.. :validated: 3.2.0

Руководство администратора. Редакция Free
##############################################################################

Введение
------------------------------------------------------------------------------

Редакция Free предоставляет возможность ознакомления с базовыми возможностями продукта ALD Pro или создания домена в небольших коммерческих организациях, относящихся к категории **SOHO** (Small office/home office).

В редакции Free доступны следующие функции:

* установка одного контроллера домена;

* централизованная аутентификация для 25 пользователей домена;

* управление настройками через механизм групповых политик для 25 компьютеров;

* подключение к удаленному рабочему столу пользователей для оказания технической поддержки;

* доверительные отношения с одним доменом **MS Active Directory**;

* гарантированная возможность установки обновлений.

Развертывание контроллера домена
------------------------------------------------------------------------------

Установка операционной системы
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Минимальными требованиями для контроллера домена: 4 CPU, 8 Гб RAM, 50 Гб SSD. Контроллеры домена и подсистемы продукта необходимо устанавливать на операционную систему ALSE версий 1.7.8, 1.7.9 (полный перечень совместимых операционных систем представлен в Руководство администратора Часть 1 → Матрица совместимости ПК ALD Pro).

Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск», используя образ диска `ALSE 1.7.8 <https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/iso/installation-1.7.8.6-16.09.25_14.55.iso>`_. В ходе установки  придерживайтесь следующих рекомендаций:

- Именем компьютера оставьте ``astra`` по умолчанию, домен не указывайте;

- Локальным администратором укажите пользователя ``localadmin``;

- Настройку сети пропустите;

- При разметке диска выберите пункт **Авто – использовать весь диск и настроить LVM** и схему разметки **Все файлы в одном разделе**;

- Версию ядра оставьте ``6.1-generic`` по умолчанию. Не используйте варианты ``hardened`` (с усиленной самозащитой) и ``lowlatency`` (с увеличенной до 1000 Гц частотой переключения задач), которые доступны для версии 5.15, но не поддерживаются продуктом ALD Pro;

- Из пакетов программ по умолчанию можно исключить, например, "Средства работы с графикой", но добавить "Средства удаленного подключения SSH";

- При выборе дополнительных параметров укажите уровень защищенности **Смоленск** и оставьте включенными флажки **Мандатный контроль целостности** и **Мандатное управление доступа**. В тестовых средах для удобства работы можно отключить флажок **Запрос пароля для команды sudo**.


Временная настройка сетевого интерфейса
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru

При установке ALSE с графической оболочкой fly-wm управление сетевыми соединениями осуществляется через службу NetworkManager и одноименный апплет, поэтому для настройки сети необходимо сделать следующее:

- Щелкнуть правой кнопкой мыши по иконке **Сетевые соединения** в правом нижнем углу экрана (в области уведомлений).
- В контекстном меню выбрать пункт **Изменить соединения**.

.. figure:: images/instrukciya-po-razvertyvaniyu-ald-pro_4.png
   :name: instrukciya-po-razvertyvaniyu-ald-pro_4
   
   Изменить сетевые подключения

- Сделать двойной клик по заголовку «Проводное соединение 1»

.. figure:: images/instrukciya-po-razvertyvaniyu-ald-pro_5.png
   :name: instrukciya-po-razvertyvaniyu-ald-pro_5
   
   Изменить проводное соединение

- На вкладке Параметры IPv4 указать следующее:

   - Метод: Вручную
   - Адрес: 10.0.1.11
   - Маска: 255.255.255.0
   - Шлюз: 10.0.1.1
   - Серверы DNS: 77.88.8.8 (бесплатная служба разрешения имен от Яндекс).

