IT в школе - Вклад [ru]

Блокировка интернета при проведении регионального этапа ВсОШ по информатике

2026-01-13T18:32:56Z

Dkirienko: Разрывы строк в Powershell-скрипте

Эта статья создана для помощи организаторам регионального этапа всероссийской олимпиады школьников по информатике в настройке фильтрации доступа в интернет во время олимпиады.

При проведении регионального этапа ВсОШ по информатике, в соответствии с [https://vso.edsoo.ru/public.php/dav/files/3pCCBL6X2C4ywkr/?accept=zip требованиями к проведению регионального этапа], доступ участников в интернет должен быть ограничен сайтом тестирующей системы.

Удобнее всего осуществлять фильтрацию на сетевом оборудовании (роутеры, сервера организации), тогда настройки фильтрации производятся централизованно в одном месте. В этом случае фильтрация самостоятельно настраивается специалистами организации в соответствии с правилами, изложенными в этой статье. Если участники работают на компьютерах с WiFi-адаптером, и фильтрация интернета осуществляется на роутере (не локальным файрволом), то необходимо исключить возможность участников выхода в интернет через произвольную WiFi-сеть (например, через свой телефон в кармане). Для этого нужно разрешить подключаться только к определённой WiFi-сети. Инструкция, как этот сделать в Windows, например, [https://winnote.ru/networks/143-filtraciya-spiska-dostupnyh-wifi-setey-v-windows-10.html вот здесь].

В случаях, когда фильтрация доступа в интернет на сетевом оборудовании невозможна, фильтрация осуществляется настройкой файрвола операционной системы на каждом компьютере участника.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

После получения логинов и паролей для доступа участников к пробному туру, зайдите в пробный тур под логином любого участника и проверьте, что вы видите задачи пробного тура.
===Основные правила===
Настройка фильтрации осуществляется под учетной записью администратора. Участники олимпиады должны использовать непривилегированную учётную запись, исключающую возможность изменения настроек файрвола.

На каждом компьютере должен быть открыт доступ:
*DNS-протокол: UDP, порт 53 (для входящих соединений - UDP и TCP, порт 53).
*NTP-протокол: UDP порт 123.
*ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
*Все соединения на localhost, для работы локальных приложений.
Также может быть открыт доступ для работы других локальных сервисов, если это необходимо для функционирования сети или администрирования компьютеров. Например, может быть открыт доступ к локальным компьютерам по протоколу ssh (порт 22), если на компьютере участников запущен ssh-сервер для администрирования (исключающий возможность подключения участников по протоколу ssh), или UDP порт 5353 для работы протокола mDNS (zeroconf).

Также должен быть открыт доступ к сайтам тестирующих систем (рекомендуется оставить только ту тестирующую систему, которая будет использоваться в регионе).
{| class="wikitable"
|+Список открытых хостов
!Тестирующая система
!Имя хоста
!IP-адрес
|-
| rowspan="4" |Яндекс-контест
|ext.contest.yandex.ru
ext.contest.yandex.com
|87.250.250.200
2a02:6b8::360
|-
|clck.yandex.ru
|77.88.21.14
87.250.250.14

87.250.251.14

93.158.134.14

213.180.193.14

213.180.204.14

2a02:6b8::14
|-
|yastatic.net
yandex.st
|37.9.64.225
2a02:6b8:23::225
|-
|contest-problem-files.s3-private.mds.yandex.net
contest-hidden.s3-private.mds.yandex.net

contest-public.s3-private.mds.yandex.net
|87.250.251.158
2a02:6b8::3:158
|-
|Codeforces
|*.contest.codeforces.com
|95.163.252.68
|}
После настройки необходимо проверить, что сайт тестирующей системы доступен участникам. Примеры сайтов для проверки: ext.contest.yandex.ru (Яндекс-контест), reg2025.contest.codeforces.com (Codeforces).

Все прочие сайты должны быть заблокированы. Примеры сайтов для проверки (они должны быть заблокированы): codeforces.com, contest.yandex.ru, ya.ru, mail.ru, google.com, vk.com, web.telegram.org

Желательно проверить, что доступ заблокирован не только в браузере, но и в других приложениях, например, невозможно подключение наружу по протоколу ssh (пример команды для проверки: ssh sshtron.zachlatta.com).

Все настройки фильтрации можно сделать конфигурационным скриптом, запускаемом на компьютере участника, в соответствии с инструкциями ниже.

===Настройка Windows 10 и Windows 11===
В Windows можно использовать стандартный файрвол операционной системы.

Для этого нужно создать powershell-скрипт следующего содержания.

Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаем доступ к сайтам тестирующей системы
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Outbound -Action Allow `
-RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,213.180.193.14,213.180.204.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Inbound -Action Allow `
-RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,213.180.193.14,213.180.204.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Outbound -Action Allow -RemoteAddress 37.9.64.225,2a02:6b8:23::225
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Inbound -Action Allow -RemoteAddress 37.9.64.225,2a02:6b8:23::225
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Outbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Inbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Outbound -Action Allow -RemoteAddress 95.163.252.68
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Inbound -Action Allow -RemoteAddress 95.163.252.68

</syntaxhighlight>

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.

=== Настройка Linux ===
В операционных системах на базе GNU/Linux необходимо использовать системный файрвол iptables или nftables в зависимости от дистрибутива. Точные инструкции для Linux не приводятся, так как конфигурационные файлы различаются в разных дистрибутивах. Можно использовать следующие статьи для примеров подобной настройки:

[[Блокировка интернета при проведении ВсОШ в Москве]] - используется nftables для операционной системы МОС-12, применимо также для дистрибутивов семейства Роса.

[[Блокировка интернета в МОС-12 при помощи nftables]] - также про настройку nftables в МОС-12 и дистрибутивах семейства Роса.

[[Блокировка интернета в МОС при помощи iptables]] - используется iptables, применимо для дистрибутивов семейства Альт (Альт Образование, Альт рабочая станция, Simply linux и т.д.).

==== Настройка ufw в Ubuntu ====
В Ubuntu и дистрибутивах, построенных на его основе, а также в ряде других дистрибутивов (Astra Linux) есть простая утилита [https://wiki.ubuntu.com/UncomplicatedFirewall ufw] для настройки файрвола.

Если ufw не установлен, это можно сделать командой (под root или с использованием sudo).
apt install ufw
Основные особенности использования ufw:

* Не нужно создавать конфигурационные файлы. Каждый вызов утилиты ufw может создавать отдельное правило, для задания нескольких правил нужно несколько раз вызвать утилиту ufw.
* Правила сохраняются между перезапусками. Созданная конфигурация запоминается, не нужно изучать конфигурационные файлы, сохранение происходит автоматически.
* Для отладки и тиражирования конфигурации удобно создать скрипт, в который запишем все нужные вызовы ufw.
* Команда ufw reset сбрасывает все настройки и отключает файрвол.
* Команда ufw enable включает файрвол.
* Команда ufw status verbose выводит текущее состояние файрвола.

Вот пример скрипта для создания всех необходимых правил фильтрации. Его нужно запускать от пользователя root или с использованием sudo. Запишите этот скрипт в файл для того, чтобы можно было быстро включать фильтрацию запуском скрипта.<syntaxhighlight lang="bash">
#!/bin/bash

ufw --force reset

ufw enable

# Добавьте следующую строчку при необходимости подключения к компьютеру по ssh для управления им
# ufw allow ssh

# ntp
ufw allow ntp
ufw allow out ntp

# dns
ufw allow domain/udp
ufw allow out domain/udp

# Локальные соединения
ufw allow from 127.0.0.1/8
ufw allow out to 127.0.0.1/8

# Сюда вписываем сайты, к которым должен быть открыт доступ.
ufw allow out to 87.250.250.200
ufw allow out to 2a02:6b8::360
ufw allow out to 77.88.21.14
ufw allow out to 87.250.250.14
ufw allow out to 87.250.251.14
ufw allow out to 93.158.134.14
ufw allow out to 213.180.193.14
ufw allow out to 213.180.204.14
ufw allow out to 2a02:6b8::14
ufw allow out to 37.9.64.225
ufw allow out to 2a02:6b8:23::225
ufw allow out to 87.250.251.158
ufw allow out to 2a02:6b8::3:158

ufw allow out to 95.163.252.68

# Делаем reject на остальные хосты при подключении по http и https
ufw reject out http
ufw reject out https

# Политика по умолчанию - отклонять пакеты
ufw default deny incoming
ufw default deny outgoing

</syntaxhighlight>Для отключения фильтрации необходимо выполнить команду

<code>ufw --force reset</code>

Блокировка интернета при проведении регионального этапа ВсОШ по информатике

2026-01-13T18:29:14Z

Dkirienko: Обновление адресов Яндекса

Эта статья создана для помощи организаторам регионального этапа всероссийской олимпиады школьников по информатике в настройке фильтрации доступа в интернет во время олимпиады.

При проведении регионального этапа ВсОШ по информатике, в соответствии с [https://vso.edsoo.ru/public.php/dav/files/3pCCBL6X2C4ywkr/?accept=zip требованиями к проведению регионального этапа], доступ участников в интернет должен быть ограничен сайтом тестирующей системы.

Удобнее всего осуществлять фильтрацию на сетевом оборудовании (роутеры, сервера организации), тогда настройки фильтрации производятся централизованно в одном месте. В этом случае фильтрация самостоятельно настраивается специалистами организации в соответствии с правилами, изложенными в этой статье. Если участники работают на компьютерах с WiFi-адаптером, и фильтрация интернета осуществляется на роутере (не локальным файрволом), то необходимо исключить возможность участников выхода в интернет через произвольную WiFi-сеть (например, через свой телефон в кармане). Для этого нужно разрешить подключаться только к определённой WiFi-сети. Инструкция, как этот сделать в Windows, например, [https://winnote.ru/networks/143-filtraciya-spiska-dostupnyh-wifi-setey-v-windows-10.html вот здесь].

В случаях, когда фильтрация доступа в интернет на сетевом оборудовании невозможна, фильтрация осуществляется настройкой файрвола операционной системы на каждом компьютере участника.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

После получения логинов и паролей для доступа участников к пробному туру, зайдите в пробный тур под логином любого участника и проверьте, что вы видите задачи пробного тура.
===Основные правила===
Настройка фильтрации осуществляется под учетной записью администратора. Участники олимпиады должны использовать непривилегированную учётную запись, исключающую возможность изменения настроек файрвола.

На каждом компьютере должен быть открыт доступ:
*DNS-протокол: UDP, порт 53 (для входящих соединений - UDP и TCP, порт 53).
*NTP-протокол: UDP порт 123.
*ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
*Все соединения на localhost, для работы локальных приложений.
Также может быть открыт доступ для работы других локальных сервисов, если это необходимо для функционирования сети или администрирования компьютеров. Например, может быть открыт доступ к локальным компьютерам по протоколу ssh (порт 22), если на компьютере участников запущен ssh-сервер для администрирования (исключающий возможность подключения участников по протоколу ssh), или UDP порт 5353 для работы протокола mDNS (zeroconf).

Также должен быть открыт доступ к сайтам тестирующих систем (рекомендуется оставить только ту тестирующую систему, которая будет использоваться в регионе).
{| class="wikitable"
|+Список открытых хостов
!Тестирующая система
!Имя хоста
!IP-адрес
|-
| rowspan="4" |Яндекс-контест
|ext.contest.yandex.ru
ext.contest.yandex.com
|87.250.250.200
2a02:6b8::360
|-
|clck.yandex.ru
|77.88.21.14
87.250.250.14

87.250.251.14

93.158.134.14

213.180.193.14

213.180.204.14

2a02:6b8::14
|-
|yastatic.net
yandex.st
|37.9.64.225
2a02:6b8:23::225
|-
|contest-problem-files.s3-private.mds.yandex.net
contest-hidden.s3-private.mds.yandex.net

contest-public.s3-private.mds.yandex.net
|87.250.251.158
2a02:6b8::3:158
|-
|Codeforces
|*.contest.codeforces.com
|95.163.252.68
|}
После настройки необходимо проверить, что сайт тестирующей системы доступен участникам. Примеры сайтов для проверки: ext.contest.yandex.ru (Яндекс-контест), reg2025.contest.codeforces.com (Codeforces).

Все прочие сайты должны быть заблокированы. Примеры сайтов для проверки (они должны быть заблокированы): codeforces.com, contest.yandex.ru, ya.ru, mail.ru, google.com, vk.com, web.telegram.org

Желательно проверить, что доступ заблокирован не только в браузере, но и в других приложениях, например, невозможно подключение наружу по протоколу ssh (пример команды для проверки: ssh sshtron.zachlatta.com).

Все настройки фильтрации можно сделать конфигурационным скриптом, запускаемом на компьютере участника, в соответствии с инструкциями ниже.

===Настройка Windows 10 и Windows 11===
В Windows можно использовать стандартный файрвол операционной системы.

Для этого нужно создать powershell-скрипт следующего содержания.

Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаем доступ к сайтам тестирующей системы
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,213.180.193.14,213.180.204.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,213.180.193.14,213.180.204.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Outbound -Action Allow -RemoteAddress 37.9.64.225,2a02:6b8:23::225
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Inbound -Action Allow -RemoteAddress 37.9.64.225,2a02:6b8:23::225
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Outbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Inbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Outbound -Action Allow -RemoteAddress 95.163.252.68
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Inbound -Action Allow -RemoteAddress 95.163.252.68

</syntaxhighlight>

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.

=== Настройка Linux ===
В операционных системах на базе GNU/Linux необходимо использовать системный файрвол iptables или nftables в зависимости от дистрибутива. Точные инструкции для Linux не приводятся, так как конфигурационные файлы различаются в разных дистрибутивах. Можно использовать следующие статьи для примеров подобной настройки:

[[Блокировка интернета при проведении ВсОШ в Москве]] - используется nftables для операционной системы МОС-12, применимо также для дистрибутивов семейства Роса.

[[Блокировка интернета в МОС-12 при помощи nftables]] - также про настройку nftables в МОС-12 и дистрибутивах семейства Роса.

[[Блокировка интернета в МОС при помощи iptables]] - используется iptables, применимо для дистрибутивов семейства Альт (Альт Образование, Альт рабочая станция, Simply linux и т.д.).

==== Настройка ufw в Ubuntu ====
В Ubuntu и дистрибутивах, построенных на его основе, а также в ряде других дистрибутивов (Astra Linux) есть простая утилита [https://wiki.ubuntu.com/UncomplicatedFirewall ufw] для настройки файрвола.

Если ufw не установлен, это можно сделать командой (под root или с использованием sudo).
apt install ufw
Основные особенности использования ufw:

* Не нужно создавать конфигурационные файлы. Каждый вызов утилиты ufw может создавать отдельное правило, для задания нескольких правил нужно несколько раз вызвать утилиту ufw.
* Правила сохраняются между перезапусками. Созданная конфигурация запоминается, не нужно изучать конфигурационные файлы, сохранение происходит автоматически.
* Для отладки и тиражирования конфигурации удобно создать скрипт, в который запишем все нужные вызовы ufw.
* Команда ufw reset сбрасывает все настройки и отключает файрвол.
* Команда ufw enable включает файрвол.
* Команда ufw status verbose выводит текущее состояние файрвола.

Вот пример скрипта для создания всех необходимых правил фильтрации. Его нужно запускать от пользователя root или с использованием sudo. Запишите этот скрипт в файл для того, чтобы можно было быстро включать фильтрацию запуском скрипта.<syntaxhighlight lang="bash">
#!/bin/bash

ufw --force reset

ufw enable

# Добавьте следующую строчку при необходимости подключения к компьютеру по ssh для управления им
# ufw allow ssh

# ntp
ufw allow ntp
ufw allow out ntp

# dns
ufw allow domain/udp
ufw allow out domain/udp

# Локальные соединения
ufw allow from 127.0.0.1/8
ufw allow out to 127.0.0.1/8

# Сюда вписываем сайты, к которым должен быть открыт доступ.
ufw allow out to 87.250.250.200
ufw allow out to 2a02:6b8::360
ufw allow out to 77.88.21.14
ufw allow out to 87.250.250.14
ufw allow out to 87.250.251.14
ufw allow out to 93.158.134.14
ufw allow out to 213.180.193.14
ufw allow out to 213.180.204.14
ufw allow out to 2a02:6b8::14
ufw allow out to 37.9.64.225
ufw allow out to 2a02:6b8:23::225
ufw allow out to 87.250.251.158
ufw allow out to 2a02:6b8::3:158

ufw allow out to 95.163.252.68

# Делаем reject на остальные хосты при подключении по http и https
ufw reject out http
ufw reject out https

# Политика по умолчанию - отклонять пакеты
ufw default deny incoming
ufw default deny outgoing

</syntaxhighlight>Для отключения фильтрации необходимо выполнить команду

<code>ufw --force reset</code>

Блокировка интернета при проведении регионального этапа ВсОШ по информатике

2025-12-25T13:26:06Z

Dkirienko: Обновлена сслылка на требования к проведению.

