How to become an author
Search
Write a publication
Pull to refresh
Search
Publications Hubs Companies Users Comments

Keycloak — больно не будет

Level of difficultyHard
Reading time17 min
Views31K
Nixys corporate blogIT Infrastructure*DevOps*
Tutorial

Привет! Меня зовут Алексей, я DevOps-инженер компании Nixys. «Как правильно и своевременно предоставлять и отнимать доступ у различных сотрудников?» — этот вопрос беспокоит всех. Особую важность эта задача приобретает, когда продукт начинает быстро расти — если ваш штат регулярно меняется, вопросы безопасности данных и работоспособности системы должны стоять на особом контроле.

В статье я хочу рассказать, как мы совершенствовали систему контроля доступа в рамках одного проекта, и показать, как реализовали единую точку авторизации через Keycloak.

Читать далее
Total votes 7: ↑7 and ↓0+7
Comments5

Kerberoasting для Red Team

Reading time5 min
Views4K
Information Security*IT Infrastructure*Network technologies*Server Administration*
From sandbox

Тестирование на проникновение Active Directory – зрелище не для слабонервных. Стоит только взглянуть на дорожную карту Пентеста Active Directory: “Active Directory Penetration Mind Map” как сразу становится ясным то, что это вовсе не «легкая прогулка». Тем не менее, к настоящему времени исследователями, энтузиастами и другими неравнодушными собрано достаточно большое количество статей и материалов, в которых (по моему скромному мнению) можно найти ответ на любой вопрос, и при этом рассмотреть проблему с разных сторон! Поэтому, данная статья является всего лишь адаптацией на русский язык англоязычного аналога, приправленной некоторыми комментариями автора. По-моему мнению, данный материал возможно «размылит»  тот самый замыленный глаз после использования несметного числа утилит и методик при тестировании на проникновение, и возможно заставит задуматься о тех средствах и методах, которые мы применяем в повседневной деятельности!

Читать далее
Total votes 2: ↑2 and ↓0+2
Comments0

Advanced Active Directory Services WS2012 – информация от Экс-Архитектора Microsoft

Reading time1 min
Views12K
«Звезды и С» corporate blog
Алексей Кибкало продолжает делиться секретами! Предлагаем посмотреть запись вебинара.


За два часа были освещены следующие темы:
Читать дальше →
Total votes 12: ↑8 and ↓4+4
Comments11

Установка сервера Openfire на Debian в домене AD2008 с прозрачной авторизацией пользователей

Reading time6 min
Views39K
Instant Messaging*
Tutorial
From sandbox
Здравствуйте!

Хочу поделиться опытом установки сервера Openfire на Debian в домене AD Windows Server 2008 с использованием SSO клиентом Spark.

Сама установка проста и занимает немного времени, основные сложности для меня возникли при настройке kerberos-авторизации всей связки ПО.

Инфраструктура:
Openfire 3.8.2 устанавливаем на Debian 7.0 «Wheezy» x64 с использованием СУБД MySQL.
Имя Debian-сервера: openfireserver.
Служба Active Directory развернута на Windows 2008 Server Standard (Kerberos использует шифрование RC4-HMAC-NT по умолчанию).
Домен realm.local.
Рабочие станции Windows XP Pro и Windows 7 Pro x32/x64 с установленным клиентом Spark 2.6.3.
Читать дальше →
Total votes 18: ↑15 and ↓3+12
Comments36

Внедрение Zimbra Collaboration Open Source, авторизация через AD и автоматическое создание почтовых ящиков

Reading time10 min
Views28K
Configuring Linux*System administration*Network technologies*
Tutorial
From sandbox
image

1. Исходные данные


ОС сервера: CentOS 7

По поводу ОС
На самом деле разница между CentOS7 и любой другой системой будет заключаться исключительно в командах серверу на установку зависимостей, и, возможно, расположении некоторых файлов. Работа ведется в основном с командлетами Zimbra, так что отличия настройки будет минимальны.