.. Настройка сети для доступа к репозиториям

.. figure:: images/instrukciya-po-razvertyvaniyu-ald-pro_6.png
   :name: instrukciya-po-razvertyvaniyu-ald-pro_6
   
   Настройка сети для доступа к сети Интернет

- После установки настроек необходимо проверить подключение к репозиториям ALSE:

.. code-block:: bash

   ping -c 4 dl.astralinux.ru

Настройка доступных репозиториев
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для доступа к репозиториям операционной системы ALSE 1.7.8 установите следующее содержимое файла ``/etc/apt/sources.list``:

.. code-block:: debsources

   # cat /etc/apt/sources.list
   deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
   deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.2.0 нужно создать файл ``/etc/apt/sources.list.d/aldpro.list`` и установить следующее содержимое файла:

.. code-block:: debsources

   # cat /etc/apt/sources.list.d/aldpro.list
   deb https://dl.astralinux.ru/aldpro/frozen/01/3.2.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

.. code-block:: bash 
   
   sudo apt update

.. _specifying_the_server_name:

Указание имени сервера
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Изменение имени хоста рекомендуется делать с помощью утилиты ``hostnamectl``:

.. code-block:: console

   sudo hostnamectl set-hostname dc-1.ald.company.lan

В имени хоста можно использовать:

- буквы латинского алфавита ``[a-z]`` **в нижнем регистре**; 
- цифры ``[0-9]``;
- точку ``[.]`` и дефис ``[-]``. 

Ограничения:

- IP-адреса запрещены;
- не допускаются две точки подряд;
- не допускаются два дефиса подряд;
- дефис не может быть первым или последним символом лейбла;
- первый и последний символ каждого лейбла — только латиница в нижнем регистре или цифра (a-z, 0-9).

Длина **FQDN** минимум 5, максимум 64 символа.

Имя хоста задается в формате полного имени **FQDN** ( от **Fully Qualified Domain Name**), например, **dc-1.ald.company.lan**, поэтому команда ``hostname`` без параметров должна выдавать полное имя. Данное правило касается имен всех машин домена.

Для того чтобы имя контроллера всегда могло быть преобразовано в IP-адрес вне зависимости от доступности **DNS**-службы, содержимое файла ``/etc/hosts`` должно быть:

.. code-block:: text

   10.0.1.11 dc-1.ald.company.lan dc-1
   127.0.0.1 localhost.localdomain localhost
   #127.0.1.1 dc-1 - закомментировать или удалить строку с адресом локальной петли

В начало файла нужно добавить строку со статическим IP-адресом контроллера, полным и коротким именем хоста. Полное имя должно быть указано перед коротким, чтобы оно считалось каноническим и возвращалось командой ``hostname -f``, что требуется для корректной работы скриптов автоматизации.

Установка пакетов
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Теперь система готова к установке ALD Pro, для этого выполнить команду:

.. code-block:: bash
   
   sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp-free

- ``-y`` -- параметр позволяет автоматически ответить «Да» на все возможные вопросы в ходе установки;

- ``-q`` -- параметр позволяет скрыть сообщения о прогрессе установки, делая журнал более читаемым.

Прежде чем продолжить, проверьте журнал пакетного менеджера ``/var/log/apt/term.log`` на предмет ошибок. Если установка прошла корректно, то следующая команда не должна показать никаких строк:

.. code-block:: bash

   sudo grep 'error:' /var/log/apt/term.log

Перезагружать сервер сразу после установки пакетов не требуется. Если вы захотите сделать резервную копию и будете перезагружать сервер, то в журнале загрузки могут появляться сообщения об ошибках, связанные с необходимостью завершить настройку сервера, которые нужно игнорировать.

Повышение роли сервера до контроллера домена
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Перед повышением роли сервера до контроллера домена в настройках сетевого интерфейса в качестве **DNS**-сервера требуется установить IP-адрес локальной петли ``127.0.0.1``, чтобы запросы обрабатывались через локальную службу BIND9. После установки пакетов продукта такое изменение настроек не приведет к сбою в работе службы разрешения имен, т.к. сервер BIND9 будет работать как рекурсивный резолвер.

Повышение роли сервера до контроллера домена выполняется с помощью следующей команды:

.. code-block:: bash

   sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 10.0.1.11 --no-reboot

После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя ``admin`` и суперпользователя LDAP-каталога cn=Directory Manager. Длина пароля должна быть не менее 8 символов.

Для вступления изменений в силу необходимо перезагрузить сервер:

.. code-block:: bash

   sudo reboot

После перезагрузки сервера войти в систему можно, используя учетную запись администратора домена:

- login: ``admin``;
- password: ``********`` (пароль администратора домена).