Эта статья создана для помощи организаторам регионального этапа всероссийской олимпиады школьников по информатике в настройке фильтрации доступа в интернет во время олимпиады.

При проведении регионального этапа ВсОШ по информатике, в соответствии с [https://vso.edsoo.ru/public.php/dav/files/3pCCBL6X2C4ywkr/?accept=zip требованиями к проведению регионального этапа], доступ участников в интернет должен быть ограничен сайтом тестирующей системы.

Удобнее всего осуществлять фильтрацию на сетевом оборудовании (роутеры, сервера организации), тогда настройки фильтрации производятся централизованно в одном месте. В этом случае фильтрация самостоятельно настраивается специалистами организации в соответствии с правилами, изложенными в этой статье. Если участники работают на компьютерах с WiFi-адаптером, и фильтрация интернета осуществляется на роутере (не локальным файрволом), то необходимо исключить возможность участников выхода в интернет через произвольную WiFi-сеть (например, через свой телефон в кармане). Для этого нужно разрешить подключаться только к определённой WiFi-сети. Инструкция, как этот сделать в Windows, например, [https://winnote.ru/networks/143-filtraciya-spiska-dostupnyh-wifi-setey-v-windows-10.html вот здесь].

В случаях, когда фильтрация доступа в интернет на сетевом оборудовании невозможна, фильтрация осуществляется настройкой файрвола операционной системы на каждом компьютере участника.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

После получения логинов и паролей для доступа участников к пробному туру, зайдите в пробный тур под логином любого участника и проверьте, что вы видите задачи пробного тура.
===Основные правила===
Настройка фильтрации осуществляется под учетной записью администратора. Участники олимпиады должны использовать непривилегированную учётную запись, исключающую возможность изменения настроек файрвола.

На каждом компьютере должен быть открыт доступ:
*DNS-протокол: UDP, порт 53 (для входящих соединений - UDP и TCP, порт 53).
*NTP-протокол: UDP порт 123.
*ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
*Все соединения на localhost, для работы локальных приложений.
Также может быть открыт доступ для работы других локальных сервисов, если это необходимо для функционирования сети или администрирования компьютеров. Например, может быть открыт доступ к локальным компьютерам по протоколу ssh (порт 22), если на компьютере участников запущен ssh-сервер для администрирования (исключающий возможность подключения участников по протоколу ssh), или UDP порт 5353 для работы протокола mDNS (zeroconf).

Также должен быть открыт доступ к сайтам тестирующих систем (рекомендуется оставить только ту тестирующую систему, которая будет использоваться в регионе).
{| class="wikitable"
|+Список открытых хостов
!Тестирующая система
!Имя хоста
!IP-адрес
|-
| rowspan="5" |Яндекс-контест
|ext.contest.yandex.ru
ext.contest.yandex.com
|87.250.250.200
2a02:6b8::360
|-
|clck.yandex.ru
|77.88.21.14
87.250.250.14

87.250.251.14

93.158.134.14

2a02:6b8::14
|-
|yastatic.net
yandex.st
|178.154.131.215
178.154.131.216

178.154.131.217

2a02:6b8:20::215
|-
|contest-problem-files.s3-private.mds.yandex.net
contest-hidden.s3-private.mds.yandex.net
|87.250.251.158
2a02:6b8::3:158
|-
|mc.yandex.ru
|77.88.21.119
87.250.250.119

87.250.251.119

93.158.134.119

2a02:6b8::1:119
|-
|Codeforces
|*.contest.codeforces.com
|95.163.252.68
|}
После настройки необходимо проверить, что сайт тестирующей системы доступен участникам. Примеры сайтов для проверки: ext.contest.yandex.ru (Яндекс-контест), reg2025.contest.codeforces.com (Codeforces).

Все прочие сайты должны быть заблокированы. Примеры сайтов для проверки (они должны быть заблокированы): codeforces.com, contest.yandex.ru, ya.ru, mail.ru, google.com, vk.com, web.telegram.org

Желательно проверить, что доступ заблокирован не только в браузере, но и в других приложениях, например, невозможно подключение наружу по протоколу ssh (пример команды для проверки: ssh sshtron.zachlatta.com).

Все настройки фильтрации можно сделать конфигурационным скриптом, запускаемом на компьютере участника, в соответствии с инструкциями ниже.

===Настройка Windows 10 и Windows 11===
В Windows можно использовать стандартный файрвол операционной системы.

Для этого нужно создать powershell-скрипт следующего содержания.

Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаем доступ к сайтам тестирующей системы
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow ext.contest.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.200,2a02:6b8::360
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow clck.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 77.88.21.14,87.250.250.14,87.250.251.14,93.158.134.14,2a02:6b8::14
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Outbound -Action Allow -RemoteAddress 178.154.131.215,178.154.131.216,178.154.131.217,2a02:6b8:20::215
New-NetFirewallRule -DisplayName "Olymp Allow yastatic.net" -Direction Inbound -Action Allow -RemoteAddress 178.154.131.215,178.154.131.216,178.154.131.217,2a02:6b8:20::215
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Outbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow .mds.yandex.net" -Direction Inbound -Action Allow -RemoteAddress 87.250.251.158,2a02:6b8::3:158
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 77.88.21.119,87.250.250.119,87.250.251.119,93.158.134.119,2a02:6b8::1:119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 77.88.21.119,87.250.250.119,87.250.251.119,93.158.134.119,2a02:6b8::1:119
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Outbound -Action Allow -RemoteAddress 95.163.252.68
New-NetFirewallRule -DisplayName "Olymp Allow .contest.codeforces.com" -Direction Inbound -Action Allow -RemoteAddress 95.163.252.68

</syntaxhighlight>

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.

=== Настройка Linux ===
В операционных системах на базе GNU/Linux необходимо использовать системный файрвол iptables или nftables в зависимости от дистрибутива. Точные инструкции для Linux не приводятся, так как конфигурационные файлы различаются в разных дистрибутивах. Можно использовать следующие статьи для примеров подобной настройки:

[[Блокировка интернета при проведении ВсОШ в Москве]] - используется nftables для операционной системы МОС-12, применимо также для дистрибутивов семейства Роса.

[[Блокировка интернета в МОС-12 при помощи nftables]] - также про настройку nftables в МОС-12 и дистрибутивах семейства Роса.

[[Блокировка интернета в МОС при помощи iptables]] - используется iptables, применимо для дистрибутивов семейства Альт (Альт Образование, Альт рабочая станция, Simply linux и т.д.).

==== Настройка ufw в Ubuntu ====
В Ubuntu и дистрибутивах, построенных на его основе, а также в ряде других дистрибутивов (Astra Linux) есть простая утилита [https://wiki.ubuntu.com/UncomplicatedFirewall ufw] для настройки файрвола.

Если ufw не установлен, это можно сделать командой (под root или с использованием sudo).
apt install ufw
Основные особенности использования ufw:

* Не нужно создавать конфигурационные файлы. Каждый вызов утилиты ufw может создавать отдельное правило, для задания нескольких правил нужно несколько раз вызвать утилиту ufw.
* Правила сохраняются между перезапусками. Созданная конфигурация запоминается, не нужно изучать конфигурационные файлы, сохранение происходит автоматически.
* Для отладки и тиражирования конфигурации удобно создать скрипт, в который запишем все нужные вызовы ufw.
* Команда ufw reset сбрасывает все настройки и отключает файрвол.
* Команда ufw enable включает файрвол.
* Команда ufw status verbose выводит текущее состояние файрвола.

Вот пример скрипта для создания всех необходимых правил фильтрации. Его нужно запускать от пользователя root или с использованием sudo. Запишите этот скрипт в файл для того, чтобы можно было быстро включать фильтрацию запуском скрипта.<syntaxhighlight lang="bash">
#!/bin/bash

ufw --force reset

ufw enable

# Добавьте следующую строчку при необходимости подключения к компьютеру по ssh для управления им
# ufw allow ssh

# ntp
ufw allow ntp
ufw allow out ntp

# dns
ufw allow domain/udp
ufw allow out domain/udp

# Локальные соединения
ufw allow from 127.0.0.1/8
ufw allow out to 127.0.0.1/8

# Сюда вписываем сайты, к которым должен быть открыт доступ.
ufw allow out to 87.250.250.200
ufw allow out to 2a02:6b8::360
ufw allow out to 77.88.21.14
ufw allow out to 87.250.250.14
ufw allow out to 87.250.251.14
ufw allow out to 93.158.134.14
ufw allow out to 2a02:6b8::14
ufw allow out to 178.154.131.215
ufw allow out to 178.154.131.216
ufw allow out to 178.154.131.217
ufw allow out to 2a02:6b8:20::215
ufw allow out to 87.250.251.158
ufw allow out to 2a02:6b8::3:158
ufw allow out to 77.88.21.119
ufw allow out to 87.250.250.119
ufw allow out to 87.250.251.119
ufw allow out to 93.158.134.119
ufw allow out to 2a02:6b8::1:119

ufw allow out to 95.163.252.68

# Делаем reject на остальные хосты при подключении по http и https
ufw reject out http
ufw reject out https

# Политика по умолчанию - отклонять пакеты
ufw default deny incoming
ufw default deny outgoing

</syntaxhighlight>Для отключения фильтрации необходимо выполнить команду

<code>ufw --force reset</code>

Блокировка интернета при проведении ВсОШ в Москве

2025-12-12T11:53:40Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.0/24
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|212.193.155.35
46.235.186.69

46.235.188.68
|Резервная тестирующая система
|-
|fonts.googleapis.com
|142.250.184.234
|Шрифты для online.olimpiada.ru
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
212.188.39.24/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# *.mos.ru
ip daddr 94.79.51.0/24 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 212.193.155.35 accept
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept

# fonts.googleapis.com
ip daddr 142.250.184.234 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept
ip daddr 212.188.39.24/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команду для включения файрвола под root
# systemctl enable --now nftables

Для отключения фильтрации выполните команду
# systemctl disable --now nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow .mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow .mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68
New-NetFirewallRule -DisplayName "Olymp Allow fonts.googleapis.com" -Direction Outbound -Action Allow -RemoteAddress 142.250.184.234
New-NetFirewallRule -DisplayName "Olymp Allow fonts.googleapis.com" -Direction Inbound -Action Allow -RemoteAddress 142.250.184.234
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-12T11:13:21Z

Dkirienko: Добавили fonts.googleapis.com

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.0/24
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|212.193.155.35
46.235.186.69

46.235.188.68
|Резервная тестирующая система
|-
|fonts.googleapis.com
|142.250.184.234
|Шрифты для online.olimpiada.ru
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
212.188.39.24/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# *.mos.ru
ip daddr 94.79.51.0/24 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 212.193.155.35 accept
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept

# fonts.googleapis.com
ip daddr 142.250.184.234 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept
ip daddr 212.188.39.24/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow .mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow .mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68
New-NetFirewallRule -DisplayName "Olymp Allow fonts.googleapis.com" -Direction Outbound -Action Allow -RemoteAddress 142.250.184.234
New-NetFirewallRule -DisplayName "Olymp Allow fonts.googleapis.com" -Direction Inbound -Action Allow -RemoteAddress 142.250.184.234
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-12T09:46:53Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.0/24
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|212.193.155.35
46.235.186.69

46.235.188.68

78.41.110.69

93.93.88.23

212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
212.188.39.24/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.0/24 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 212.193.155.35 accept
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept
ip daddr 212.188.39.24/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 212.193.155.35,46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-11T09:35:29Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.0/24
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|46.235.186.69
46.235.188.68

78.41.110.69

93.93.88.23

212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
212.188.39.24/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.0/24 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept
ip daddr 212.188.39.24/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.0/24
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-08T14:53:50Z

Dkirienko: Обновление адресов

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.169
94.79.51.170

94.79.51.171
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|46.235.186.69
46.235.188.68

78.41.110.69

93.93.88.23

212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
212.188.39.24/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.169 accept
ip daddr 94.79.51.170 accept
ip daddr 94.79.51.171 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept
ip daddr 212.188.39.24/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24,212.188.39.24/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-08T13:36:58Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.169
94.79.51.170

94.79.51.171
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|46.235.186.69
46.235.188.68

78.41.110.69

93.93.88.23

212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.169 accept
ip daddr 94.79.51.170 accept
ip daddr 94.79.51.171 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.184,94.79.51.185,94.79.51.186
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 150.171.73.16,150.171.74.16
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Outbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow main.vscode-cdn.net" -Direction Inbound -Action Allow -RemoteAddress 13.107.246.53,13.107.213.53
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 2.23.167.106/24
New-NetFirewallRule -DisplayName "Olymp Allow ms-python.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 2.23.167.106/24
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-08T13:28:34Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.169
94.79.51.170

94.79.51.171
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|46.235.186.69
46.235.188.68

78.41.110.69

93.93.88.23

212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119

93.158.134.119

77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|main.vscode-cdn.net
|13.107.246.53
13.107.213.53
|Необходим для скачивания расширений для VSCode
|-
|ms-python.gallerycdn.vsassets.io
|2.23.167.106/24
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.169 accept
ip daddr 94.79.51.170 accept
ip daddr 94.79.51.171 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# main.vscode-cdn.net
ip daddr 13.107.246.53 accept
ip daddr 13.107.213.53 accept

# ms-python.gallerycdn.vsassets.io
ip daddr 2.23.167.106/24 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.81,94.79.51.82,94.79.51.83
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.81,94.79.51.82,94.79.51.83
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 13.107.42.18
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 13.107.42.18
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 68.232.34.200
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 68.232.34.200
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallery.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 13.107.6.175
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallery.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 13.107.6.175
New-NetFirewallRule -DisplayName "Olymp Allow az764295.vo.msecnd.net" -Direction Outbound -Action Allow -RemoteAddress 152.199.19.160
New-NetFirewallRule -DisplayName "Olymp Allow az764295.vo.msecnd.net" -Direction Inbound -Action Allow -RemoteAddress 152.199.19.160
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

КуМир

2025-12-08T12:17:53Z

Dkirienko:

Учебная среда программирования для младших школьников, содержит ряд исполнителей, таких как "Робот", "Черепаха", "Чертёжник" и проч.

Сайт: https://www.niisi.ru

== Установка в МОС-12 ==
В системе МОС-12 можно установить из магазина приложений или командой
# dnf install kumir-all

== Установка в Windows ==
Скачайте файл https://www.niisi.ru/kumir/kumir2-2.1.0-rc11-install.exe и запустите с правами администратора.
[[Категория:Приложения]][[Категория:Языки_программирования]][[Категория:Разработка]][[Категория:Программирование]][[Категория:Информатика]]

PascalABC.NET

2025-12-08T12:16:32Z

Dkirienko:

Сайт: https://pascalabc.net/

==Установка в МОС-12 (дистрибутив 2023 года на РОСА)==
В системе МОС-12 PascalABC.NET можно установить из магазина приложений или командой
# dnf install pascalabcnet

==Установка в МОС-10 (дистрибутив 2022 года на базе ALT Linux) при помощи epm==
В систему МОС PascalABC.NET можно установить из репозитория, пакет называется pascalabcnet. Например, командой
# apt-get update && apt-get install pascalabcnet

==Установка в Windows==
[http://pascalabc.net/downloads/PascalABCNETMiniSetup.exe Скачайте установщик] с сайта. Устанавливайте, как обычно.

