.. :validated: 3.2.0

Повышение роли сервера до контроллера домена
--------------------------------------------

.. attention::

   При установке контроллера домена на сервер, на котором включен режим замкнутой программной среды, перед запуском скрипта продвижения домена необходимо выполнить перезагрузку сервера.

.. attention:: 
   
   Начиная с версии 3.2.0 в утилите ``aldpro-server-install`` механизм валидации параметров включен по умолчанию (ключ ``--validate`` помечен как устаревший и не влияет на поведение).

   При выполнении команды продвижения роли сервера до контроллера домена будет выведено предупреждение об отсутствии адреса 127.0.0.1 среди dns-серверов, что является ожидаемым поведением при установке.

Подробное описание механизма валидации параметров см. **Полезные инструкции** → **Инструкция по валидации параметров установки/обновления ALD Pro**.

Повышение роли сервера до КД выполняется командой:

.. code-block:: bash

   sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 10.0.1.11 --setup_gc --setup_syncer --no-reboot
   
После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя ``admin`` и суперпользователя **LDAP**-каталога ``cn=Directory Manager``.

Пароль должен соответствовать настройкам глобальной политики по умолчанию (например, минимальная длина — 8 символов) и не быть палиндромом.

Подробные требования приведены в разделе **Методические рекомендации по безопасной настройке ПК "ALD Pro"** → **Инструкция по обеспечению безопасной работы в домене ALD Pro: политики паролей** → **Механизм работы политик паролей** .

Параметры утилиты ``aldpro-server-install``:

.. двойной дефис автоматически преобразуется в тире - нужно исправить!!!!

* ``-d`` (``--domain``) — имя домена;

* ``-n`` (``--host``) — имя сервера. В параметре нужно передать короткое имя сервера без указания домена, т.е. первый компонент от полного **FQDN**-имени, которое выдает команда ``hostname -f``;

* ``-p`` (``--admin_pwd``) — получить пароль администратора домена из командной строки (небезопасно). Для возможности использования в пароле специальных символов значение следует заключить в одинарные кавычки, например: **'pa_s$w0rd'**.

* ``--ip`` — IP-адрес КД, на котором предполагается обслуживать клиентов.

* ``--setup_gc`` — ключ указывает, что нужно настроить установленный ранее модуль глобального каталога.

* ``--setup_syncer`` — ключ указывает, что нужно настроить установленный ранее модуль синхронизации.

* ``--no-reboot`` — ключ отключает автоматическую перезагрузку после завершения процедуры настройки. Мы рекомендуем запускать перезагрузку вручную после ознакомления с журналом установки.

Для вступления изменений в силу необходимо перезагрузить сервер:

.. code-block:: bash

   sudo reboot

После перезагрузки сервера войти в систему можно, используя УЗ администратора:

* login: ``admin``

* password: ``*****`` (пароль администратора домена из строки продвижения сервера)

.. attention::

   Важно помнить, что корректный вход в систему возможен только после полной загрузки всех служб. Если после перезагрузки сервера не удалось войти в операционную систему контроллера под доменной учетной записью, стоит повторить попытку через пару минут. Если доступ для доменного пользователя так и не появится, необходимо войти в систему с помощью локальной учетной записи и проверить содержимое журналов ``/var/log/auth.log`` и ``/var/log/messages``.

Проверить статус доменных служб после загрузки сервера командой ``status`` утилиты ``aldproctl``:

.. code-block:: bash

   sudo aldproctl status

Результат выполнения команды:

.. code-block:: bash

   .....Сервисы ALD Pro.....
   Сервис aldpro-mp-services: ЗАПУЩЕН
   Сервис globalcatalog: ЗАПУЩЕН
   Сервис ipa-gcsyncd: ЗАПУЩЕН
   .....Сервисы FreeIPA.....
   Сервис Directory Service: ЗАПУЩЕН
   Сервис krb5kdc: ЗАПУЩЕН
   Сервис kadmin: ЗАПУЩЕН
   Сервис named: ЗАПУЩЕН
   Сервис httpd: ЗАПУЩЕН
   Сервис ipa-custodia: ЗАПУЩЕН
   Сервис smb: ЗАПУЩЕН
   Сервис winbind: ЗАПУЩЕН
   Сервис ipa-otpd: ЗАПУЩЕН
   Сервис ipa-dnskeysyncd: ЗАПУЩЕН
   .....Другие сервисы.....
   Сервис celery: ЗАПУЩЕН
   Сервис celerybeat: ЗАПУЩЕН

Утилита поддерживает такой же набор команд ``start/stop/restart/status``.