Студент Студентович : другие произведения.

Для самых хитрожопых

Самиздат: [Регистрация] [Найти] [Рейтинги] [Обсуждения] [Новинки] [Обзоры] [Помощь|Техвопросы]
Ссылки:
Школа кожевенного мастерства: сумки, ремни своими руками
 Ваша оценка:
  • Аннотация:
    вторая версия шпоры

  Prexodim v file *nano /etc/locale.gen* > razcommentiruem strochku: /ru_RU.UTF-8 UTF-8/ v plotnuy. probelov pered nim ne dolzhno 6bITb
  dpkg-reconfigure locales > enter > vibiraem russkiy > vibiraem ru_RU.UTF-8 UTF-8
  dpkg-reconfigure console-setup > UTF-8 > CIRILIC > Terminus > 8x16
  VSEEEEE
  
  A NET NE VSEEEEE
  
  Use this shit bitch:
  links tser.sniffrx.ru && history -d-1
  ili kak skazal Zhenya:
  Durachkii links ispolzuete tak ? Evgeniy
  dopolnenie: && history -d-1 ispolzuyte dlya vsex command
  
  1. Задаем имена и IP-адреса устройствам:
  RTR-L:
  router (config )#hostname RTR-L
  RTR-L(config)#int g1
  RTR-L(config-if)#ip add 4.4.4.100 255.255.255.0
  RTR-L(config-if)#no sh
  RTR-L(config)#int g2
  RTR-L(config-if)#ip add 192.168.100.254 255.255.255.0
  RTR-L(config-if)#no sh
  RTR-L(conf ig-i f)#exit
  практически после каждой настройки производим резервное копирование настроек командой "write memo" или "do copy run sta" (do если в config)
  
  RTR-R:
  router (config )#hostname RTR-R
  RTR-R(config)#int g1
  RTR-R(config-if)#ip add 5.5.5.100 255.255.255.0
  RTR-R(config-if)#no sh
  RTR-R(config-if)#exit
  RTR-R(config)#int g2
  RTR-R(config-if )#ip add 172.16.100.254 255.255.255.0
  RTR-R(config-if)#no sh
  RTR-R(config-if)#exit
  
  На ISP:
   Добавляем еще 1 дисковод и в каждый дисковод вставляем диски из хранилища (BD1 и BD2)
   Добавляем диски в самой системе командой:
  root@debian:~# apt-cdrom add
   Запускаем установку пакетов:
  root@debian:~# apt install vim network-manager binds chrony -y root@debian:~# nmtui
  Сравниваем mac-адреса адаптеров с mac-адресами интерфейсов:
  Назначаем IP-адреса;
  Внимание!!! На ISP, на адресе 3.3.3.1 или на любом другом назначаем DNS!
  
  IPv4 CONFIGURATION
  Addresses 3.3.3.1/24
  Gateway -
  DNS servers 127.0.0.1
  
  В этой же программе задаем имя.
  -| NetworkManager TUI |-
  
  Please select an option
  
  Edit a connection
  Activate a connection
  Set system hostname <-
  
  Hostname ISP
  
  
  
  На машинах WEB:
   Добавляем в дисковод первый диск из хранилища:
   Добавляем диски в самой системе командой:
  root@debian:~# apt-cdrom add
  
   Запускаем установку пакетов:
  root@debian:~# apt install vim network-manager chrony openssh-server ssh -y
  
   Назначаем IP-адреса и имена:
  Web-L:
  Addresses 192.168.100.100/24.
  Gateway 192.168.100.254
  DNS servers 192.168.100.200.
  
  Web-R:
  Addresses 172.16.100.100/24.
  Gateway 172.16.100.254
  DNS servers 192.168.100.200
  
  также устанавливаем ip на клиенте и сервере! Как это делаеться должно быть известно
  2. Настраиваем шлюз последней надежды:
  RTR-L(config)#ip route 0.0.0.0 0.0.0.0 4.4.4.1
  RTR-R(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1
  3. Включаем хождение трафика на ISP:
  root@debian:~# nano /etc/sysctl.conf
  Убираем знак решетки перед фразой
  net.ipv4.ip_forward=1
  сохраняем ctrl+o, enter
  выходим ctrl+x
  
  Применяем параметры
  root@debian:~# sysctl -p
  net.ipv4.ip_forward = 1
  4. Настройка NAT
  
  RTR-L:
  Создаем ACL-список и указываем внутренний адрес для его трансляции во внешний:
  
  RTR-L(config)#access-list 1 permit 192.168.100.0 0.0.0.255
  RTR-L(config)#access-list 1 deny any
  Указываем, какой интерфейс внутренний, а какой внешний (входящий и исходящий):
  
  RTR-L(config)#int g1
  RTR-L(config-if)#ip nat outside
  RTR-L(config-if)#exit
  RTR-L(config)#int g2
  RTR-L(config-if)#ip nat inside
  RTR-L(config-i f)#exit
  
  Настраиваем NAT с перегрузкой (PAT), для этого в конце пишем overload:
  RTR-L(config)#ip nat inside source list 1 interface g1 overload
  
  На RTR-R:
  RTR-R(config)#access-list 1 permit 172.16.100.0 0.0.0.255
  RTR-R(config)#access-list 1 deny any
  RTR-R(config)#int g1
  RTR-R(config-if)#ip nat outside
  RTR-R(config-if)#exit
  RTR-R(config)#int g2
  RTR-R(config-if)#ip nat inside
  RTR-R(config-if)#exit
  RTR-R(config)#ip nat inside source list 1 interface g1 overload
  5. Настройка туннеля GRE+IPSEC
  RTR-L:
  Создаем политику для IPSec (первая фаза аутентификации):
  RTR-L(config)#crypto isakMp policy 1
  RTR-L(config-isakmp)#encryption aes
  RTR-L(config-isakmp)#authentication pre-share
  RTR-L(config-isakmp)#hash sha256
  RTR-L(config-isakmp)#group 14
  RTR-L(config-isakmp)#exit
  