Windows домен: home.local
Адрес и имя почтового сервера: 10.40.0.80 / zimbramail.home.local
Пользователь для доступа к каталогу AD: ZimbraLDAP с паролем qwe123

2. Подводные камни


Сам процесс установки Zimbra довольно прост. Нужно установить зависимые пакеты, скачать архив, запустить скрипт и правильно ответить на вопросы установщика. Но, как и везде, есть свои маленькие сложности.

1) Zimbra чувствительна к hostname. Первое, что нужно сделать перед установкой – привести файл /etc/hosts к виду:

127.0.0.1	 localhost.localdomain	localhost
10.40.0.80	 zimbramail.home.local	zimbramail

2) Без доступа к internet чуда не произойдет. Если доступа в internet не будет, то скрипт будет подвисать на 20-40 минут, и в итоге, естественно, завершится с ошибкой. Казалось бы, зачем нужен почтовый сервер без доступа в интернет, но «чего только не бывает в подлунном мире».
Читать дальше →
Total votes 18: ↑18 and ↓0+18
Comments12

Прикручиваем LDAP-авторизацию к Kubernetes

Reading time6 min
Views41K
System administration**nix*DevOps*Kubernetes*
Tutorial


Небольшая инструкция о том, как используя Keycloak можно связать Kubernetes с вашим LDAP-сервером и настроить импорт пользователей и групп. Это позволит настраивать RBAC для ваших пользователей и использовать auth-proxy чтобы защитить Kubernetes Dashboard и другие приложения, которые не умеют производить авторизацию самостоятельно.

Читать дальше →
Total votes 5: ↑5 and ↓0+5
Comments8

Univention Corporate Server (UCS) — установка простого и удобного LDAP сервера с web-панелью и его связка с Nextcloud

Reading time7 min
Views19K
Configuring Linux*System administration*IT Infrastructure**nix*Software
Tutorial


Рано или поздно на любом маленьком или среднем предприятии возникает задача по созданию единого центра авторизации пользователей в многочисленных сервисах и порталах компании. Среди кандидатов на такой центр авторизации сразу приходит в голову Microsoft Active Directory или одна из реализаций на базе Linux.

В данном цикле статей мы будем использовать Univention Corporate Server (далее по тексту UCS) как удобный и простой в использовании сервер LDAP авторизации с понятным web-интерфейсом и встроенным магазином приложений. Данный продукт разработан немецкой компанией Univention GmbH.

В этой статье мы опишем установку UCS и разворачивание Nextcloud с возможностью последующей авторизации через LDAP.

В следующих статьях мы так же подключим к UCS еще почтовый сервер Zimbra и портал OnlyOffice.
Читать дальше →
Total votes 9: ↑7 and ↓2+5
Comments21

Интеграция СДО Moodle и Microsoft Active Directory. Часть 1

Reading time8 min
Views24K
System administration*IT Infrastructure*
Tutorial
From sandbox
Ну что же, это мой первый пост в хабр-сообществе. В перспективе эта статья должна стать одной из статей в цикле рассказов о построении информационной инфраструктуры образовательного учреждения на базе Moodle, BigBlueButton, Microsoft Active Directory и Kaspersky Security Center.
Для тех, кто не знает, Moodle — это система дистанционного обучения, этакая CMS с уклоном на образование, про неё на хабре уже немало написано. В этой статье расскажу, как же полноценно связать её с базой пользователей, созданных в Microsoft Active Directory.
Читать дальше →
Total votes 10: ↑7 and ↓3+4
Comments1

Упрощаем жизнь администратору, ассоциируем имя пользователя и имя компьютера в автоматическом режиме в каталоге AD

