Chủ đề 302: Samba and Các miền thư mục lưu trữ

302.1 Samba như Bộ điều khiển Miền thư mục lưu trữ (trọng số: 5)

Các phạm vi kiến thức chính:

• Hiểu các khái niệm vềThư mục lưu trữ
• Hiểu nguyên tắc của các dịch vụ mạng được Thư mục lưu trữ sử dụng (ví dụ: DNS, Kerberos, NTP và LDAP cũng như CIFS và MS-RPC)
• Thiết lập miền Thư mục lưu trữ mới bằng Samba
• Thêm bộ điều khiển miền Samba vào miền Thư mục lưu trữ hiện có
• Hạ cấp và xóa bộ điều khiển miền trực tuyến và ngoại tuyến
• Xác minh tình trạng sao chép của AD
• Hiểu và truy vấn danh mục chung và tập hợp thuộc tính một phần
• Hiểu và định cấu hình các cấp chức năng của miền
• Hiểu và đặt cấu hình độ tin cậy của nhóm và miền Thư mục lưu trữ
• Hiểu và định cấu hình các trang web Thư mục lưu trữ, bao gồm cả các nhiệm vụ của mạng cấp dưới.
• Hiểu và quản lý các vai trò của FSMO, bao gồm cả tác động của chúng trong trường hợp ngừng hoạt động
• Định cấu hình ghi chép kiểm tra xác thực
• Định cấu hình sao chép SYSVOL bằng rsync hoặc robocopy
• Tích hợp Samba với ntpd
• Nhận thức về miền Windows NT4

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • server role
  • log level
• samba-tool domain (including relevant subcommands)
• samba-tool fsmo (including relevant subcommands)
• samba-tool drs (including relevant subcommands)
• samba-tool sites (including relevant subcommands)
• rsync
• rsync.conf
• /var/lib/samba/sysvol
• robocopy
• ntpd.conf
  • ntpsigndsocket

302.2 Độ phân giải Tên Thư mục lưu trữ (trọng số: 2)

Các phạm vi kiến thức chính:

• Hiểu và quản lý DNS cho Samba dưới dạng bộ điều khiển miền AD
• Quản lý bản ghi DNS trong Samba DNS
• Chuyển tiếp DNS
• Tên được tiêu chuẩn hóa trong Thư mục lưu trữ
• DNS phát đa hướng
• Nhận thức về những chức năng hỗ trợ hoạt động của một trang web hoặc ứng dụng mà người dùng không nhìn thấy được (back end) BIND9 DLZ DNS
• Nhận thức về độ phân giải tên NetBIOS và WINS

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • dns forwarder
  • allow dns updates
  • multicst dns register
• samba-tool dns (with subcommands)
• samba_dnsupdate
• dig
• host
• /etc/resolv.conf

302.3 Quản lý Người dùng Thư mục lưu trữ (Trọng số: 4)

Các phạm vi kiến thức chính:

• Quản lý tài khoản người dùng và nhóm người dùng cho các máy chủ độc lập và Samba AD
• Kiến thức về các công cụ quản lý tài khoản người dùng
• Ủy quyền quản trị trong AD cho người dùng/nhóm người dùng cụ thể
• Định cấu hình các yêu cầu hết hạn và thay đổi mật khẩu
• Quản lý chính sách mật khẩu và đối tượng thiết lập mật khẩu
• Hiểu các mấu chốt và nhận dạng SID (DN, GUID)
• Hiểu Tên chính của người dùng (UPN) và Hậu tố tên chính của người dùng (Hậu tố UPN)
• Hiểu và quản lý các nhóm bảo mật và phân phối
• Hiểu và quản lý các thuộc tính LDAP của các nguyên tắc bảo mật
• Hiểu và quản lý các thuộc tính RFC2307 trong Samba AD
• Chỉ dẫn tên chính của dịch vụ Kerberos tới tài khoản người dùng
• Xuất các keytabs Kerberos cho một trường cụ thể
• Nhận thức về Người quản lý tài khoản LDAP

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• samba-tool user (including relevant subcommands)
• samba-tool group (including relevant subcommands)
• samba-tool domain passwordsettings
• samba-tool domain exportkeytab
• samba-tool spn (including relevant subcommands)
• smbpasswd
• pdbedit
• kinit
• klist

302.4 Tư cách thành viên miền Samba (trọng số: 4)

Các phạm vi kiến thức chính:

• Tham gia Samba vào miền AD hiện có
• Định cấu hình dịch vụ Winbind, bao gồm  vạch ra ID
• Hiểu và định cấu hình sắp xếp ID Winbind, bao gồm các chương trình phụ trợ  khác nhau
• Cấu hình PAM và NSS để sử dụng Winbind

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • security
  • server role
  • realm
  • workgroup
  • idmap config
  • winbind enumerate users
  • winbind enumerate groups
  • winbind offline logon
  • winbind separator
  • template shell
  • template homedir
  • allow trusted domains
• idmap_ad
• idmap_autorid
• idmap_ldap
• idmap_rfc2307
• idmap_rid
• idmap_tdb
• idmap_tdb2
• net ads (including relevant subcommands)
• /etc/nsswitch.conf
• /etc/pam.conf
• /etc/pam.d/
• libnss_winbind
• libpam_winbind
• getent
• wbinfo

302.5 Quản lý Người dùng Cục bộ Samba (trọng số: 2)

Các phạm vi kiến thức chính:

• Thiết lập cơ sở dữ liệu mật khẩu cục bộ
• Thực hiện đồng bộ hóa mật khẩu
• Kiến thức về các chương trình phụ trợ passdb khác nhau
• Chuyển đổi giữa các chương trình phụ trợ Samba passdb

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • passdb backend
• /etc/passwd
• /etc/group
• pam_smbpass.so
• smbpasswd
• pdbedit

Chủ đề 303: Cấu hình chia sẻ Samba

303.1 Cấu hình chia sẻ tập tin (trọng số: 4)

Các phạm vi kiến thức chính:

• Tạo và định cấu hình chia sẻ tệp CIFS
• Quản lý các tham số cấu hình truy cập chia sẻ Samba
• Sử dụng cấu hình chia sẻ dựa trên sổ đăng ký
• Quản lý hồ sơ và chia sẻ của người dùng tại nhà
• Lập kế hoạch dịch chuyển dịch vụ tệp
• Giới hạn quyền truy cập vào IPC$
• Nhận thức về chia sẻ của người dùng
• Nhận thức về các mô-đun VFS hiện có và chức năng chung của chúng, bao gồm các mô-đun hỗ trợ nhật ký kiểm tra và sao lưu dữ liệu tạm thời nhanh/ các bản sao ẩn

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • path
  • browsable
  • writable / write ok / read only
  • valid users
  • invalid users
  • read list
  • write list
  • guest ok
  • hosts allow / allow hosts
  • hosts deny / deny hosts
  • copy
  • hide unreadable
  • hide unwritable files
  • hide dot files
  • hide special files
  • veto files
  • delete veto files
• [homes]
• [IPC$]
• smbcquotas

303.2 Bảo mật chia sẻ tệp tin (trọng số: 3)

Các phạm vi kiến thức chính:

• Thực thi quyền sở hữu và quyền của các tập tin và thư mục
• Quản lý ACL cho chia sẻ và thư mục
• Hiểu POSIX, POSIX mở rộng và Windows ACL
• Hiểu cách Samba lưu trữ Windows ACLs trong Linux ACL và các thuộc tính mở rộng
• Định cấu hình ACLs  cho các hồ sơ  và thư mục chính dùng chung
• Định cấu hình mã hóa các kết nối CIFS

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf
  • create mask / create mode
  • directory mask / directory mode
  • force create mode
  • force directory mode
  • force user
  • force group / group
  • profile acls
  • inherit acls
  • map acl inherit
  • store dos attributes
  • vfs objects
  • smb encrypt
• chown
• chmod
• getfacl
• setfacl
• getfattr
• smbcacls
• sharesec
• SeDiskOperatorPrivilege
• vfs_acl_xattr
• vfs_acl_tdb
• samba-tool ntacl (including subcommands)

303.3 Cấu hình Chia sẻ DFS  (trọng số: 1)

Các phạm vi kiến thức chính:

• Hiểu về DFS
• Định cấu hình dùng chung DFS

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • host msdfs
  • msdfs root
  • msdfs proxy
• ln

303.4 Cấu hình Chia sẻ In (trọng số: 2)

Các phạm vi kiến thức chính:

• Hiểu về bản in Samba, bao gồm cả in thô
• Tạo và định cấu hình chia sẻ bản in
• Định cấu hình tích hợp giữa Samba và CUPS
• Quản lý trình điều khiển in Windows và định cấu hình tải xuống trình điều khiển in
• Tải lên trình điều khiển máy in bằng ‘Add Print Driver Wizard’ trong Windows
• Cấu hình trước cài đặt trình điều khiển
• Định cấu hình kích thước và form giấy
• Các phiên bản trình điều khiển được hỗ trợ
• Quản lý các tùy chọn GPO cho máy chủ in đáng tin cậy
• Nhận thức về spoolsd

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • printing
  • printable / print ok
  • printcap name / printcap
  • spoolss: architecture = Windows x64
• [printers]
• [print$]
• CUPS
• cupsd.conf
• /var/spool/samba/
• smbspool
• rpcclient (to execute topic-related commands (enumdrivers, enumprinters, setdriver)
• net (included topic-related subcommands)
• SePrintOperatorPrivilege

Topic 304: Cấu hình máy khách Samba

304.1 Máy khách Xác thực Linux (trọng số: 5)

Các phạm vi kiến thức chính:

• Hiểu và định cấu hình NSS và PAM
• Thực thi các chính sách về độ phức tạp của mật khẩu và thay đổi mật khẩu định kỳ
• Tạo thư mục chính cho người dùng mới
• Tự động khóa tài khoản sau khi đăng nhập thất bại
• Định cấu hình NSS và PAM để lấy thông tin từ LDAP
• Định cấu hình xác thực SSSD đối với các miền Thư mục lưu trữ, IPA, LDAP và Kerberos cũng như cơ sở dữ liệu xác thực của hệ thống cục bộ
• Quản lý tài khoản cục bộ thông qua SSSD
• Nhận và quản lý vé Kerberos

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• /etc/pam.conf
• /etc/pam.d/
• /etc/nsswitch.conf
• /etc/login.defs
• pam_ldap.so
• ldap.conf
• pam_krb5.so
• pam_cracklib.so
• pam_tally2.so
• pam_faillock.so
• pam_mkhomedir.so
• chage
• faillog
• sssd
• sssd.conf
• sss_override
• sss_cache
• sss_debuglevel
• sss_user* and sss_group*
• /var/lib/sss/db/
• krb5.conf
• kinit
• klist
• kdestroy

304.2 Máy khách Linux CIFS (trọng số: 3)

Các phạm vi kiến thức chính:

• Truy cập chia sẻ CIFS từ xa từ máy khách Linux
• Gắn kết chia sẻ CIFS từ xa trên máy khách Linux
• Tự động gắn kết thư mục chính
• Lưu trữ và quản lý thông tin xác thực CIFS một cách an toàn
• Hiểu và quản lý quyền cũng như quyền sở hữu tệp đối với các chia sẻ CIFS từ xa
• Hiểu và quản lý hạn ngạch trên các chia sẻ CIFS

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf
• smbclient (including relevant subcommands)
• mount
• mount.cifs
• /etc/fstab
• pam_mount.so
• pam_mount.conf.xml
• cifscreds
• getcifsacl
• setcifsacl
• smbcquotas
• cifsiostat
• smbget
• smbtar

304.3 Máy khách (trọng số: 3)

Các phạm vi kiến thức chính:

• Hiểu cách thiết lập và sử dụng máy chủ Windows
• Tham gia máy chủ Windows vào miền Active Directory
• Truy cập từ xa chia sẻ CIFS từ máy khách Windows
• Định cấu hình in tới máy in từ xa từ máy khách Windows
• Định cấu hình tệp và chia sẻ bộ in trên máy chủ Windows
• Hiểu khái niệm, cấu trúc và khả năng của GPO
• Tạo, sửa đổi GPO và áp dụng GPO cho máy hoặc người dùng
• Truy cập máy tính để bàn Windows từ xa
• Tạo và cấu hình các tập lệnh đăng nhập
• Định cấu hình cấu hình chuyển vùng cho người dùng Active Directory
• Định cấu hình chuyển hướng thư mục hồ sơ

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• smb.conf:
  • logon path
  • logon script
• net (Windows command; including all relevant subcommands)
• samba-tool gpo (including all relevant subcommands)
• gpupdate (Windows command)
• rdesktop

Chủ đề 305: Quản lý Danh tính và Chia sẻ tệp Linux

305.1 Cài đặt và bảo trì FreeIPA (trọng số: 2)

Các phạm vi kiến thức chính:

• Hiểu các tính năng, kiến trúc cũng như các thành phần phía máy chủ và phía máy khách của FreeIPA
• Cài đặt máy chủ FreeIPA
• Thiết lập và quản lý miền FreeIPA bằng cài đặt tiêu chuẩn và dịch vụ mặc định
• Hiểu cấu trúc liên kết sao chép và định cấu hình sao chép FreeIPA
• Tham gia máy khách đến với miền FreeIPA hiện có
• Nhận thức về sao lưu ipa

The following is a partial list of the used files, terms and utilities:

• ipa-server-install
• ipa-replica-prepare
• ipa-replica-install
• ipa-client-install
• ipactl

305.2 Quản lý Xác thực FreeIPA (trọng số: 4)

Các phạm vi kiến thức chính:

• Quản lý tài khoản người dùng và nhóm
• Quản lý máy chủ, nhóm máy chủ và dịch vụ
• Hiểu nguyên tắc về quyền, đặc quyền và vai trò kiểm soát truy cập IPA
• Hiểu chế độ xem ID
• Nhận thức về tích hợp sudo, autofs, SSH, SELinux và NIS cũng như kiểm soát truy cập dựa trên máy chủ trong FreeIPA
• Nhận thức về FreeIPA CA

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• ipa (including relevant user-*, stageuser-* and group-* and idview-* subcommands)
• ipa (including relevant host-*, hostgroup-*, service-* and getkeytab subcommands)
• ipa (including relevant permission-*, privilege-*, and role-* subcommands)
• ipctl
• ipa-advice

305.3 Tích hợp Thư mục lưu trữ hoạt động FreeIPA (trọng số: 2)

Các phạm vi kiến thức chính:

• Hiểu và thiết lập tích hợp FreeIPA và Active Directory bằng cách sử dụng tín nhiệm đa lĩnh vực Kerberos
• Định cấu hình phạm vi ID trong FreeIPA
• Hiểu và quản lý các nhóm bên ngoài không phải POSIX trong FreeIPA
• Nhận thức về Chứng chỉ thuộc tính đặc quyền của Microsoft và cách FreeIPA xử lý chúng
• Nhận thức về tích hợp FreeIPA và Active Directory dựa trên bản sao

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• ipa-adtrust-install
• ipa (including relevant trust-*, idrange-* and group-* subcommands)

305.4 Hệ thống tập tin mạng  (trọng số: 3)

Các phạm vi kiến thức chính:

• Hiểu các tính năng chính của NFSv4
• Định cấu hình và quản lý máy chủ và máy khách NFSv4
• Hiểu và sử dụng hệ thống tệp giả NFSv4
• Hiểu và sử dụng NFSv4 ACLs
• Sử dụng Kerberos để xác thực NFSv4

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

• exportfs
• /etc/exports
• /etc/idmapd.conf
• nfs4_editfacl
• nfs4_getfacl
• nfs4_setfacl
• mount (including common NFS mount options)
• /etc/fstab