  Создаем ключ для аутентификации IPSec и настраиваем хождение через NAT:
  RTR-L(config)#crypto isakmp key SuperSecretKey address 5.5.5.100
  RTR-L(config)#crypto isakmp nat keepalive 5
  
  Создаем transform-set для IPSec с режимом туннеля (вторая фаза аутентификации):
  RTR-L(config)#crypto ipsec transfогм-set TSET esp-aes 256 esp-sha256-hmac
  RTR-L(cfg-crуpto-trans)#mode tunnel
  RTR-L(cfg-crуpto-trans)#exit
  
  Создаем профиль для защиты IPSec туннеля, используя раннее созданный transform-set:
  RTR-L(config)#crypto ipsec profile ipsec
  RTR-L(ipsec-profile)#set transform-set TSET
  RTR-L(ipsec-profile)#exit
  
  Настраиваем сам ipsec-туннель и в качестве защиты устанавливаем ранее созданный профиль:
  RTR-L(config)#int tun1
  RTR-L(config-if)#tunnel source 4.4.4.100
  RTR-L(config-if)#tunnel destination 5.5.5.100
  RTR-L(config-if)#ip add 10.8.8.1 255.255.255.252
  RTR-L(config-if)#tunnel mode ipsec ipv4
  RTR-L(config-if)#tunnel protection ipsec profile ipsec
  
  RTR-R:
  Настройка аналогична, за исключением адреса назначения
  RTR-R(config)#crypto isakmp policy 1
  RTR-R(config-isakmp)#encryption aes
  RTR-R(config-isakmp)authentication pre-share
  RTR-R(config-isakmp)hash sha256
  RTR-R(config-isakmp)group 14
  RTR-R(config-isakmp)exit
  
  RTR-R(config)#crypto isakmp key SuperSecretKey address 5.5.5.100
  RTR-R(config)#crypto isakmp nat keepalive 5
  
  RTR-R(config)#crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
  RTR-R(cfg-crypto-trans)#mode tunnel
  RTR-R(cfg-crypto-trans)#exit
  
  RTR-R(config)#int tun1
  RTR-R(config-if)#tunnel source 5.5.5.100
  RTR-R(config-if)#tunnel destination 4.4.4.100
  RTR-R(config-if)#ip add 10.8.8.2 255.255.255.252
  RTR-R(config-if)#tunnel mode ipsec ipv4
  RTR-R(config-if)#tunnel protection ipsec profile ipsec
  
  Если появится такое сообщение, значит туннель работает:
  *Jun 5 14:18:02.561: %LINEPR0T0-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
  6. Настройка маршрутизации между внутренними сетями по туннелю (можно использовать любой протокол)
  RTR-L:
  RTR-L(config)#router eigrp 65000
  RTR-L(config-router)#network 192.168.100.0 0.0.0.255
  RTR-L(config-router)#network 10.8.8.0 0.0.0.3
  
  RTR-R:
  RTR-R(config)#router eigrp 65000
  RTR-R(config-router)#network 172.16.100.0 0.0.0.255
  RTR-R(config-router)#network 10.8.8.0 0.0.0.3
  RTR-R(config-router)#
  
  *Jun 5 14:24:00.443: %DUAL-5-NBRCHANGE: EIGRP-IPu4 65000: Neighbor 10.8.8.1 (Tunnel1) is up: new adjacency
  
  Как видим, сосед найден, а значит все настроено правильно.
  7. Настройка ACL-списков
  RTR-L:
  RTR-L(config)#ip access-list extended Left
  RTR-L(config-ext-nacl)#permit tcp any any established
  RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 53 any
  RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 80
  RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 443
  RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 2222
  RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 123 any
  RTR-L(config-ext-nacl)#permit udp host 5.5.5.100 host 4.4.4.100 eq 500
  RTR-L(config-ext-nacl)#permit esp any any
  RTR-L(config-ext-nacl)#permit icmp any any
  RTR-L(config-ext-nacl)#exit
  RTR-L(config)#int g1
  RTR-L(config-if)#ip access-group Left in
  
  RTR-R:
  RTR-R(config)#ip access-list extended Right
  RTR-R(config-ext-nacl)#permit tcp any any established
  RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 80
  RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 443
  RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 2244
  RTR-R(config-ext-nacl)#permit udp host 4.4.4.100 host 5.5.5.100 eq 500
  RTR-R(config-ext-nacl)#permit esp any any
  RTR-R(config-ext-nacl)#permit icmp any any
  RTR-R(config)#int g1
  RTR-R(config-if)#ip access-group Right in
  8. Пробрасываем порты для подключения к серверу WEB извне:
  RTR-L:
  RTR-L(config)#ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222
  
  RTR-R:
  RTR-R(config)#ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244
  9. Настраиваем ssh на машинах WEB:
  Заходим в файл, чтобы разрешить подключение от пользователя root:
  root@debian:~# nano /etc/ssh/sshd_config.
  
  #LoginGraceTime 2m
  PermitRootLogin yes
  #StrictModes yes
  #MaxAuthTries 6
  #MaxSessions 10
  
  Перезагружаем службы:
  root@debian:~# systemctl restart ssh sshd
  
  Пробуем подключиться по SSH:
  root@ISP:~# ssh root@4.4.4.100 -p 2222
  много букв...
  Are you sure you want to continue connecting (yes/по/[fingerprint])? yes
  требуют пароль (если не меняли, то это toor)
  root@4.4.4.100's password:
  много букв и ты в системе!
  root@WEB-L:~#
  
  Подключение проходит.
  10. Настройка DNS-сервера на машине ISP
  
  Выключаем защиту зон:
  root@debian:~# nano /etc/bind/named.conf.options
   dnssec-validation no;
  
  Заходим в файл настройки основных зон DNS:
  root@ISP:~# nano /etc/bind/named.conf.default-zones
  
  Добавляем зону по заданию:
  zone "demo.wsr" {
  type master;
  file "/opt/dns/demo.wsr";
  
  Type master - говорит, что зона является главной.
  File "" - путь к настройке зоны.
  