Статус доменных служб можно с помощью следующей команды:

.. code-block:: bash

   sudo aldproctl status

Для доступа на портал управления необходимо на контроллере домена запустить браузер Mozilla Firefox, адрес портала ``https://dc-1.ald.company.lan`` будет установлен страницей по умолчанию. Вход можно выполнить как по логину/паролю, так и с помощью прозрачной Kerberos-аутентификации.

Отключение DNSSEC, настройка глобального перенаправления
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

После установки контроллера домена необходимо отключить DNSSEC и разрешить рекурсивные запросы, содержимое файла ``/etc/bind/ipa-options-ext.conf`` должно быть следующим:

.. code-block:: bash

   allow-recursion { any; };
   allow-query-cache { any; };
   dnssec-validation no;

Для проверки конфигурационного файла службы ``bind9-pkcs11`` после внесения изменений можно использовать команду:

.. code-block:: bash

   sudo named-checkconf /etc/bind/named.conf

Для применения изменений требуется перезапустить DNS-службу:

.. code-block:: bash

   sudo systemctl restart bind9-pkcs11.service

Для завершения настройки на портале управления рекомендуется добавить настройку глобального перенаправления, чтобы служба BIND9 использовала внешний DNS-сервер, а не обходила все DNS-серверы, начиная с корневых, каждый раз. На вкладке **Роли и службы сайта** → **Служба разрешения имен** → **Глобальная конфигурация DNS** рекомендуется установить адрес публичного DNS, например, от Яндекс 77.88.8.8, с политикой перенаправления **Сначала перенаправлять**.

.. figure:: images/instrukciya-po-razvertyvaniyu-ald-pro_8.png
   :name: instrukciya-po-razvertyvaniyu-ald-pro_8
   
   Настройка глобального перенаправителя

Ввод компьютера в домен
------------------------------------------------------------------------------

Установка операционной системы
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Рабочие станции могут работать под управлением ALSE в широком диапазоне версий: 1.7.6, 1.7.6.UU1, 1.7.6.UU2, 1.7.7, 1.7.7.UU1, 1.7.7.UU2, 1.7.8, 1.7.9, 1.8.1, 1.8.1.UU1, 1.8.1.UU2, 1.8.2, 1.8.2.UU1, 1.8.3, 1.8.3.UU1, 1.8.4, 4.7.6. В релизе ALD Pro 3.2.0 мы расширили поддержку новых версий ALSE из очередных обновлений 1.7 и 1.8. Также доступна возможность присоединения к домену других видов операционных систем. Например, можно управлять в домене планшетами на архитектуре ARM с операционной системой ALSE 4.7.6 и компьютерами на операционных системах Альт Рабочая станция 10.4, Альт СП Рабочая станция 10, РЕД ОС 7.3.5, РЕД ОС 8.

Установите операционную систему с графическим окружением и любым уровнем защищенности, используя образ диска `ALSE 1.7.8 <https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/iso/installation-1.7.8.6-16.09.25_14.55.iso>`_.

Настройка сети для доступа к репозиториям
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу `https://dl.astralinux.ru <https://dl.astralinux.ru>`_.

На пользовательских компьютерах настройка сети выполняется через стандартную службу NetworkManager. В реальной инфраструктуре для настройки пользовательских компьютеров используется DHCP, но вы можете назначить на вкладке "Параметры IPv4" следующие настройки вручную:

- Метод: Вручную
- Адрес: 10.0.1.51
- Маска: 255.255.255.0
- Шлюз: 10.0.1.1 
- Серверы DNS: 10.0.1.11 (адрес DC-1)
- Поисковый домен: ald.company.lan

.. figure:: images/instrukciya-po-razvertyvaniyu-ald-pro_9.png
   :name: instrukciya-po-razvertyvaniyu-ald-pro_9

   Настройка сети для доступа к сети Интернет

Настройка доступных репозиториев
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

На рабочих станциях репозитории настраиваются так же, как и на сервере.