[[Категория:Приложения]][[Категория:Разработка]][[Категория:Программирование]][[Категория:Информатика]]

Code::Blocks

2025-12-08T11:20:20Z

Dkirienko:

Code::Blocks - кросс-платформенная среда разработки для языка программирования С++ и ряда других. Обычно используется вместе с компилятором GNU C++ (под Windows используется MinGW). Часто используется на олимпиадах, в ЕГЭ и ОГЭ.

Достоинства: быстрая, легковесная, простая в использовании.

Недостатки: неудобный отладчик, особенно под Windows.

Сайт: https://www.codeblocks.org/

'''Внимание! При сохранении программ и проектов в Code::Blocks нельзя использовать пробелы и русские буквы в именах файлов и в именах всех папок в полном пути к файлу, это может привести к некорректной работе компилятора или отладчика в среде Code::Blocks. В частности, не следует сохранять файлы на "рабочем столе" или в домашнем каталоге пользователя в Windows, если имя пользователя содержит русские буквы или пробелы. В МОС-12 эта проблема исправлена осенью 2025, нужно обновить систему.'''

== Установка в МОС-12 ==
Необходимо установить следующие пакеты:

* gcc-c++ - компилятор GNU C++
* gdb - отладчик
* codeblocks - сама среда разработки
В системе МОС-12 достаточно просто установить Code::Blocks через магазин приложений или используя dnf:
$ sudo dnf install gcc-c++ gdb codeblocks
== Установка в МОС-10 ==
Устанавливается автоматически при установке дистрибутива. Ярлык для запуска в меню KDE находится в разделе "Разработка - IDE".

Если не установлена, то необходимо установить следующие пакеты:

* gcc-c++ - компилятор GNU C++
* gdb - отладчик
* codeblocks - сама среда разработки
* codeblocks-contrib - дополнительные плагины (в дистрибутиве МОС-10 2022 года на базе Alt Linux).

В системе МОС-10 (2022 года на базе Alt Linux) установить пакеты можно используя пакетный менеджер [[Synaptic]] или командой консоли под пользователем root:
# apt-get install gcc-c++ gdb codeblocks codeblocks-contrib
== Установка в Windows ==
Дистрибутивы для скачивания находятся на сайте [https://www.codeblocks.org/downloads/binaries/ https://www.codeblocks.org/downloads/] .

Слова в названиях файлов означают следующее:

* setup - инсталлятор
* nosetup - обычный zip-архив без инсталлятора, достаточно просто распаковать.
* nonadmin - не требует прав администратора для запуска.
* mingw - содержит компилятор MinGW-w64 для языков C++ и других.
* 32bit - 32-битная версия компилятора и среды.

Поскольку для работы среды необходим компилятор, нужно скачивать файл со словом mingw.

'''Рекомендуемый файл для скачивания и установки: [https://sourceforge.net/projects/codeblocks/files/Binaries/25.03/Windows/codeblocks-25.03mingw-setup.exe codeblocks-25.03mingw-setup.exe]'''

== Проверка работы среды ==
При первом запуске среды появится окно со списком доступных компиляторов. Убедитесь, что в этом окне указан "Компилятор GNU GCC - обнаружен" (в английской версии - "GNU GCC compiler - detected". Если компилятор не обнаружен, необходимо установить компилятор (под Windows - скачайте дистрибутив Code::Blocks с mingw).
[[Файл:Поиск компиляторов.png|без|мини|Окно определения компиляторов при первом запуске]]
Нажмите на OK.

Создайте простое приложение. Выберите в меню "Файл - Создать - Пустой файл..." (File - New - Empty File) или при помощи иконки на панели инструментов. Сразу же сохраните файл, при сохранении укажите расширение .cpp. Например, если вы работаете в МОС под пользователем с именем student, то путь для сохранения может быть "/home/student/test.cpp". В системе Windows путь может быть C:\Users\student\Documents\test.cpp.

'''Внимание! Если не указать расширение файла, то файл будет сохранён с расширением .c, и это будет программа на языке C, а не на C++. Проверьте, что после сохранения имя файла имеет расширение .cpp.'''

'''Внимание! Не используйте пробелы и русские буквы в именах файлов и в именах всех папок в полном пути к файлу, это может привести к некорректной работе компилятора или отладчика в среде Code::Blocks.'''

Также можно использовать мастер создания файлов "Файл - Создать - Файл..." (File - New - File...). Выберите тип файла "C/C++ Source".

Скопируйте текст следующей программы в редактор файла:
<syntaxhighlight lang="cpp">
#include<iostream>
using namespace std;
int main()
{
cout << "Hello, world!" << endl;
}
</syntaxhighlight>
Скомпилируйте и запустите программу, используя команду меню "Сборка - Собрать и выполнить" (Build - Build and run) или горячую клавишу F9.

Должно появиться окно терминала с выводом программы.

[[Файл:Запуск простой программы.png|без|мини|Запуск простой программы в Code::Blocks]]

==Возможные проблемы==

Если в имени файла или пути встречаются пробелы (например, на рабочем столе), то проект может не скомпилироваться, указывая в ошибке, что файл заканчивается на слово "Рабочий" и не найден.

Можно настроить среду, чтобы работало в любом случае. Для этого откройте '''Settings - Environment''' и выставите там терминал в значение '''konsole -e'''.

[[Файл:Настройки среды Code--Blocks.png|без|мини|Настройки среды Code::Blocks]]

После этого можно компилировать файлы и без проекта и прямо с рабочего стола.

[[Файл:Результат запуска файла с рабочего стола.png|мини|без|Результат запуска файла с рабочего стола]]

[[Категория:Приложения]][[Категория:Разработка]][[Категория:Программирование]][[Категория:Информатика]]
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Блокировка интернета при проведении ВсОШ в Москве

2025-12-08T09:16:34Z

Dkirienko:

При проведении муниципального этапа ВсОШ по информатике в Москве места проведения должны фильтровать доступ в интернет по указанным правилам. Фильтрация может быть осуществлена на сетевом оборудовании (роутере), централизованно для всех участников. При отсутствии роутера фильтрация осуществляется на каждом компьютере настройкой файрвола операционной системы.

Эта статья описывает необходимые настройки фильтрации интернета при проведении муниципального этапов всероссийской олимпиады школьников в Москве. В статье описаны настройки для систем МОС-12 и Windows. Фильтрацию можно реализовать на МОС-10 используя правила из этой статьи и инструкцию [[Блокировка интернета в МОС при помощи iptables|Блокировка интернета в МОС при помощи iptables.]]

Список необходимых хостов из этой статьи может дополняться и меняться. Перед муниципальным этапом необходимо использовать актуальный список.

До проведения муниципального этапа рекомендуется провести проверку фильтрации при проведении любого школьного этапа ВсОШ, а также при проведении школьного этапа ВсОШ по информатике в Москве.

После настройки фильтрации необходимо проверить, что данные сайты открываются в браузере, другие сайты (например, ya.ru, vk.com, gmail.com, web.telegram.org) - не открываются.

=== Список необходимых разрешённых хостов ===
На каждом компьютере должен быть открыт доступ:

* Для всех соединений, находящихся в состоянии Established или Related, то есть для уже открытых соединений.
* DNS-протокол: UDP, порт 53.
*mDNS-протокол (zeroconf, Avahi): UDP порт 5353
*NTP-протокол: UDP порт 123.
* ICMP-протокол, входящие и исходящие соединения, для тестирования сети командой ping.
* Входящие соединения по протоколу TCP на порт 22 - если используется ssh-сервер, запущенный на компьютере, для удалённого управления.
*Входящие соединения по протоколу TCP на порты 11100, 11200, 11300, 11400 - если используется Veyon для удалённого управления.
* Все соединения на localhost, для работы локальных приложений.

В случае использования средств удалённого управления (ssh, Veyon) они не должны быть доступны участникам для подключения к компьютерам других участников.

Также должны быть разрешены соединения со следующими хостами.
{| class="wikitable"
|+Список открытых хостов
!Имя хоста
!IP-адрес
!Зачем нужен
|-
|
|10.0.0.0/8
|Локальная сеть ДОНМ для доступа ко всем ресурсам, для простоты конфигурирования
|-
|school.mos.ru
|94.79.51.184
94.79.51.185
94.79.51.186
|Необходим для работы тестирующей системы МЭШ и "Магазина приложений" МОС
|-
|uchebnik.mos.ru
|94.79.51.184
94.79.51.185

94.79.51.186
|Необходим для работы тестирующей системы МЭШ
|-
|login.mos.ru
|94.79.51.169
94.79.51.170
94.79.51.171
|Необходим для авторизации в МЭШ. Сам сайт login.mos.ru открывать не нужно, он делает редирект на mos.ru
|-
|online.olimpiada.ru
|46.235.186.69
46.235.188.68
78.41.110.69
93.93.88.23
212.193.144.0/20
|Резервная тестирующая система
|-
|vos.olimpiada.ru
|185.178.208.183
|Сайт ВсОШ в Москве
|-
|всош.цпм.рф
|185.30.228.25
|Сайт ВсОШ в Москве (xn--b1ayi3a.xn--l1afu.xn--p1ai)
|-
|olympiads.ru
|194.58.88.173
|Сайт городской предметно-методической комиссии ВсОШ по информатике
|-
|mc.yandex.ru
|87.250.250.119
87.250.251.119
93.158.134.119
77.88.21.119
|Метрика яндекса, если заблокировать, то браузер будет долго загружать страницу
|-
|os.mos.ru
repo.os.mos.ru
|37.230.149.17
|Репозитории МОС, для установки пакетов, если возникнет необходимость доставить приложения.
|-
|marketplace.visualstudio.com
|150.171.73.16
150.171.74.16
|Магазин расширений для VSCode
|-
|ms-vscode.gallerycdn.vsassets.io
|212.188.39.24
212.188.39.35
|Необходим для скачивания расширений для VSCode
|-
|ms-vscode.gallery.vsassets.io
|150.171.73.16
150.171.74.16
|Необходим для скачивания расширений для VSCode
|-
|az764295.vo.msecnd.net
|152.199.19.160
|Необходим для скачивания расширений для VSCode
|-
|it-help-school.ru
|91.221.70.4
|Этот сайт, для доступа к техническим инструкциям
|}

=== Настройка МОС-12 ===
Подробности о настройке файрвола в МОС-12 в статье [[Блокировка интернета в МОС-12 при помощи nftables]]

В МОС-12 можно записать в файл '''/etc/sysconfig/nftables.conf''' следующий набор правил:<syntaxhighlight lang="text">
# Эта команда сбрасывает все правила, иначе новые правила будут добавляться к ранее установленным
flush ruleset

table inet filter {
chain input {
# Правила обработки входящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook input priority 0; policy drop;

# Принимаем пакеты всех установленных соединений
ct state established,related accept

# Принимаем пакеты на 22 порт TCP для управления компьютером по ssh
tcp dport 22 accept

# Разрешаем соединения на порт 53 TCP и UDP для работы DNS
tcp dport 53 accept
udp dport 53 accept

# Принимаем пакеты на 5353 порт UDP для работы mDNS (avahi)
udp dport 5353 accept

# Принимаем пакеты на порты 11100, 11200, 11300, 11400 TCP для управления компьютером по Veyon
tcp dport 11100 accept
tcp dport 11200 accept
tcp dport 11300 accept
tcp dport 11400 accept

# Принимаем входящий ping
icmp type echo-request accept

# Принимаем все пакеты с этого компьютера (на lo-интерфейс)
iif lo accept
}

chain output {
# Правила обработки исходящих пакетов
# По умолчанию ставим правило drop для пакетов
type filter hook output priority 0; policy drop;

# Разрешаем все установленные соединения
ct state established,related accept

# Разрешаем соединения на порт 53 UDP для работы DNS
udp dport 53 accept

# Разрешаем соединения на порт 5353 UDP для работы mDNS
udp dport 5353 accept

# Разрешаем соединения на UDP порт 123 для работы NTP
udp dport 123 accept

# Разрешаем соединения на этот же компьютер (lo-интерфейс)
oif lo accept

# Далее идёт белый список сайтов, к которым должен быть открыт доступ

# Вся локальная сеть 10.*.*.* для доступа к ресурсам МЭШ из сети ДОНМ, для простоты целиком
ip daddr 10.0.0.0/8 accept

# school.mos.ru, uchebnik.mos.ru
ip daddr 94.79.51.184 accept
ip daddr 94.79.51.185 accept
ip daddr 94.79.51.186 accept

# login.mos.ru
ip daddr 94.79.51.169 accept
ip daddr 94.79.51.170 accept
ip daddr 94.79.51.171 accept

# mc.yandex.ru
ip daddr 87.250.250.119 accept
ip daddr 87.250.251.119 accept
ip daddr 93.158.134.119 accept
ip daddr 77.88.21.119 accept

# online.olimpiada.ru
ip daddr 46.235.186.69 accept
ip daddr 46.235.188.68 accept
ip daddr 78.41.110.69 accept
ip daddr 93.93.88.23 accept
ip daddr 212.193.144.0/20 accept

# vos.olimpiada.ru
ip daddr 185.178.208.183 accept

# всош.цпм.рф
ip daddr 185.30.228.25 accept

# olympiads.ru
ip daddr 194.58.88.173 accept

# os.mos.ru, repo.os.mos.ru
ip daddr 37.230.149.17 accept

# marketplace.visualstudio.com
ip daddr 150.171.73.16 accept
ip daddr 150.171.74.16 accept

# ms-vscode.gallerycdn.vsassets.io
ip daddr 68.232.34.200 accept

# ms-vscode.gallery.vsassets.io
ip daddr 212.188.39.0/24 accept

# az764295.vo.msecnd.net
ip daddr 152.199.19.160 accept

# it-help-school.ru
ip daddr 91.221.70.4 accept

# Это правило делает reject на все остальные соединения
# на порт 80 (http) и 443 (https), в результате
# браузер не будет ждать загрузки недоступных ресурсов
tcp dport 80 reject
tcp dport 443 reject
}
}

</syntaxhighlight>Затем выполните команды для включения файрвола под root
# systemctl enable nftables
# systemctl start nftables
Для отключения фильтрации выполните команды
# systemctl disable nftables
# systemctl stop nftables

=== Настройка Windows 10 и Windows 11 ===
В Windows 10 будем использовать стандартный файрвол Windows.