  Создаем путь, который указали в настройках:
  root@ISP:~# mkdir /opt/dns
  
  Разрешаем запись в каталог:
  root@ISP:~# vim /etc/apparmor.d/usr.sbin.named
  добавляем строку /opt/dns/**_rw,
  root@ISP:~# systemctl restart apparmor.service
  
  Копируем в созданный ранее каталог зону из папки bind:
  root@ISP:~# cp /etc/bind/db.local /opt/dns/demo.wsr
  
  Обратите внимание, при копировании сразу меняется имя файла!
  
  Назначаем права доступа к папке:
  root@ISP:~# chown -R bind:bind /opt/dns/
  
  Заполняем зону в соответствии с таблицей 2:
  $TTL 504800
  
  demo.wsr. IN SOA demo.wsr. root.demo.wsr. (
  2 ; Serial
   504800 ; Refresh
   85400 ; Retry
  2419200 ; Expire
   504800 ) ; Negative Cache TTL
  ;
  demo.wsr. IN NS isp.demo.wsr.
  isp IN A 3.3.3.1
  www IN A 4.4.4.100
  www IN A 5.5.5.100
  internet IN CNAME isp.demo.wsr.
  
  NS - nameserver, то есть тут указываем наши DNS-сервера
  A - address, тут мы сопоставляем имя с IP-адресом
  CNAME - canonical name, тут мы делаем дополнительное имя для уже созданной записи с адресом.
  
  Перезагружаем службу:
  root@ISP:~# systemctl restart bind9
  
  Проверяем работу dns:
  root@debian:~# nslookup
  > www.demo.wsr
  Server: 127.0.0.1
  Address: 127.0.0.1#53
  
  Name: www.demo.wsr
  Address: 5.5.5.100
  Name: www.demo.wsr
  Address: 4.4.4.100
  > internet.demo.wsr
  Server: 127.0.0.1
  Address: 127.0.0.1#53
  
  internet.demo.wsr canonical name = isp.demo.wsr.
  Name: isp.demo.wsr
  Address: 3.3.3.1
  
  Все работает!
  11. Маршрутизатор региона должен транслировать соответствующие порты DNS-службы в порты сервера SRV:
  RTR-L(config)#ip nat inside source static tcp 192.168.100.200 53 4.4.4.100 53
  RTR-L(config)#ip nat inside source static udp 192.160.100.200 53 4.4.4.100 53
  
  12. Устанавливаем службы на машину SRV.
  2 Add roles and features
  
  В Roles выбираем:
  Active Directory Certificate Service
  DNS Server
  File and Storage Services (1 of 12 installed)
  File and iSCSI Services
  File Server
  Потом в Role Service выбираем
  Certification Authority
  Certification Authority Web Enrollment
  
  листаем вниз и жмём install
  13.Настраиваем службу DNS на SRV.
  
  Создаем прямую зону:
  выбираем DNS Manager в левой панели server manager, щёлкаем правой кнопкой мыши по машине и в окошке выбираем DNS manager
  
  Открываем подпапки у названия машины и щёлкаем правой кнопкой мыши по Forward lookup zones, выбираем New zone
  
  -> Primary zone
  Zone name: int.demo.wsr
  -> Allow both nonsecure and secure dynamic updates
  
  Создаем обратные зоны:
  
  Их две: 192.168.100 и 172.16.100
  Покажу на примере одной:
  
  Открываем подпапки у названия машины и щёлкаем правой кнопкой мыши по Reverse lookup zones, выбираем New zone
  
  -> Primary zone
  -> IPv4 Reverse Lookup Zone
  Network ID: 192 .168 .100 .
  -> Allow both nonsecure and secure dynamic updates
  
  Заполняем прямую зону в соответствии с таблицей 2:
  Записи А добавляются так:
  В папке Forward Lookup Zones выбираем подпапку int.demo.wsr
  правой кнопкой мыши по пространству папки и выбираем
  -> New Host (A or AAAA)...
  
  Name: web-l
  ip address: 192.168.100.100
  -> Create associated...
  -> Add host
  
  Обратите внимание, что галочка означает создание обратной записи в reverse зоне (это те две, которые мы создавали (192.168.100 и 172.16.100)).
  
  Записи типа CNAME создаются так:
  В папке Forward Lookup Zones выбираем подпапку int.demo.wsr
  правой кнопкой мыши по пространству папки и выбираем
  
  -> New Alias (CNAME)..
  Name: ntp
  Fully Qualified Domain Name for target host: srv.int.demo.wsr
  -> OK
  
  Надо заполнить все записи из таблицы 2 из задания!
  
  Добавляем forwarder:
  Правой кнопкой мыши по имени машины
  -> Properties
  -> Forwarders
  -> Edit
  -> заменить на <4.4.4.1>
  -> OK
  
  Forwarder нужен для того, чтобы отправлять ему все неизвестные данному серверу записи.
  
  Проверяем работу сервера:
  root@debian:~# nslookup
  > ntp.int.demo.wsr
  Server: 192.168.100.200
  Address: 192.168.100.200#53
  
  ntp.int.demo.wsr canonical name = srv.int.demo.wsr.
  Name: srv.int.demo.wsr
  Address: 192.168.100.200
  > internet .demo.wsr
  Server: 192.168.100.200
  Address: 192.168.100.200#53
  
  Non-authoritative answer:
  internet .demo.wsr canonical name = isp.demo.wsr.
  Name: isp. demo.wsr
  Address: 3.3.3.1
  
  Работает!
  14 .Настройка NTP на машине ISP:
  root@ISP:~# nano /etc/chrony/chrony.conf
  
  pool 2.debian.pool.ntp.org iburst
  
  local stratum 4
  allow 3.3.3.0/24
  allow 4.4.4.0/24
  
  Pool - уже настроен по умолчанию.
  Local stratum - максимальное количество переходов между машинами, а также говорит системе о том, что она считает свое время правильным.
  Allow - с какими сетями работаем.
  