Reading time10 min
Views149K
Algorithms*
Recovery Mode
Добрый день, хабр!
Наверное, у всех системных администраторов была проблема определения имени компьютера пользователя. То есть мы знаем имя сотрудника, но какой у него компьютер, без понятия. И, зачастую, попытка заставить пользователя определить имя компьютера вызывает мучение. Они вместо этого называют имя пользователя, mail, номер телефона, все что угодно, только не имя компьютера. А попытка объяснить пользователю где находится информация о системе вызывает баттхерт сотрудника и лютую ненависть. Можно, конечно, было бы написать какую-нибудь утилитку, позволяющая отображать имя компьютера на рабочем столе или где-нибудь еще на видном месте, но для этого надо каждый раз объяснять где находится эта информация. Немного упрощает задачу, но не решает ее полностью. Тем более что я склоняюсь к тому, что пользователю и во все положено не знать имя компьютера, на котором он сидит. В результате было решено сделать определение имени компьютера современным, удобным, правильным и, главное, автоматическим.

image
Примерно так может выглядеть подключение к компьютеру. При чем оснастку даже не обязательно открывать с помощью административной учетной записи. Для тех, кому интересно как все это работает и как это сделать в вашей инфраструктуре, добро пожаловать под кат.
Для выполнения описанного, вы должны понимать что такое AD, понимать хотя бы примерно структуру объектов в AD, понимать работу скриптов, а также любить котиков.
Читать дальше →
Total votes 36: ↑28 and ↓8+20
Comments48

Поиск всех групп пользователя AD по протоколу LDAP

Reading time2 min
Views44K
System administration*
Мне по роду занятий часто приходится иметь дело с сервисами интегрирующимися с AD. К сожалению в большинстве таких сервисов напрочь отсутствует поддержка такой удобной «фичи» AD как Nested Groups
Неужели организовать перечисление всех вложенных групп пользователя так сложно?
Давайте разберёмся!
Total votes 5: ↑4 and ↓1+3
Comments6

Аутентификация в Kubernetes с помощью Dex: прикручиваем LDAP

Reading time8 min
Views9K
DataLine corporate blogIT Infrastructure*Virtualization*DevOps*Kubernetes*
Tutorial
Сегодня я подробно разберу настройку аутентификации в Kubernetes с помощью Dex в связке с LDAP, а также покажу, как можно добавлять статических пользователей в Dex. 

В статье не буду останавливаться на основных принципах работы Dex, а сразу перейду к установке и настройке LDAP. Познакомиться с принципами работы Dex можно в этой статье.

Что будем делать:

  1. Установим OpenLDAP и настроим на нем поддержку STARTTLS. 
  2. Опишем структуру LDAP-каталога нашей организации.
  3. Включим поддержку OIDC (OpenID Connect) на kube-api-серверах.
  4. Получим SAN-сертификат для доменов, которые будет использовать Dex.
  5. Установим Dex и Dex-auth, где мы опишем LDAP-каталог и статических пользователей
  6. Сгенерируем kubeconfig нашего пользователя для работы с кластером.
  7. Настроим RBAC-авторизацию для групп и пользователей в кластере.

Итак, поехали.



Показывать буду на примере уже готового кластера Kubernetes с Helm версии 3 и Ingress, а также тремя доменными именами.
Читать дальше →
Total votes 15: ↑15 and ↓0+15
Comments0

Вышел GitLab 10.0: Авто-DevOps и групповые доски задач

Reading time17 min
Views15K
Softmart corporate blogOpen source*Git*Version control systems*Build automation*
Translation

Вышел GitLab 10.0 с Авто-DevOps, групповыми досками задач, новой навигацией и множеством других фич.


КПДВ


От формулировки идеи — до запуска и мониторинга на производстве. DevOps задаёт культуру и окружение, в которых разработка, тестирование и выпуск ПО происходят быстрее, чаще и надёжнее.