Для доступа к репозиториям операционной системы ALSE 1.7.8 установите следующее содержимое файла ``/etc/apt/sources.list``:

.. code-block:: debsources

   # cat /etc/apt/sources.list
   deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
   deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.2.0 нужно создать файл ``/etc/apt/sources.list.d/aldpro.list`` и установить следующее содержимое файла:

.. code-block:: debsources

   # cat /etc/apt/sources.list.d/aldpro.list
   deb https://dl.astralinux.ru/aldpro/frozen/01/3.2.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

.. code-block:: bash

   sudo apt update

Установка пакетов
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Теперь система готова к установке клиентской части ALD Pro. Выполните следующую команду:

.. code-block:: bash

   sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

Если перезагружать пользовательский компьютер сейчас, то в сообщениях ядра можно будет увидеть ошибки запуска sssd и зависящих от нее служб (журнал загрузки можно найти в файле `/var/log/boot.log`). Это происходит по причине того, что система еще не настроена соответствующим образом (журнал службы sssd можно найти в файле `/var/log/sssd/sssd.log`).

Ввод компьютера в домен
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для ввода компьютера в домена требуется несколько условий:

- имя хоста и содержимое /etc/hosts соответствуют установленным правилам (см. раздел :ref:`specifying_the_server_name`);

- для успешного применения групповых политик сразу после ввода в домен имя хоста должно соответствовать содержимому файла /etc/hosts до начала ввода (см. раздел :ref:`specifying_the_server_name`);

- компьютеру необходимо присвоить уникальное имя в пределах домена, а также незанятый ip-адрес в соответствующей подсети;

- в качестве DNS-сервера должен быть указан IP адрес контроллера домена;

- установлен пакет клиентского программного обеспечения ``aldpro-client``.

Для установки имени компьютера, например ``pc-1`` в домене ``ald.company.lan`` необходимо сперва проверить его уникальность в домене. Сделать это можно командой ``nslookup``:

.. code-block:: bash

   nslookup pc-1

В домене «ald.company.lan» компьютеру следует задать имя «pc-1.ald.company.lan»:

.. code-block:: bash

   hostnamectl set-hostname pc-1.ald.company.lan

С версии 3.2.0 утилита ``aldpro-client-installer`` получила новый ключ ``--guiless``, который является синонимом для ключа ``-i`` (``--gui``) прежних версий. При использовании любого из этих ключей утилита запускается в режиме командной строки, а если ни один из них не указан, то в графическом режиме.

Все готово для ввода компьютера в домен, для этого выполните следующую команду:

.. code-block:: bash

   sudo aldpro-client-installer --guiless --domain ald.company.lan --account admin --host pc-1 --orgunits "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"

После ввода команды система запросит ввести пароль администратора домена.

Параметры утилиты ``aldpro-client-installer``:

- ``--domain`` — имя домена, которое выбрано на основе третьего уровня приобретенного домена, например, ``ald.company.lan``;
- ``--account`` — логин администратора домена;
- ``--host`` — имя компьютера в нижнем регистре;
- ``--guiless`` — запуск программы в режиме командной строки;
- ``--orgunits`` — организационное подразделение в которое будет выполнен ввод. Параметр не является обязательным. Если он не был указан или целевое подразделение не обнаружено в каталоге, то ввод компьютера будет выполнен в корневое подразделение домена.

.. important::

   Если применить ключ ``--force``, то будут пропущены все проверки безопасности, выполняемые утилитой.

   Ввод компьютера в домен будет продолжен, даже если в домене для его имени уже есть УЗ!

   **Не рекомендуется применять ключ без необходимости, так как это может нарушить структуру домена и привести к нежелательным последствиям!**

Целесообразно применять ключ для принудительного ввода в домен компьютера в тех случаях, когда администратор переустанавливает ОС и хочет ввести компьютер в домен с тем же именем. 

Описание параметров командной строки доступно при выводе справочной информации в окне терминала:

.. code-block:: bash

   sudo aldpro-client-installer --help

Для применения всех настроек выполнить перезагрузку компьютера:

.. code-block:: bash

   reboot

После перезагрузки вы сможете войти в систему, используя доменную учетную запись администратора. Для первого входа в систему доменной учетной записью требуется доступ к контроллеру домена.