Для этого нужно создать powershell-скрипт следующего содержания.<syntaxhighlight lang="powershell">
# Устанавливаем policy для пакетов по умолчанию - Block
Set-NetFirewallProfile -DefaultInboundAction Block
Set-NetFirewallProfile -DefaultOutboundAction Block

# Разрешаем весь трафик для службы dnscache
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Outbound -Action Allow -Service "dnscache"
New-NetFirewallRule -DisplayName "Olymp Allow dnscache service" -Direction Inbound -Action Allow -Service "dnscache"

# Открываем порт 53 для работы DNS
New-NetFirewallRule -DisplayName "Olymp Allow DNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 53
New-NetFirewallRule -DisplayName "Olymp Allow DNS Inbound TCP" -Direction Inbound -Action Allow -Protocol TCP -RemotePort 53

# Открываем порт 5353 для работы mDNS
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 5353
New-NetFirewallRule -DisplayName "Olymp Allow mDNS Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 5353

# Открываем порт 123 UDP для работы NTP
New-NetFirewallRule -DisplayName "Olymp Allow NTP Outbound" -Direction Outbound -Action Allow -Protocol UDP -RemotePort 123
New-NetFirewallRule -DisplayName "Olymp Allow NTP Inbound" -Direction Inbound -Action Allow -Protocol UDP -RemotePort 123

# Разрешаем трафик на localhost
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Inbound" -Direction Inbound -Action Allow -RemoteAddress 127.0.0.1
New-NetFirewallRule -DisplayName "Olymp Allow Localhost Outbound" -Direction Outbound -Action Allow -RemoteAddress 127.0.0.1

# Разрешаем ICMP (ping)
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Outbound" -Direction Outbound -Action Allow -Protocol ICMPv4
New-NetFirewallRule -DisplayName "Olymp Allow ICMP Inbound" -Direction Inbound -Action Allow -Protocol ICMPv4

# Разрешаетм доступ к локальной сети 10.0.0.0/8 для доступа к ресурсам МЭШ из сети ДОНМ
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Outbound -Action Allow -RemoteAddress 10.0.0.0/8
New-NetFirewallRule -DisplayName "Olymp Allow Local Network" -Direction Inbound -Action Allow -RemoteAddress 10.0.0.0/8

# Разрешаем доступ к конкретным сайтам
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.81,94.79.51.82,94.79.51.83
New-NetFirewallRule -DisplayName "Olymp Allow school.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.81,94.79.51.82,94.79.51.83
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Outbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow login.mos.ru" -Direction Inbound -Action Allow -RemoteAddress 94.79.51.169,94.79.51.170,94.79.51.171
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow online.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 46.235.186.69,46.235.188.68,78.41.110.69,93.93.88.23,212.193.144.0/20
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Outbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vos.olimpiada.ru" -Direction Inbound -Action Allow -RemoteAddress 185.178.208.183
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Outbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow vsosh.cpm.rf" -Direction Inbound -Action Allow -RemoteAddress 185.30.228.25
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Outbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow olympiads.ru" -Direction Inbound -Action Allow -RemoteAddress 194.58.88.173
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Outbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow mc.yandex.ru" -Direction Inbound -Action Allow -RemoteAddress 87.250.250.119,87.250.251.119,93.158.134.119,77.88.21.119
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Outbound -Action Allow -RemoteAddress 13.107.42.18
New-NetFirewallRule -DisplayName "Olymp Allow marketplace.visualstudio.com" -Direction Inbound -Action Allow -RemoteAddress 13.107.42.18
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallerycdn.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 68.232.34.200
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallerycdn.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 68.232.34.200
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallery.vsassets.io" -Direction Outbound -Action Allow -RemoteAddress 13.107.6.175
New-NetFirewallRule -DisplayName "Olymp Allow ms-vscode.gallery.vsassets.io" -Direction Inbound -Action Allow -RemoteAddress 13.107.6.175
New-NetFirewallRule -DisplayName "Olymp Allow az764295.vo.msecnd.net" -Direction Outbound -Action Allow -RemoteAddress 152.199.19.160
New-NetFirewallRule -DisplayName "Olymp Allow az764295.vo.msecnd.net" -Direction Inbound -Action Allow -RemoteAddress 152.199.19.160
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Outbound -Action Allow -RemoteAddress 91.221.70.4
New-NetFirewallRule -DisplayName "Olymp Allow it-help-school.ru" -Direction Inbound -Action Allow -RemoteAddress 91.221.70.4

</syntaxhighlight>Сохраните этот скрипт в файле с расширением ps1, например, '''block-internet.ps1.'''

Этот скрипт нужно запускать с правами администратора. Для этого нужно запустить PowerShell с правами администратора, например, найти в меню "Пуск" Windows PowerShell, сделать правый клик мышью и выбрать "Запуск от имени администратора". Затем в консоли PowerShell ввести полный путь и имя этого скрипта. Участникам олимпиады права администратора компьютера должны быть недоступны.

Можно создать ярлык, чтобы скрипт всегда запускался от администратора. Для этого нужно создать новый ярлык, например, на рабочем столе: правый клик мышью - Создать - Ярлык.

В поле "Укажите расположение объекта" нужно вписать (заменив "C:\users\student\block-internet.ps1" на правильный путь к скрипту). Параметр -NoExit можно убрать, тогда окно PowerShell будет закрываться после исполнения скрипта.
powershell.exe -ExecutionPolicy Bypass -NoExit -File "C:\users\student\block-internet.ps1"
Затем откройте свойства ярлыка, нажмите "Дополнительно" и поставьте галку "Запуск от имени администратора".

Обратите внимание, что все создаваемые правила начинаются со слова Olymp. Благодаря этому можно отфильтровать эти правила и для снятия ограничений удалить только правила, которые начинаются со слова Olymp. Для этого создайте и запустите следующий PowerShell-скрипт, который удаляет все установленные правила и сбрасывает правила для обработки пакетов "по умолчанию".<syntaxhighlight lang="powershell">
Set-NetFirewallProfile -DefaultInboundAction NotConfigured
Set-NetFirewallProfile -DefaultOutboundAction NotConfigured
Get-NetFirewallRule | Where-Object { $_.DisplayName -like "Olymp*" } | Remove-NetFirewallRule

</syntaxhighlight>Исполнение этого скрипта снимает все установленные ограничения. Его также нужно запускать с правами администратора, рекомендуется создать на рабочем столе два ярлыка для запуска под администратором - ддя блокировки и разблокировки интернета.
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Code::Blocks

2025-12-08T07:27:21Z

Dkirienko: Обновление ссылки на скачивание

Code::Blocks - кросс-платформенная среда разработки для языка программирования С++ и ряда других. Обычно используется вместе с компилятором GNU C++ (под Windows используется MinGW). Часто используется на олимпиадах, в ЕГЭ и ОГЭ.

Достоинства: быстрая, легковесная, простая в использовании.

Недостатки: неудобный отладчик, особенно под Windows.

Сайт: https://www.codeblocks.org/

'''Внимание! При сохранении программ и проектов в Code::Blocks нельзя использовать пробелы и русские буквы в именах файлов и в именах всех папок в полном пути к файлу, это может привести к некорректной работе компилятора или отладчика в среде Code::Blocks. В частности, не следует сохранять файлы на "рабочем столе" или в домашнем каталоге пользователя в Windows, если имя пользователя содержит русские буквы или пробелы.'''

== Установка в МОС-12 ==
Устанавливается автоматически при установке дистрибутива. Ярлык для запуска в меню KDE находится в разделе "Разработка".

Если не установлена, то необходимо установить следующие пакеты:

* gcc-c++ - компилятор GNU C++
* gdb - отладчик
* codeblocks - сама среда разработки
В системе МОС-12 установить пакеты можно через магазин приложений МОС или используя dnf:
$ sudo dnf install gcc-c++ gdb codeblocks
== Установка в МОС-10 ==
Устанавливается автоматически при установке дистрибутива. Ярлык для запуска в меню KDE находится в разделе "Разработка - IDE".

Если не установлена, то необходимо установить следующие пакеты:

* gcc-c++ - компилятор GNU C++
* gdb - отладчик
* codeblocks - сама среда разработки
* codeblocks-contrib - дополнительные плагины (в дистрибутиве МОС-10 2022 года на базе Alt Linux).

В системе МОС-10 (2022 года на базе Alt Linux) установить пакеты можно используя пакетный менеджер [[Synaptic]] или командой консоли под пользователем root:
# apt-get install gcc-c++ gdb codeblocks codeblocks-contrib
== Установка в Windows ==
Дистрибутивы для скачивания находятся на сайте [https://www.codeblocks.org/downloads/binaries/ https://www.codeblocks.org/downloads/] .

Слова в названиях файлов означают следующее:

* setup - инсталлятор
* nosetup - обычный zip-архив без инсталлятора, достаточно просто распаковать.
* nonadmin - не требует прав администратора для запуска.
* mingw - содержит компилятор MinGW-w64 для языков C++ и других.
* 32bit - 32-битная версия компилятора и среды.

Поскольку для работы среды необходим компилятор, нужно скачивать файл со словом mingw.

'''Рекомендуемый файл для скачивания и установки: [https://sourceforge.net/projects/codeblocks/files/Binaries/25.03/Windows/codeblocks-25.03mingw-setup.exe codeblocks-25.03mingw-setup.exe]'''

== Проверка работы среды ==
При первом запуске среды появится окно со списком доступных компиляторов. Убедитесь, что в этом окне указан "Компилятор GNU GCC - обнаружен" (в английской версии - "GNU GCC compiler - detected". Если компилятор не обнаружен, необходимо установить компилятор (под Windows - скачайте дистрибутив Code::Blocks с mingw).
[[Файл:Поиск компиляторов.png|без|мини|Окно определения компиляторов при первом запуске]]
Нажмите на OK.

Создайте простое приложение. Выберите в меню "Файл - Создать - Пустой файл..." (File - New - Empty File) или при помощи иконки на панели инструментов. Сразу же сохраните файл, при сохранении укажите расширение .cpp. Например, если вы работаете в МОС под пользователем с именем student, то путь для сохранения может быть "/home/student/test.cpp". В системе Windows путь может быть C:\Users\student\Documents\test.cpp.

'''Внимание! Если не указать расширение файла, то файл будет сохранён с расширением .c, и это будет программа на языке C, а не на C++. Проверьте, что после сохранения имя файла имеет расширение .cpp.'''

'''Внимание! Не используйте пробелы и русские буквы в именах файлов и в именах всех папок в полном пути к файлу, это может привести к некорректной работе компилятора или отладчика в среде Code::Blocks.'''

Также можно использовать мастер создания файлов "Файл - Создать - Файл..." (File - New - File...). Выберите тип файла "C/C++ Source".

Скопируйте текст следующей программы в редактор файла:
<syntaxhighlight lang="cpp">
#include<iostream>
using namespace std;
int main()
{
cout << "Hello, world!" << endl;
}
</syntaxhighlight>
Скомпилируйте и запустите программу, используя команду меню "Сборка - Собрать и выполнить" (Build - Build and run) или горячую клавишу F9.

Должно появиться окно терминала с выводом программы.

[[Файл:Запуск простой программы.png|без|мини|Запуск простой программы в Code::Blocks]]

==Возможные проблемы==

Если в имени файла или пути встречаются пробелы (например, на рабочем столе), то проект может не скомпилироваться, указывая в ошибке, что файл заканчивается на слово "Рабочий" и не найден.

Можно настроить среду, чтобы работало в любом случае. Для этого откройте '''Settings - Environment''' и выставите там терминал в значение '''konsole -e'''.

[[Файл:Настройки среды Code--Blocks.png|без|мини|Настройки среды Code::Blocks]]

После этого можно компилировать файлы и без проекта и прямо с рабочего стола.

[[Файл:Результат запуска файла с рабочего стола.png|мини|без|Результат запуска файла с рабочего стола]]

[[Категория:Приложения]][[Категория:Разработка]][[Категория:Программирование]][[Категория:Информатика]]
__ОБЯЗАТЕЛЬНОЕ_ОГЛАВЛЕНИЕ__

Школьный сервер LDAP + Kerberos + NFS

2025-12-04T12:50:33Z

Dkirienko: Исправление уровней заголовков

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>В МОС-13 может быть установлен пакет authselect-force, который управляет механизмом авторизации пользователей. Этот пакет не нужен, мы не будем использовать его. Удалите его и запретите последующую установку.<syntaxhighlight lang="bash">
dnf remove -y authselect-force
dnf config-manager --setopt exclude="authselect-force" --save

</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Удалите файл /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS<syntaxhighlight lang="bash">
rm -f /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS
</syntaxhighlight>Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = false
</syntaxhighlight>

Обратите внимание на параметр enumerate = false. Этот параметр отключает загрузку всей базы ldap в память сервера sssd, загрузка осуществляется по мере необходимости. С включенным параметром (enumerate = true) наблюдались отказы в работе службы sssd, из-за длительной загрузки базы. Поэтому рекомендуется использовать enumerate = false. Однако в этом случае при первом обращении к информации о пользователе (например, при входе в систему) такое обращение может выполняться долго, но затем данные кешируются sssd и повторое обращение к ldap производиться не будет.

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

== Подключение ноутбуков к WiFi до входа в систему ==
На компьютере должна быть поднята сеть до входа в систему. Если используются ноутбуки с WiFi, то подключение к WiFi сети должно быть осуществлено до входа пользователя в систему, то есть без участия пользователя. Это возможно сделать, если для подключения к WiFi-сети достаточно указать только SSID и ключ подключения к сети.

Войдите в систему под пользователем root. Следующая команда выведет список доступных сетей.<syntaxhighlight lang="bash">
nmcli dev wifi list
</syntaxhighlight>Добавьте новую сеть командой, заменив YOUR_SSID на SSID вашей сети и YOUR_PASSWORD - на ключ подключения к вашей сети. school-wifi - это имя соединения, его также можно изменить.<syntaxhighlight lang="bash">
nmcli dev wifi connect YOUR_SSID password YOUR_PASSWORD name school-wifi

</syntaxhighlight>Установите автоподключение для этого соединения.<syntaxhighlight lang="bash">
nmcli connection modify school-wifi connection.autoconnect yes

</syntaxhighlight>В каталоге /etc/NetworkManager/system-connections/ появится файл school-wifi.nmconnection примерно такого содержания<syntaxhighlight lang="ini">
[connection]
id=school-wifi
uuid=***какой-то uuid***
type=wifi
interface-name=wlp0s20f3
timestamp=1753189862

[wifi]
mode=infrastructure
ssid=***SSID вашей сети***

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=***ключ вашей сети***

[ipv4]
method=auto

[ipv6]
addr-gen-mode=default
method=auto

[proxy]

</syntaxhighlight>

== Обслуживание системы ==

=== Обновление ldap ===
В состав пакета openldap-servers входит файл /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS с инструкциями по обновлению базы данных при обновлении сервера ldap. Если этот файл присутствует в системе, то сервер ldap не запустится (посмотрите команду systemctl status slapd). Чтобы сервер стартовал, необходимо удалить этот файл. Предполагается, что администратор системы выполняет действия по обновлению базы ldap, затем удаляет этот файл. Однако, при минорных обновлениях версии ldap эти действия не нужны, но файл восстанавливается при любом обновлении пакета openldap-servers. Поэтому как правило, если был обновлён пакет openldap-servers, например, при выполнении команды dnf update, необходимо удалить этот файл и перезапустить сервис ldap.<syntaxhighlight lang="bash">
rm -f /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS
systemctl restart slapd

</syntaxhighlight>

=== Чистка домашних каталогов ===

=== Проверка квот ===

Школьный сервер LDAP + Kerberos + NFS

2025-12-04T12:46:54Z

Dkirienko: Про обновление openldap-servers

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>В МОС-13 может быть установлен пакет authselect-force, который управляет механизмом авторизации пользователей. Этот пакет не нужен, мы не будем использовать его. Удалите его и запретите последующую установку.<syntaxhighlight lang="bash">
dnf remove -y authselect-force
dnf config-manager --setopt exclude="authselect-force" --save

</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Удалите файл /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS<syntaxhighlight lang="bash">
rm -f /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS
</syntaxhighlight>Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = false
</syntaxhighlight>

Обратите внимание на параметр enumerate = false. Этот параметр отключает загрузку всей базы ldap в память сервера sssd, загрузка осуществляется по мере необходимости. С включенным параметром (enumerate = true) наблюдались отказы в работе службы sssd, из-за длительной загрузки базы. Поэтому рекомендуется использовать enumerate = false. Однако в этом случае при первом обращении к информации о пользователе (например, при входе в систему) такое обращение может выполняться долго, но затем данные кешируются sssd и повторое обращение к ldap производиться не будет.

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

== Подключение ноутбуков к WiFi до входа в систему ==
На компьютере должна быть поднята сеть до входа в систему. Если используются ноутбуки с WiFi, то подключение к WiFi сети должно быть осуществлено до входа пользователя в систему, то есть без участия пользователя. Это возможно сделать, если для подключения к WiFi-сети достаточно указать только SSID и ключ подключения к сети.

