Astra linux сервер домена

Astra Linux Directory (ALD)

Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.

Установка пакетов

Установку пакета ald-server можно выполнить:

• либо при инсталляции ОС в:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);

  Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):

  Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:

  После завершения всех действий по установке графический инструмент будет доступен в меню:

  Подготовка к настройке

  Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
  При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.

  127.0.0.1 localhost
  111.111.111.111 server.domain.ald server

  111.111.111.112 arm.domain.ald arm

  # The following lines are desirable for IPv6 capable hosts
  ::1 localhost ip6-localhost ip6-loopback
  ff02::1 ip6-allnodes
  ff02::2 ip6-allrouters

  Настройка сервера ALD

  С помощью графического пакета

  Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:

  Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.

  Из командной строки

  Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :

  Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.

  Подключение клиента к домену ALD

  Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены

  Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:

  Для подключения клиентов с помощью командной строки используйте команду

  1 комментарий

  Неизвестный пользователь (amatveev)

  К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf

  Источник

  ALD Pro. Почему мы решили сделать свое решение для централизованного управления доменом на ОС Astra Linux

  Это моя первая статья на «Хабре», и для начала я бы хотел представиться. Меня зовут Евгений Паутов. С сентября 2020 года я работаю менеджером продукта ALD Pro в ГК «Астра». Если говорить о компании, то ее основное направление — это разработка отечественной операционной системы Astra Linux. Помимо самой ОС, ведется разработка нескольких прикладных решений:

  • программный комплекс для централизованного управления доменом ALD Pro;
  • система виртуализации «Брест»;
  • диспетчер подключений виртуальных рабочих мест Termidesk;
  • средства резервного копирования RuBackup;
  • система управления корпоративной почтой RuPost.

  Более подробную информацию об этих продуктах можно найти на официальном сайте компании.

  В этой статье речь пойдет про ALD Pro.

  Сегодня для администрирования домена на Linux в основном используется открытый программный продукт FreeIPA. Решение достаточно популярное и многофункциональное. Но для его использования требуется достаточно хорошее понимание работы Linux-систем. Также необходимо знание английских терминов, так как перевод FreeIPA не всегда бывает точным и не совпадает с терминологией, к которой привыкли администраторы Windows. В итоге мы получаем ситуацию, когда на волне повсеместного импортозамещения администраторам, привыкшим к работе с MS Active Directory, требуется дополнительное время на погружение и изучение специфики Linux. Для организаций это влечет дополнительные ресурсы на обучение сотрудников, а иногда временные задержки при переходе на отечественное ПО. Особенно это заметно при внедрении в регионах, где не всегда можно встретить достаточно квалифицированных специалистов.

  Даже имея соответствующую квалификацию и опыт работы, администрировать Linux порой непросто: до сих пор не было доступных решений для работы с групповыми политиками, удаленной установки ПО и других вещей, с которыми админы сталкиваются ежедневно. Приходится использовать несколько решений, а не только FreeIPA, и часто возникает необходимость в написании скриптов или даже программировании.

  Мы воспользовались опытом нашего департамента внедрения и сопровождения в части развертывания и настройки у заказчиков систем управления доменом и собрали функциональные требования к системе, которая позволила бы упростить как администрирование Linux, так и переход на подобное решение с импортного ПО. После этого провели аналитику рынка текущих программных продуктов и в результате пришли к выводу, что систем с требуемой функциональностью практически нет.

  Мы декомпозировали весь скоуп требований, расписали пользовательские сценарии и приступили к разработке системы. В этот раз мы начали не с написания кода, а с проектирования интерфейса, ориентируясь на необходимый клиентам функционал. Каждый макет, каждая экранная форма и сценарии в целом согласовывались со специалистами из департамента внедрения, которые понимают специфику администрирования ОС Astra Linux и имеют достаточный опыт работы с администраторами.

  На первом этапе был разработан и протестирован на фокус-группе кликабельный прототип системы. Параллельно мы спроектировали архитектуру, выбрали оптимальные компоненты, чтобы построить полноценное решения для администрирования домена. Подробнее о критериях и методике выбора компонент я расскажу в следующей статье.

  Итак, что же такое ALD Pro?

  ALD Pro представляет собой web-приложение с доступом из браузера. Обязательное условие для начала работы с системой — наличие соответствующих прав доменной учетной записи администратора. Авторизация происходит по протоколу Kerberos, и сотруднику не требуется вводить учетные данные.

  При запуске системы администратор видит экран рабочего стола, где по модулям разделена вся базовая функциональность для администрирования парка компьютеров.

  

  ALD Pro позволяет настраивать и управлять:

  • параметрами домена;
  • иерархией организационной структуры;
  • объектами домена: компьютерами, пользователям и группами;
  • групповыми политиками организаций и подразделений (по аналогии с MS Active Directory);
  • политиками паролей и доступом к узлу;
  • ролями и службами сайтов;
  • такими сетевыми сервисами как разрешение имен, синхронизация времени, DNS, службы печати и доступ к файлам.

  Помимо управления самим доменом, в системе реализован ряд других немаловажных функций:

  • установка ОС по сети;
  • инсталляция и обновление ПО на подключенных компьютерах;
  • удаленный доступ к рабочим столам пользователей;
  • мониторинг состояния домена и серверов;
  • журналирование событий и просмотр системных логов;
  • миграция данных из MS Active Directory.

  Интерфейс системы ориентирован на максимально удобное и простое использование:

  

  Информация о работе с ALD Pro доступна прямо из интерфейса — нет необходимости читать отдельную документацию.

  

  По нажатию на кнопку открывается «Справочный центр» с полной информацией о работе с ALD Pro в соответствии со структурой системы.

  

  Разделы сгруппированы логически, а навигация по ним вынесена в верхнюю часть, что позволило увеличить полезную рабочую область.

  

  В списки вынесена наиболее важная оперативная информация, а также реализованы сквозной поиск и фильтрация данных.

  

  Часто используемые функции, такие как меню или элементы управления групповыми операциями, по умолчанию скрыты и отображаются в зависимости от контекста (выполняемых действий).

  

  Результат выполнения операций отображается в виде уведомлений.

  

  Для полей ввода данных добавлены текстовые пояснения на русском языке, а также настроены правила валидации для исключения ошибок при вводе информации.

  Забегая вперед, скажу, что «под капотом» для управления службой каталогов используется та же FreeIPA, но с некоторыми изменениями в части работы с ней:

  • добавлена возможность управления иерархией подразделений как отдельной сущностью, аналогично оргюнитам в MS AD;
  • оптимизирована скорость работы FreeIPA при работе с большим количеством записей;
  • в интерфейс ALD Pro вынесены только необходимые поля данных, которые нужно заполнить, и это позволило значительно «разгрузить» интерфейс пользователя;
  • есть возможность добавлять кастомные поля в карточки пользователей (на уровне объектов домена).

  Roadmap ALD Pro

  В апреле 2021 выпущен MVP системы, который в течение всего года был продемонстрирован более 100 организациям. С января 2022 года многие заказчики уже получили релиз-кандидат, который смогли протестировать самостоятельно.

  На основании обратной связи можно делать вывод, что рынок нуждается в подобном решении — многие хотели бы его использовать.

  Безусловно, многие функции, которые есть в MS AD, еще предстоит реализовать, но базовые сценарии администрирования уже будут доступны в 1 релизе, который запланирован на первую половину 2022 года.

  Наша команда верит: администрировать Linux станет проще и удобнее. Идея и кредо, заложенное в продукт, звучит так: «Простое решение сложных задач».

  Источник

  Читайте также:  Настройка grub windows linux