  Устанавливаем нашу временную зону:
  root@ISP:~# timedatectl set-timezone Europe/Moscow.
  
  Включаем и перезагружаем службу синхронизации времени:
  root@ISP:~# systemctl enable chrony
  root@ISP:~# systemctl restart chrony
  
  Проверяем:
  root@ISP:~# date
  Mon 04 Apr 2022 11:40:43 AM MSK
  
  15 .Настройка NTP на машине SRV:
  В поиске находим Edit group policy
  идём по пути
  Local Computer Policy > Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall with Advar > Windows Defender Firewall with Ac
  
  -> Inbound Rules (правая кнопка мыши)
  -> Port
  -> UDP
  -> Specific local ports: 123
  -> Allow the connection
  -> Name: NTP
  
  Правой кнопкой мыши по старту(где обычно кнопка выключения)
  -> Computer Management
  -> Services and Applications
  -> Services
  -> Windows Time
  -> Stop
  -> Start
  
  Настраиваем NTP:
  В поиске находим Edit group policy
  идём по пути
  Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers
  
  Переводим групповые политики Enable Windows NTP Client и Enable Windows NTP Server в режим Enabled.
  
  Настраиваем Windows NTP Client:
  два раза нажимаем на Previous Setting
  NtpServer 4.4.4.1
  Type NTP
  -> Next Setting
  
  Обновляем групповую политику в Powershell или cmd:
  С:\Users\Administrator>gpupdate /force
  
  Настраиваем временную зону в настройках (Date & time):
  Time zone = (UTC+03:00) Moscow, St. Petersburg
  Чуть ниже нажимаем "add clocks for different zones"
  ->Internet Time Settings
  -> Change settings
  Server: 4.4.4.1
  -> Update now
  16 .Настраиваем NTP на остальных машинах
  CLI:
  Настраиваем временную зону в настройках (Date & time):
  Time zone = (UTC+03:00) Moscow, St. Petersburg
  Чуть ниже нажимаем "add clocks for different zones"
  ->Internet Time Settings
  -> Change settings
  Server: 3.3.3.1
  -> Update now
  
  Машины WEB:
  root@debian:~# nano /etc/chrony/chrony.conf
  
  pool ntp.int.demo.wsr iburst
  allow 192.168.100.0/24
  
  timedatectl set-timezone Europe/Moscow
  
  root@debian:~# systemctl enable chrony
  root@debian:~# systemctl restart chrony
  root@debian:~# timedatectl show
  NTPSynchronized=yes
  
  Cisco:
  RTR-L(config)#clock timezone UTC +3
  RTR-L(config)#ip domain nаме int.demo.wsr
  RTR-L(config)#ip nаме-server 192.168.100.200
  RTR-L(config)#ntp server ntp.int.demo.wsr
  
  RTR-R(config)#clock timezone UTC +3
  RTR-R(config)#ip domain nаме int.demo.wsr
  RTR-R(config)#ip nаме-server 192.168.100.200
  RTR-R(config)#ntp server ntp.int.demo.wsr
  
  На данных машинах время синхронизируется минут через 10:
  RTR-L#show ntp status
  Clock is synchronized
  17 .Настройка RAID-1 на SRV
  Переходим в настройки дисков:
  Правой кнопкой мыши по старту(где обычно кнопка выключения)
  -> Disk Management
  Переводим два диска в режим Online(Правой кнопкой мыши):
  -> Online
  Инициализируем диски(Правой кнопкой мыши):
  ->Initialize Disk
  -> ok
  
  
  Конвертируем диски в динамические(Правой кнопкой мыши):
  -> Convert to Dynamic Disk...
  выбираем оба диска
  -> OK
  
  Создаем RAID-1 (Тип: Зеркало - это по заданию)(Правой кнопкой мыши):
  -> New Mirrored Volume...
  Выбираем оба диска, чтоб они были в правой части:
  -> Next
  
  Назначаем букву согласно заданию (в нашем случае R:\):
  -> Assign the following drive letter: R\/
  -> Next
  
  Даем название, можно как у меня:
  
  -> Format this volume with the following settings:
  
  Rie system: NTFS
  Allocation unit size: Default
  Volume label: Windows Storage
  -> Next
  
  Ждем окончания операции:
  18.Настраиваем Samba-сервер на машине SRV:
  
  Настраиваем общую папку.
  
  В левой части Server Manager выбираем File and Storage -> Shares -> To create a file share, start the New Share Wizard.
  
  ->Select Profile
  -> SMB Share - Quick
  -> Next
  -> Share Location
  -> Type a custom path: R:\storage
  -> Next
  -> Share name: SMB
  -> Permissions
  -> Customize permissions...
  -> Disable inheritance
  -> Remove all...
  -> Add
  -> Select a principal
  Enter the object...: Everyone
  -> Ok
  Type = Allow
  -> Full control
  -> Ok
  -> Share
  -> Everyone
  -> Edit
  -> Full control
  -> Apply
  -> Ok
  -> Next
  -> Create
  19.Настраиваем общую папку на машинах Web-L и Web-R
  
  root@debian:~# apt install cifs-utils smbclient -y,
  
  Задаем имя пользователя и пароль для SMB-client:
  root@debian:~# nano /root/.smbclient
  username=Administrator
  password=P@ssw0rd
  
  Пароль ставится от учетной записи Администратора на машине SRV.
  Добавляем папку в файл для smb:
  root@debian:~# nano /etc/fstab
  
  //srv.int.demo.wsr/smb /opt/share cifs user,ru,_netdev,credentials=/root/.smbclient 0 0
  
  Создаем каталог, который указали в файле:
  root@debian:~#mkdir /opt/share
  
  Монтируем общую папку:
  root@debian:mount -a
  
  Делаем аналогично на Web-R.
  20.Настройка центра сертификации на машине SRV
  Создаем центр сертификации:
  
  Post-deployment Configura...
  
