Руководство администратора. Редакция Free

Введение

Редакция Free предоставляет возможность ознакомления с базовыми возможностями продукта ALD Pro или создания домена в небольших коммерческих организациях, относящихся к категории SOHO (Small office/home office).

В редакции Free доступны следующие функции:

  • установка одного контроллера домена;

  • централизованная аутентификация для 25 пользователей домена;

  • управление настройками через механизм групповых политик для 25 компьютеров;

  • подключение к удаленному рабочему столу пользователей для оказания технической поддержки;

  • доверительные отношения с одним доменом MS Active Directory;

  • гарантированная возможность установки обновлений.

Развертывание контроллера домена

Установка операционной системы

Минимальными требованиями для контроллера домена: 4 CPU, 8 Гб RAM, 50 Гб SSD. Контроллеры домена и подсистемы продукта необходимо устанавливать на операционную систему ALSE версий 1.7.8, 1.7.9 (полный перечень совместимых операционных систем представлен в Руководство администратора Часть 1 → Матрица совместимости ПК ALD Pro).

Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск», используя образ диска ALSE 1.7.8. В ходе установки придерживайтесь следующих рекомендаций:

  • Именем компьютера оставьте astra по умолчанию, домен не указывайте;

  • Локальным администратором укажите пользователя localadmin;

  • Настройку сети пропустите;

  • При разметке диска выберите пункт Авто – использовать весь диск и настроить LVM и схему разметки Все файлы в одном разделе;

  • Версию ядра оставьте 6.1-generic по умолчанию. Не используйте варианты hardened (с усиленной самозащитой) и lowlatency (с увеличенной до 1000 Гц частотой переключения задач), которые доступны для версии 5.15, но не поддерживаются продуктом ALD Pro;

  • Из пакетов программ по умолчанию можно исключить, например, «Средства работы с графикой», но добавить «Средства удаленного подключения SSH»;

  • При выборе дополнительных параметров укажите уровень защищенности Смоленск и оставьте включенными флажки Мандатный контроль целостности и Мандатное управление доступа. В тестовых средах для удобства работы можно отключить флажок Запрос пароля для команды sudo.

Временная настройка сетевого интерфейса

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru

При установке ALSE с графической оболочкой fly-wm управление сетевыми соединениями осуществляется через службу NetworkManager и одноименный апплет, поэтому для настройки сети необходимо сделать следующее:

  • Щелкнуть правой кнопкой мыши по иконке Сетевые соединения в правом нижнем углу экрана (в области уведомлений).

  • В контекстном меню выбрать пункт Изменить соединения.

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_4.png

Рисунок 90 Изменить сетевые подключения

  • Сделать двойной клик по заголовку «Проводное соединение 1»

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_5.png

Рисунок 91 Изменить проводное соединение

  • На вкладке Параметры IPv4 указать следующее:

    • Метод: Вручную

    • Адрес: 10.0.1.11

    • Маска: 255.255.255.0

    • Шлюз: 10.0.1.1

    • Серверы DNS: 77.88.8.8 (бесплатная служба разрешения имен от Яндекс).

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_6.png

Рисунок 92 Настройка сети для доступа к сети Интернет

  • После установки настроек необходимо проверить подключение к репозиториям ALSE:

ping -c 4 dl.astralinux.ru

Настройка доступных репозиториев

Для доступа к репозиториям операционной системы ALSE 1.7.8 установите следующее содержимое файла /etc/apt/sources.list:

# cat /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.2.0 нужно создать файл /etc/apt/sources.list.d/aldpro.list и установить следующее содержимое файла:

# cat /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/3.2.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

sudo apt update

Указание имени сервера

Изменение имени хоста рекомендуется делать с помощью утилиты hostnamectl:

sudo hostnamectl set-hostname dc-1.ald.company.lan

В имени хоста можно использовать:

  • буквы латинского алфавита [a-z] в нижнем регистре;

  • цифры [0-9];

  • точку [.] и дефис [-].

Ограничения:

  • IP-адреса запрещены;

  • не допускаются две точки подряд;

  • не допускаются два дефиса подряд;

  • дефис не может быть первым или последним символом лейбла;

  • первый и последний символ каждого лейбла — только латиница в нижнем регистре или цифра (a-z, 0-9).

Длина FQDN минимум 5, максимум 64 символа.

Имя хоста задается в формате полного имени FQDN ( от Fully Qualified Domain Name), например, dc-1.ald.company.lan, поэтому команда hostname без параметров должна выдавать полное имя. Данное правило касается имен всех машин домена.

