dobrý den já uschlo začnu
když a
já jsem martin pušek prospektu sleep a při pralese se pro vás klubu přednášku o
centralizované správě identit já začnu mít tu první část touto bloku budu mluvit o té
kódové části jak na sou problémy jaký řešit ega můžeme s ním pomoct je vyřešit
a druhé půlce nastoupí kolega jak obrázek
který se více hovoří o neprovozovat a klientech bude mít nějaké jednička
jak to teda praxi
co by chtěl problém deska tak nejsi trochu obecně
o zprávy jeden ty jaký problém řešíme protože vyřešit jak to vyřešit jakási můžeme pomoct
určíme náš projekt
proveru jeho jasné vlastností jaké má výhody oproti že jiným projektům vám
to může pomoct a nakonec pro naváže kolega vlastně klientech
co se týká právě den ty
když si řekneme do základní pojem nebo ta dáma co to je identita
asi na druhý a ty digitální neidentity nějaký objektů teda nás zajímá kasijo jednoznačná identifikace
případě linuxu tomu by například prošli uživatele
takže nás zajímá proti pracovat nějaký objektem ta uživatel fronta
budu chtít vložit detekovat a dalším pracovat
to že jednu udělat a franta nám vize do polis takže to sou říká pojem
autentizace kdy my budeme chtít po frantovi by se prokázalo že o dva identita facto
mi pracuje
klasická mínusem prostředí to můžu je asi to zadání jména a hesla tím se nám
autentizuje už je můžete opravdu fronta
budem prosila pracovat
druhý pojem je autorizace to znamená že
ten uživatel
myslíme zatracovat o dovolilo pouze některé akce
nebo bude mluvčím nějak
osum umravnit musel něco může dělat
to se co se týká prosím systému způsobem posuvů co oprávní na souborech můžeme dovolit
měnit číst pouze které soubory a podobně
můžeme hostovat různé access kontroly si
a
tohle všechno můžeme
si nastavit i na jednom stroji
takže můžeme si uživatele přidá do rotace pasovat můžeme
nastavit jak se máš monopolizovat pomocí palmu můžu nastavit co do pravidla to že mu
dovolíme některé akce provádět vyššími chráníme že by měl běžný uživatel
ale zde problém že jsem no tak to hodí kdo to se zase dobrou dobře
tak musí ovládat hodní jazyků je technologie musí znát
a samozřejmě pokud ale chceme dělat všech měřítku ne pouze na jednom počítači ale třeba
se laboratoři
pak je se tohle město symetrizovat sečny počítače a pokuď tu konfiguracemi ty rozdílu na
různých počítačích pro jakýkoli text tak je tou
řeknu problém
takže obecný trend je toto centralizovaná tam mít pouze ten prvek a které se zastavíme
ní
ty do služby na co je to naše slova doméně
komplexní
tak
jsem si myslela se probrali obecně co se osa zima si zprávy nancy teď mi
krát probral jestli ideální řešení takovéto stav identitu přeponě mohli C
peníze je to samozřejmě centralizovanou tady centrální to takle metod nastavím centrálně pro soustruhu jednotku
třeba pro podnikovou síť
a ale
ta sundali zrovna sobo se nestačí že pohnout odstraní tak spadne tak
nebude letenská moc přiostřila kdekoli síti takže ze vy nestačí
se jestli redundanci to znamená jako možnost jak se data rozdistribuovaná více míst povinna vede
prvek spadne například kolik v hardvéru tak abychom stále mohli ve si uživatelů tu službu
kterou poskytujeme takže stavu jestli v našem případě
druhá podmínka dobrý bezpečné se si implicitní podmínka ale zároveň hobitovi takže pro uživatele že
pokud to udělám o složité tak nám ten dnes tady nebudu mě nastavovat
takže by to mělo bejt lze jak pro administrátory
abych mohl delegovat
no zprávu po centrálnímu ještě i na místo šedesát odhal bez a podobně
prosím protože samotné uživatele aby to mohli používat nemusím složitý složité na od a podobně
další věc něho metody založené na nějakém na sem datech že pokuď to ale proprietární
nezaložená na tech tak se vám může stát že
co se třetích stran už tam
nedostaneme nebudou nesmyslu pracovat
další věci nedosáhnou
tento termín L po je přišel autorizaci je docela užitečná věc to protože znamená že
já dosednu přihlásím tam se můžu poté přihlašovat ano
autentizovat oproti těm prvku beztak dva jsou nedalo sme na heslo
takže mém případě ideálně bych já chtěla když tu do práce tak se autentizuji z
rameno heslo dal ani ten systém vypracuješ sám
umožní se dostat na všechny různé me zabezpečené prostě se naši podnikové síti
další věc určitě budu chtít v tom
prvku dva unk ona ta data
zajistit jednak přístup kontrola přístupy uživatelů tímto různých datum rezerva ni zápisového delegovat úpravy různých
objektů na různé uživatele když to přenesu tak můžu
dneska jsme si dovolit helpdesku aby mi budu mohl měnit hesla nebo přidávat nové uživatele
a ale komu nedovolí měnit politiky nebudeme záznamy a podobně
co se týká dostupných řešení
říze opomene o polárními z hlavně na unix unixových systémech
ale součet sadu se moc nepoužívá pizze nej zavádí řešení postoj grafu cože adresářová služba