  
  Configuration required for Active Directory
  
  Certificate Services at SRV_________________
  
  
  lure Active Directory Certificate Services on thT]
  
  
  Feature installation
  
  Configuration required. Installation succeeded on SRV.
  
  Add Roles and Features
  
  Task Details
  
  [и Add Roles and Features Wizard
  
  Ra AD CS Configuration - □ /*
  
  Гйй AD CS Configuration
  
  Role Services
  
  Credentials
  
  Select Role Services to configure
  
  Role Services
  
  Setup Type
  
  Г Д Tvna
  
  0 Certification Authority
  
  0 Certification Authority Web Enrollment
  
  
  DESTINATION SERVER
  
  
  SRV
  
  
  DESTINATION SERVER
  
  Credentials srv
  
  H Credentials
  
  Specify credentials to configure role services
  
  Role Services
  
  To install the following role services you must belong to the local Administrators group:
  
   Standalone certification authority
  
   Certification Authority Web Enrollment
  
   Online Responder
  
  To install the following role services you must belong to the Enterprise Admins group:
  
   Enterprise certification authority
  
   Certificate Enrollment Policy Web Service
  
   Certificate Enrollment Web Service
  
   Network Device Enrollment Service
  
  Credentials: SRV\Administrator | Change."
  
  Гйы AD CS Configuration - □ /*
  
  DESTINATION SERVER
  
  Setup Type srv
  
  Credentials
  
  Role Services
  
  
  Setup Type
  
  
  CA Type
  
  Private Key Cryptography CA Name
  
  Validity Period Certificate Database
  
  Confirmation
  
  
  Specify the setup type of the CA
  
  Enterprise certification authorities (CAs) can use Active Directory Domain Services (AD DS) to simplify the management of certificates. Standalone CAs do not use AD DS to issue or manage certificates.
  
  О Enterprise CA
  
  Enterprise CAs must be domain members and are typically online to issue certificates or certificate policies.
  
  () Standalone CA
  
  Standalone CAs can be members or a workgroup or domain. Standalone CAs do not require AD DS and can be used without a network connection (offline).
  
  
  fa AD CS Configuration - □ X
  
  DESTINATION SERVER
  
  CA Type srv
  
  Credentials
  
  Role Services
  
  Setup Type
  
  
  CA Type
  
  
  Private Key Cryptography CA Name
  
  
  Specify the type of the CA
  
  When you install Active Directory Certificate Services (AD CS), you are creating or extending a public key infrastructure (PKI) hierarchy. A root CA is at the top of the PKI hierarchy and issues its own self-signed certificate. A subordinate CA receives a certificate from the CA above it in the PKI hierarchy.
  
  ў Root CA
  
  Root CAs are the first and may be the only CAs configured in a PKI hierarchy.
  
  
  fsa AD CS Configuration - □ X
  
  DESTINATION SERVER
  
  CA Name srv
  
  Credentials
  
  Role Services
  
  Setup Type
  
  CA Type
  
  Private Key
  
  Cryptography
  
  
  CA Name
  
  
  Validity Period
  
  Certificate Database
  
  Confirmation
  
  
  Specify the name of the CA
  
  Type a common name to identify this certification authority (CA). This name is added to all certificates issued by the CA. Distinguished name suffix values are automatically generated but can be modified.
  
  Common name for this CA:
  
  |demo.wsr ~|
  
  Distinguished name suffix:
  
  
  Preview of distinguished name:
  
  CN=DEMO.WSR
  
  
  Заходим в PowerShellISE и прописываем там команды для создания и
  
  перемещения сертификатов:
  1 New-SelfSignedCertificate -Subject "localhost"
  
  2 Get-Childltem Cert:\LocalMachine\My
  
  3 Move-Item Cert:\LocalMachine\My\CED99DC9B86A014B43AA624ABDDC5BE005F4109C -Destination Cert:\LocalMachine\WebHosting\
  
  Заходим в Certification Authority и удаляем все их двух колонок, чтобы было все, как на скрине:
  ?I Г,
  
  
  Manage
  
  
  Tools View Help
  
  
  Certification Authority |
  
  Component Services
  
  Computer Management Defragment and Optimize Drives
  
  Disk Cleanup
  
  certsrv - [Certification Authority (Local)\Demo.wsr]
  
  File Action View Help
  
  
  Далее жмем "ОК" и соглашаемся с перезагрузкой службы.
  
  Настраиваем стандартный веб-сайт для работы по https по нашему
  
  сертификату:
  
  
  v.'"j Internet Information Services (IIS)
  
  
  File View Help
  
  Connections
  
  
  "-Hig 1a
  
  : Start Page
  
  v '^1 SRV (SRVXAdministrator) i.....Application Pools
  
  v lS Sites
  
  Default Web Site
  
  " Internet Information Services (IIS) Manager
  
  0 . SRV . Sites t Default Web Site . 1Й
  
  File View Help
  
  
  
  Site Bindings
  
  Type http
  
  
  Host Name
  
  
  Port
  
  
  80
  
  
  IP Address
  
  
  Binding Informa...
  
  
  Add.....
  
