Руководство администратора. Редакция Free

Введение

Редакция Free предоставляет возможность ознакомления с базовыми возможностями продукта ALD Pro или создания домена в небольших некоммерческих организациях, относящихся к категории SOHO (Small office/home office).

В редакции Free будут доступны следующие функции:

  • установка одного контроллера домена;

  • централизованная аутентификация для 25 пользователей домена;

  • управление настройками через механизм групповых политик для 25 компьютеров;

  • подключение к удаленному рабочему столу пользователей для оказания технической поддержки;

  • доверительные отношения с одним доменом MS Active Directory;

  • гарантированная возможность установки обновлений.

Развертывание контроллера домена

Установка операционной системы

Минимальными требованиями для контроллера домена: 4 CPU, 8 Гб RAM, 50 Гб SSD. Контроллеры домена и подсистемы продукта необходимо устанавливать на операционную систему ALSE версий 1.7.6.UU2 или 1.7.7.UU2.

Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск», используя образ диска ALSE 1.7.7 UU2. В ходе установки придерживайтесь следующих рекомендаций:

  • Именем компьютера оставьте astra по умолчанию, домен не указывайте.

  • Локальным администратором укажите пользователя localadmin.

  • Настройку сети пропустите.

  • При разметке диска выберите пункт Авто – использовать весь диск и настроить LVM и схему разметки Все файлы в одном разделе.

  • Версию ядра оставьте 6.1-generic по умолчанию. Не используйте варианты hardened (с усиленной самозащитой) и lowlatency (с увеличенной до 1000 Гц частотой переключения задач), которые доступны для версии 5.15, но не поддерживаются продуктом ALD Pro.

  • Из пакетов программ по умолчанию можно исключить, например, «Средства работы с графикой», но добавить «Средства удаленного подключения SSH».

  • При выборе дополнительных параметров укажите уровень защищенности «Смоленск» и оставьте включенными флажки «Мандатный контроль целостности» и «Мандатное управление доступа». В тестовых средах для удобства работы можно отключить флажок «Запрос пароля для команды sudo».

Временная настройка сетевого интерфейса

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru

При установке ALSE с графической оболочкой fly-wm управление сетевыми соединениями осуществляется через службу NetworkManager и одноименный апплет, поэтому для настройки сети необходимо сделать следующее:

  • Щелкнуть правой кнопкой мыши по иконке «Сетевые соединения» в правом нижнем углу экрана (в области уведомлений).

  • В контекстном меню выбрать пункт Изменить соединения

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_4.png

  • Сделать двойной клик по заголовку «Проводное соединение 1»

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_5.png

  • На закладке Параметры IPv4 указать следующее:

    • Метод: Вручную

    • Адрес: 10.0.1.11

    • Маска: 255.255.255.0

    • Шлюз: 10.0.1.1

    • Серверы DNS: 77.88.8.8 (бесплатная служба разрешения имен от Яндекс).

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_6.png

  • После установки настроек необходимо проверить подключение к репозиториям ALSE:

ping -c 4 dl.astralinux.ru

Настройка доступных репозиториев

Для доступа к репозиториям операционной системы ALSE 1.7.7 UU2 установите следующее содержимое файла /etc/apt/sources.list:

# cat /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-main 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.1.0 нужно создать файл /etc/apt/sources.list.d/aldpro.list и установить следующее содержимое файла:

# cat /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

sudo apt update

Указание имени сервера

Изменение имени хоста рекомендуется делать с помощью утилиты hostnamectl:

sudo hostnamectl set-hostname dc-1.ald.company.lan

В имени хоста можно использовать буквы латинского алфавита [a-z] в нижнем регистре, цифры [0-9], точку [.] и дефис [-]. Имя хоста задается в формате полного имени FQDN ( от Fully Qualified Domain Name), например, dc-1.ald.company.lan, поэтому команда hostname без параметров должна выдавать полное имя. Данное правило касается имен всех машин домена.

Для того чтобы имя контроллера всегда могло быть преобразовано в IP-адрес вне зависимости от доступности DNS-службы, содержимое файла /etc/hosts должно быть:

10.0.1.11 dc-1.ald.company.lan dc-1
127.0.0.1 localhost.localdomain localhost
#127.0.1.1 dc-1 - закомментировать или удалить строку с адресом локальной петли
...

В начало файла нужно добавить строку со статическим IP-адресом контроллера, полным и коротким именем хоста. Полное имя должно быть указано перед коротким, чтобы оно считалось каноническим и возвращалось командой hostname -f, что требуется для корректной работы скриптов автоматизации.

Установка пакетов

Теперь система готова к установке ALD Pro, для этого выполнить команду:

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp-free

  • -y — параметр позволяет автоматически ответить «Да» на все возможные вопросы в ходе установки;

  • -q — параметр позволяет скрыть сообщения о прогрессе установки, делая журнал более читаемым.

Прежде чем продолжить, проверьте журнал пакетного менеджера /var/log/apt/term.log на предмет ошибок. Если установка прошла корректно, то следующая команда не должна показать никаких строк:

sudo grep 'error:' /var/log/apt/term.log

Перезагружать сервер сразу после установки пакетов не требуется. Если вы захотите сделать резервную копию и будете перезагружать сервер, то в журнале загрузки могут появляться сообщения об ошибках, связанные с необходимостью завершить настройку сервера, которые нужно игнорировать.

Повышение роли сервера до контроллера домена

Перед повышением роли сервера до контроллера домена в настройках сетевого интерфейса в качестве DNS-сервера требуется установить IP-адрес локальной петли 127.0.0.1, чтобы запросы обрабатывались через локальную службу BIND9. После установки пакетов продукта такое изменение настроек не приведет к сбою в работе службы разрешения имен, т.к. сервер BIND9 будет работать как рекурсивный резолвер.