je for komerce ťkam ste sousedí že to docela výživné čtení
fyzikální u pocel implementací a napůl tak například se osum driver server je ve používaný
používá náš projekt je tady opona dat
pak sedumdesáti vektory také používá a tak jako zprávu u jako systém na zprávu dat
ale samozřejmě úkon to není
sto vosumdesát jako vlastně
jestli vlastností co by ten náš ideální systém na spravím ty T měl splňovat
tak z toho vyplývají základní bloky zlý postavené já tripolisu tak oni bloky tedy je
postaven hlavně náš projekt
takže co říká zprávy dat tak to je že musím říkala dat
se výhoda je to podle to se ztratí řešením onoho systému softwaru třetích stran s
těmi pracovat best aby se mi musel dělat nějaké velké změny u na
je to stromová struktura dosáhla služba koš souvisí s tím že posypeme dobré
možnosti
jaký kontrolovat přístup právě ty už vatou tím různým části stromu jak načtení tak na
zápis
jet optimalizované pro čtení to že to vhodné pro data která sou trase často nemění
nehodí se tam zapisovat nějaké musí a podobně
ne co tak je dobré že jistě replikaci dobrou může se nastavit X serverů a
zlatých v režimu ty masters já můžu zapsat obecnou toto severu asociovanou uživatel a losu
to samo zreplikuje do všech těch replik
a profilovaný ocel světě takže můžu takovýto systém který pak zajistěte romanci tak rozumnou odezvu
no těm uživatelům po celém po světě
no lokacích
druhá více kerberos ten sesypaly pro autentizaci právě jedna z něho klíčových vlastností je sinus
jenom to znamená možnost
jednu teda semena sloupce přihlašovat na ty chráněné prvky bez zarovnáváním N a hesla
jak je to zajištěno existuje ze kdy centrální prvek to K D tečkou na pro
toho dekomprimuje složitá ale ve stručnosti já když se pod ním autentizuj u na přihlásím
se z rameno heslo tak mi dá tak zvaný tykev nebo lístek se kterým já
už se můžu prokazovat vyžadovat přístup k těm vašim chráněný prvkům poté síti
já se mám přítele která taková identita kerberosu případě uživatele temeno uživatele zavináč rom skla
tak jednotka
podniková nebo sledovala doména vlastně
se výraz kerberosu tak díky tomu že asi vektory také používá kerberos tak jo je
ze možnost mezi nima vytvářet kasty kdysi aby domény nebo my si věří a já
se tak můžu vozy zřejmě lístkem přihlásit je do windows pomůže ten obraz takže
takhle
nastaven
krome a zapo kerberosu já můžu
iterace to bude další služby první a příklad certifikační autoritu můžu si vydávat certifikát i
pro služby no pro uživatele
můžu ti nakonfigurovat ten esko
nebo dále si mezi si mezičasu což N T P služba to je obzvláště vodného
kerberosu který pokuď vám rozjede čas nějaký změny zaktivněnu deset minut takže musíme přihlásíte takže
dobrý tam mít čas ne zvaných takové síti
tohle všechno mi asi si můžeme nastavit i
samostatně manažer situaci L otázkou kerberos a nastavit si to ale funkce touží rozkouše jo
pro si víte že to není úplně jednoduchý
že
jak to se rozbíhat že definuje dobrou znalost jaké ldap u ta kerberosu není to
práce kterou dělat za chvilku
a se na problém že takovýto systém vědomě ovládat nějaký ručně obyčejní admin který to
nezná bezstarostnou zdravo nějaké skripty nebo mluvítko kdyby se na to říkal ty uživatele a
podobně
takže
ta něco čím má musí můžeme toho
jo
my máme se projekt lípa to je zkratka agency tripolis audit
tak víte sem to kleká pravidlo cíl pomoci vystavět takovéto řešení pro centralizovanou zprávy entita
op zase autorizaci
právě uživatelům
science to co je pro ně je ducha to je naskočí vlastností že
vám stačí jeden příklad abyste si naladit kontroly takovýto celý server
to sou že sou vyzkoušet hodně sami když máte do této války třeba filtrů sedumnáctku
asi metody balíček
philippe server jeden příkaz nemáte vlastně funkční řešení a se a uveden ty
poskytuje to rozhraní ze života uživatelsky přívětivé jak com online nové taky nebo ne
a je tam taky jakýsi rozhraní kdybyste si chtěli zapsat vlastní skripty dálkově tam přidávat
uživatele nebo dělat na těch nějaké vlastně analýzy tak to můžete použít jakýsi rozhraní je
tam nějaká paritní knihovna kdybyste chtěli to vánoce spy ten
to je asi je velká výhoda takového řešení oproti připojování těch klientu jedna vektory cože
častá praxe díky tomu že teda vektory je to nejpoužívanější tento kontrolérem
s těch udělal systéme
tak
u nás nové stríp je sou ty rusovi stroje osy uživatele pro řady tedy zájemci
nebo ty to which obecenstvo takže ta philippe a
N je schopna jinak mluvila ty služby které turnusu přirozené jako sudo nebo se luxovi
kontext
nebo auto mám třeba
a redundance použili CC mazat M
jan takový obrázek jak to zlo tak vypadá takový highlevel pohled ten modrý rámeček to
je vlastně
jo to je ten I pass nevede kde je jeho centrem je právě teda za