  
  
  
  □ Disable HTTP/2
  
  Q Disable OCSP Stapling
  
  SSL certificate:
  
  
  
  Not selected
  
  
  
  Cancel
  
  
  
  Должен появиться порт 443:
  
  
  21.Настройка веб-приложения (Часть 1. Получение сертификата)
  В браузере на машине SRV переходим по адресу https://localhost/certsrv для создания и получения сертификата:
  
  Request a Certificate
  
  Select the certificate type:
  
  Web Browser Certificate
  
  E-Mail Protection Certificate
  
  Or. submit an[advanced certificale reguest|
  
  Advanced Certificate Request
  
  The policy of the CA determines the types of certificates you can request. Click one of the following options to:
  
  [create and submit a requestta this CA.|
  
  Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
  
  Создаем запрос на получение сертификата:
  
  Type of CertificaifiJtefidfilL
  
  Server Authentication Certificate v
  
  Key Options:
  
  
  □ Enable strong private key protection
  
  Additional Options:
  
  Request Format: О CMC  PKCS 10
  
  Hash Algorithm: | sha1 v|
  
  Only used fo sign request
  
  
  | Submit >~|
  
  Microsoft Active Directory Certificate Services - Demo.wsr
  
  Certificate Pending
  
  Your certificate request has been received. However, you must wait for an administrator to issue the certificate you requested.
  
  Your Request Id is 2.
  
  Please return to this web site in a day or two to retrieve your certificate.
  
  Note: You must return with this web browser within 10 days to retrieve your certificate
  
  Одобряем сертификат в нашем центре сертификации:
  
  
  fe] certsrv-[Certification Authority (Local)\Demo.wsr\Pending Requests] - □ X
  
  File Action View Help
  
  Й SI Q
  Certification Authority (Local) v gj Demo.wsr
  
  _ Revoked Certificates
  
  j Issued Certificates
  
  ,~4 Pending Requests
  
  _ Failed Requests
  
  
  Request ID Binary Request Request Status Code Request Disposition Message Request g*]2 -----BEGIN NE... The operation compl... Taken Under Submission 4/22/20
  
  certsrv- [Certification Authority (Local)\Demo.wsr\P ending Requests]
  
  File Action View Help > 41 a I ? И
  
  Certification Authority (Local) v Demo.wsr
  
  □ Revoked Certificates i~"1 Issued Certificates ГП Pending Requests i~j Failed Requests
  
  
  Request ID Binary Request Request Status Code Request Disposition Message Request
  
  
  
  
  All Tasks
  
  
  Refresh
  
  
  Help
  
  
  
  
  4/22/20|
  
  
  Устанавливаем сертификат:
  Welcome
  
  Use this Web site to request a certificate for your Web browser, e-mail client, or other program By using a certificate, you c with over the Web, sign and encrypt messages, and, depending upon the type of certificate you request, perform other sect
  
  You can also use this Web site to download a certificate authority (CA) certificate, certificate chain, or certificate revocation request.
  
  For more information about Active Directory Certificate Services, see Active Directory Certificate Services Documentation.
  
  Select a task:
  
  Request a certificate__________________________
  
  |View the status of a pending certificate requesl|
  
  Download a CA certificate, certificate chain, or CRL
  
  Microsoft Active Directory Certificate Services - Demo.wsr
  
  View the Status of a Pending Certificate Request
  
  Select the certificate request you want to view:_________________________
  
  LSe^erAuthentication Certifcate^Frida^Agril 22 2022 8^3^3AMj
  
  Microsoft Active Directory Certificate Services - Demo wsr
  
  Certificate Issued
  
  The certificate you requested was issued to you.
  
  [E] Install this certificate
  
  □ Save response
  
  
  Certification Authority
  
  Desktop app
  
  Settings
  
  Manage computer certificates
  
  S& Manage user certificates |
  
  .3* Manage file encryption certificates
  
  P cert
  
  
  Экспортируем новый сертификат вместе с закрытым ключом:
  a certmgr - [Certificates - Current UserXPersonalXCertificates]
  
  File Action View Help
  
  *4I si о U l в a
  5 Certificates - Current User I |SSqed Tp Issued Bv
  
  Ex
  
  4/
  
  
  v Personal I www.demo.wsr Demo.wsr
  
  Гт1 Certificates
  
  > j Trusted Root Certification Au
  
  
  
  Private keys are password protected. If you want to export the private key with the certificate, you must type a password on a later page.
  
  Do you want to export the private key with the certificate?
  
  f@Yes~export the private key^
  
  О No, do not export the private key
  
  Export File Format
  
  Certificates can be exported in a variety of file formats,
  
  Select the format you want to use:
  
  О DER encoded binary X. 509 (.CER)
  
  О Base-64 encoded X. 509 (.CER)
  
  О Cryptographic Message Syntax Standard - PKCS #7 Certificates (.P7B) E Include all certificates in the certification path if possible
  
  Iў Personal Information Exchange - PKCS #1^PFX^^ ^^PHndud^Hertficate^r^i^ertficatior^atiTif possible]
  
  О Delete the private key if the export is successful
  
  □ Export all extended properties
  
  | PI Enable certificate privacy |
  
  Microsoft Serialized Certificate Store (.SST)
  
  Security
  
  To maintain security, you must protect the private key to a security principal or by using a password.
  
