Справочный центр ALD Pro 3.2.1
Руководство администратора. Редакция Free. Установка из графического интерфейса¶
Введение¶
Редакция Free предоставляет возможность ознакомления с базовыми возможностями продукта ALD Pro или создания домена в небольших организациях, относящихся к категории SOHO (Small office/home office).
В редакции Free доступны следующие функции:
установка одного контроллера домена;
централизованная аутентификация для 25 пользователей домена;
управление настройками через механизм групповых политик для 25 компьютеров;
подключение к удаленному рабочему столу пользователей для оказания технической поддержки;
доверительные отношения с одним доменом MS Active Directory;
гарантированная возможность установки обновлений.
Развертывание контроллера домена¶
Установка операционной системы¶
Минимальные требования для контроллера домена: 4 CPU, 8 Гб RAM, 50 Гб SSD. Контроллеры домена и подсистемы продукта необходимо устанавливать на операционную систему ALSE версий 1.7.8, 1.7.9 (полный перечень совместимых ОС представлен в Руководство администратора Часть 1 → Матрица совместимости ПК ALD Pro).
Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск», используя образ диска ALSE 1.7.8. В ходе установки придерживайтесь следующих рекомендаций:
Именем компьютера оставьте «astra» по умолчанию, домен не указывайте.
Локальным администратором укажите пользователя «localadmin».
Настройку сети пропустите.
При разметке диска выберите пункт «Авто – использовать весь диск и настроить LVM» и схему разметки «Все файлы в одном разделе».
Версию ядра оставьте «6.1-generic» по умолчанию. Не используйте варианты «hardened» (с усиленной самозащитой) и «lowlatency» (с увеличенной до 1000 Гц частотой переключения задач), которые доступны для версии 5.15, но не поддерживаются продуктом ALD Pro.
Из пакетов программ по умолчанию можно исключить, например, «Средства работы с графикой», но добавить «Средства удаленного подключения SSH».
При выборе дополнительных параметров укажите уровень защищенности «Смоленск» и оставьте включенными флажки «Мандатный контроль целостности» и «Мандатное управление доступа». В тестовых средах для удобства работы можно отключить флажок «Запрос пароля для команды sudo».
Если указали неправильное имя сервера во время установки ОС, то его можно изменить до установки пакетов продукта. Для этого откройте окно для выполнения команд сочетанием клавиш <Win> + <R> и выполните команду:
sudo hostnamectl set-hostname dc-1.ald.company.lan
Рисунок 95 Изменение имени компьютера после установки системы¶
Настройка сетевого интерфейса¶
Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным в сети Интернет по адресу https://dl.astralinux.ru
При установке ALSE с графической оболочкой fly-wm управление сетевыми соединениями осуществляется через службу NetworkManager и одноименный апплет, поэтому для настройки сети необходимо сделать следующее:
Щелкнуть правой кнопкой мыши по иконке «Сетевые соединения» в правом нижнем углу экрана (в области уведомлений);
В контекстном меню выбрать пункт «Изменить соединения».
Рисунок 96 Изменить сетевые подключения¶
Сделать двойной клик по заголовку «Проводное соединение 1»
Рисунок 97 Изменить проводное соединение¶
На вкладке «Параметры IPv4» указать следующее:
Метод: Вручную
Адрес: 10.0.1.11
Маска: 255.255.255.0
Шлюз: 10.0.1.1
Серверы DNS: 77.88.8.8 (бесплатная служба разрешения имен от Яндекс).
Рисунок 98 Настройка сети для доступа к сети Интернет¶
После изменения настроек требуется отключиться от сети и подключиться еще раз, чтобы изменения вступили в силу. Для проверки системы запустите браузер и попробуйте открыть страницу https://yandex.ru.
Настройка доступных репозиториев¶
Настройку репозиториев будем выполнять с помощью графической утилиты «Менеджер пакетов Synaptic». Для запуска приложения откройте меню «Пуск», введите слово «synaptic» и кликните по названию приложения в результатах поиска.
Рисунок 99 Поиск приложения Synaptic¶
Далее в меню «Настройки» откройте окно «Репозитории».
Рисунок 100 Открытие окна Synaptic для настройки репозиториев¶
Уберите флажки с репозиториев, которые были добавлены по умолчанию, и добавьте следующие три репозитория. По завершению редактирования списка нажмите кнопку «ОК» и далее кнопку «Обновить» в диалоговом окне с предупреждением о том, что список репозиториев был изменен и для внесения изменений требуется обновление индекса пакетов.