který se na stryku první a slouží pro datový beckham pro zprávu těch identita politika
podobně něho už se připojí kadetce škol který používá jako datový beckham ta ukládá s
tam to svoje ta vycítím uživatelům princip vy a podobně nebrasky politiku k vytváření těch
tiketu
daleko stékají zrovna public výraz stačil certifikační autorita kdy mi může vydávat certifikát i přesto
naše rozhraní a je ze možnosti nastavit si D ne server a pak samozřejmě to
je tedy semenech
webové rozhraní pro
jak to
to webové rozhraní a kmenové rozhraní pro a koordinaci to bude ovládat budiž před příkazovou
řádku a nebo přes webové rozhraní
tak abych jirkovi supply ukázali jaký je rozdíl
pačes tomu proti systému který se vystavili sami třeba náznaků tak tady mám příklad přidání
uživatele
do
nejdříve dobytče no přemluvim nad nimi nějaké rozhraní tady to je formát L by
zde se a v zemi portrétem H R předáno uživatelem jak vidíte musíme pod je
dobře znát po syntaxi právě to a znaku musí vy co děláme vo musíme sami
nastavit i u jo Y D to znamená tou jde to uživatele GID musí mezi
sebou unikátní protože kdybychom vytvořili víc uživatelů usmívaj D tak mi jsou nestačí soubory
co musíme vygenerovat heslo nastražený atributy které jsou povinné
kdybychom chtěli to osloveno rozsahu ipou
tak co sem usoudila tedy se autentizovat zatvrdí kerberosu pozná příkaz k i třeba
kdyby když zadáme heslo a dvě na to že bys vy defaultním uživatel realizátor C
tisk ale ten lístek sítě
jakým soudem se prokazovat tomu povolenému rozhraní že to se mi a že můžeme dělat
to své dělat
tady je výpis toho ty ke tu obživy platí
a to je osy ovlivnit i přes
politiku
tak vyděláme tykev tak učte nippon a bude věří že sme kdo sme
a můžeme si vytvořit uživatele spole případě sem můžeme za můžeme zadat ty jeho parametry
buď přezkoumat mainu přes povšimli
a nebo se ten příkazu taná samo interaktivně se potřebuje vidět
tak jednoduchý příkaz nám a se vytvoří nová uživatele samo to viděn remus heslo kterou
může poslat mail omylem nebo typu předá tomu se může přihlašovat sám jsou to vygeneruje
sloupce a bude jedinečné
v tom našem systému ti různých replik je tam i zajištěné že když přidáváte například
zároveň ta uživatele na dlouhý replika takže to jméně bude stejně
vygeneruje toho ke vrostlý sypala všechny ty méno domovský adresář
na jo
jo
druhý způsob jak se uživatele sasové rozhraní to si můžete služby sami bysme S typu
tady mám právě ten příklad okýnko na přidávání uživatele
přidávám život méno heslo
se není moc co řešit o tom už dál upravovat obecně testové rozhraní můžu udělat
skoro úplně to samé co přetoková mají nule
na dávat identity třeba vatru ze politiky a služeb proniklo to může bity přímější hneš
přesto to máme nové rozhraní
osobně teda krosil
tom online
týká díky ve zprávě definice a vlastnosti které my můžeme vám pomoct o poskytnout oproti
jakémusi základnímu řešení postavená ldap u
jo
čemu sem říkáte automatické spravování uživatelský Y D další možnost může se k těm uživatelům
přiřadit veřejný z klíč
takže se takovýto uživatel může autentizovat tímto zakončená všechny stroje které sou byte se registrované
nebo připojené
co můžeme mu nastavit i se musejí myslím že on si kontext různých těch strojích
můžeme nastavit nodes opravdu možnost měnit některé ty věci vykecal mění tesla zlato mohl desku
co se týká strojů tak ty se tejden si stromu se vytváří když je stolu
klienta na to slouží příkaz i pak krystal to má M takové ukázku později
slouží služby a těch strojích sezimovo se a můžeme vygenerovat certifikát
který vygeneruje o podepíše certifikační autorita vypije takže použity
stroje věříte se totiž certifikační autority víte tak důležitý těm tedy říká tomto ty služby
co si taky myslím jeden vlastnosti je že můžete rozhazovat uživatele a nebo ostrý do
skupin podle toho podle nějakých vlastností takže třeba podle ména může vsazovat
webové servery do skupiny vole se výraz reuses standupy typový jaké policisté myslím si nastavili
a tady dole mám příklad kdy při uděláme příkazu třeba vlastně uživatele ale hodin pár
příkazech už sem uživatele rezistory systému takže aby se nám tady dětem řekli cesty příkaz
jak získat záznam o tom uživateli
tak může přirovnává a
už chvílí o senátem S ty programy už
budou asi registrovat muset pracovat
sem rozzuří co se týká spolupráce tak ty vektory tak naše taková vize je že
jo se ty podniky se dá je tady se nezdají a glutamic dále to že
mi místa bychom
aby se snažíme vytlačit a teda vektory tak chceme z takový doplněk
k tomu a dečku kdy tavit je taková že by podnik měl nějaká déčko na
stravu jo vy nouzový vaši jen
tak čipu která bude stahovat linuxové stroje a mezi těmi tady vy kontrola kdy bude
vytvořen teda