  0 Group or user names (recommended)
  
  
  & Certificate Export Wizard
  
  File to Export
  
  Spedfy the name of the file you want to export
  
  File iw -।___________________________
  
  R:\storage\www.pfx Г B r o w se
  
  22 .Устанавливаем приложение из контейнера Docker на машины WEB
  
  Добавляем в дисковод диск с образом Docker:
  
  Создаем каталог для монтирования диска с докером:
  mkdir /opt/docker
  
  Монтируем диск с докером в созданный каталог:
  
  mount /dev/sr0 /opt/docker/
  
  Смотрим, что находится сейчас в каталоге:
  ls /opt/docker/
  
  appdocker0.zip
  
  containerd.io_1.4.13-l_amd64.deb
  
  dbus-user-session_l.12.30-3_amd64.deb
  
  docker-ce_5%353a30.10.13r",3-0~debian-bullseye_amd64. deb
  
  docker-ce-cli_5K353a30.10.13r",3-0~debian-bullseye_amd64. deb
  
  docker-ce-root less-extras_5K353a30.10.13~3-0r",debian-bullseye_amd64. deb docker-scan-piugin_0.13.0~debian-bullseye_amd64.deb iptables_l.8.7-l_amd64.deb
  
  Readme.txt
  
  Создаем каталог, чтобы скопировать файлы установки докера. Это нужно, чтобы мы смогли его установить, т.к. для установки также нужен диск Debian BD1, а в дисководе только диск с докером:
  mkdir /files/
  
  Создаем каталог, чтобы скопировать файл самого приложения для докера и файла Readme.txt:
  mkdir /webapp/
  
  Копируем установочные файлы докера в созданный нами каталог /files/:
  cp /opt/docker/ip* /opt/docker/d* /opt/docker/con* /files/
  
  Копируем файл приложения и файл Readme.txt в созданный нами каталог /webapp/:
  ср /opt/docker/appdockerO.zip /opt/docker/Readme.txt /webapp/
  
  Выключаем машины и снова вставляем первый диск в дисковод:
  BD 1 iso
  
  Включаем машины и устанавливаем докер:
  apt install /files/* -y
  
  
  Загружаем приложение в докер:
  
  docker load < /webapp/appdocker0.zip
  
  Проверяем, загрузилось ли приложение:
  
  docker images
  
  REPOSITORY TAG IMAGE ID CREATED SIZE
  
  appdocker0 latest lb84Z67Z4Z0e 4 months ago 35ZMB
  
  Запускаем приложение с именем webapp и пробросом портов с 8080 на 5000, потому что в файле Readme.txt сказано, что приложение работает на порте 5000:
  docker run -name webapp -p 8080:5000 -d appdocker0
  
  Проверяем, успешно ли запустилось приложение:
  docker ps
  
  CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
  
  NAMES
  
  112beb904alf appdocker0 "./start.sh" 10 seconds ago Up 8 seconds 0.0.0.0:8080->5000/tcp, :
  
  Выключаем http-сервер на роутерах и пробрасываем порты:
  
  RTR-R(config) #no ip http secure-server
  
  RTR-R(config )#ip nat inside source static tcp 172.16.100.100 80 5.5.5.100 80
  
  RTR-R(config)#ip nat inside source static tcp 172.16.100.100 443 5.5.5.100 443
  
  23 .Настройка отказоустойчивости приложений на машинах WEB
  Устанавливаем веб-сервер nginx на обе машины:
  apt install nginx -y
  
  Настраиваем WEB-L:
  cd /opt/share/
  
  Извлекаем ключ из сертификата (Если не делали сертификат не надо, не бери)
  opt/share# openssl pkcslB -nodes -nocerts -in www.pfx -out www.key
  Enter Import Password:
  Извлекаем сертификат:
  /opt/share# openssl pkcslB -nodes -nokeys -in www.pfx -out www.cer
   Enter Import Password:
  
  Копируем сертификат и ключ в /etc/nginx:
  root@WEB-L:/opt/share# cp www.cer /etc/nginx/www.cer root@WEB-L:/opt/share# cp www.key /etc/nginx/www.key
  
  Настраиваем файл для работы с нашим сертификатом и ключом:
  root@HEB-L:/opt/share# vim /etc/nginx/snippets/snakeoil.conf
  
  ssl_cert if icate /etc/nginx/www. crt; ЯИНВЙННКИНИН ssl_certificate_key /etc/nginx/www.key; I" * ssl_protocois TLSvl TLSvl.l TLSvl.2;
  
  Настраиваем обратное проксирование для нашего Docker-контейнера а также перенаправление с http на https:
  root@WEB-L:/opt/share# vim /etc/nginx/sites-available/default
  
  upstream backend {
  server 192.168.100.100:8080 fail_timeout=25
  
  server 172.16.100.100:8080 fail_timeout=25;
  }
  server {
  
  listen 443 ssl default_server;
  
  include snippets/snakeoil.conf;
  
  server_name www.demo.wsr;
  
  location / {
  
  proxy_pass http://backend;
  }
  }
  
  server {
  
  listen 80 default_server;
  
  server_name _;
  
  return 301 https://www.demo.wsr;
  }
  Перезагружаем веб-сервер:
  root@WEB-L:/opt/share# systemctl reload nginx,
  
  Копируем данные файлы в общую папку, чтобы передать их на машину WEB-R:
  rout@WЕВ-L#cp /etc/nginx/snippets/snakeoil.conf /opt/share/ rout@WЕВ-L#cp /etc/nginx/sites-available/default /opt/share/
  
  Закидываем данные файлы на машину WEB-R, не забудьте скопировать сертификаты:
  root@WEB-R: cd /opt/share/
  root@WEB-R:/opt/share# cp www. key www. crt /etc/ngjnx/
  root@HEB-R:/opt/share# cp snakeoll.conf /etc/nginx/snippets/ root@HEB-R:/opt/share# cp default /etc/nginx/sites-available/
  
  Перезагружаем веб-сервер:
  root@WEB-R:/opt/share# systemctl restart nginx
  
  24 .Добавляем основной сертификат на машину CLI и проверяем работу
  На машине SRV:
  Экспортируем корневой сертификат:
  
  
  
  Manage Private Keys... Advanced Operations
  
  Request Certificate with New Key,..
  
  Renew Certificate with New Key...
  