Войдите в систему под пользователем root. Следующая команда выведет список доступных сетей.<syntaxhighlight lang="bash">
nmcli dev wifi list
</syntaxhighlight>Добавьте новую сеть командой, заменив YOUR_SSID на SSID вашей сети и YOUR_PASSWORD - на ключ подключения к вашей сети. school-wifi - это имя соединения, его также можно изменить.<syntaxhighlight lang="bash">
nmcli dev wifi connect YOUR_SSID password YOUR_PASSWORD name school-wifi

</syntaxhighlight>Установите автоподключение для этого соединения.<syntaxhighlight lang="bash">
nmcli connection modify school-wifi connection.autoconnect yes

</syntaxhighlight>В каталоге /etc/NetworkManager/system-connections/ появится файл school-wifi.nmconnection примерно такого содержания<syntaxhighlight lang="ini">
[connection]
id=school-wifi
uuid=***какой-то uuid***
type=wifi
interface-name=wlp0s20f3
timestamp=1753189862

[wifi]
mode=infrastructure
ssid=***SSID вашей сети***

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=***ключ вашей сети***

[ipv4]
method=auto

[ipv6]
addr-gen-mode=default
method=auto

[proxy]

</syntaxhighlight>

=== Обслуживание системы ===

==== Обновление ldap ====
В состав пакета openldap-servers входит файл /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS с инструкциями по обновлению базы данных при обновлении сервера ldap. Если этот файл присутствует в системе, то сервер ldap не запустится (посмотрите команду systemctl status slapd). Чтобы сервер стартовал, необходимо удалить этот файл. Предполагается, что администратор системы выполняет действия по обновлению базы ldap, затем удаляет этот файл. Однако, при минорных обновлениях версии ldap эти действия не нужны, но файл восстанавливается при любом обновлении пакета openldap-servers. Поэтому как правило, если был обновлён пакет openldap-servers, например, при выполнении команды dnf update, необходимо удалить этот файл и перезапустить сервис ldap.<syntaxhighlight lang="bash">
rm -f /usr/share/openldap-servers/UPGRADE_INSTRUCTIONS
systemctl restart slapd

</syntaxhighlight>

==== Чистка домашних каталогов ====

==== Проверка квот ====

Школьный сервер LDAP + Kerberos + NFS

2025-11-13T14:43:21Z

Dkirienko: /* Доступ к LDAP и Kerberos через SSSD */ Про enumerate = false

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>В МОС-13 может быть установлен пакет authselect-force, который управляет механизмом авторизации пользователей. Этот пакет не нужен, мы не будем использовать его. Удалите его и запретите последующую установку.<syntaxhighlight lang="bash">
dnf remove -y authselect-force
dnf config-manager --setopt exclude="authselect-force" --save

</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = false
</syntaxhighlight>

Обратите внимание на параметр enumerate = false. Этот параметр отключает загрузку всей базы ldap в память сервера sssd, загрузка осуществляется по мере необходимости. С включенным параметром (enumerate = true) наблюдались отказы в работе службы sssd, из-за длительной загрузки базы. Поэтому рекомендуется использовать enumerate = false. Однако в этом случае при первом обращении к информации о пользователе (например, при входе в систему) такое обращение может выполняться долго, но затем данные кешируются sssd и повторое обращение к ldap производиться не будет.

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

== Подключение ноутбуков к WiFi до входа в систему ==
На компьютере должна быть поднята сеть до входа в систему. Если используются ноутбуки с WiFi, то подключение к WiFi сети должно быть осуществлено до входа пользователя в систему, то есть без участия пользователя. Это возможно сделать, если для подключения к WiFi-сети достаточно указать только SSID и ключ подключения к сети.

Войдите в систему под пользователем root. Следующая команда выведет список доступных сетей.<syntaxhighlight lang="bash">
nmcli dev wifi list
</syntaxhighlight>Добавьте новую сеть командой, заменив YOUR_SSID на SSID вашей сети и YOUR_PASSWORD - на ключ подключения к вашей сети. school-wifi - это имя соединения, его также можно изменить.<syntaxhighlight lang="bash">
nmcli dev wifi connect YOUR_SSID password YOUR_PASSWORD name school-wifi

</syntaxhighlight>Установите автоподключение для этого соединения.<syntaxhighlight lang="bash">
nmcli connection modify school-wifi connection.autoconnect yes

</syntaxhighlight>В каталоге /etc/NetworkManager/system-connections/ появится файл school-wifi.nmconnection примерно такого содержания<syntaxhighlight lang="ini">
[connection]
id=school-wifi
uuid=***какой-то uuid***
type=wifi
interface-name=wlp0s20f3
timestamp=1753189862

[wifi]
mode=infrastructure
ssid=***SSID вашей сети***

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=***ключ вашей сети***

[ipv4]
method=auto

[ipv6]
addr-gen-mode=default
method=auto

[proxy]

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-09-10T07:08:34Z

Dkirienko: Запрет на обновление пакета authselect-force

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>В МОС-13 может быть установлен пакет authselect-force, который управляет механизмом авторизации пользователей. Этот пакет не нужен, мы не будем использовать его. Удалите его и запретите последующую установку.<syntaxhighlight lang="bash">
dnf remove -y authselect-force
dnf config-manager --setopt exclude="authselect-force" --save

</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

== Подключение ноутбуков к WiFi до входа в систему ==
На компьютере должна быть поднята сеть до входа в систему. Если используются ноутбуки с WiFi, то подключение к WiFi сети должно быть осуществлено до входа пользователя в систему, то есть без участия пользователя. Это возможно сделать, если для подключения к WiFi-сети достаточно указать только SSID и ключ подключения к сети.

Войдите в систему под пользователем root. Следующая команда выведет список доступных сетей.<syntaxhighlight lang="bash">
nmcli dev wifi list
</syntaxhighlight>Добавьте новую сеть командой, заменив YOUR_SSID на SSID вашей сети и YOUR_PASSWORD - на ключ подключения к вашей сети. school-wifi - это имя соединения, его также можно изменить.<syntaxhighlight lang="bash">
nmcli dev wifi connect YOUR_SSID password YOUR_PASSWORD name school-wifi

</syntaxhighlight>Установите автоподключение для этого соединения.<syntaxhighlight lang="bash">
nmcli connection modify school-wifi connection.autoconnect yes

</syntaxhighlight>В каталоге /etc/NetworkManager/system-connections/ появится файл school-wifi.nmconnection примерно такого содержания<syntaxhighlight lang="ini">
[connection]
id=school-wifi
uuid=***какой-то uuid***
type=wifi
interface-name=wlp0s20f3
timestamp=1753189862

[wifi]
mode=infrastructure
ssid=***SSID вашей сети***

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=***ключ вашей сети***

[ipv4]
method=auto

[ipv6]
addr-gen-mode=default
method=auto

[proxy]

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-08-26T13:36:27Z

Dkirienko: Настройка сети

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

== Подключение ноутбуков к WiFi до входа в систему ==
На компьютере должна быть поднята сеть до входа в систему. Если используются ноутбуки с WiFi, то подключение к WiFi сети должно быть осуществлено до входа пользователя в систему, то есть без участия пользователя. Это возможно сделать, если для подключения к WiFi-сети достаточно указать только SSID и ключ подключения к сети.

Войдите в систему под пользователем root. Следующая команда выведет список доступных сетей.<syntaxhighlight lang="bash">
nmcli dev wifi list
</syntaxhighlight>Добавьте новую сеть командой, заменив YOUR_SSID на SSID вашей сети и YOUR_PASSWORD - на ключ подключения к вашей сети. school-wifi - это имя соединения, его также можно изменить.<syntaxhighlight lang="bash">
nmcli dev wifi connect YOUR_SSID password YOUR_PASSWORD name school-wifi

</syntaxhighlight>Установите автоподключение для этого соединения.<syntaxhighlight lang="bash">
nmcli connection modify school-wifi connection.autoconnect yes

</syntaxhighlight>В каталоге /etc/NetworkManager/system-connections/ появится файл school-wifi.nmconnection примерно такого содержания<syntaxhighlight lang="ini">
[connection]
id=school-wifi
uuid=***какой-то uuid***
type=wifi
interface-name=wlp0s20f3
timestamp=1753189862

[wifi]
mode=infrastructure
ssid=***SSID вашей сети***

[wifi-security]
auth-alg=open
key-mgmt=wpa-psk
psk=***ключ вашей сети***

[ipv4]
method=auto

[ipv6]
addr-gen-mode=default
method=auto

[proxy]

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-08-25T19:34:09Z

Dkirienko:

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch179.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

Школьный сервер LDAP + Kerberos + NFS

2025-07-21T18:17:08Z

Dkirienko: /* Массовое создание пользователей */

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch719.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Скрипт запускается так

python useradmin.py add-file users.txt<syntaxhighlight lang="bash">
python useradmin.py add-file users.txt
</syntaxhighlight>Или если сделать файл useradmin.py исполняемым, то

./useradmin.py add-file users.txt<syntaxhighlight lang="bash">
./useradmin.py add-file users.txt
</syntaxhighlight>
{| class="wikitable"
|+Примеры параметров, которые можно передавать скрипту
!Параметры скрипта
!Выполняемое действие
|-
|list-users
|Вывести список пользователей
|-
|list-users --detailed
|Вывести список пользователей с подробной информацией (наличие принципала Kerberos, дисковая квота)
|-
|add-file users.txt
|Создать пользователей используя файл users.txt. Создаются записи в LDAP, Kerberos, создаётся домашний каталог и устанавливается квота
|-
|add-file users.txt --ldap
|Только создать записи ldap
|-
|add-file users.txt --kerberos
|Только создать принципалы Kerberos
|-
|add-file users.txt --home
|Только создать домашние каталоги (и скопировать туда skel)
|-
|add-file users.txt --quota
|Только установить квоту
|-
|add-file users.txt --steps ldap kerberos home
|Выполнить только указанные шаги (ldap, kerberos, home), то есть создать пользователя с домашним каталогом, но без квоты
|-
|delete-user user_login
|Удалить пользователя с логином user_login (в том числе удаляется и домашний каталог)
|}

Школьный сервер LDAP + Kerberos + NFS

2025-07-21T18:03:16Z

Dkirienko:

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом.

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включённым в "школьный домен".
#У каждого учащегося на сервере есть свой домашний каталог, который монтируется по сети по протоколу NFS при входе в систему. Тем самым файлы учащегося и его настройки будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.
#Autofs для автоматического монтирования домашнего каталога пользователя при обращении.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
#МОС-13 (альфа-версия) для клиентских компьютеров (можно использовать Роса "Фреш" 13).
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без больших изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Поскольку будут настраиваться механизмы авторизации и монтирования /home по сети, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы, нажав на кнопку "Дополнительно".

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя admin и мы хотим переместить домашний каталог пользователя из /home/admin в /usr/local/home/admin. Войдите в систему под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin
</syntaxhighlight>

На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе, также BTRFS не поддерживает пользовательские квоты. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 3-4 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
<syntaxhighlight lang="bash">
dnf install -y task-lxqt
</syntaxhighlight>

Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).

<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local. Понятие "домен" дальше будет возникать в разных смыслах - DNS-имён, домена LDAP, домена Kerberos. Некоторые из этих доменов должны совпадать, поэтому лучше выбрать один домен для своей школы (мы выбрали sch719.local) и везде используем именно его.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>
На клиенте выполните аналогичную команду (от root).
<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>
В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида
<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01
</syntaxhighlight>
Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку
<syntaxhighlight>
192.168.0.1 server.sch179.local server
</syntaxhighlight>

==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).
<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).
<syntaxhighlight lang="bash">
systemctl enable --now slapd
</syntaxhighlight>
Проверьте, что LDAP запущен и отвечает на запросы (команда от root).
<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn
</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:
<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX
</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

Проверка созданной базы командой.
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Выполните команды:
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>
Она должна вывести текст, в котором есть строки:
<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config
</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания, заменив везде sch179 и параметр o: School No 179 на описание вашей школы.
<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>
При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"
</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 2000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 3000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 4000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 5000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=3001 и пользователя student1 с uid=5001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 3001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 3001
gidNumber: 3001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 5001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 5001
gidNumber: 5001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже).

<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>
Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой
<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>

Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут вводиться через kadmin.local, то принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.
<syntaxhighlight lang="bash">
addprinc kadmin/admin
</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

Если такой принципал уже существует в системе, создать его не получится. В этом случае нужно сначала удалить принципал kadmin/admin, затем создать его заново.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,
<syntaxhighlight>
addprinc teacher1
addprinc student1
</syntaxhighlight>
Для каждого принципала необходимо будет два раза ввести его пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Такие команды можно использовать в скриптах создания пользователей. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1
</syntaxhighlight>

Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.
<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а та обращается к удалённым серверам LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки, начинающиеся с passwd:, shadow: и group: на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (в интерфейсах auth и password).

<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
</syntaxhighlight>

Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss.

Скорее всего у вас получится такой файл.
<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
</syntaxhighlight>

'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать.

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.
<syntaxhighlight lang="bash">
getent passwd teacher1
</syntaxhighlight>

Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.
<syntaxhighlight lang="bash">
id teacher1
</syntaxhighlight>

Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Выведите информацию о полученных билетах.
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Удалите полученный билет командой
<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>
Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.
<syntaxhighlight lang="bash">
su - teacher1
</syntaxhighlight>
Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root), со вводом пароля.

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в графической оболочке.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===
Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation
</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будут использоваться в протоколе NFS. Эти ключи необходимо скопировать на компьютеры клиентов.

От имени пользователя root нужно запустить на сервере команду
<syntaxhighlight lang="bash">
kadmin.local
</syntaxhighlight>
В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit
</syntaxhighlight>
Проверим, что ключи были созданы и экспортированы, для этого введите команду от root
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>
Вывод будет таким.
<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL
</syntaxhighlight>

'''Файл с ключами /etc/krb5.keytab необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку
<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)
</syntaxhighlight>
Здесь 192.168.0.0/16 - сеть, из которой разрешён доступ. Замените его на адрес своей локальной сети.

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой
<syntaxhighlight lang="bash">
exportfs -ra
</syntaxhighlight>
Проверьте, что система экспортируется, выполнив команду
<syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.
<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation
</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой
<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.
<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy
</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.
<syntaxhighlight lang="ini">
[General]
Domain = sch179.local
</syntaxhighlight>

Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.
<syntaxhighlight lang="bash">
systemctl status nfs-idmapd
</syntaxhighlight>
На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.
<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service
</syntaxhighlight>
Перезагрузите клиентский компьютер и проверьте, что служба nfs-idmapd запустилась после перезагрузки.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сетевых дисков (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя (например, teacher1). Этот билет нужно получить командой (выполним её от root).
<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>
Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду
<syntaxhighlight lang="bash">
klist
</syntaxhighlight>
Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.
<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home
</syntaxhighlight>
Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

==Автомонтирование домашних каталогов при помощи autofs==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. При этом после входа пользователя (например, student1) в систему будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим пакет autofs.
<syntaxhighlight lang="bash">
sudo dnf install autofs
</syntaxhighlight>
Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку
<syntaxhighlight>
/home /etc/auto.home --timeout=60
</syntaxhighlight>
Создадим файл /etc/auto.home и запишем в него строку.
<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&
</syntaxhighlight>
Включим и запустим службу autofs
<syntaxhighlight lang="bash">
systemctl enable --now autofs
</syntaxhighlight>

==Включение дисковых квот==
На сервере необходимо включить дисковые квоты для пользователей на разделе /home.

Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota
<syntaxhighlight lang="bash">
dnf install quota
</syntaxhighlight>
Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.
<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2
</syntaxhighlight>
В вашем файле /etc/fstab вместо /dev/... может быть указано UUID=...
Отмонтируйте раздел.
<syntaxhighlight lang="bash">
umount /home
</syntaxhighlight>
Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4
</syntaxhighlight>
Подмонтируйте раздел
<syntaxhighlight lang="bash">
mount /home
</syntaxhighlight>
Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).
<syntaxhighlight lang="bash">
quotacheck -cum /home
</syntaxhighlight>
Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home
</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.
<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2
</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel или аналогичного каталога.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin этот скрипт]. Скрипт находится в разработке.

Этот скрипт позволяет выполнять массовые операции с пользователями. Его лучше запускать под администратором, т.к. создание домашнего каталога пользователя и установка квот требует прав администратора.

Сначала нужно разработать системы назначения логинов и идентификаторов пользователей. Например, в 179 школе действует такая схема.

Каждому учащемуся назначается логин вида s29a_ivanov. Здесь s - первая буква слова student, 29 - год окончания школы, a - буква класса, ivanov - фамилия учащегося. То есть это логин пользователя ivanov из А-класса 2029 года выпуска. Если в классе сть однофамильцы, к фамилии можно добавлять имя или одну букву имени.

Всем пользователям назначаются уникальные идентификаторы. Например, для класса s29a можно выдавать идентификаторы, начинающиеся с 291: 29101, 29102, 29103 и т.д. То есть идентификаторы - пятизначные числа, где первые две цифры означают год выпуска, следующая цифры - буква класса (можно отвести и две цифры, если одной недостаточно), следующие две цифры - номер учащегося в класса. Учащимся класса s29b будут выдаваться идентификаторы 29201, 29202 и т.д.