Для того чтобы имя контроллера всегда могло быть преобразовано в IP-адрес вне зависимости от доступности DNS-службы, содержимое файла /etc/hosts должно быть:

10.0.1.11 dc-1.ald.company.lan dc-1
127.0.0.1 localhost.localdomain localhost
#127.0.1.1 dc-1 - закомментировать или удалить строку с адресом локальной петли

В начало файла нужно добавить строку со статическим IP-адресом контроллера, полным и коротким именем хоста. Полное имя должно быть указано перед коротким, чтобы оно считалось каноническим и возвращалось командой hostname -f, что требуется для корректной работы скриптов автоматизации.

Установка пакетов

Теперь система готова к установке ALD Pro, для этого выполнить команду:

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp-free

  • -y – параметр позволяет автоматически ответить «Да» на все возможные вопросы в ходе установки;

  • -q – параметр позволяет скрыть сообщения о прогрессе установки, делая журнал более читаемым.

Прежде чем продолжить, проверьте журнал пакетного менеджера /var/log/apt/term.log на предмет ошибок. Если установка прошла корректно, то следующая команда не должна показать никаких строк:

sudo grep 'error:' /var/log/apt/term.log

Перезагружать сервер сразу после установки пакетов не требуется. Если вы захотите сделать резервную копию и будете перезагружать сервер, то в журнале загрузки могут появляться сообщения об ошибках, связанные с необходимостью завершить настройку сервера, которые нужно игнорировать.

Повышение роли сервера до контроллера домена

Перед повышением роли сервера до контроллера домена в настройках сетевого интерфейса в качестве DNS-сервера требуется установить IP-адрес локальной петли 127.0.0.1, чтобы запросы обрабатывались через локальную службу BIND9. После установки пакетов продукта такое изменение настроек не приведет к сбою в работе службы разрешения имен, т.к. сервер BIND9 будет работать как рекурсивный резолвер.

Повышение роли сервера до контроллера домена выполняется с помощью следующей команды:

sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 10.0.1.11 --no-reboot

После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя admin и суперпользователя LDAP-каталога cn=Directory Manager. Длина пароля должна быть не менее 8 символов.

Для вступления изменений в силу необходимо перезагрузить сервер:

sudo reboot

После перезагрузки сервера войти в систему можно, используя учетную запись администратора домена:

  • login: admin;

  • password: ******** (пароль администратора домена).

Статус доменных служб можно с помощью следующей команды:

sudo aldproctl status

Для доступа на портал управления необходимо на контроллере домена запустить браузер Mozilla Firefox, адрес портала https://dc-1.ald.company.lan будет установлен страницей по умолчанию. Вход можно выполнить как по логину/паролю, так и с помощью прозрачной Kerberos-аутентификации.

Отключение DNSSEC, настройка глобального перенаправления

После установки контроллера домена необходимо отключить DNSSEC и разрешить рекурсивные запросы, содержимое файла /etc/bind/ipa-options-ext.conf должно быть следующим:

allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;

Для проверки конфигурационного файла службы bind9-pkcs11 после внесения изменений можно использовать команду:

sudo named-checkconf /etc/bind/named.conf

Для применения изменений требуется перезапустить DNS-службу:

sudo systemctl restart bind9-pkcs11.service

Для завершения настройки на портале управления рекомендуется добавить настройку глобального перенаправления, чтобы служба BIND9 использовала внешний DNS-сервер, а не обходила все DNS-серверы, начиная с корневых, каждый раз. На вкладке Роли и службы сайтаСлужба разрешения именГлобальная конфигурация DNS рекомендуется установить адрес публичного DNS, например, от Яндекс 77.88.8.8, с политикой перенаправления Сначала перенаправлять.

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_8.png

Рисунок 93 Настройка глобального перенаправителя

Ввод компьютера в домен

Установка операционной системы

Рабочие станции могут работать под управлением ALSE в широком диапазоне версий: 1.7.6, 1.7.6.UU1, 1.7.6.UU2, 1.7.7, 1.7.7.UU1, 1.7.7.UU2, 1.7.8, 1.7.9, 1.8.1, 1.8.1.UU1, 1.8.1.UU2, 1.8.2, 1.8.2.UU1, 1.8.3, 1.8.3.UU1, 1.8.4, 4.7.6. В релизе ALD Pro 3.2.0 мы расширили поддержку новых версий ALSE из очередных обновлений 1.7 и 1.8. Также доступна возможность присоединения к домену других видов операционных систем. Например, можно управлять в домене планшетами на архитектуре ARM с операционной системой ALSE 4.7.6 и компьютерами на операционных системах Альт Рабочая станция 10.4, Альт СП Рабочая станция 10, РЕД ОС 7.3.5, РЕД ОС 8.

Установите операционную систему с графическим окружением и любым уровнем защищенности, используя образ диска ALSE 1.7.8.