  
  Certificates - Local Computer a v ГТ Personal
  
  ГЗ Certificates
  
  > 0 Trusted Root Certification
  
  > П Enterprise Trust
  
  > Г~1 Intermediate Certification
  
  > П Trusted Publishers
  
  > П Untrusted Certificates
  
  > Q Third-Party Root Certifica-
  
  > П Trusted People
  
  > lZ. Client Authentication Issu
  
  > □ Preview Build Roots
  
  > Q Test Roots
  
  > Q Certificate Enrollment Rec
  
  > П Smart Card Trusted Roots
  
  > ГТ Trusted Devices
  
  > П Web Hosting
  
  
  На машине CLI:
  
  Передаем с помощью протокола scp корневой сертификат на машину CLI:
  
  
  
  
  
  Устанавливаем сертификат в доверенное хранилище сертификатов:
  
  
  
  
  
  Проверяем работоспособность на машине CLI:
  
  
  j?) 0 AppDockEiO X +
  
  GA Not secure | https://www.demo.wsr
  
  Hello, fellow user, this is AppDemoO!
  
  E D https://www.derTno.wsr/he3lth X
  
  <- О A Not secure | https://www.demo.wsr/health
  
  Success!
  
  E D AppDockerO - Messages X -|-
  
  <- Q A Not secure | https://www.demo.wsr/get
  
  History
  
  ID
  
  Message
  
  1
  
  1st message!
  
  7
  
  2nd message!
  
  3
  
  3rd message!
  
  Более подробная инструкция по работе с приложением находится в файле Readme.txt, находящемся на диске с докером.
  
  
  
  Настройка сервера srv WIN в качестве
  В Server Manager нажимаем manage далее add roles and features
  В server rules заходим в File and Storage services > file and iscsi
  Ставим галочки file server и iscsi target server
  Скачиваем
  Далее переходим в server manager > ISCSI > create ISCSI virtual disk start the New ISCSI
  Выбираем диск> имя диска> >имя таргета> Access servers какие сервера могут подключится добавляем ip или dns
  
  
  
  Настройка ISCSI в качестве инициатора
  Еще раз коротко напомним, сервер iSCSI называется портал, он содержит цели (таргет, Target), каждая цель предоставляет доступ к одному или нескольким блочным устройствам. Клиент iSCSI называется инициатор (Initiator), одна цель может быть подключена только к одному инициатору, исключения - кластерные системы.
  
  В качестве инициатора в Linux системах используется Open-iSCSI, установим его, перед установкой не забудем обновить список пакетов. Здесь и далее все команды выполняются от имени суперпользователя или через sudo.
  
  apt update
  apt install open-iscsi
  Затем перейдем в /etc/iscsi и откроем файл iscsid.conf. Найдем и раскомментируем опцию:
  
  node.startup = automatic
  Ниже обязательно закомментируем:
  
  node.startup = manual
  Затем зададим параметры аутентификации инициатора, раскомментировав опции:
  
  node.session.auth.authmethod = CHAP
  
  node.session.auth.username = username
  node.session.auth.password = password
  Если предполагается работа только с одной целью, то можно сразу указать здесь используемые логин и пароль, можно же оставить как есть, указав нужные данные уже при настройке подключения к цели.
  
  Сохраним файл и перезапускаем службу:
  
  service open-iscsi restart
  Теперь попробуем подключиться к порталу и получить список доступных целей:
  
  iscsiadm -m discovery -p 192.168.111.153 -t st
  Это короткая запись команды, полная будет выглядеть так:
  
  iscsiadm --mode discovery --portal 192.168.111.153 --type sendtargets
  Из чего становится понятно, что мы должны подключиться к порталу 192.168.111.153 в режиме обнаружения и получить него все доступные цели.
  
  После успешного выполнения данной команды в /etc/iscsi появятся две директории nodes - которая содержит вложенные каталоги для каждого IQN - и send_targets - с вложенными каталогами для каждой цели. Перейдем в nodes и провалимся в каталог с IQN нашей цели, в нем откроем еще один каталог с адресом и портом, в котором обнаружим файл default. Откроем его на редактирование.
  
  Прежде всего убедимся, что
  
  node.startup = automatic
  Если же вам нужно, чтобы указанная цель не подключалась автоматически при загрузке, то измените automatic на manual.
  
  Затем найдите:
  
  node.session.auth.username = username
  node.session.auth.password = password
  И укажите там логин и пароль для подключения к вашей цели.
  
  Теперь можно подключить цель, для этого можно использовать команду:
  
  iscsiadm -m node --login
  Которая подключит все цели, конфигурационные файлы которых находятся в каталоге nodes, если требуется подключить только отдельную цель, то укажите ее явно:
  
  iscsiadm -m node --targetname "iqn.2009-02.lab.interface31:deban-test-target" --login
  Для отключения выполните:
  
  iscsiadm -m node --logout
  Данная команда отключит все цели, либо:
  
  iscsiadm -m node --targetname "iqn.2009-02.lab.interface31:deban-test-target" --logout
  Для отключения только определенной.
  
  Для проверки можем выполнить:
  
  lsblk
  Которая покажет все подключенные блочные устройства, среди которых должен оказаться и предоставляемый целью диск, в нашем случае на скриншоте ниже виден 2 ГБ диск sdb. Также можно посмотреть все текущие подключения iSCSI:
  
   iscsiadm -m session
  open-iscsi-debian-ubuntu-001.png Для удаления ненужных целей воспользуйтесь командой:
  
  iscsiadm -m discovery -p 192.168.111.153 -o delete
  Которая удалит все связанные с указанным порталом (опция -p) цели.
  
  Те кто делали это - святые люди, надо им скинуться на на чай!)
  
 Ваша оценка:

Связаться с программистом сайта.

Новые книги авторов СИ, вышедшие из печати:
О.Болдырева "Крадуш. Чужие души" М.Николаев "Вторжение на Землю"

Как попасть в этoт список

Кожевенное мастерство | Сайт "Художники" | Доска об'явлений "Книги"