Руководство администратора. Редакция Free. Установка из графического интерфейса

Введение

Редакция Free предоставляет возможность ознакомления с базовыми возможностями продукта ALD Pro или создания домена в небольших организациях, относящихся к категории SOHO (Small office/home office).

В редакции Free доступны следующие функции:

• установка одного контроллера домена;

• централизованная аутентификация для 25 пользователей домена;

• управление настройками через механизм групповых политик для 25 компьютеров;

• подключение к удаленному рабочему столу пользователей для оказания технической поддержки;

• доверительные отношения с одним доменом MS Active Directory;

• гарантированная возможность установки обновлений.

Развертывание контроллера домена

Установка операционной системы

Минимальные требования для контроллера домена: 4 CPU, 8 Гб RAM, 50 Гб SSD. Контроллеры домена и подсистемы продукта необходимо устанавливать на операционную систему ALSE версий 1.7.6.UU2 или 1.7.7.UU2.

Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск», используя образ диска ALSE 1.7.7 UU2. В ходе установки придерживайтесь следующих рекомендаций:

• Именем компьютера оставьте «astra» по умолчанию, домен не указывайте.

• Локальным администратором укажите пользователя «localadmin».

• Настройку сети пропустите.

• При разметке диска выберите пункт «Авто – использовать весь диск и настроить LVM» и схему разметки «Все файлы в одном разделе».

• Версию ядра оставьте «6.1-generic» по умолчанию. Не используйте варианты «hardened» (с усиленной самозащитой) и «lowlatency» (с увеличенной до 1000 Гц частотой переключения задач), которые доступны для версии 5.15, но не поддерживаются продуктом ALD Pro.

• Из пакетов программ по умолчанию можно исключить, например, «Средства работы с графикой», но добавить «Средства удаленного подключения SSH».

• При выборе дополнительных параметров укажите уровень защищенности «Смоленск» и оставьте включенными флажки «Мандатный контроль целостности» и «Мандатное управление доступа». В тестовых средах для удобства работы можно отключить флажок «Запрос пароля для команды sudo».

Если указали неправильное имя сервера во время установки ОС, то его можно изменить до установки пакетов продукта. Для этого откройте окно для выполнения команд сочетанием клавиш <Win> + <R> и выполните команду sudo hostnamectl set-hostname dc-1.ald.company.lan

Настройка сетевого интерфейса

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru

При установке ALSE с графической оболочкой fly-wm управление сетевыми соединениями осуществляется через службу NetworkManager и одноименный апплет, поэтому для настройки сети необходимо сделать следующее:

• Щелкнуть правой кнопкой мыши по иконке «Сетевые соединения» в правом нижнем углу экрана (в области уведомлений).

• В контекстном меню выбрать пункт «Изменить соединения».

• Сделать двойной клик по заголовку «Проводное соединение 1»

• На вкладке «Параметры IPv4» указать следующее:

  • Метод: Вручную

  • Адрес: 10.0.1.11

  • Маска: 255.255.255.0

  • Шлюз: 10.0.1.1

  • Серверы DNS: 77.88.8.8 (бесплатная служба разрешения имен от Яндекс).

• После изменения настроек требуется отключиться от сети и подключиться еще раз, чтобы изменения вступили в силу. Для проверки системы запустите браузер и попробуйте открыть страницу https://yandex.ru.

Настройка доступных репозиториев

Настройку репозиториев будем выполнять с помощью графической утилиты «Менеджер пакетов Synaptic». Для запуска приложения откройте меню «Пуск», введите слово «synaptic» и кликните по названию приложения в результатах поиска.

Далее в меню «Настройки» откройте окно «Репозитории».

Уберите флажки с репозиториев, которые были добавлены по умолчанию, и добавьте следующие три репозитория. По завершению редактирования списка нажмите кнопку «ОК» и далее кнопку «Обновить» в диалоговом окне с предупреждением о том, что список репозиториев был изменен и для внесения изменений требуется обновление индекса пакетов.