Основной репозиторий Astra Linux:
Тип: Двоичный (deb)
URL:
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-mainДистрибутив:
1.7_x86-64Разделы:
main non-free contrib
Базовый репозиторий Astra Linux:
Тип: Двоичный (deb)
URL:
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-baseДистрибутив:
1.7_x86-64Разделы:
main non-free contrib
Репозиторий Astra Linux с обновлениями:
Тип: Двоичный (deb)
URL:
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-updateДистрибутив:
1.7_x86-64Разделы:
main non-free contrib
Репозиторий ALD Pro:
Тип: Двоичный (deb)
URL:
https://dl.astralinux.ru/aldpro/frozen/01/3.2.0/Дистрибутив:
1.7_x86-64Разделы:
main base free
Рисунок 101 Настройка репозиториев в Synaptic¶
Установка пакетов¶
Теперь система готова к установке ALD Pro. Выполните поиск пакета по имени aldpro-mp-free.
Рисунок 102 Поиск пакета aldpro-mp-free в Synaptic¶
Кликните дважды по имени пакета, чтобы выбрать пакет и его зависимости для установки, и нажмите кнопку «Применить». В ходе установки один из пакетов потребует интерактивного ввода, поэтому нужно будет раскрыть блок «Подробнее» и нажать клавишу Enter.
Рисунок 103 Подтверждение установки¶
Сразу после установки пакетов контроллера домена рекомендуется удалить локатор библиотеки libkrb5 от службы winbind, который может приводить к значительным задержкам в работе Kerberos-аутентификации на контроллере домена. Откройте окно для выполнения команд сочетанием клавиш Win + R и выполните команду:
sudo rm /usr/lib/x86_64-linux-gnu/krb5/plugins/libkrb5/winbind_krb5_locator.so
Рисунок 104 Удаление локатора службы Winbind¶
Прежде чем продолжить, проверьте журнал пакетного менеджера на предмет ошибок. Перезагружать сервер сразу после установки пакетов не требуется. Если вы захотите сделать резервную копию и будете перезагружать сервер, то в журнале загрузки могут появляться сообщения об ошибках, связанные с необходимостью завершить настройку сервера, которые нужно игнорировать.
Повышение роли сервера до контроллера домена с помощью графической утилиты aldpro-dcpromo¶
Повышения роли сервера до контроллера домена будем выполнять с помощью графической утилиты aldpro-dcpromo, которая предоставляет дополнительные проверки входных параметров и позволяет привести систему в исходное состояние, если в ходе установки произойдет ошибка.
Загрузите файл aldpro-dcpromo_1.0.2.deb по ссылке или из личного кабинета. Для установки пакета откройте его двойным щелчком в приложении «QApt» и нажмите кнопку «Установить пакет».
Важно
В предыдущих версиях утилиты требовалась дополнительная установка модулей astra-installer-framework и astra-installer-modules. Начиная с версии ALD Pro 3.2.0, данные модули входят в состав пакета aldpro-common, поэтому их отдельная установка не требуется.
После установки пакета утилита готова к использованию, запустить ее можно через меню «Пуск → ALD Pro → ALD Pro dcpromo».
Рисунок 105 Запуск утилиты aldpro-dcpromo¶
Приложение открывает два окна: мастер установки и терминал для отображений событий из журналов. Пожалуйста, не закрывайте окно терминала, так как это приведет к завершению работы приложения.
Рисунок 106 Окна утилиты aldpro-dcpromo¶
Если хост не соответствует системным требованиям, утилита отобразит предупреждение. Если вы нажмете кнопку Игнорировать и продолжить, установка и корректная работа системы не гарантируется.
Рисунок 107 Проверка требований к системе¶
После проверки системных требований необходимо указать имя хоста, домен и IP-адрес. Утилита попытается заполнить поля автоматически, используя содержимое файла /etc/hosts, но если это не получится, значения нужно будет ввести вручную.
Рисунок 108 Основные настройки¶
Продолжить установку можно будет только после корректного заполнения полей. При нажатии на значок с символом вопроса ? отобразится подсказка по заполнению соответствующего поля. После заполнения параметров нажмите кнопку Продолжить.
Рисунок 109 Пояснение к заполнению полей¶
Далее можно указать дополнительные параметры установки. Если выбрать глобальный каталог или модуль синхронизации, то соответствующие пакеты будут дополнительно установлены из репозитория.
Важно
Необходимо отключить настройки глобального каталога, поскольку в версии Free они не используются и вызовут ошибки при установке.
Рисунок 110 Параметры установки¶
Следующим шагом необходимо задать пароль для администратора домена admin, этот же пароль будет установлен и суперпользователю LDAP-каталога cn=Directory Manager. Проверка сложности пароля выполняется автоматически.
Рисунок 111 Ввод пароля администратора¶
В процессе установки подробная информация о выполняемых действиях будет отображаться в окне терминала, а мастер установки будет показывать общий прогресс.
Рисунок 112 Прогресс установки¶
По завершению установки отобразится окно с успешным окончанием операции.