Total votes 22: ↑21 and ↓1+20
Comments10

LDAP-«аутентификация» — это антипаттерн

Reading time7 min
Views82K
Avanpost corporate blogInformation Security*System Analysis and Design*
Translation

Сегодня в любой организации есть LDAP-каталог, наполненный пользователями этой организации. Если присмотреться, вы найдете одно или несколько приложений, которые используют этот же каталог для «аутентификации». И кавычки здесь неспроста, ведь LDAP — это протокол доступа к каталогам, спроектированный для чтения, записи и поиска в службе каталогов. Это не протокол аутентификации. Термин «LDAP-аутентификация», скорее, относится к той части протокола (операции bind), где определяется, кто вы такой, и какие права доступа имеете к информации каталога.
Читать дальше →
Total votes 18: ↑14 and ↓4+10
Comments36

Создаём WEB адресный справочник PHP + LDAP

Reading time7 min
Views16K
System administration*PHP*
From sandbox
Так случилось, что у (относительно) большой кампании было много отдалённых офисов, в которых находилось приличное количество пользователей. Все офисы соединены в одну сеть с общим доменом, каждый офис был определён в Active Directory (далее по тексту AD) как Organization Unit (OU), в котором уже заводились пользователи.

Необходимо было дать пользователям возможность быстро и без особенных усилий получать контактные данные необходимого сотрудника из AD, а системных администраторов освободить от рутины редактирования текстового файла, который играл роль адресной книги.
Если вам интересна данная тема - читайте продолжение дальше
Total votes 14: ↑11 and ↓3+8
Comments19

Бесплатный прокси-сервер для предприятия с доменной аутентификацией

Reading time6 min
Views57K
Configuring Linux*Information Security*System administration*Network technologies*
From sandbox


pfSense+Squid с фильтрацией https + Технология единого входа (SSO) с фильтрацией по группам Active Directory

Краткая предыстория


На предприятии возникла необходимость во внедрении прокси-сервера с возможностью фильтрации доступа к сайтам(в том числе https) по группам из AD, чтобы пользователи не вводили никаких дополнительных паролей, а администрировать можно было с веб интерфейса. Неплохая заявочка, не правда ли?

Правильным вариантом ответа было бы купить такие решения как Kerio Control или UserGate, но как всегда денег нет, а потребность есть.

Тут то к нам и приходит на выручку старый добрый Squid, но опять же — где взять веб интерфейс? SAMS2? Морально устарел. Тут то и приходит на выручку pfSense.

Описание


В данной статье будет описан способ настройки прокси-сервера Squid.
Для авторизации пользователей будет использоваться Kerberos.
Для фильтрации по доменным группам будет использоваться SquidGuard.

Для мониторинга будет использован Lightsquid, sqstat и внутренние системы мониторинга pfSense.
Также будет решена частая проблема, связанная с внедрением технологии единого входа (SSO), а именно приложения, пытающиеся ходить в интернет под учеткой компа\своей системной учеткой.
Читать дальше →
Total votes 4: ↑4 and ↓0+4
Comments10

Freeradius + Google Autheticator + LDAP + Fortigate

Reading time7 min
Views16K
Configuring Linux*Information Security*Open source**nix*Server Administration*
Tutorial
Как быть, если двухфакторной аутентификации и хочется, и колется, а денег на аппаратные токены нет и вообще предлагают держаться и хорошего настроения.

Данное решение не является чем-то супероригинальным, скорее — микс из разных решений, найденных на просторах интернета.
Читать дальше →
Total votes 2: ↑2 and ↓0+2
Comments17

Переехать в облако: как LDAP помогает внедрить виртуальную АТС

Reading time3 min
Views3.3K
Mango Office corporate blogDevelopment of communication systems*Product Management*


Чем крупнее компания, тем больше у неё возникает затруднений, которые неведомы организациям поменьше. И далеко не всегда это связано с ведением бизнеса. Виртуальная АТС раньше многими воспринималась как продукт для небольших компаний, но сейчас представление меняется. Средние и крупные предприятия всё шире применяют виртуальные АТС, но попутно им приходится решать довольно нетривиальные задачи — например, как в коммуникационную среду под управлением виртуальной АТС поместить профили сотрудников и, самое главное, поддерживать их в актуальном состоянии? Ведь когда в штате компании несколько сотен или тысяч человек, занесение и постоянную актуализацию их карточек вручную нельзя расценивать иначе как наказание. Чтобы облегчить нашим клиентам жизнь, мы внедрили в виртуальную АТС MANGO OFFICE поддержку протокола LDAP.
Читать дальше →
Total votes 15: ↑14 and ↓1+13
Comments2