Также каждому учащемуся нужно сделать пароль. Много случайных паролей можно сгенерировать утилитой pwgen.

Подготовьте текстовый файл с новыми пользователями. Удобно создавать отдельный файл на каждый класс. Файл будет выглядеть таким образом:

<syntaxhighlight>
29101 students s29a_bezukhov Безухов Пётр t8Fi5A77
29102 students s29a_rostova Ростова Наталья LRhevK2O
</syntaxhighlight>

Здесь первое поле - идентификатор пользователя, второе поле - группа, в которую будет добавлен пользователь (мы добавляем всех пользователей в группу students, но можно, например, создавать и отдельную группу для каждого класса), третье поле - логин пользователя, затем - фамилия, имя и пароль пользователя. Поля разделяются пробелами, поэтому в фамилии и имени не должно быть пробелов. Сохраните этот файл, пусть он называется users.txt.

Для работы утилиты useradmin.py необходим конфигурационный файл .useradmin.conf, который должен находиться в домашнем каталоге (например, /root/.useradmin.conf). Запуск утилиты создаст этот файл, если он не существует. Отредактируйте этот файл, задав актуальный адрес вашего сервера, суффикс ваших записей в LDAP, пароли доступа к LDAP и Kerberos (для доступа к Kerberos можно использовать kadmin.local). Установите значения дисковой квоты и путь к каталогу skel, где хранятся файлы, которые будут копироваться в домашний каталог по умолчанию.

Обсуждение:Прочие

2025-07-15T17:05:20Z

Dkirienko: Ого, я даже помню, как в размете MediaWiki вставлять ссылку на своё имя и дату правки.

Кажется, что "Прочие" - плохое название для страницы. [[Участник:Dkirienko|Dkirienko]] ([[Обсуждение участника:Dkirienko|обсуждение]]) 20:05, 15 июля 2025 (MSK)

Обсуждение:Прочие

2025-07-15T17:04:22Z

Dkirienko: Новая страница: «Кажется, что "Прочие" - плохое название для страницы.»

Кажется, что "Прочие" - плохое название для страницы.

Школьный сервер LDAP + Kerberos + NFS

2025-07-15T09:58:55Z

Dkirienko: /* Экспорт /home на сервере */

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,async,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Обратите внимание на параметр asynс, без него сеть будет работать медленно. Он должен быть обязательно включён.

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-11T09:36:54Z

Dkirienko:

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе. Для уменьшения числа записей на диск, эту файловую систему нужно монтировать с параметром noatime.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,noatime,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight>
/dev/sda4 /home ext4 noatime,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2fs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight>
/dev/sda4 /home xfs noatime,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-11T08:03:10Z

Dkirienko: Отмена правки 2248, сделанной Dkirienko (обсуждение)

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-11T08:02:23Z

Dkirienko: /* Конфигурация базы данных Kerberos */

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_realm = SCH179.RU

[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}

</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-09T13:02:33Z

Dkirienko: /* Автомонтирование домашних каталогов при помощи autofs */

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,nosuid,timeo=600,retrans=2 server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-09T12:48:00Z

Dkirienko: Изменение параметров монтирования nfs

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rsize=1048576,wsize=1048576,hard,nosuid,timeo=600,retrans=2 rosa-server.179.ru:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-09T09:44:53Z

Dkirienko:

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. <syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>Также нужно убедиться, что служба nfs-idmapd запущена и на сервере, и на клиенте. Для этого после перезагрузки выполните команду.<syntaxhighlight lang="bash">
systemctl status nfs-idmapd

</syntaxhighlight>На сервере скорее всего вы увидите, что служба работает - в выводе будет строка "<code>Active: active (running)</code>". А на клиенте - не работает ("<code>Active: inactive (dead)</code>").

Это связано с тем, что на сервере запущена служба nfs-server, а на клиенте - только nfs-client, которая не включает по умолчанию nfs-ifmapd.

Нам нужно добавить автозапуск nfs-idmapd на клиенте при достижении цели nfs-client в настройках systemd. Но это нельзя сделать при помощи systemctl enable nfs-idmapd (попробуйте).

Для этого нужно создать на клиенте каталог /etc/systemd/system/nfs-client.target.d и записать в файл /etc/systemd/system/nfs-client.target.d/override.conf следующий текст.<syntaxhighlight lang="ini">
[Unit]
Wants=nfs-idmapd.service
After=nfs-idmapd.service

</syntaxhighlight>Перезагрузите клиент и проверьте, что служба nfs-idmapd успешно запущена.

Отсутствие работающей службы nfs-idmapd приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-07T07:04:10Z

Dkirienko:

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.

''[нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd]''<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

''[нужно уточнить, возможно, нужно как-то отдельно запускать службу nfs-idmapd]''<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать [https://github.com/dkirienko/useradmin вот этот скрипт]. Скрипт находится в разработке.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-07T06:39:07Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Краткое описание==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах с доступом /home по сети использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Расположение домашнего каталога можно задать сразу при установке системы.

Можно перенести домашний каталог пользователя в другое место после установки. Пусть логин пользователя - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при заполнении всего раздела на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее производительной. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Для пользователей необходимо квотировать размер дискового пространства. Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку.

В дальнейшем все команды предполагается вводить от имени пользователя root или с использованием sudo.
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду (от root).<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Предположим, что наша сеть имеет следующий вид. Локальный домен называется sch179.local.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local.

В дальнейших инструкциях везде замените sch179.local на свой домен, IP-адреса и доменные имена компьютеров - на свои адреса и имена.

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду (от root).<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight>
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера - строку вида.<syntaxhighlight>
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Настройка OpenLDAP на сервере==
LDAP (Lightweight Directory Access Protocol) - это сетевая база данных для хранения информации о пользователях, группах, может также использоваться для хранения сведений о компьютерах, сервисах и т.д. Мы будем хранить в LDAP учётные записи пользователей и групп пользователей. При этом на компьютере могут быть как локальные учётные записи (root, admin, student) - информация о них хранится в /etc/passwd, так и сетевые учётные записи, информация о которых будет загружаться из LDAP.

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните после установки команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставьте в него такой текст. Здесь dc=sch179,dc=local - суффикс имён всех объектов, которые будут храниться в LDAP. Замените здесь sch179 на своё название, делайте это везде в дальнейшем.

Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы командой.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление этого файла в LDAP (команда от root):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка - запрос информации обо всех группах:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Попробуем добавить тестовых пользователей.

Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos на сервере==
Kerberos - протокол аутентификации (проверки пароля). Хотя пароли пользователей могут храниться в LDAP, Kerberos является более защищённым протоколом. А для доступа к NFS с авторизацией использование Kerberos является обязательным. Поэтому мы будем хранить пароли пользователей только в Kerberos.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]).

Обратите внимание, на клиентах также будет необходимо настроить этот файл (см. ниже). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos,. Выполните команду от root.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Доступ к LDAP и Kerberos через SSSD==
sssd (System Security Services Daemon) - это служба, которая запускается на компьютере для аутентификации пользователей. Она будет взаимодействовать с удалёнными серверами LDAP и Kerberos. Когда пользователей входит в систему, система обращается к sssd для проверки информации о пользователе и пароля, а она в свою очередь обращается к LDAP и Kerberos.

Эту настройку нужно сделать как на клиенте, так и на сервере, т.к. на сервере также должна быть информация об имеющихся пользователях для хранения их домашних каталогов /home.

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Настройка sssd===
Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

=== Настройка Kerberos ===
На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).

Вероятно, этого можно и не делать, если обращаться к Kerberos будет только служба sssd, а параметры доступа к Kerberos в sssd.conf указаны. Но если вы захотите на клиенте получить билет Kerberos напрямую (без sssd), например, если для проверки вы попробуете смонтировать каталог /home по nfs, то для этого нужно будет использовать консольную утилиту kinit, а ей для информации о сервере kerberos нужен файл /etc/krb5.conf. Поэтому создайте на клиенте этот файл, аналогичный приведённому выше примеру для сервера.

===Настройка Name Service Switch (nss)===
В файле /etc/nsswitch.conf хранится информация о том, как система получает информацию о пользователях. Нам нужно сделать так, чтобы информация о пользователях бралась из локальных файлов (/etc/passwd, /etc/group), а затем из sssd.

Измените /etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
PAM (Pluggable Authentication Module) - это библиотека, осуществляющая аутентификацию пользователей. Нужно настроить эту библиотеку так, чтобы сначала она сначала проверяла пароль по локальным файлам shadow, а затем обращалась к службе sssd.

Настройки PAM хранятся в каталоге /etc/pam.d/.

Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass

account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_sss.so use_authtok

session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности авторизоваться непосредственно на сервере. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка аутентификации===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Следующая команда должна вывести информацию о пользователе, включая группы, в состав которых он входит.<syntaxhighlight lang="bash">
id teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте (должен быть настроен файл /etc/krb5.conf). Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>Выведите информацию о полученных билетах.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный билет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя teacher1, находясь под пользователем root на клиенте.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Затем попробуйте переключиться в пользователя teacher1 из другой учётной записи (не root).

Наконец. попробуйте войти в систему под пользователем teacher1 в текстовой консоли и в десктоп-менеджере.

Если это получилось, переходите к настройке хранения домашних каталогов в сети.

== Настройка NFS на сервере ==
Каталог /home на сервере, где будут лежать домашние каталоги всех доменных пользователей, будет доступен по сети. Для этого будем использовать сетевой протокол NFS.

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain, указав имя сетевого домена.

''[нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd]''<syntaxhighlight>
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду <syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).

Первая команда создаёт на сервере принципал для службы nfs сервера server.sch179.local, без пароля, со случайным ключом. Вторая команда экспортирует ключ этого принципала в файл /etc/krb5.keytab.

'''Этот ключ необходимо будет скопировать на все клиенты для шифрования протокола nfs. Без этого ключа, подключение клиента к серверу будет невозможным.'''<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы и экспортированы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>
=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (поменяйте, как вам нужно)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация, без шифрования передаваемых данных) или krb5i (авторизация и проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

''[нужно уточнить, возможно, нужно как-то отдельно запускать службу nfs-idmapd]''<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root на клиенте.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Поскольку мы вошли в систему как root, нам нужно получить сначала билет kerberos для какого-нибудь пользователя. Этот билет нужно получить командой (выполним её от root).<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте. При доступе к файлам в этом каталоге ваши права будут соответствовать тому билету, который у вас был, то есть у вас должен быть доступ к каталогу home/teacher1, но не должно быть доступа к каталогам других пользователей.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Также это создаёт дополнительную безопасность, т.к. в результате входа пользователя (например, student1) в систему, будет монтироваться только его домашний каталог (/home/student1), но не домашние каталоги других пользователей.

Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него строку<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него строку.<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

== Включение дисковых квот ==
Пусть раздел, на котором хранится /home, находится на устройстве /dev/sda4. Измените это имя в дальнейших настройках.

=== Файловая система ext4 ===
Установите пакет quota<syntaxhighlight lang="bash">
dnf install quota

</syntaxhighlight>Добавьте в файл /etc/fstab опцию usrquota для монтирования нужного раздела. Должно получиться примерно так.<syntaxhighlight lang="bash">
/dev/sda4 /home ext4 defaults,usrquota 0 2

</syntaxhighlight>В вашем файле /etc/fstab вместо /dev/... может быть указан UUID=...

Отмонтируйте раздел.<syntaxhighlight lang="bash">
umount /home

</syntaxhighlight>Современные ядра Linux поддерживают квоты на уровне файловой системы ext4. Нужно добавить эту возможность в вашу файловую систему. Если у вас старое ядро - квоты будут храниться в специальном файле в корне файловой системы.<syntaxhighlight lang="bash">
tune2ffs -O quota /dev/sda4

</syntaxhighlight>Подмонтируйте раздел<syntaxhighlight lang="bash">
mount /home

</syntaxhighlight>Создайте записи для хранения квот (в файле или внутри файловой системы, в зависимости от ядра).<syntaxhighlight lang="bash">
quoquotacheck -cum /home

</syntaxhighlight>Включите квоты на файловой системе.<syntaxhighlight lang="bash">
quotaon /home

</syntaxhighlight>

=== Файловая система xfs ===
В файловой системе xfs поддержка квот уже присутствует. Достаточно только указать опцию в /etc/fstab при монтировании файловой системы.<syntaxhighlight lang="bash">
/dev/sda4 /home xfs defaults,usrquota 0 2

</syntaxhighlight>

== Массовое создание пользователей ==
Для создания пользователя нужно выполнить следующие шаги.

# Добавить информацию о пользователе в LDAP.
# Создать билет Kerberos.
# Создать домашний каталог и скопировать туда содержимое /etc/skel.
# Установить квоты.

Для автоматизации этих действий можно использовать скрипт, который будет выложен позже.

*

Школьный сервер LDAP + Kerberos + NFS

2025-07-07T06:26:33Z

Dkirienko:

Школьный сервер LDAP + Kerberos + NFS

2025-07-05T12:14:23Z

Dkirienko:

Школьный сервер LDAP + Kerberos + NFS

2025-07-04T17:08:27Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>Также расположение домашнего каталога администратора системы можно задать при установке системы.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду.<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight lang="bash">
kinit teacher1

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя teacher1. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-04T14:06:39Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>Также расположение домашнего каталога администратора системы можно задать при установке системы.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions
Для отключения всех ждущих-спящих режимов на компьютере выполните команду.<syntaxhighlight lang="bash">
systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
</syntaxhighlight>

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-04T13:55:10Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>Также расположение домашнего каталога администратора системы можно задать при установке системы.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd

</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-04T13:50:37Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>Также расположение домашнего каталога администратора системы можно задать при установке системы.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
Служба oddjobd нужна для создания домашнего каталога.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Настройка idmapd ===
Откройте файл /etc/idmapd.conf и в секцию [General] добавьте параметр Domain. Отсутствие этой строки приводит к медленной работе сети (длительный вход в систему, длительное открытие домашнего каталога) при сохранении общей работоспособности.

(нужно уточнить, возможно, нужно как-то запускать службу nfs-idmapd).<syntaxhighlight lang="ini">
[General]
Domain = sch179.local

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-04T09:10:22Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>Также расположение домашнего каталога администратора системы можно задать при установке системы.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap openldap-clients krb5-workstation oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
Служба oddjobd нужна для создания домашнего каталога.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-03T13:59:57Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

===Создание групп пользователей===

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

===Создание пользователей===
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

Вывести список всех принципалов, хранящихся в Kerberos, можно командой.<syntaxhighlight lang="bash">
kadmin.local -q list_principals
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==
Эти шаги нужно сделать и на сервере, и на клиенте.

'''На клиенте также нужно настроить файл /etc/krb5.conf так же, как и на сервере (пример выше).'''

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Служба sssd получает информацию о пользователях и их паролях через ldap и kerberos.

Создайте файл /etc/sssd/sssd.conf и запишите в него следующий текст, внеся нужные правки.
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://server.sch179.local
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = server.sch179.local

cache_credentials = true
enumerate = true
</syntaxhighlight>

Установите на этот файл права.
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===Настройка NSS===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

=== Настройка PAM ===
Измените файл /etc/pam.d/system-auth, добавив несколько строк.

Первое слово каждой строки (auth, account, password, session) - это интерфейс (тип взаимодействия): аутентификация, проверка учетной записи, управление паролями, управление сеансами. Добавляйте указанные строки после всех строк такого же интерфейса, но перед строкой pam_deny.so, если она есть для данного интерфейса (она присутствует в интерфейсах auth и password).
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Четыре строки с pam_sss.so получают информацию об учётной записи через модуль pam_sss. Строка pam_mkhomedir.so создаёт домашний каталог пользователя, если он не существует.