takže si ty obě objekty z obou táborů budou moc přistupovat k těm druhým tesla
by to museli mít účet
v tom druhém táboře
zase do té verze i patří nula tam byla možnost pouze vynucení cože tři jednosměrné
synchronizování mínus využívat u linuxu
takže se mohli vinu z uživatelé přihlašovat rusové stroje ale to nebylo musíme takže verze
tři nula stravovat dán asi před několika týdny
tak tuším o nezaktivovaném figurovat N tras mezi a téčkem a lípou dám příkaz jak
to vypadá E s jednoduchý příkaz udělám dobře filtrované terezko tak no služb uřež těžko
se potřebné
vytvoříte teda
jo jsou takže třeba windows u přihlásit přes řezáč konců mašinu
se svými rovinu uzlovými
when veslem
další možnost u možným umožňujeme investované nesho
tady postromu rychlosti možnost můžu poklad různé o které nejčastěji používané typ jeden eska
tady ten M S P myslím že
dnes ve spojení s tím další vaše nástroje třeba při sto asi klienta se nám
automaticky může vytvořit ten den záznam vypije takže nemusíme nic dělat a on to samo
nastaví tenleten bude rozvod a více lze naše terezu méně
tak co se týká politik takto naše hlavní politika nebo ta složitá důležitější je že
back znamená ho zbejt access kontrol
pomocí takové politiky
která z ještě to autorizaci chtěl autorizační tak já můžu nastavit nebo
nastavit kdo se může kam přihlašovat tady nám taky příklad
kdy udělá se sem takhle to pravidlo
tak já si dovolím všem uživatelům skupině labinu ze se přihlašovat na skupiny máme shin
pomocí řezáč K nebo lidského hodinu ale už to nemusím do vo někomu dalšímu
takže
takže tech
co se týká dalších politi tak podobně se může zase matysů do v tomto příkladu
já se nastavím že
objedná způsob nula menší to že skupina ty ustu těleso vojku já dovolím uživatelům olap
admin spouštět já jo takže ty se můžou přeinstalovat
software
tam si že
jinak dobré telefonní si moc kým připojováním uživatelů lidi skupin
tak
další služby já jsem ještě nezmínil Ú může nastat to mám to znamená že automatické
připojování ose NFS sdělit možeš
další sou se musela pravidla kdy já můžu podle podobných pravidel jako je ten než
back tady
jestli nastavit že takovýto uživatele přes uvažování na takové po takovéto ní pravidly budu mít
nějaký se museli kontext rial vyberu
to sem boval o té role části když chtěl říct něco o tom o klientovi
ta je asi pěkné místo šila se na namydlená se uzlu ale pokuď to krysí
vlastně nečtou oné neregistrují tak by nám to bylo k ničemu takže proto o i
poskytujeme X instalátor to děláme pro ty budeš osu potřebujeme
i na tom klientovi o to hlavní kdysi prosazování našich politika podobně se stará váš
projekt S D o kterém mám dalo řekne kolega
kromě jeho ten list ten integrátor nastaví právě to zmiňovaném C téčko nebo může staví
je se značkou aby sampler mode autorizovat uživatele může zapíše ty co mají ten veřejných
víš sto sem záznamu
co může dá může vlastně upload ovace nese za veřejně zná klíš toho strojená do
i ty
pouť se pak
že to bude přihlašovat na toto rušné to samo nebude ptát odznáčků jestli opravdu se
přepojovače neznámý klíče langoš bude věřit díky tomu že
upejpat řekne že to je důvěryhodný stroj protože to analýze svůj veřejný klíč
kost taky jsou mesh vytvořit jeden záznam
já zde jestli dobře ukázku jak přidávat právě takovýto stroj do D dneska
já jsem se trošku zesložití jo udělal to tak na
na ty fáze váže ne že si připravil ten záznam jakoby pro ten stroj housce
sou cívka
nechal jsem si vygenerovat na odneslo
asi ku tomu aby když se něco a ten k ten tady už nemuselo
ní vám zadává nějaké se tady senátorské
údaje ale při vlastnosti letím heslem
takže třeba sem klienta a teď když na třeba ten záznam letenské no stroji stahuji
no pro ty byli čipu
tak já může radou tendlenten passwords a u slečno násobitele samo
tady vidíte tak se ne zadával žádnou cestu k tomu se lůno podobně tady session
učit no zase do vo záznamů takže co uděláte to zastavené tak zase paní situace
jenom jedna ruka
umí využívat tady pustím D leskem tak se to odbytové samu
jsou záznamy
v tomto případě to sem ona sama šlo že to i po mám na sledují
pak tento com zistilo tomáš beden cévy vlnap u
oblizoval fotíme se které jsem zadal
samo to vytvořilo je právě ten záznam to že po toto inflace může to ven
odezvu vo tomhle kdokoliv tady o doméně
nastalo to S háčko je shader aby uměla pracovat ipou tunelový projekci součiny
pouze těch ten připojený a od nerozeznala všechny uživatele nebude skupiny které já systému i
P nakonfiguruj u budou se na ně aplikovat ty politiky ku H bude K sudo
a podobně
vo té první části
máte někde nějaké otázky tomu
pokud ne tak
je
že
tamto je pomocí servo záznamu proto data
jak probíhá autodetekce připsat klienta
dobře tak prvek a budete probíhá pomocí se do záznamů které sou na staráte doméně
kolik nebo com ve případě