Повышение роли сервера до контроллера домена выполняется с помощью следующей команды:

sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 10.0.1.11 --no-reboot

После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя admin и суперпользователя LDAP-каталога cn=Directory Manager. Длина пароля должна быть не менее 8 символов.

Для вступления изменений в силу необходимо перезагрузить сервер:

sudo reboot

После перезагрузки сервера войти в систему можно, используя учетную запись администратора домена:

  • login: admin;

  • password: ******** (пароль администратора домена).

Статус доменных служб можно с помощью следующей команды:

sudo aldproctl status

Для доступа на портал управления необходимо на контроллере домена запустить браузер Mozilla Firefox, адрес портала https://dc-1.ald.company.lan будет установлен страницей по умолчанию. Вход можно выполнить как по логину/паролю, так и с помощью прозрачной Kerberos-аутентификации.

Отключение DNSSEC, настройка глобального перенаправления

После установки контроллера домена необходимо отключить DNSSEC и разрешить рекурсивные запросы, содержимое файла /etc/bind/ipa-options-ext.conf должно быть следующим:

allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;

Для проверки конфигурационного файла службы bind9-pkcs11 после внесения изменений можно использовать команду:

sudo named-checkconf /etc/bind/named.conf

Для применения изменений требуется перезапустить DNS-службу:

sudo systemctl restart bind9-pkcs11.service

Для завершения настройки портала рекомендуется добавить настройку глобального перенаправления, чтобы служба BIND9 использовала внешний DNS-сервер, а не обходила все DNS-серверы, начиная с корневых, каждый раз. На вкладке «Роли и службы сайта > Служба разрешения имен > Глобальная конфигурация DNS» рекомендуется установить адрес публичного DNS, например от Яндекс 77.88.8.8, с политикой перенаправления «Сначала перенаправлять».

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_8.png

Ввод компьютера в домен

Установка операционной системы

Рабочие станции могут работать под управлением ALSE в широком диапазоне версий: 1.7.6, 1.7.6.UU1, 1.7.6.UU2, 1.7.7, 1.7.7.UU1, 1.7.7.UU2, 1.8.1, 1.8.1.UU1, 1.8.1.UU2, 1.8.2, 1.8.2.UU1, 1.8.2.UU2, 1.8.3. В релизе ALD Pro 3.1.0 мы не только расширили поддержку новых версий ALSE из очередных обновлений 1.7 и 1.8, но и добавили возможность присоединения к домену новых видов операционных систем. Теперь вы можете управлять в домене планшетами на архитектуре ARM с операционной системой ALSE 4.7.6 и компьютеров на операционных системах Альт Рабочая станция 10.4, Альт СП Рабочая станция 10, РЕД ОС 7.3.5, РЕД ОС 8.

Установите операционную систему с графическим окружением и любым уровнем защищенности, используя образ диска ALSE 1.7.7 UU2.

Настройка сети для доступа к репозиториям

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru

На пользовательских компьютерах настройка сети выполняется через стандартную службу NetworkManager. В реальной инфраструктуре для настройки пользовательских компьютеров используется DHCP, но вы можете назначить на вкладке «Параметры IPv4» следующие настройки вручную:

  • Метод: Вручную

  • Адрес: 10.0.1.51

  • Маска: 255.255.255.0

  • Шлюз: 10.0.1.1

  • Серверы DNS: 10.0.1.11 (адрес DC-1)

  • Поисковый домен: ald.company.lan

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_9.png

Настройка доступных репозиториев

На рабочих станциях репозитории настраиваются так же, как и на сервере.

Для доступа к репозиториям операционной системы ALSE 1.7.7 UU2 установите следующее содержимое файла /etc/apt/sources.list:

# cat /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-main 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.1.0 нужно создать файл /etc/apt/sources.list.d/aldpro.list и установить следующее содержимое файла:

# cat /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

sudo apt update

Установка пакетов

Теперь система готова к установке клиентской части ALD Pro. Выполните следующую команду:

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

Если перезагружать пользовательский компьютер сейчас, то в сообщениях ядра можно будет увидеть ошибки запуска sssd и зависящих от нее служб (журнал загрузки можно найти в файле /var/log/boot.log). Это происходит по причине того, что система еще не настроена соответствующим образом (журнал службы sssd можно найти в файле /var/log/sssd/sssd.log).

Ввод компьютера в домен

Для ввода компьютера в домена требуется несколько условий:

  • у компьютера должно быть задано уникальное имя, которое еще не используется в домене;

  • в качестве DNS-сервера должен быть указан IP адрес контроллера домена;

  • установлен пакет клиентского программного обеспечения aldpro-client.

По данной схеме имя компьютера будет PC-1. Проверить уникальность можно командой nslookup:

nslookup pc-1

В домене «ald.company.lan» компьютеру следует задать имя «pc-1.ald.company.lan»:

hostnamectl set-hostname pc-1.ald.company.lan

Все готово для ввода компьютера в домен, для этого выполните следующую команду:

sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --host pc-1 --gui --force

После ввода команды система запросит ввести пароль администратора домена.

Параметры утилиты aldpro-client-installer:

  • --domain — имя домена;

  • --account — логин администратора домена;

  • --host — имя компьютера в нижнем регистре;

  • --gui — использовать интерактивный режим;

  • --force — продолжить ввод компьютера в домен, даже если в домене для его имени уже есть учетная запись. Требуется в тех случаях, когда администратор переустанавливает операционную систему и хочет ввести компьютер в домен с тем же именем.

Для применения всех настроек выполнить перезагрузку компьютера:

reboot

После перезагрузки войти в систему, используя доменную учетную запись администратора. Для первого входа в систему доменной учетной записью требуется доступ к контроллеру домена.