Скорее всего у вас получится такой файл.<syntaxhighlight>
#%PAM-1.0
auth required pam_env.so
auth sufficient pam_unix.so try_first_pass likeauth nullok
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so

password sufficient pam_unix.so try_first_pass nullok sha512 shadow
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_env.so
session optional pam_umask.so
session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

</syntaxhighlight>'''Сделайте такие же правки в файле /etc/pam.d/pasword-auth'''

Возможно, вы не хотите, чтобы пользователи входили в систему на сервере - вряд ли вы хотите давать пользователям такую возможность, в том числе и по ssh. Тогда на сервере правки в конфиги pam вносить не нужно - и у пользователей не будет возможности использовать LDAP + Kerberos для авторизации. Но поскольку пользователи должны быть в системе (пусть и без возможности входа), иные настройки (sssd, nsswitch.conf) необходимо сделать. ''(проверить информацию).''

===Запуск служб===
Служба oddjobd нужна для создания домашнего каталога.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка===
Проверка ldap. Эта команда должна вывести информацию о пользователе teacher1.<syntaxhighlight lang="bash">
getent passwd teacher1

</syntaxhighlight>Получение билета Kerberos для пользователя. Выполните эту команду на клиенте. Нужно ввести пароль пользователя teacher1.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - teacher1

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Настройка NFS на сервере ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>

=== Включение и запуск служб ===
Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>

=== Создание ключей Kerberos ===
На сервере необходимо создать ключи kerberos, которые будет необходимо скопировать на клиентов.

От имени пользователя root нужно запустить на сервере команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В консоли kadmin.local нужно ввести команды (не забудьте заменить server.sch179.local на имя своего сервера).<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

=== Экспорт /home на сервере ===
Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно, но создаёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Вы можете указать сразу несколько возможных уровней безопасности Kerberos, которые будет поддерживать сервер, например: sec=krb5,sec=krb5i,sec=krb5p

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Настройка NFS на клиенте ==

=== Установка пакетов ===

Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>

=== Копирование ключей Kerberos ===
Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.

Проверьте наличие ключей в этом файле командой<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab
</syntaxhighlight>

=== Включение и запуск служб ===
Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>

=== Проверка монтирования файловой системы ===
Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit teacher1
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа. Настройка выполняется на клиенте.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-03T10:57:50Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

==Добавление групп и пользователей==

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователей==
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]). <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-07-03T10:32:48Z

Dkirienko: Другая версия, часть правок может быть потеряна.

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

==Добавление групп и пользователей==

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователей==
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

=== Установка пакетов ===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Настройка главного конфига Kerberos ===
Измените файл /etc/krb5.conf, записав в него следующий текст (нужно записать параметр default_realm и заполнить разделы [realms] и [domain_realm]<syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.local
admin_server = server.sch179.local
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Введите два раза KDC database master key (пароль администратора базы данных Kerberos), надёжно сохраните этот пароль.

===Настройка базы Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команды.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-28T19:02:30Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

==Добавление групп и пользователей==

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователей==
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация сервера Kerberos ===
Запишите в файл /etc/krb5.conf следующее. <syntaxhighlight lang="ini">
includedir /etc/krb5.conf.d/

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = server.sch179.ru
admin_server = server.sch179.ru
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>

===Создание базы данных===
Выполните команду. Нужно будет установить мастер-пароль для базы Kerberos, сохраните этот пароль.<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

===Конфигурация базы данных Kerberos===
Запишите в файл /var/kerberos/krb5kdc/kdc.conf следующий текст.<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>Запишите в файл /var/kerberos/krb5kdc/kadm5.acl следующий текст.
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Включение и запуск служб===
Выполните команду.<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципала kadmin/admin===
В базе Kerberos хранятся "принципалы" (principals) - идентификаторы пользователей, сервисов, хостов.

Утилита kdamin.local используется для управления базой Kerberos непосредственно на сервере Kerberos. Если запустить эту команду без параметров, то запустится оболочка, в которую можно вводить команды Kerberos. Например, команда "listprincs" выводит список всех принципалов. Команда "quit" завершает работу kdamin.local.

Другой способ использования kadmin.local - это указать команду непосредственно в виде параметров при запуске kdamin.local. Например, вывести список всех принципалов можно командой<syntaxhighlight lang="bash">
kadmin.local listprincs
</syntaxhighlight>Специальным принципалом является принципал с именем kadmin/admin. Этот принципал необходимо создать, если вы будете управлять базой Kerberos с другого компьютера. Если все команды администрирования Kerberos будут выводиться через kadmin.local, то, кажется, принципал kadmin/admin можно не создавать.

Для создания этого принципала запустите kadmin.local и в его консоли введите команду.<syntaxhighlight lang="bash">
addprinc kadmin/admin

</syntaxhighlight>

Задайте пароль для этого принципала. Завершите работу kadmin.local командой quit.

=== Создание принципалов для пользователей ===
Для каждого пользователя системы, необходимо создать принципал, например, принципалы teacher1, student1.

Это можно сделать разными способами. Можно запустить kadmin.local и ввести команду addprinc для создания принципала каждого пользователя, например,<syntaxhighlight>
addprinc teacher1
addprinc student1

</syntaxhighlight>Для каждого принципала необходимо будет два раза ввести пароль.

Если вы создаёте много принципалов, удобно это делать не вводя пароль, сразу одной командой. Примеры таких команд:
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw qwerty456 teacher1
kadmin.local addprinc -pw qwerty789 student1

</syntaxhighlight>Параметр -pw задаёт пароль принципала, то есть эти команды создадут принципал teacher1 с паролем qwerrty456 и принципал student1 с паролем qwerty789.

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-28T16:52:42Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

==Добавление групп и пользователей==

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователей==
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация /etc/krb5.conf ===
Этот файл должен выглядеть так <syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 127.0.0.1
admin_server = 127.0.0.1
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Задайте мастер-пароль, например: `3yomdiYp`

===Конфигурация /var/kerberos/krb5kdc/kdc.conf===
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>

===ACL файл===
Файл: /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-26T20:02:40Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers (версии openldap-servers-2.6.9-1) есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому если вы видите такие ошибки при установке пакета, выполните команды.<syntaxhighlight lang="bash">
chown -R ldap:ldap /etc/openldap/slapd.d
chown -R ldap:ldap /var/lib/ldap

</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Создание базы и записи администратора LDAP===
Сначала нужно создать хеш пароля администратора LDAP. Для этого запустите команду<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

и введите пароль два раза. Команда выведет хеш пароля. Например, при вводе "qwerty123" программа может выдать такой хеш:<syntaxhighlight>
{SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>При повторном запуске и вводе такого же пароля хеш будет другим, это нормально.

Пароль администратора лучше делать уникальным и длинным (например, в 15-20 символов), чтобы его невозможно было подобрать. Надёжно сохраните этот пароль, и вставляйте через буфер обмена по мере необходимости.

Теперь создадим базу LDAP и запись администратора LDAP.

Создайте файл create-db.ldif и вставим в него такой текст. Замените хеш пароля в последней строке на тот, который вы получили.
<syntaxhighlight>
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}51OzQC2m1HfQMEzuV8B7qY0TfSkNq+rX

</syntaxhighlight>

Добавьте содержимое этого файла в базу LDAP.
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>Проверка созданной базы запросом.<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Добавление схем===
Далее в базу нужно добавить "схемы" - описание разных видов объектов (например, групп и учётных записей). Просто выполните команды:<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Для проверки введите команду:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>Она должна вывести текст, в котором есть строки:<syntaxhighlight>
dn: cn={0}core,cn=schema,cn=config
dn: cn={1}cosine,cn=schema,cn=config
dn: cn={2}nis,cn=schema,cn=config
dn: cn={3}inetorgperson,cn=schema,cn=config

</syntaxhighlight>

=== Создание базовой структуры организации ===
Далее в базу LDAP нужно добавить разделы для хранения учетных записей и групп. Создайте файл base.ldif следующего содержания.

Замените в нём везде sch179 и параметр o: School No 179 на описание вашей школы.<syntaxhighlight>
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: School No 179
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP (не забудьте заменить sch179 на своё название):
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>При добавлении вам нужно будет ввести пароль администратора LDAP, который был задан ранее.

Для проверки введите команду (не забудьте заменить sch179 на своё название):<syntaxhighlight lang="bash">
ldapsearch -x -b "dc=sch179,dc=local"

</syntaxhighlight>

==Добавление групп и пользователей==

Пусть мы ходим создать группы пользователей admins (администраторы), teachers (учителя), misc (другие сотрудники) и students (учащиеся).

Создайте файл groups.ldif. Замените в нём sch179 на своё название. Можете поменять названия и описания групп, их gidNumber.
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователей==
Пусть мы ходим создать пользователя teacher1 c uid=2001 и пользователя student1 с uid=4001. При этом для каждого пользователя будет создана группа с таким же именем.

Создайте файл users.ldif следующего содержания. Не забудьте поменять sch179 на своё название, остальное - по мере необходимости. <syntaxhighlight>
dn: cn=teacher1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: teacher1
gidNumber: 2001
description: Primary group for user teacher1

dn: uid=teacher1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: teacher1
sn: Иванов
givenName: Сергей
cn: Сергей Иванов
uidNumber: 2001
gidNumber: 2001
homeDirectory: /home/teacher1
loginShell: /bin/bash
description: User teacher1 (Сергей Иванов)

dn: cn=student1,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: student1
gidNumber: 4001
description: Primary group for user student1

dn: uid=student1,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: student1
sn: Васильева
givenName: Мария
cn: Мария Васильева
uidNumber: 4001
gidNumber: 4001
homeDirectory: /home/student1
loginShell: /bin/bash
description: User student1 (Мария Васильева)

</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f users.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=teacher1)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=teacher1)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация /etc/krb5.conf ===
<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 127.0.0.1
admin_server = 127.0.0.1
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Задайте мастер-пароль, например: `3yomdiYp`

===Конфигурация /var/kerberos/krb5kdc/kdc.conf===
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>

===ACL файл===
Файл: /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-26T18:24:46Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

Если вам нужна графическая оболочка на сервере, установите lxqt - лёгкую и нетребовательную к ресурсам оболочку (команда от root).
dnf install -y task-lxqt
Если вы тестируете установку в VirtualBox, установите гостевые расширения (команда от root).
dnf install -y virtualbox-guest-additions

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск LDAP ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому (workaround пока) удалите пакет openldap-servers и поставьте его снова.<syntaxhighlight lang="bash">
dnf remove openldap-servers
dnf install -y openldap-servers
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Настройка базы данных LDAP===

====Создание хеша пароля администратора ====
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

Пример результата:
<pre>{SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu</pre>

====Файл create-db.ldif====
<syntaxhighlight lang="ldif">
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu
</syntaxhighlight>

Применение изменений:
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

====Проверка созданной базы====
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Создание базовой структуры LDAP ===
<syntaxhighlight lang="ldif">
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: Sch179 School
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>

===Добавление схем===
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Проверка схем:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>

==Добавление групп пользователей==

Создайте файл groups.ldif:
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователя (например, dk)==

===Создание пароля===
<syntaxhighlight lang="bash">
slappasswd -s t9cdw3qR -v
</syntaxhighlight>

===user-dk.ldif ===
<syntaxhighlight lang="ldif">
dn: cn=dk,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: dk
gidNumber: 1001
description: Primary group for user dk

dn: uid=dk,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: dk
sn: Кириенко
givenName: Денис
cn: Денис Кириенко
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/dk
loginShell: /bin/bash
userPassword: {SSHA}rKkuYpM736DjDANzimaJOW0vV8bO8dN9
description: User Denis Kirienko
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f user-dk.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=dk)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=dk)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация /etc/krb5.conf ===
<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 127.0.0.1
admin_server = 127.0.0.1
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Задайте мастер-пароль, например: `3yomdiYp`

===Конфигурация /var/kerberos/krb5kdc/kdc.conf===
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>

===ACL файл===
Файл: /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-26T18:10:13Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы. Пусть логин администратора системы - admin. Войдите под пользователем root (не используйте sudo, не используйте su - в системе не должно быть открытых сеансов пользователя admin). Выполните команды.<syntaxhighlight lang="bash">
mkdir /usr/local/home
mv /home/admin /usr/local/home/
usermod -d /usr/local/home/admin admin

</syntaxhighlight>На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск LDAP ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому (workaround пока) удалите пакет openldap-servers и поставьте его снова.<syntaxhighlight lang="bash">
dnf remove openldap-servers
dnf install -y openldap-servers
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Настройка базы данных LDAP===

====Создание хеша пароля администратора ====
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

Пример результата:
<pre>{SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu</pre>

====Файл create-db.ldif====
<syntaxhighlight lang="ldif">
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu
</syntaxhighlight>

Применение изменений:
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

====Проверка созданной базы====
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Создание базовой структуры LDAP ===
<syntaxhighlight lang="ldif">
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: Sch179 School
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>

===Добавление схем===
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Проверка схем:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>

==Добавление групп пользователей==

Создайте файл groups.ldif:
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователя (например, dk)==

===Создание пароля===
<syntaxhighlight lang="bash">
slappasswd -s t9cdw3qR -v
</syntaxhighlight>

===user-dk.ldif ===
<syntaxhighlight lang="ldif">
dn: cn=dk,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: dk
gidNumber: 1001
description: Primary group for user dk

dn: uid=dk,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: dk
sn: Кириенко
givenName: Денис
cn: Денис Кириенко
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/dk
loginShell: /bin/bash
userPassword: {SSHA}rKkuYpM736DjDANzimaJOW0vV8bO8dN9
description: User Denis Kirienko
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f user-dk.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=dk)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=dk)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация /etc/krb5.conf ===
<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 127.0.0.1
admin_server = 127.0.0.1
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Задайте мастер-пароль, например: `3yomdiYp`

===Конфигурация /var/kerberos/krb5kdc/kdc.conf===
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>

===ACL файл===
Файл: /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>

Школьный сервер LDAP + Kerberos + NFS

2025-06-26T17:37:17Z

Dkirienko:

<big>'''Это черновик статьи, он может содержать ошибки!'''</big>

При установке на реальное железо нужно проверить, что SELINUX отключён.

==Функционал системы==

Целью является создание школьного сервера со следующим функционалом:

#Сервер является сервером авторизации для учащихся школы. Каждому учащемуся выдаётся логин и пароль, при помощи которого он может авторизоваться на любом компьютере, включенным в "школьный домен".
#Домашние каталоги учащихся монтируются по NFS, у каждого учащегося домашний каталог (то есть настройки приложений, файлы) будут идентичны на любом компьютере.

Предлагаемые технологии для этого:

#LDAP для хранения базы пользователей.
#Kerberos для хранения паролей и авторизации.
#SSSD для подключения к LDAP и Kerberos.
#NFS для доступа к домашним каталогам - /home на клиентах является сетевым разделом, монтируемым с сервера.

Для реализации будет использоваться платформа РОСА 13, как более современная. В настоящий момент для реализации такой конфигурации можно использовать:

#Роса "Фреш" 13, версия Server для сервера.
# Роса "Фреш" 13, версия с Plasma 6 или МОС-13 (альфа-версия) для клиентских компьютеров.
Скорее всего эти инструкции можно применить для дистрибутивов на базе РОСА-2021.1 (МОС-12) без изменений.

== Установка дистрибутивов и общие идеи конфигурации ==
Дистрибутивы Роса "Фреш" 13 можно скачать [https://rosa.ru/rosa-linux-download-links/ по ссылке]. Дистрибутивы Роса "Фреш" доступны для бесплатного использования без каких-либо ограничений (см. лицензионное соглашение при установке).

'''Важно! Поскольку будут настраиваться механизмы авторизации и доступа в домашние каталоги, необходимо при установке как сервера, так и клиентов разрешить вход пользователю root. Это упростит починку системы, если будет что-то сломано в механизмах авторизации или доступа к домашним каталогам /home.'''

На клиентских компьютерах удобно помимо сетевых пользователей завести общий логин типа "user" или "student", функционирование которого не было бы привязано к работе сервера. Это позволит использовать компьютерные классы при проблемах с сетью или сервером. При этом домашний каталог такого пользователя '''НЕ ДОЛЖЕН''' находиться в /home, т.к. при проблемах использование этого каталога будет невозможно. Предлагается разместить домашний каталог такого пользователя в /usr/local/home. Туда же следует перенести и домашний каталог локального администратора системы ''[уточнить, как это сделать]''.