jo nemáte tak můžete zadat teda opřou S doménu a toto fungovat taky
a tohle se komfortnější
využití
a že zvažovalo využití a váhy
to sem si můžete uvažoval
další
projekt upon a M to no z no
tom já nevím nevy si kolega
nula ale taky tak je tady kroutí hlavou ale může se podívat tímto bude zajímat
sem
prosím
no puso tak na o podle se s o
no
já jmennou pronájem takže ani u ponese slovně
je s ním říká
to
no textu ukazovalo jako by si můžete dát týkalo instalace
von a chodě
vy si můžete tam asi tak jenom poskytla tu nechat na konci byla typu a
pokuď si vytvoříte právě v záznamech ztráty ukazoval
tady
tak můžete ohnutých a toto ni vložit právě tohoto heslo a o rozsahu připojí
že to nebudem se před
jo jasně protože aby se připojil doménu do no teda ten
stroj do té domény
tak to nemůže pritom se rovná autorizace že problém a validní stroj ty tam budou
sem připoj
takže tam auto do se o to že se to by nebuď přes menu heslo
aby senátora to může rozjezdový startu a nebo přes tom montan passwords
nemusí nemusíte kde způsoby petr dub za
jo budeme souborku je slovo
vy si můžete nemusím záření nic ale zkuste si špatným stálá záznamu nenašlo uživatele tedy
oprávněn věc vytvářet mu připojovat právě ty stroje ale když to samo
no jak to nefunguje takže přihlašování webových aplikací pole funguje
tam se o se dostanu já se přihlásím přes N k init honza ten lístek
tak já už jsem by nemuselo nic dělat tebou aplikace tam
vlastně jo oni vase sou ty aplikace přesunuty kýta budu soubor spojené s tím K
D céčkem
a
díky tomu se lidi tohoto tech liberyzaci já se může přihlašovat k nim různými no
s tím diskem kterémuž mám
já někde muži příklad poslat jak to vypadá
jo to je dobrá otázka
jo tady je tady má otázka jak se autentizují služby a to má laseru stroj
tady pak může vytvořit službu takže já se příkaz rychle si třeba na tu složku
na tom daném se nulu třeba toto
takže se nám servise toto
strom lomeno verzích nebo com zase třeba taky server
a
tomuto princip vlasta musíte ty už předhodím apači
který asi pak sedí to musíte vozve sim karet céčkem a i zároveň se mnou
je
musím přihlásit
jo to bude pro přímo pro ten princip loto toto lomeno třeba službu
že
no channel času z na začátku když se jesle klient tak tam se vytvoří je
dole to co
kroku pěstitele
se vytvoří princip almost lomeno
a tento týden se využívá svíčkové pro organizaci toastu proti vlastním
jo
je otázka jak se obecný kostičky nebo ty složek který se skládá ten server
to je teď tady do za zadrátované že vy mít opona ldap za rok osum
devítku to nejde nebo ne někdy to nebo polem
jednak protože využíváme co pluginy do toho T C osum devítky a asi by to
při určitém musí učeš o ale my to neděláme hodinama se důvod
ale součtem si to musím že mělo jít jako udělat ale to není něco nosiče
se nezabýváme
jo povrch samozřejmě
to máte
konta můžete poslat teče
no
jo no thomasem atraktivnější plán bylo nahradit a déčko ale tou
není moc průchodný ty podniky se to decompose nevzali a oleje připojovat jeden obvyklým ty
proti
proti i ty asi by není P košer můžeme třeba nemáme hosty nativní vidomosové služby
jako ty různé politiky posoudit osy nevzdají takže my chceme mít takový komplement právě proto
a déčko
vona
já se týká sama čtyrky já vlastně nevím sto všechno umožňuje já bych to je
to C téčko ale já praxi může to bude mít polohu možnost vlastně a teďka
a eště pochybuju že by tou si podniky nasazovali místo a déčka no ani ty
velký třeba
já si myslím že ta si tak sem nabijeme kolega
ukáže vám
cestou klientovi
jo
osum
je to
ahoj je mě slyšet
rozumně
tak jo tak já se menu jak obrázek Á X martin mluvil ostrova části toho
co děláme tak já budu povídat něco o tom co děláme na klientu
že X to martina kouslo tak ona jakoby hezky mít nějakej semesters o uživatele a
tak ale samozřejmě musíme těch jednotlivých stroj takže klientech
musí být nějakej kousek který dokáže ty uživatele jednak rozpoznat a jednak je potom přihlásit
šel
a holemi samozřejmě šlo nějakým způsobem generovat soubor instruovat soubory ale to není
není moc reálně
takže se používají specializovaný a klientský program i to co pravděpodobně se používaly uši někdy
v minulosti tak byly jednotlivý moduly pro NFS to znamená pro získání formaci uživatele o
uživatelích případně propan to znát pro přihlašování
toto se používalo dřív asi nebo co se používá mimo svíčka nejvíc teďka tak je
program které se menuje a nese spam L tady
má konfigurační soubor nesouce dokonce
o samovi modul panel na kterým a
konců raket ocel na konci
honí fungují samozřejmého pomocí toho se přihlásíte
ale není to úplně ideálního
že ty důvody proč vlastně se začaly psát S dýčka nespokojili sme se jenom třeba
s rozšiřováním toho co už bylo
tak vám to je tom slajdu
