….
NIS/NIS+
– NIS/NIS+ (Network Information Service) – client-server directory protokol koji se koristi u UNIX-oidnim okolinama
– često ga zovu i Yellow Pages ili YP
– može imati master i slave servere
– NIS+ – poboljšana verzija sa podrškom za enkripciju i autentifikaciju preko sigurnog kanala
– da bi NIS+ radio, moraju biti podignuti i podešeni servisi portmap/rpcbind i ntp/time servis
– potrebno poinstalirati yp* pakete
– nakon instalacije, klijenti koriste zajedničke passwd, shadow, i slične datoteke
OpenLDAP vs NIS/NIS+
– LDAP nije samo UNIX-specific, podržan je od više operacijskih sustava
– Active Directory je LDAP-based
– dosta jednostavna implementacija Kerberos autentifikacije kod LDAP-a
– NIS nema skalabilnosti, u osnovnoj verziji nema enkripcije
– integracija – mail, address bookovi, replikacija BIND servera, SAMBA autentifikacija
– NIS/NIS+ su obsolete, samo u rijetkim corporate mrežama
– LDAP se može proširiti dodatnim funkcijama
– LDAP se nakon osnovne konfiguracije lako integrira sa ostalim servisima
SSH i LDAP
– SSH je kao secure protokol za terminalnu komunikaciju (i FTP) idealan kandidat za LDAP autentifikaciju
– koristimo LDAP kao centralni imenički servis kroz koji dijelimo korisnička imena i lozinke (kao AD)
– ukoliko imamo podešen LDAP server i na njemu sve potrebne podatke – korisnička imena, lozinke i sl., konfiguracija LDAP klijenata je trivijalan zadatak
– requirementi – poinstaliran SSH server, authconfig* paketi (ako želimo automatski mountati korisničke home direktorije, i autofs)
– uobičajeno se koristi sa autofs-om, servisom koji može automatski mountati korisničke home direktorije preko NFS-a (UNIXoidni file/folder sharing protokol)

https://download.samba.org/pub/samba/stable/samba-4.0.6.tar.gz
skripte i komande prepisivati, jer html zna autoformatirati gluposti

linux stroj

vim skripta.sh

#!/bin/bash
yum -y install gcc glibc make python-devel libacl*
wget https://download.samba.org/pub/samba/stable/samba-4.0.6.tar.gz
tar -xzvf samba-4.0.6.tar.gz
cd samba-4.0-6.tar.gz
./configure --enable-selftest
make && make install

chmod +x skirpita.sh
./skripta.sh

windows stroj

postavljanje mreže – 192.168.20.253, dns 192.168.20.250, isključiti ipv6

c:\windows\hosts:

192.168.20.253 dc cd.example.com
192.168.20.250 rhel6 rhel6.example.com

promijeniti ime stroja – dc
isključiti firewall

linux stroj

service NetworkManager stop
chkconfig NetworkManager off
service iptables stop
chkconfig iptables off
setenforce 0
getenforce
vim /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=”eth0″
BOOTPROTO=”static”
IPV6INIT="no"
HWADDR=”xxxx”
NM_CONTROLLED="no"
IPADDR=192.168.20.250
NETMASK=255.255.255.0
ONBOOT=”yes”
TYPE=”Ethernet”
UUID=”xxxx”

vim /etc/hosts

192.168.20.253 dc dc.example.com
192.168.20.250 rhel6 rhel6.example.com

vim/etc/resolv.conf

nameserver 192.168.20.253

service network restart

/usr/local/samba/bin/samba-tool domain provision

(paziti velika i mala slova)

cp samba4.samba.4 /etc/init.d/

cd /etc/init.d/

chmod 755 samba4.samba4

chkconfig –level 35 samba4.samba4 on

service samba4.samba4 start

windows stroj

dodati u “domenu”

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

Sistemski inženjer

System administrator

Monthly Archives: July 2016

LDAP servisi

Join Windows to samba4

Join Linux to AD

Linux stroj: