Присоединение к домену с помощью одноразового пароля
----------------------------------------------------

Чтобы при вводе компьютеров в домен уменьшить риск разглашения привилегированных учетных данных, в **ALD Pro** предусмотрена возможность ввода компьютера по одноразовому паролю.

Использование одноразовых паролей обладает несколькими преимуществами:

* Учетная запись хоста может быть создана сразу в правильном организационном подразделении, чтобы на него распространялось действие необходимых групповых политик.

* Учетную запись хоста можно сразу включить во все группы, чтобы на него распространялись необходимые правила HBAC и SUDO.

* Для ввода машины в домен на стороне рабочей станции не нужно будет использовать пароль привилегированной учетной записи. 

Для присоединения компьютера к домену с помощью одноразового пароля в **ALD Pro** используется графическая утилита ``aldpro-client-installer``. 

1. Необходимо создать учетную запись компьютера с помощью команды ``ipa host-add``, используя ключ ``--random`` для генерации одноразового пароля:

.. code-block:: bash

    kinit admin
    ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'

В результате выполнения получен одноразовый пароль, который необходимо сохранить для дальнейшего ввода компьютера в домен:

.. code-block:: bash

   kinit admin
   ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'
   ------------------------------------
   Добавлен узел "pc-2.ald.company.lan"
   ------------------------------------
      Имя узла: pc-2.ald.company.lan
      Случайный пароль: 2LyXwGJItweZbvJP3LLqFCT

Где:

* ``pc-2.ald.company.lan`` – FQDN имя компьютера в нижнем регистре;
* ``--random`` – ключ, указывающий на требование сгенерировать случайный одноразовый пароль;
* ``--ip-address`` – адрес компьютера для создания DNS записи в домене;
* ``--force`` – ключ, позволяющий принудительно установить значение имени узла, даже если такое имя уже присутствует в DNS.

2. Настроить компьютер **pc-2**:

- Настроить IP-адрес: **10.0.1.52**.
- Установить репозитории **ALSE** и **ALD Pro**:

.. code-block:: bash

   sudo vim /etc/apt/sources.list.d/aldpro.list

Вставить в файл ссылку на deb-репозиторий продукта:

.. code-block:: bash

   deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0 1.7_x86-64 main base

- Проверить доступ к dc-1 ``ping -c 2 dc-1`` и интернет-репозиториям ``ping -c 2 dl.astralinux.ru``
- Обновить кэш ``apt`` и установить обновления:

.. code-block:: bash

   sudo apt update && sudo apt list --upgradable
   sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew

- Установить клиентские библиотеки **aldpro-client**

.. code-block:: bash

   sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

- Проверить отсутствие **pc-2** в домене **ald.company.lan**:

.. code-block:: bash
    
    ping pc-2
    ping: pc-2: Неизвестное имя или служба

3. Запустить графическую утилиту ввода в домен ``aldpro-client-installer``:

.. code-block:: bash

   sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer

4. Заполнить поля и выставить флаги:

- наименование домена: **ald.company.lan**;
- поле **Учетная запись** оставить пустым;
- в поле Хост: **pc-2**;
- в поле Пароль вставить одноразовый пароль из пункта 1;
- обязательно поставить флаг :menuselection:`Ввод в домен по паролю компьютера`.

5. Запустить процесс ввода кнопкой :menuselection:`Добавить в домен`. Нажать **[Да]** для подтверждения ввода.

Ввод компьютера в домен выполнен.