Kurzy a certifikace Open Source

IDM

Kerberos a LDAP

23.500 CZK
Days2
21. 1.22. 1. 2019
Praha
CZ

Adresářová služba LDAP a autentikace pomocí Kerberos nejsou ve světě IT žádnými novinkami. Široká škála jejich implementací pokrývá jak platformu Windows (ActiveDirectory), tak svět unixových a linuxových distribucí (389 Directory Server, OpenLDAP, Sun ONE Directory Server a další).

S narůstající složitostí IT systémů a jejich správy se administrátoři i vývojáři často vzdalují základní konfiguraci nebo implementaci jednotlivých služeb a používají nadstavbu konfiguračních nástrojů nebo vyšší implementační postupy, aniž by měli detailní znalosti o funkcích, možnostech a omezeních základních technologických prvků nebo protokolů.

Kurz Kerberos a LDAP jde v tomto ohledu ke kořenům. Je koncipován tak, že jednak poskytne systematický úvod do fungování obou služeb jednotlivě i ve vzájemném propojení a dále poukáže na některé speciální vlastnosti a aspekty jejich nasazení. Teoretický výklad se v kurzu střídá s praktickými laby tak, aby účastníci po absolvování kurzu měli kromě teoretického porozumění schopnosti a dovednosti bezprostředně použitelné při nasazování a správě obou technologií.

Cílová skupina

  • systémoví administrátoři
  • projektanti IT systémů
  • vývojáři aplikací

Cíle kurzu

  • porozumět principům adresářových služeb a protokolu LDAP
  • osvojit si různé typy modelů při návrhu adresářové služby
  • umět provést standardní instalaci a základní konfiguraci serveru OpenLDAP
  • porozumět problematice zabezpečení dat v LDAP adresáři a řízení přístupu k datům
  • umět základní manipulace s daty v LDAP – vkládání a mazání, změny obsahu a vyhledávání
  • získat znalosti o monitorování, zálohování a vysoké dostupnosti LDAP
  • umět nastavit LDAP klienta a použít LDAP jako autentikační a autorizační službu
  • porozumět účelu a principům Kerberos
  • umět provést standardní instalaci a konfigurace Kerberos serveru, konfiguraci klientů a kerberizovaných služeb na aplikačních serverech
  • umět použít Kerberos jako autentikační autoritu pro přístup k LDAP datům
  • vědět, jak jednoduše nastavit na systému s RHEL centralizovanou autentikaci a správu účtu s využitím Kerberos a LDAP
  • porozumět použití Kerberos pro zabezpečení NFSv4

Osnova

  • Úvod do adresářových služeb a typy modelů
    • Co je adresářová služba
    • Příklady použití adresářové služby
    • Historie služby X.500 a její slabiny
    • LDAP jako nástupce X.509
    • Typy LDAP modelů: informační, jmenný, funkcionální a bezpečnostní
  • Informační model
    • Adresářové schema: atributy, třídy, OID
    • Standardy definování schemat
    • Definice atributů
    • Vyhledávání a porovnávací operátory pro atributy
    • Objektové třídy: strukturální a pomocné
    • Odvozování a dědičnost ve třídách
    • Speciální pomocná třída extensibleObject
    • LDIF
    • Aspekty při rozvrhování adresářové služby
    • Bezpečnost dat v adresáří a řízení přístupu k  datům
  • Jmenný model a organizace dat
    • Distinguished Name a Directory Information Tree
    • Role sufixu a jeho volba
    • Dvě základní koncepce jmenného prostoru: hloubka a šíře
    • Definice jmenného prostoru v LDIF
    • Projektování adresáře
  • Práce s existujícím adresářem
    • Funkcionální model
    • Dotazování (search, compare)
    • Manipulace s daty (add, delete, modify, modify RDN)
    • Autentikace (bind, unbind, abandon)
    • Řádkové nástroje balíku openldap-clients
    • Konfigurace LDAP klienta
    • Vyhledávání v adresáři: rozsahy, operátory a filtry
    • Speciální sufixy cn=config, cn=monitor a cn=schema
    • Praktické použití ldapadd, ldapdelete, ldappasswd, ldapmodify
    • Použití formátu LDIF pro manipulaci s daty
  • Autentikace a bezpečnost
    • Autentikace-autorizace-audit
    • Autentizační metody: simple-bind a SASL-bind
    • Bezpečná komunikace: TLS a SSL
    • Tvorba a instalace certifikátu pomocí OpenSSL, konfigurace klienta
    • Politika řízení klientského přístupu k adresářové službě: bind-policy
    • Bezpečnost dat: šifrování a Access Control Lists
  • Provoz
    • Instalace jednoduché LDAP služby s použitím OpenLDAP
    • Vysoká dostupnost a replikace
    • Distribuce dat: refereall
    • Zálohování a disaster recovery
    • Zvýšení efektivity přístupu: indexování
    • Monitorování a logování
  • LDAP jako centrální autentikační autorita
    • Projektové úvahy: výběr tříd a mapování atributů
    • LDAP a PAM
    • Jednoduchá cesta: LDAP, authconfig a sssd
    • LDAP a Samba: krátké nahlédnutí
  • Kerberos, počítáme do tří
    • Historický úvod: co je Kerberos a co Cerberus?
    • Základní pojmy a zkratky: KDC, AS, TGS, TGT, principal, realm, a další.
    • Od klienta ke KDC a aplikačnímu serveru: jak to všechno funguje
    • Aktuální implementace: krb5, balíky, služby a konfigurační soubory
    • Kerberos, DNS a NTP
  • Instalace a bezpečnost
    • Jednoduchá instalace Master KDC, kadmin,další nástroje a utility
    • Prvotní zabezpečení: conf a kadm5.acl
    • Instalace aplikačního serveru, principály služeb, keytabs a nástroje ktutil a kvno
    • Příprava klientského systému: instalace balíků a konfigurace
    • Testovací trivium: kinit, klist a kdestroy
    • Zabezpečení komunikace: preautentikace klienta a validace tiketu
    • Vysoká dostupnost: replikace, slave KDC
    • Zálohování a obnova KDC databáze
  • Kerberos a přístup k LDAP
    • GSSAPI mechanismus v SASL
    • LDAP jako „kerberizovaná“ služba
    • Mapování GSSAPI autentikovaných uživatelů
  • Centralizovaná správa účtů a něco navíc
    • Kerberos a PAM
    • Jednoduchá cesta: Kerberos, LDAP, authconfig a sssd
    • Vztahy přímé a nepřímé důvěry mezi KDC
    • Kerberos jako zdroj šifrovacích klíčů: NFSv4
    • Ještě je tu IPA

Předpoklady účastníka

  • praktické ovládání standardních administračních postupů na systémech s RHEL/CentOS verze 7.x: instalace balíků, správa služeb, konfigurace
  • rutinní práce s příkazovým řádkem, editory vim nebo nano (Upozornění: naprostá většina postupů a příkladů se odehrává v prostředí příkazového řádku)
  • základní znalost síťových protokolů IP/TCP

Studijní materiály

Tištěné materiály.

Poptejte kurz u nás

Kurzy
Submit
* Povinné pole