Настройка сети для доступа к репозиториям

Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru.

На пользовательских компьютерах настройка сети выполняется через стандартную службу NetworkManager. В реальной инфраструктуре для настройки пользовательских компьютеров используется DHCP, но вы можете назначить на вкладке «Параметры IPv4» следующие настройки вручную:

  • Метод: Вручную

  • Адрес: 10.0.1.51

  • Маска: 255.255.255.0

  • Шлюз: 10.0.1.1

  • Серверы DNS: 10.0.1.11 (адрес DC-1)

  • Поисковый домен: ald.company.lan

../../_images/instrukciya-po-razvertyvaniyu-ald-pro_9.png

Рисунок 94 Настройка сети для доступа к сети Интернет

Настройка доступных репозиториев

На рабочих станциях репозитории настраиваются так же, как и на сервере.

Для доступа к репозиториям операционной системы ALSE 1.7.8 установите следующее содержимое файла /etc/apt/sources.list:

# cat /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free

Для установки продукта ALD Pro 3.2.0 нужно создать файл /etc/apt/sources.list.d/aldpro.list и установить следующее содержимое файла:

# cat /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/3.2.0/ 1.7_x86-64 main base free

После изменения состава репозиториев следует обновить индекс доступных пакетов с помощью команды:

sudo apt update

Установка пакетов

Теперь система готова к установке клиентской части ALD Pro. Выполните следующую команду:

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

Если перезагружать пользовательский компьютер сейчас, то в сообщениях ядра можно будет увидеть ошибки запуска sssd и зависящих от нее служб (журнал загрузки можно найти в файле /var/log/boot.log). Это происходит по причине того, что система еще не настроена соответствующим образом (журнал службы sssd можно найти в файле /var/log/sssd/sssd.log).

Ввод компьютера в домен

Для ввода компьютера в домена требуется несколько условий:

  • имя хоста и содержимое /etc/hosts соответствуют установленным правилам (см. раздел Указание имени сервера

  • для успешного применения групповых политик сразу после ввода в домен имя хоста должно соответствовать содержимому файла /etc/hosts до начала ввода (см. раздел Указание имени сервера

  • компьютеру необходимо присвоить уникальное имя в пределах домена, а также незанятый ip-адрес в соответствующей подсети;

  • в качестве DNS-сервера должен быть указан IP адрес контроллера домена;

  • установлен пакет клиентского программного обеспечения aldpro-client.

Для установки имени компьютера, например pc-1 в домене ald.company.lan необходимо сперва проверить его уникальность в домене. Сделать это можно командой nslookup:

nslookup pc-1

В домене «ald.company.lan» компьютеру следует задать имя «pc-1.ald.company.lan»:

hostnamectl set-hostname pc-1.ald.company.lan

С версии 3.2.0 утилита aldpro-client-installer получила новый ключ --guiless, который является синонимом для ключа -i (--gui) прежних версий. При использовании любого из этих ключей утилита запускается в режиме командной строки, а если ни один из них не указан, то в графическом режиме.

Все готово для ввода компьютера в домен, для этого выполните следующую команду:

sudo aldpro-client-installer --guiless --domain ald.company.lan --account admin --host pc-1 --orgunits "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"

После ввода команды система запросит ввести пароль администратора домена.

Параметры утилиты aldpro-client-installer:

  • --domain — имя домена, которое выбрано на основе третьего уровня приобретенного домена, например, ald.company.lan;

  • --account — логин администратора домена;

  • --host — имя компьютера в нижнем регистре;

  • --guiless — запуск программы в режиме командной строки;

  • --orgunits — организационное подразделение в которое будет выполнен ввод. Параметр не является обязательным. Если он не был указан или целевое подразделение не обнаружено в каталоге, то ввод компьютера будет выполнен в корневое подразделение домена.

Важно

Если применить ключ --force, то будут пропущены все проверки безопасности, выполняемые утилитой.

Ввод компьютера в домен будет продолжен, даже если в домене для его имени уже есть УЗ!

Не рекомендуется применять ключ без необходимости, так как это может нарушить структуру домена и привести к нежелательным последствиям!

Целесообразно применять ключ для принудительного ввода в домен компьютера в тех случаях, когда администратор переустанавливает ОС и хочет ввести компьютер в домен с тем же именем.

Описание параметров командной строки доступно при выводе справочной информации в окне терминала:

sudo aldpro-client-installer --help

Для применения всех настроек выполнить перезагрузку компьютера:

reboot

После перезагрузки вы сможете войти в систему, используя доменную учетную запись администратора. Для первого входа в систему доменной учетной записью требуется доступ к контроллеру домена.