1. Основной репозиторий Astra Linux:

   • Тип: Двоичный (deb)

   • URL: https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-main

   • Дистрибутив: 1.7_x86-64

   • Разделы: main non-free contrib

2. Базовый репозиторий Astra Linux:

   • Тип: Двоичный (deb)

   • URL: https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-base

   • Дистрибутив: 1.7_x86-64

   • Разделы: main non-free contrib

3. Репозиторий Astra Linux с обновлениями:

   • Тип: Двоичный (deb)

   • URL: https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.7/uu/2/repository-update

   • Дистрибутив: 1.7_x86-64

   • Разделы: main non-free contrib

4. Репозиторий ALD Pro:

   • Тип: Двоичный (deb)

   • URL: https://dl.astralinux.ru/aldpro/frozen/01/3.0.0/

   • Дистрибутив: 1.7_x86-64

   • Разделы: main base free

Установка пакетов

Теперь система готова к установке ALD Pro. Выполните поиск пакета по имени aldpro-mp-free.

Кликните дважды по имени пакета, чтобы выбрать пакет и его зависимости для установки, и нажмите кнопку «Применить». В ходе установки один из пакетов потребует интерактивного ввода, поэтому нужно будет раскрыть блок «Подробнее» и нажать клавишу Enter.

Сразу после установки пакетов контроллера домена рекомендуется удалить локатор библиотеки libkrb5 от службы winbind, который может приводить к значительным задержкам в работе Kerberos-аутентификации на контроллере домена. Откройте окно для выполнения команд сочетанием клавиш Win + R и выполните команду sudo rm /usr/lib/x86_64-linux-gnu/krb5/plugins/libkrb5/winbind_krb5_locator.so.

Прежде чем продолжить, проверьте журнал пакетного менеджера на предмет ошибок. Перезагружать сервер сразу после установки пакетов не требуется. Если вы захотите сделать резервную копию и будете перезагружать сервер, то в журнале загрузки могут появляться сообщения об ошибках, связанные с необходимостью завершить настройку сервера, которые нужно игнорировать.

Повышение роли сервера до контроллера домена с помощью графической утилиты aldpro-dcpromo

Повышения роли сервера до контроллера домена будем выполнять с помощью графической утилиты aldpro-dcpromo, которая предоставляет дополнительные проверки входных параметров и позволяет привести систему в исходное состояние, если в ходе установки произойдет ошибка.

Загрузите файл aldpro-dcpromo_1.0.0.zip по ссылке или из личного кабинета и разархивируйте его в текущий каталог. Для установки пакетов их нужно открыть двойным щелчком в приложении «QApt» и нажать кнопку «Установить пакет». Устанавливать пакеты нужно в следующем порядке:

• astra-installer-framework - фреймворк для настройки комплексных приложений;

• astra-installer-modules - модуль для настройки первого контроллера домена;

• aldpro-dcpromo - графическая утилита для повышения роли сервера до контроллера домена.

После установки пакетов утилита готова к использованию, запустить ее можно через меню «Пуск > ALD Pro > ALD Pro dcpromo».

Приложение открывает два окна: мастер установки и терминал для отображений событий из журналов. Пожалуйста, не закрывайте окно терминала, так как это приведет к завершению работы приложения.

Если хост не соответствует системным требованиям, утилита отобразит предупреждение. Если вы нажмете кнопку «Игнорировать и продолжить», установка и корректная работа системы не гарантируется.

После проверки системных требований необходимо указать имя хоста, домен и IP-адрес. Утилита попытается заполнить поля автоматически, используя содержимое файла /etc/hosts, но если это не получится, значения нужно будет ввести вручную.

Продолжить установку можно будет только после корректного заполнения полей. При нажатии на значок с символом вопроса ? отобразится подсказка по заполнению соответствующего поля. После заполнения параметров нажмите кнопку «Продолжить».

Далее можно указать дополнительные параметры установки. Если выбрать глобальный каталог или модуль синхронизации, то соответствующие пакеты будут дополнительно установлены из репозитория.