Проектирование программной платформы защищённого NAS

Reading time14 min
Views19K
System Analysis and Design**nix*Virtualization*Data storage*Data storages*


Допустим, аппаратная часть NAS собрана и на неё установлена ОС, например, как показано здесь. И сейчас у вас есть работающий сервер с Debian, который загружается, подключен в сеть, и вы имеете к нему полный физический доступ.


Теперь надо спроектировать среду, позволяющую легко и безопасно добавлять, удалять прикладные сервисы, а также управлять их работой.

Читать дальше →
Total votes 14: ↑14 and ↓0+14
Comments16

Цикл статей: построение защищённого NAS, либо домашнего мини-сервера

Reading time2 min
Views61K
System Analysis and Design*IT Infrastructure**nix*Data storages*DIY
Recovery Mode


Статьи цикла:


  1. Обзор материалов и литературы по NAS. По предложениям пользователей ссылки на материалы будут сведены в отдельную статью.
  2. Выбор железа. Описан один из вариантов выбора железа и дан краткий обзор рынка домашних и офисных NAS систем.
  3. Установка ОС, на которой будет строиться NAS. В отдельной статье описано дополнение, позволяющее отказаться ото всех файловых систем, кроме ZFS.
  4. Проектирование поддерживающей инфраструктуры, которая будет лежать в основе всех сервисов NAS.
  5. Реализация поддерживающей инфраструктуры.
  6. Механизм аварийной удалённой разблокировки. Требуется для того, чтобы разблокировать систему, не имея к ней физического доступа.
  7. Повышение защищённости NAS. Исправление ошибок, допущенных в предыдущих статьях и описание Hardening процесса.
  8. Система контроля версий на базе Git. Установка Gitlab в контейнере.
  9. Система резервного копирования. От регламента до установки ПО, где в качестве примера используется UrBackup.
  10. Персональное облако. Обеспечивает хранение персональных файлов пользователя, обмен файлами между пользователями, а также интеграцию различных сервисов между собой.
  11. Сквозная аутентификация контейнеров.
  12. Управление файлами.
  13. Библиотека.
  14. Мультимедийная система 1: музыка.
  15. Мультимедийная система 2: медиа сервер.
  16. Фронтенд. Интерфейс, позволяющий быстро обращаться к сервисам.
  17. Заметки про управление контейнерами.
Читать дальше →
Total votes 37: ↑33 and ↓4+29
Comments141

Бомба Log4j и кризис опенсорса

Reading time5 min
Views58K
М.Видео-Эльдорадо corporate blogInformation Security*Open source*Java*API*


Учитывая стремительную цифровизацию бизнеса и развитие наших мобильных и веб-платформ, вопросы информационной безопасности для М.Видео-Эльдорадо крайне важны. Наверняка почти все в курсе про эпическую уязвимость в библиотеке Apache Log4j. Она поддерживает выполнение внешнего кода для интеллектуального парсинга логов, куда попадает и пользовательский ввод. Грубо говоря, одна строчка в адресной строке браузера у школьника кладёт сервер, если эту строчку скушает логгер (на многих серверах записываются в логи все HTTP-запросы).

Уязвимость в библиотеке сидела с 2013 года, но заметили только сейчас. А когда начали копать глубже, то обнаружили пропасть, дно которой не просматривается вообще.

Спустя месяц можно с холодной головой осмыслить произошедшее и подумать, что эта история означает для всего движения Open Source.
Читать дальше →
Total votes 120: ↑95 and ↓25+70
Comments253
1
2
345

Your account

Sections

Information

Services

Support
© 2006–2024, Habr