a jednak šlo to že a často se na jenom klientu chcete přihlašovat jako uživatel
Z
různých organizací a se třeba tady ten notebook ty přihlašovat jako
a uživatel
nějaké svojí domácí domény a jako uživatel zdrhne tu
no a je potřeba nějak jako
namapovat tyhle uživatele a
i uživatelské jméno na ten vzdálený server a podobně
tady ty
programy typu NFS panel dobrý taky neumí a
neumí tak zvaný filovo to znamená
nějakým způsobem inteligenti monitorovat sta serveru či nakyselo vypadne přejít na další případně pokud ten
primární zase naběhne tak případ na ten primární
no a to co je a asi úplně největší problém takže tady tyhle služby jako
nese spam etapy tak vlastně vůbec nefungují protože když nejede síť
jo dá se to nějak jako
obejít ale ty sliby samotný žádnou cache nepodporuj
jo kotelonovyaby přeskakovat slajdy protože asi cesta kde míčku manuálu petr času
takže zase skončí
najít to ještě další problém takže kromě toho že chcete často ale získávat informace uživatelích
a přihlašovat uživatele
tak to není všechno jo tak martin říkal tak na tom serveru a například můžou
být uloženy data o auto mám to mapách sudu pravidla
a kdy přístupový pravidla jako H vek
když se podíváte tak každá když těch služeb má vlastní potřebu nakonfiguruje se jiným způsobem
takže pro administrátora to rozhodně není pohodlný protože on konfiguraci musí dodnes co kopírovat na
navíc místo pro mě
no a na
další věc zvlášť spojená tady s těma s tím že máte mnoho programu na mnoho
různých věcí takže ten celek není dobře z integrovaný jo ten administrátor nechce konfigurovat pět
různých programů pro pět různých služeb a lehce prostě přidat klienta někam tečka
jo atypické mi to vlastně nechce řešit začne se hrozně
but a nakonec dopadne to strašně víš
no a pro sme a tady to se srdíčko
a S D a je démon
co docela důležitý že démon to znamená být o pořád nemůže s tou může se
to uchovávat stav například server
jo má své vlastně nese se pomodli ale v nich není žádná logika to jenom
vlastně mžeme se za to moduly jenom prostě propouští tak vesty k tomu démonu a
umět démona se děje vlastně veškerá logika to přihlašování a všeho
kromě přihlašování uživatelů a vlastně třeba práce skupina má tak podstromy někerý aplikace třetích stran
třeba sudou nebo automounter
momentálně pomocí S dýčka se dá připojit jednak čistým ldap u
ke kombinaci a data kerberos filipa
a teďka nedávno se přidali aktivní podporu pro akci detektory co bych chtěl ukázat demu
tam podle svazky
jo počtem seskočili tady ještě pro k sice taková nám obálka o kolem existující řešení
pokud pojata třeba něco jako nejs tak
i lega si moduly nány se dají obalit se svíčkama získáte kešování a podobně
nejsou sem na kousnul
výhody S evička je že máme a cache na disku
to znamená že pokud ste offline
můžete získávat pořád informace uživateli můžete se pořád přihlásit takeš jsou a je hesla fréza
hašovaný
jak sem říkal S H Q stavový to na pamatuje s informace o serverech
podporuje víc domén jo to znamená může mít k jednomu klientu připojený jo uživatele správce
z domu a podobně
dalšího dá oproti i
tomu mít několik různých služeb ne několik různých prográmku pro několik různých služeb je že
se svíčkama jenom jedno spojení salda from takže to šetří jakoby zdroje toho bufferu jo
se takle seknout ročně nastavení každej programech se otevře vlastně spojení a
není to efektivní
taková hezká dneska síťovka je že na obrazce automatic F rostik recognition
a vy si můžete říct že vaše kerberos i heslo bude uložených kernel kterým když
ste odpojení o cítě ale chlívě se sečku zjistí že se připojovat sítích nemáme taky
háčkem kernelu
tak použije to uložený heslo a dávám cikrt
jo praxi to funguje tak že a já rozbalim notebook který bosa přednost uspaný přihlásím
se offline pak se přeponu firemní sítě chlívě sestřičko jistě jsem připojen firemní sítě já
teďka automaticky
za svátek
jsou sem trošku říkal ptáka podporujeme přístupový pravidla kácejí parseru což vodvez access kontrol podporujeme
mapování a
se linuxových kontextu to znamená pokud přihlásit jako uživatel X aspro Y tak dostanete nějaký
kontext který vám dovolí dělat jenom to co admistr administrátor chce abyste mohli jo
no a další věci který po podle mě docela a uživatele oceňují administratory to chtěli
tak je to že mým můžeme fungovat jako taková transparentní praxi sudo auto se s
o to znamená že a osudu auto se který umožní všecko nativně katapult tak přistupují
přes S zíka ldap u a získají taky tím podporu offline a podporu více serverů
a podobně
ten máme tam i něco čemu říkáme access provedl kdy vlastně můžete říct že a
může omezit a uživatele kteří se můžu přihlašovat na notebook hodnota obecně na klient třeba
proto menu bukového přípony do deseti sítě
a v takže tím které beru a sony nechci aby se kdokoliv internetu mohl přihlásit