Обратите внимание

Необходимо отключить настройки глобального каталога, поскольку в версии Free они не используются и вызовут ошибки при установке.

Следующим шагом необходимо задать пароль для администратора домена admin, этот же пароль будет установлен и суперпользователю LDAP-каталога cn=Directory Manager. Проверка сложности пароля выполняется автоматически.

В процессе установки подробная информация о выполняемых действиях будет отображаться в окне терминала, а мастер установки будет показывать общий прогресс.

По завершению установки отобразится окно с поздравлением.

Сразу после установки контроллера домена в настройках NetworkManager в качестве DNS-сервера нужно указать IP-адрес локальной петли 127.0.0.1, чтобы запросы на разрешение имен обрабатывались собственной службой BIND9.

Если в процессе установки произойдет ошибка, отобразится окно с предложением вернуть систему в исходное состояние. Перед повторной установкой после «отката» нужно обязательно перезагрузить сервер.

Дополнительная настройка DNS-службы

Мастер установки автоматически отключает DNSSEC и включает возможность рекурсивных DNS-запросов из других сетей, поэтому остается только настроить глобальный перенаправитель, чтобы служба BIND9 использовала внешний DNS-сервер, а не обходила все DNS-серверы, начиная с корневых, каждый раз. Для этого на портале управления https://dc-1.ald.company.lan на вкладке «Роли и службы сайта > Служба разрешения имен > Глобальная конфигурация DNS» рекомендуется установить адрес публичного DNS, например от Яндекс 77.88.8.8, с политикой перенаправления «Сначала перенаправлять».

Ввод компьютера в домен

Для присоединения компьютера к домену с помощью графической утилиты aldpro-join все предыдущие этапы по подготовке виртуальной машины должны быть точно такими же, включая настройку сетевого интерфейса и добавление репозиториев продукта. Устанавливать пакеты клиентской части продукта необязательно, так как они будут установлены автоматически по зависимостям при установке пакета графической утилиты.

Загрузите файл aldpro-join_3.0.0.zip по ссылке или из личного кабинета и разархивируйте его в текущий каталог. Для установки пакета его нужно открыть двойным щелчком в приложении «QApt» и нажать кнопку «Установить пакет». Утилиту можно использовать не только в домене ALD Pro 3.0, но и в доменах предыдущих версий до 2.4 включительно.

После установки пакетов утилита готова к использованию, запустить ее можно через меню «Пуск > ALD Pro > Ввод компьютера в домен ALD Pro v2.0».

Чтобы изменить имя компьютера, нажмите кнопку Изменить… напротив имени компьютера и установите желаемое значение, например, pc-14. Обратите внимание, что после изменения имени компьютера вы сможете продолжить работу с графической утилитой, но если вы закроете ее, то повторный запуск приложения будет возможен только после перезапуска графической оболочки, для чего достаточно выйти из системы и зайти еще раз.

Установите переключатель в положение Участник домена ALD Pro и введите имя домена, например, ald.company.lan. Нажмите кнопку ОК, чтобы начать присоединение компьютера к домену.

В окне аутентификации введите учетные данные доменного администратора. Это может быть пользователь admin, но можно создать отдельную учетную запись, привилегий которой будет достаточно только для ввода машин в домен. Информация о том, как создать такую учетную запись, представлена в руководстве администратора.

Выберите организационное подразделение, в котором требуется создать учетную запись компьютера.

Если процедура присоединения компьютера ALSE к домену прошла успешно, вы увидите соответствующее уведомление. Обратите внимание, что утилита сразу применяет групповые политики, политики ПО и задания автоматизации, поэтому наберитесь терпения, процедура присоединения компьютера к домену может занять некоторое время.

Журнал событий вы сможете посмотреть в файле /var/log/aldpro-join.log. После перезагрузки компьютера вам станет доступен вход в систему доменным пользователем.

После перезагрузки вы сможете войти в систему, используя доменную учетную запись. Для первого входа потребуется доступ к контроллеру домена.