Рисунок 113 Окно с успешным окончанием операции¶
Сразу после установки контроллера домена в настройках NetworkManager в качестве DNS-сервера нужно указать IP-адрес локальной петли 127.0.0.1, чтобы запросы на разрешение имен обрабатывались собственной службой BIND9.
Рисунок 114 Настройка DNS для работы с BIND9¶
Если в процессе установки произойдет ошибка, отобразится окно с предложением вернуть систему в исходное состояние. Перед повторной установкой после «отката» нужно обязательно перезагрузить сервер.
Дополнительная настройка DNS-службы¶
Мастер установки автоматически отключает DNSSEC и включает возможность рекурсивных DNS-запросов из других сетей, поэтому остается только настроить глобальный перенаправитель, чтобы служба BIND9 использовала внешний DNS-сервер, а не обходила все DNS-серверы, начиная с корневых, каждый раз. Для этого на портале управления https://dc-1.ald.company.lan на вкладке «Роли и службы сайта → Служба разрешения имен → Глобальная конфигурация DNS» рекомендуется установить адрес публичного DNS, например от Яндекс 77.88.8.8, с политикой перенаправления «Сначала перенаправлять».
Рисунок 115 Настройка глобального перенаправителя¶
Ввод компьютера в домен¶
Теперь система готова к установке клиентской части ALD Pro. Выполните следующую команду:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
Для присоединения компьютера под управлением ОС ALSE к домену с помощью графической утилиты aldpro-client-installer все предыдущие этапы по подготовке виртуальной машины должны быть точно такими же, включая настройку сетевого интерфейса и добавление репозиториев продукта.
Для успешного ввода компьютера в домен требуется соблюдение нескольких условий:
компьютеру необходимо присвоить уникальное имя в пределах домена, а также незанятый ip-адрес в соответствующей подсети;
имя хоста и содержимое /etc/hosts соответствуют установленным правилам (см. Руководство Администратора Редакция Free → Указание имени сервера);
для успешного применения групповых политик сразу после ввода в домен имя хоста должно соответствовать содержимому файла
/etc/hostsдо начала ввода (см. Руководство Администратора Редакция Free → Указание имени сервера);в качестве DNS-сервера должен быть указан IP-адрес контроллера домена (см. Руководство Администратора Редакция Free → Временная настройка сетевого интерфейса);
установлен пакет клиентского программного обеспечения
aldpro-client.
Запуск утилиты aldpro-client-installer в графическом режиме осуществляется из меню Пуск → ALD Pro → Ввод компьютера в домен ALD Pro.
Важно
Если при запуске утилиты в графическом режиме возникнет ошибка:
qt.qpa.xcb:could not connect to display:0
значит имя хоста было изменено после входа в систему. В этом случае вам нужно перезапустить графическую сессию следующей командой:
sudo systemctl restart fly-dm
С версии 3.2.0 утилита aldpro-client-installer предоставляет функцию изменения имени компьютера до начала ввода в домен. Для этого необходимо нажать кнопку Изменить напротив поля с именем компьютера, ввести новое имя и нажать Ок.
Рисунок 116 Изменение имени компьютера в графическом режиме¶
Если имя компьютера было изменено, следует соответствующим образом изменить содержимое файла /etc/host до начала ввода в домен. В противном случае групповые политики не смогут быть корректно применены после завершения операции ввода.
После изменения имени компьютера работа с утилитой может быть продолжена, однако если приложение будет закрыто, то повторный запуск возможен только после перезапуска графической оболочки. Для этого можно:
выйти из сессии и повторно войти в систему;
перезагрузить компьютер.
Положение переключателя Состояние указывает на то, является ли компьютер участником домена на момент запуска утилиты. Установите переключатель в положение Участник домена ALD Pro и введите имя домена, например, ald.company.lan и нажмите кнопку ОК.
Рисунок 117 Окно Присоединение к домену¶
В окне «Аутентификация в домене» сперва убедитесь, что радиокнопка «Тип аутентификации» установлена в положение «По учётным данным». После этого введите учетные данные доменного администратора. Это может быть пользователь admin, но можно создать отдельную учетную запись, привилегий которой будет достаточно только для ввода машин в домен. Информация о том, как создать такую учетную запись, представлена в руководстве администратора.
Рисунок 118 Окно Аутентификация в домене¶
Выберите организационное подразделение, в котором требуется создать учетную запись компьютера и нажмите «Ок».
Рисунок 119 Окно выбора подразделения¶
Для корректного завершения операции ввода в домен необходимо перезагрузить компьютер. Для этого можно подтвердить информационное сообщение с предложением перезагрузки, которое при успехе операции будет выведено автоматически.
Обратите внимание, что утилита сразу применяет групповые политики, политики ПО и задания автоматизации, поэтому наберитесь терпения, процедура присоединения компьютера к домену может занять некоторое время.