na můj notebook takže sme si mohl
mohl nastavit že a tenhle konkrétní stroj se může třeba ten jeden konkrétní uživatel
a samozřejmě tohle si uživatelům líbí tady ta velká soustavy ho takže soustava je to
radši
a tohle jenom hodně rychle ukázka kusy buráků
a o tak se kde pracovaly s návratem
tak
a asi poznáte vyšším těch vole
v podstatě stačí nastavit udej to znamená který je to server a selže based to
znamená odkud se vtom sedum začíná kde vrchol stromu
a to poslední voba cache prvně sou vlastně říká že chceme ukládat a zvyšovat vynesla
konfigurace si myslím že není jak strašidelná jen to prasat pěkně
a to co je docela zajímavý v poslední verzi tak je integrace s active direktory
vlastně tradičně nebo většinou se tomu shoda tak jinak tak ty vektory se nainstalovali nějakých
rozšířený služby pro a unixový stroje to znamená že uživatele dostali posixový atributy jak už
jako ui git
a adresář
a my v jedna device se slzičku sme přidali a právě podporu active direktory a
umíme překonvertovat a unikátní identifikátory který jsou active direktory tomu se říká a cit
na unixový a ujde a G jde
takže vlastně musí mít přidávat na active direktory a
uživatele sem můžu mapovat na
na ty atributy který vyžaduje linux
a zajímavá věc je podpora takto speciálního atributu C fakt index exprese token groups to
atributu pocestní nám tak se uloží právě všechny
si čísla všech skupin kterých je a uživatel členem
a výsledkem
toho že můžeme ty a T skupiny takhle pěkně předčíslím že to funguje oni rychleji
než by se přistupovali přímo caldav u
ta poslední odrážka taky docela dobrá protože jestli stejně konfigurovali klienta karty direktory tak víte
že vlastně ste museli
klientovi říct
jaký atributy fakty direktory se mapují na a atributy který se ten klient očekává jako
jméno a podobně
a ten náš asi direktory pro Y do tohle všechno má nastaveno takže a tak
osum roce má si dva řádky o tom se říká jenom který server to je
jako jeho span to active direktoriát
data všechno
s na posledním je to teda bych se chtěl nýbrž ukáže nějaký den íčka
tak je další projekt který tak trošku
paralelně běží se z B nejenom z B a začali dávno winstone uzly
je to novinkami fedoře osumnáct
vyšel potom ukázat jako v jednom tom demu
a je to vlastně něco jako i pak landing stalo umí přidat klienta do direktory
tak randy last nějaký zobecnění
který umí obecně přijde přidat klienta k nějakýmu server
typická taky typický příklad použití je přidání klienta do active direktory
sou rush manuálně není úplně jednoduchý moci toho randy jak je tady vidět na tom
slajdu tak je to jeden řádek jo řeknete dám join jako kdo ste řeknete tím
mínus musí vzor a osmém aktivita které srovnáte všechno tam toho klienta přidám straně přihlašovat
a uživatelem asi traktorista
momentálně slzičku jasný ve všech linuxových distribucích
ve fedoře melou to paličkujeme mi ubuntu a mají většinou o něco starší verze ale
funguje to taky docela dobře
ty ostatní list ruce moc do tady u neznalé kdyby to tam je
a samozřejmě to co umíme tečka tak peníz není
konec S dýčka konec vývoje
do budoucna bysme chtěli s ještě víc lepší podporovat i vektory protože se nám to
kdyby nebo ne tak a teď kupujou úplně všichni
chtěli bysme přidat podporu třeba přihlašování pomocí nějakých svaz karet případně více faktoru autentizaci třeba
nějakým pinem a hesla
tak jo já bych teďka přišel cindy míčku
a otázky vydal jsem jako
abyste
rozumně vidět
první věc kterou by vás ukázat je že já tady na tom
na tom notebooku na tom počítači sem přihlašuje jako uživateli eroze k jo B Z
výstupu programu a jiný
smyslem nějaký skupin a podobně
ale
uživateli tak není F to co passwords to znamená ten je myslím že jo to
na tom systému vůbec není já svého přihlášené jako zní
uživatel pomocí S B teď zrovna sem pro účely toho doma přihlášený krade ti sítí
ale funguje to
úplně dobře i když jsou propojeny
nemec vám K začne uživatel opravdu je se svíčku
ták
větším
takhle nějak vypadá ten uživatelský záznamy vidět moje méno můj domovský adresář šel můžou jít
článek synchroskupina podobně a vidíte že je tady nakešovány nějaké heslo
takže se může přihlásit i
nula první nemít škvarky
symbolistik
ano
který vám chtěl ukázat právě a připojování klient do active direktory
je to pomocí toho prográmku reálný
switching
a připojí se k nějakýmu testovacímu struktury máme práci podstatě jiný co já potřebuju vědět
osum programu potřebuju zadávat tak je a nevím
to a ty vektory serveru
a jako kdo se budu připojovat zeptáme uživatele strukturami
a lille administrátor
takže já se připojím jako halila
já sem tam drbou soud abyste viděli co to dělá
takže to něco dělá
a ta konfigurace poměrně automatizovaná si pomocí tady těch
specializovaný D ne záznamu lukáš to server najít