На сервере необходимо вынести /home в отдельный раздел, чтобы при отсутствии свободного места на нём это не повлияло на работу сервера. Рекомендуется использование файловой системы XFS на этом разделе, она считается наиболее быстрой. Наоборот, BTRFS не рекомендуется, т.к. нет смысла создавать снимки на этом разделе.

Желательный размер квоты на одного пользователя - 2-3 гигабайта, поэтому в масштабах одного школьного здания на хранение файлов пользователей следует выделять порядка 1 террабайта дискового пространства.

== Настройка доменных имён ==
Для работы Kerberos необходимо, чтобы все компьютеры имели имена (FQDN) и взаимодействовали друг с другом с использованием FQDN.

Мы предположим, что наша сеть имеет следующий вид.

Локальный домен называется sch179.local. Далее в инструкциях измените название этого домена на своё.

Сервер имеет IP-адрес 192.168.0.1 и имя server.sch179.local

Клиентский компьютер в дальнейших инструкциях имеет IP-адрес 192.168.1.1 и имя ws01.sch179.local

Вы можете поднять DNS для разрешения имён ''[поможет ли в этом Avahi?]''. Но для надёжности и независимости от службы DNS можно создать статические записи для всех компьютеров - на каждом компьютере будут прописаны доменные имена других компьютеров. На клиенте достаточно прописать имя и адрес сервера, на сервере необходимо прописать имена всех подключённых к нему компьютеров в локальной сети.

На сервере выполните команду<syntaxhighlight lang="bash">
hostnamectl set-hostname server.sch179.local
</syntaxhighlight>На клиенте выполните аналогичную команду<syntaxhighlight lang="bash">
hostnamectl set-hostname ws01.sch179.local
</syntaxhighlight>В файл /etc/hosts на сервере добавьте адреса и имена всех клиентских компьютеров - строки вида<syntaxhighlight lang="ini">
192.168.1.1 ws01.sch179.local ws01

</syntaxhighlight>Одна строка соответствует одному компьютеру. Замените в этой строке IP-адрес компьютера, его полное и короткое имя.

На клиентском компьютере запишите в этот файл адрес и имя сервера.<syntaxhighlight lang="ini">
192.168.0.1 server.sch179.local server

</syntaxhighlight>
==Установка и настройка OpenLDAP на сервере==

=== Установка и запуск LDAP ===
Установите на сервере пакеты (команда от root).<syntaxhighlight lang="bash">
dnf install -y openldap-servers openldap-clients
</syntaxhighlight>

При этом в скриптах пакета openldap-servers есть [https://forum.rosa.ru/viewtopic.php?p=121370 ошибка], поэтому (workaround пока) удалите пакет openldap-servers и поставьте его снова.<syntaxhighlight lang="bash">
dnf remove openldap-servers
dnf install -y openldap-servers
</syntaxhighlight>

Включите и запустите службу LDAP (команда от root).<syntaxhighlight lang="bash">
systemctl enable --now slapd

</syntaxhighlight>Проверьте, что LDAP запущен и отвечает на запросы (команда от root).<syntaxhighlight lang="bash">
systemctl status slapd.service
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config dn

</syntaxhighlight>

===Настройка базы данных LDAP===

====Создание хеша пароля администратора ====
<syntaxhighlight lang="bash">
slappasswd
</syntaxhighlight>

Пример результата:
<pre>{SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu</pre>

====Файл create-db.ldif====
<syntaxhighlight lang="ldif">
dn: olcDatabase={2}mdb,cn=config
changetype: add
objectClass: olcDatabaseConfig
objectClass: olcMdbConfig
olcDatabase: {2}mdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=sch179,dc=local
olcRootDN: cn=admin,dc=sch179,dc=local
olcRootPW: {SSHA}GmLFgTlVi1ilt4IW0duB4/eCr3tpIuDu
</syntaxhighlight>

Применение изменений:
<syntaxhighlight lang="bash">
ldapmodify -Y EXTERNAL -H ldapi:/// -f create-db.ldif
</syntaxhighlight>

====Проверка созданной базы====
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=config" "(olcDatabase=*)"
</syntaxhighlight>

===Создание базовой структуры LDAP ===
<syntaxhighlight lang="ldif">
dn: dc=sch179,dc=local
objectClass: top
objectClass: organization
objectClass: dcObject
o: Sch179 School
dc: sch179

dn: ou=people,dc=sch179,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=sch179,dc=local
objectClass: organizationalUnit
ou: groups

dn: cn=admin,dc=sch179,dc=local
objectClass: organizationalRole
cn: admin
description: LDAP Administrator
</syntaxhighlight>

Добавление в LDAP:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f base.ldif
</syntaxhighlight>

===Добавление схем===
<syntaxhighlight lang="bash">
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
</syntaxhighlight>

Проверка схем:
<syntaxhighlight lang="bash">
ldapsearch -Y EXTERNAL -H ldapi:/// -b "cn=schema,cn=config" dn
</syntaxhighlight>

==Добавление групп пользователей==

Создайте файл groups.ldif:
<syntaxhighlight lang="ldif">
dn: cn=admins,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: admins
gidNumber: 1000
description: System administrators

dn: cn=teachers,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: teachers
gidNumber: 2000
description: School teachers

dn: cn=misc,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: misc
gidNumber: 3000
description: Miscellaneous people

dn: cn=students,ou=groups,dc=sch179,dc=local
objectClass: top
objectClass: posixGroup
cn: students
gidNumber: 4000
description: Students
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -x -D "cn=admin,dc=sch179,dc=local" -W -f groups.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(objectClass=posixGroup)"
</syntaxhighlight>

==Добавление пользователя (например, dk)==

===Создание пароля===
<syntaxhighlight lang="bash">
slappasswd -s t9cdw3qR -v
</syntaxhighlight>

===user-dk.ldif ===
<syntaxhighlight lang="ldif">
dn: cn=dk,ou=groups,dc=sch179,dc=local
objectClass: posixGroup
cn: dk
gidNumber: 1001
description: Primary group for user dk

dn: uid=dk,ou=people,dc=sch179,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: dk
sn: Кириенко
givenName: Денис
cn: Денис Кириенко
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/dk
loginShell: /bin/bash
userPassword: {SSHA}rKkuYpM736DjDANzimaJOW0vV8bO8dN9
description: User Denis Kirienko
</syntaxhighlight>

Добавление:
<syntaxhighlight lang="bash">
ldapadd -c -x -D "cn=admin,dc=sch179,dc=local" -W -f user-dk.ldif
</syntaxhighlight>

Проверка:
<syntaxhighlight lang="bash">
ldapsearch -x -b "ou=people,dc=sch179,dc=local" "(uid=dk)"
ldapsearch -x -b "ou=groups,dc=sch179,dc=local" "(cn=dk)"
</syntaxhighlight>

==Настройка Kerberos==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y krb5-server krb5-libs krb5-workstation
</syntaxhighlight>

===Конфигурация /etc/krb5.conf ===
<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 127.0.0.1
admin_server = 127.0.0.1
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL
</syntaxhighlight>

===Создание базы данных===
<syntaxhighlight lang="bash">
kdb5_util create -s
</syntaxhighlight>

Задайте мастер-пароль, например: `3yomdiYp`

===Конфигурация /var/kerberos/krb5kdc/kdc.conf===
<syntaxhighlight lang="ini">
[realms]
SCH179.LOCAL = {
database_name = /var/kerberos/krb5kdc/principal
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
acl_file = /var/kerberos/krb5kdc/kadm5.acl
key_stash_file = /var/kerberos/krb5kdc/.k5.SCH179.LOCAL
kdc_ports = 88
kdc_tcp_ports = 88
max_life = 24h
max_renewable_life = 7d
default_principal_flags = +forwardable
}
</syntaxhighlight>

===ACL файл===
Файл: /var/kerberos/krb5kdc/kadm5.acl
<syntaxhighlight>
*/admin@SCH179.LOCAL *
</syntaxhighlight>

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now krb5kdc
systemctl enable --now kadmin
</syntaxhighlight>

===Создание принципалов===
<syntaxhighlight lang="bash">
kadmin.local
addprinc kadmin/admin
quit
</syntaxhighlight>

Однострочная команда для создания пароля для заданного пользователя.
<syntaxhighlight lang="bash">
kadmin.local addprinc -pw xWnp7NoX dk
</syntaxhighlight>

==Интеграция LDAP и Kerberos через SSSD==

===Установка пакетов===
<syntaxhighlight lang="bash">
dnf install -y sssd sssd-krb5 sssd-ldap oddjob-mkhomedir
</syntaxhighlight>

===Конфигурация SSSD===
Файл: /etc/sssd/sssd.conf
<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://localhost
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = localhost

cache_credentials = true
enumerate = true
</syntaxhighlight>

Права:
<syntaxhighlight lang="bash">
chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
</syntaxhighlight>

===NSS и PAM===

Измените `/etc/nsswitch.conf, заменив в нём три строки на следующие:
<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>

Измените `/etc/pam.d/system-auth`, добавив строки (НУЖЕН ПРИМЕР, КУДА ДОБАВЛЯТЬ):
<syntaxhighlight>
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>
Сделайте такие же правки в файле /etc/pam.d/pasword-auth

===Запуск служб===
<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd
</syntaxhighlight>

===Проверка возможности входа===
<syntaxhighlight lang="bash">
getent passwd dk
su - dk
</syntaxhighlight>

== Настройка клиента ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y sssd sssd-ldap sssd-krb5 sssd-common oddjob-mkhomedir krb5-workstation openldap-clients

</syntaxhighlight>Создайте файл /etc/sssd/sssd.conf следующего содержания. В строках ldap_uri и krb5_server укажите адрес вашего сервера.<syntaxhighlight lang="ini">
[sssd]
domains = sch179.local
services = nss, pam

[domain/sch179.local]
id_provider = ldap
auth_provider = krb5

ldap_uri = ldap://192.168.1.82
ldap_search_base = dc=sch179,dc=local
ldap_id_use_start_tls = false
ldap_tls_reqcert = never

krb5_realm = SCH179.LOCAL
krb5_server = 192.168.1.82

cache_credentials = true
enumerate = true

</syntaxhighlight>Установите права доступа на этот файл<syntaxhighlight lang="bash">
chown root:root /etc/sssd/sssd.conf
chmod 600 /etc/sssd/sssd.conf

</syntaxhighlight>В файле /etc/nsswitch.conf замените три строки на такие:<syntaxhighlight lang="ini">
passwd: files sss
shadow: files sss
group: files sss
</syntaxhighlight>Исправьте файл /etc/krb5.conf, указав в двух местах адрес сервера.<syntaxhighlight lang="ini">
[libdefaults]
default_realm = SCH179.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
SCH179.LOCAL = {
kdc = 192.168.1.82
admin_server = 192.168.1.82
}

[domain_realm]
.sch179.local = SCH179.LOCAL
sch179.local = SCH179.LOCAL

</syntaxhighlight>Добавьте в файлы /etc/pam.d/system-auth и /etc/pam-d/password-auth строки, как в настройках сервера.

Запустите службы.<syntaxhighlight lang="bash">
systemctl enable --now sssd
systemctl enable --now oddjobd

</syntaxhighlight>Теперь проверьте работу всех сервисов.

Проверка ldap. Должна вывести информацию о пользователе.<syntaxhighlight lang="bash">
getent passwd dk

</syntaxhighlight>Получение тикета керберос. Нужно ввести пароль пользователя dk.<syntaxhighlight>
kinit dk

</syntaxhighlight>После этого введите команду вывода информации о полученном тикете.<syntaxhighlight lang="bash">
klist
</syntaxhighlight>Удалите полученный тикет командой<syntaxhighlight lang="bash">
kdestroy
</syntaxhighlight>Попробуйте переключиться в пользователя.<syntaxhighlight lang="bash">
su - dk

</syntaxhighlight>Наконец. попробуйте войти в систему в консоли и в десктоп-менеджере.

== Установка NFS на сервере ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install -y nfs-utils krb5-server krb5-workstation

</syntaxhighlight>Включите и запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-server
systemctl enable --now rpcbind
systemctl enable --now gssproxy

</syntaxhighlight>Создадим ключи Kerberos на сервере.

От имени пользователя root нужно запустить команду<syntaxhighlight lang="bash">
kadmin.local

</syntaxhighlight>В приложении kadmin.local нужно ввести команды.<syntaxhighlight lang="bash">
addprinc -randkey nfs/server.sch179.local
ktadd -k /etc/krb5.keytab nfs/server.sch179.local
quit

</syntaxhighlight>Проверим, что ключи были созданы, для этого введите команду от root<syntaxhighlight lang="bash">
klist -k /etc/krb5.keytab

</syntaxhighlight>Вывод будет таким.<syntaxhighlight>
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 nfs/server.sch179.local@SCH179.LOCAL
2 nfs/server.sch179.local@SCH179.LOCAL

</syntaxhighlight>'''Созданный в результате файл /etc/krb5.keytab необходимо будет скопировать на каждый клиентский компьютер - иначе kerberos будет отказываться устанавливать соединение с этим компьютером.'''

Теперь настроим экспорт файловой системы /home сервера по сети. Для этого в файле /etc/exports напишем строку<syntaxhighlight>
/home 192.168.0.0/16(rw,sec=krb5p,sync,no_subtree_check)

</syntaxhighlight>192.168.0.0/16 - сеть, из которой разрешён доступ (можете поменять)

krb5p - уровень безопасности Kerberos, означающий полное шифрование всех передаваемых данных. Это наиболее безопасно и даёт дополнительную нагрузку на процессор. Для уменьшения нагрузки можно использовать варианты без шифрования (но тогда возможен перехват данных): krb5 (только авторизация) или krb5i (проверка контрольных сумм данных для защиты от подмены).

Примените изменения командой<syntaxhighlight lang="bash">
exportfs -ra

</syntaxhighlight>Проверьте, что система экспортируется, выполнив команду <syntaxhighlight lang="bash">
exportfs -v
</syntaxhighlight>

== Установка NFS на клиенте ==
Установите нужные пакеты.<syntaxhighlight lang="bash">
dnf install nfs-utils krb5-workstation

</syntaxhighlight>'''Скопируйте файл с ключами /etc/krb5.keytab с сервера на клиентскую машину. Установите владельца root:root и права доступа 600 на этот файл.'''

Запустите нужные службы.<syntaxhighlight lang="bash">
systemctl enable --now nfs-client.target
systemctl enable --now gssproxy

</syntaxhighlight>Теперь попробуем подмонтировать каталог /home с сервера. Это тестовая процедура, чтобы убедиться в том, что связка NFS + Kerberos настроена правильно.

Выполняйте все последующие действия под пользователем root.

Монтирование разделов при помощи NFS+Kerberos требует, чтобы у пользователя был действующий билет Kerberos. Этот билет нужно получить командой (выполним её от root)<syntaxhighlight lang="bash">
kinit dk
</syntaxhighlight>Понадобится ввести пароль пользователя dk. Убедитесь, что билет получен, введя команду <syntaxhighlight lang="bash">
klist

</syntaxhighlight>Имея билет, можно выполнить команду монтирования. Создайте на компьютере точку для монтирования, например, /root/home. Затем дайте команду.<syntaxhighlight lang="bash">
mount -t nfs -o sec=krb5p server.sch179.local:/home /root/home

</syntaxhighlight>Эта команда подмонтирует раздел /home с сервера в каталог /root/home на клиенте.

== Автомонтирование домашних каталогов при помощи autofs ==
Поскольку монтирование раздела через NFS+Kerberos требует получение билета, а получение билета происходит при авторизации в системе, домашние каталоги пользователей могут монтироваться только после авторизации в системе. Настроим на клиенте autofs, чтобы домашний каталог пользователя монтировался автоматически после входа.

Установим нужные пакеты.<syntaxhighlight lang="bash">
sudo dnf install autofs

</syntaxhighlight>Создадим файл /etc/autofs/auto.master.d/home.autofs и запишем в него<syntaxhighlight>
/home /etc/auto.home --timeout=60

</syntaxhighlight>Создадим файл /etc/auto.home и запишем в него<syntaxhighlight>
* -sec=krb5p,rw server.sch179.local:/home/&

</syntaxhighlight>Включим и запустим службу autofs<syntaxhighlight lang="bash">
sudo systemctl enable --now autofs

</syntaxhighlight>