jo
ověřit že tak ty vektory a potom a
požádá o heslo
to bude chvilku něco dělat
mělo by to proběhnout úspěšně
a je vidíte třeba tady stojí v binec tak on randy je vlastně taková obálka
kolem různých existujících programu
a používá interně třeba jí vyvinete podle mě samby
ne to jenom špatnej
ondřej podíváte chyba
jo
Á X vidíte nastavil names S víčko
spustil nám ho
a takhle to pro bylo dobře a řekl že se spolehnout naším rám zná teďka
už mám klienta přidaný ho active direktory pomocí jednoho příkazu
co se sirota dobrý
a můžu
ty uživatele strefovat
to bude fungovat
R
takže každá uživatele s toho a aktivuje které vytáhnout
se teda doma nezkoušel se tu prezentaci ale slezinu se
fungovat tady přihlášení
se mi až no to
většinou to funguje
a dále
se
sionistko že se před prezentací
jo
tak aspoň vlády aby to fungovalo
a teďka poslední rybičko který teda doufám bude fungovat tak je a access a ukázat
právě offline přihlášení jenom takhles konzoly prostí a i po serveru
že tady to nalevo ten terminál cestovce dvojka ta keypad klient
já jsem si udělal uživatele mu neudělal pane admin
jo
takže nejdřív se přihlásím
jenom si ověřil že přihlašování funguje
tak se přihlásím jako admin
a na mamin spasen říkat
teďka
server
hlásím
o možnost života kalypsa dlouho trvá na to snad napsaný v javě
tady jo ty fungovat
když mu
hodin firewall
teďka vlastně ty služby jsou za firewallem nejsou dostupný proto možná taky to sou trvalo
něco věnuješ předtím protože on to zkouší až za chvíli tajm auto je tak řekne
tak zkusíme přihlášení offline
příhlasem sady
pokud není
a to brýle třikrát týden íčka máme ještě pár minut na otázky takže se to
tak
jenom to jedno konkrétní heslo proto hodnot obratně uživatele
jo pokud se to udělat a ne přihlásí aspoň jednu online tak tesla nakešovány nejsou
jo aby to neslo nakešovány musí se aspoň jednu přihlásit online tomu se
úplně jednoduše ne ale máme tak opomenuty lidskou která umí udělat
my tomu říkat prý sít jo je to vlastně třeba na použití ve chvíli kdy
máte
já nevím zaměstnance který pracuje z domu potře tento sama to a von se to
první přihlášení musím online a offline jo takže tady to ukrytou jemu se do ty
keše vlastně vloží nějaký hašovaný heslo pro první přihlášení to proběhne offline pak on si
nahodile baňku přihlaste se firemní sítě přihlásit se online apod metrického
a jeho nicméně to kešování hesel jednak není zapnutý default nemusí se zapnout protože jo
ne každý bych chtěl aby byly někde že sou
za druhé se dá nastavit že taktéž hesel nebo minimálně tesla tak stárnou jo to
znamená uživatel které se nepřihlásil na sto nastavit
nějakou dobu tak ten atribut s lososem usmál
jo
to je taková jako že
primitivní ochranná by tamtéž právě byly dlouhodobé
že momentálně tam nic není
je tam prostě jenom
na disku
to znamená jo pokud by dané desku byly záznamy který by mě a ty se
dva záznamy pevně odkaze jakej zlej server tak
je to špatně
šesté kolem jo
no
to by viděli martin
které neposlouchal
otázka byla když mám nastavený ho klientama nastavenou nastavenej kerberos tak jak se potom řeší
ty služby
že jo jsem to zopakovala
jak se řešil se kerberos těch služeb já si můžete per služba ne pro každou
slibu se musí říct tale třeba se svařuje kerberos M oproti pamato model
nebo strašně slovinska službě
i ta
chtít aby vlastně neškodně zjednodušit tak je to obdoba hesla která je ale souboru
jo protože služba list a to je tak nemůže a pak když tam servise toto
per start tak
aby to prvky po mně mohlo chtít zaslalo není to výhodný že jo
takže vlastně ono něco jako svoje uložený souboru kterým se říká kýta po pocit osazuje
proti krve
pokud se bavili o sobě konkrétního apači tak toho pač
že tam někde nahoře musíme byla otázka kterou sem
ve
jo
ze to ale to škaredy
nedoprošoval bych to dělat protože ono je výhodný mít vlastně je fakt jedna ku jedné
namapovaných ho uživatele
na serveru včetně identity to znamená toho uživatele jo už a podobně a to přihlašování
a jedna sto udělat pomocí no norilský prezentaci ale nejsme necho najdu
ale pro při provede tak zvaný to jenom obal to o
okolo
není obecný vopa modulu nebo obecně o RSS modulu
která umožní vložit do S víš N neruším a ono se takhle dá vložit i
přihlašování k to co passport votevřel šedou
jo takže pomocí tady toho pro psy vobalovat kam se to dá na udělat
mimo lidech co to a takhle dělají si že vrátil právě to říkal když o
to používanou
ale
to je bych to nedoporučoval
martě
a to služba se při přihlašuje
jo
musíme probrat napsat sám
a myslím že chyb a má několik služeb psát který dokáže takhle nastavit na
jak vypadá to že se stavem protože sem stručnej stínovat lidi takže děkuju za pozornost
kdyžtak kdybys eště nějaké otázky tak se na to píchněte teďka po prezentace
jo