Astra linux создание домена

Astra Linux Directory (ALD)

Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.

Установка пакетов

Установку пакета ald-server можно выполнить:

• либо при инсталляции ОС в:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);

  Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):

  Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:

  После завершения всех действий по установке графический инструмент будет доступен в меню:

  Подготовка к настройке

  Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
  При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.

  127.0.0.1 localhost
  111.111.111.111 server.domain.ald server

  111.111.111.112 arm.domain.ald arm

  # The following lines are desirable for IPv6 capable hosts
  ::1 localhost ip6-localhost ip6-loopback
  ff02::1 ip6-allnodes
  ff02::2 ip6-allrouters

  Настройка сервера ALD

  С помощью графического пакета

  Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:

  Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.

  Из командной строки

  Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :

  Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.

  Подключение клиента к домену ALD

  Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены

  Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:

  Для подключения клиентов с помощью командной строки используйте команду

  1 комментарий

  Неизвестный пользователь (amatveev)

  К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf

  Источник

  Настройка домена ALD в Astra Linux

  

  Я администрирую серверы на базе Astra Linux и хочу рассказать о своем видении настройки ALD домена: серверной части, клиентской, использовании файла hosts (по сравнению с DNS сервером). Также дам описание настройки резервного сервера.

  ALD мне интересен в первую очередь потому, что уже имеет интеграцию с Astra Linux. Статья будет вам полезна, если вы собираетесь узнать больше о Astra Linux не только из официальной wiki. Кроме того, эту операционную систему (вместе с рядом других решений компании «Астра») смогут поставить на виртуальную машину клиенты публичного облака #CloudMTS.

  Серверная часть

  Настройку произвожу на виртуальных машинах в virtualbox, на сервере ip-адрес 192.168.1.1, также на данном сервере расположен репозиторий (настройка ip-адресов и репозиториев ничем не отличаются от настроек в Debian, на базе которой построена Astra). Первое, что необходимо настроить — это синхронизацию времени: поднимем ntp сервер, который будет брать время с текущей машины. Для это нужно отредактировать файл /etc/ntp.conf, внеся в него следующие изменения:

  server 127.127.1.0 fudge 127.127.1.0 stratum 10 restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

  Параметры подсети укажите в соответствии с вашими ip адресами.

  systemctl enable ntp systemctl start ntp

  Вы можете использовать DNS сервер — bind, например. Он присутствует в стандартном репозитории Astra Linux. На мой взгляд, использование файл hosts — это более простая реализация, чем полноценный DNS сервер. При этом корректно настроенный файл /etc/hosts должен быть одинаковый на всех машинах в домене. Перед редактированием данного файла зададим корректное hostname для сервера:

  hostnamectl set-hostname dc1.local

  В данной ситуации hostname сервера будет dc1, а имя домена, соответственно, local, именно на эти параметры будет ориентироваться ald-server при инициализации. Последним штрихом перед инициализацией ald сервера будет корректная настройка файла /etc/hosts:

  127.0.0.1 localhost #127.0.1.1 hostname 192.168.1.1 dc1.local dc1 192.168.1.2 dc2.local dc2 192.168.1.101 host1.local host1 192.168.1.102 host2.local host2

  Обязательно необходимо «закомментировать» 127.0.1.1, а также важна последовательность указания полного имени хоста, т. е. первым должно быть указано имя хоста с доменом, и только потом имя хоста без домена.

  В данном примере указан один домен и две рабочие станции. Если рабочих станций больше, то, соответственно, всех их необходимо перечислить в данном файле, а также скопировать данный файл на все машины, которые планируется ввести в домен. После этого можно приступать к установке необходимых пакетов, а также инициализации сервера:

  sudo apt install ald-server-common fly-admin-ald-server smolensk-security-ald

  Пакет smolensk-security-ald добавит возможность администрировать ald сервер в стандартной утилите fly-admin-smc (об этом будет рассказано далее).

  Во время установки будет запрос на создание пароля администратора домена. Для текущей публикации будет создан пароль 12345678, далее данный пароль будет использован для ввода всех машин в домен.

  ВАЖНО. Если по каким-то причинам у вас сбились настройки сервера, то их можно отредактировать в файле /etc/ald/ald.conf. В текущем файле важен параметр DOMAIN, значение данного параметра всегда должно начинаться с . (точки), т.е. в текущем примере данная строка будет выглядеть так:

  Инициализируем сервер командой:

  После инициализации необходимо перезагрузить сервер. В процессе инициализации домена будет еще запрос на создание пароля администратора домена, а также запрос на создание пароля на базу данных kerberos. Если все прошло удачно, то на экране появится сообщение:

  

  Теперь приступим к настройке клиентской части.

  Клиентская часть

  Настроим ntp клиента для синхронизации времени, скопируем файл hosts с сервера, зададим имя хоста, а также настроим /etc/ald/ald.conf. В файле /etc/ntp.conf необходимо добавить строки:

  systemctl start ntp systemctl enable ntp

  Зададим имя хоста (в данном пример ip адрес хоста 192.168.1.101):

  hostnamectl set-hostname host1

  Перед настройкой ald.conf необходимо установить необходимые пакеты:

  sudo apt install fly-admin-ald-client ald-client

  Ниже представлен пример файла ald.conf (данный файл аналогичен файлу ald.conf с сервера):

  

  Теперь можно ввести машину в домен командой:

  После ввода машины в домен ее необходимо перезагрузить. Во время инициализации необходимо ввести пароль учетной записи, у которой имеются права на ввод машины в домен.

  Если все прошло удачно, то на экране отобразится следующий текст:

  

  Резервный сервер ald

  На будущем резервном сервере необходимо установить пакеты:

  sudo apt install ald-server-common smolensk-security-ald

  И отредактировать файл /etc/ald/ald.conf, изменив один параметр:

  

  Далее зададим корректное имя хоста для резервного сервера:

  sudo hostnamectl set-hostname dc2.local

  Теперь инициализируем резервный сервер командой:

  После выполнения данной команды, сервер перейдет в резервный режим. После инициализации необходимо перезагрузить машину.

  Если, например, основной сервер вышел из строя, то для перевода резервного сервера в основной режим необходимо выполнить команду:

  Необходимо на всех клиентских рабочих станциях отредактировать файл /etc/ald/ald.conf. Как это сделать одной командой — расскажу в разделе «Дополнительно».

  

  В данном файле необходимо изменить параметры SERVER и SERVER_ID:

  SERVER=dc2.local #dc2.local – резервный сервер SERVER_ID=2 #2 – id резервного сервера

  И далее выполнить команду:

  sudo ald-client commit-config

  Администрирование ald сервера

  Как было написано ранее, администрирование можно производить через стандартную системную утилиту fly-admin-smc. Ее можно запустить через консоль, либо в панели управления, перейдя на вкладку «Безопасность» и запустив аплет «Политика безопасности». Первым делом необходимо настроить политику паролей в соответствии с вашими требованиями:

  

  Выше представлена вкладка политики паролей. После настройки политики можно приступить к созданию пользователей и настройке их прав.

  

  На вкладке «Пользователи» необходимо нажать кнопку +, ввести имя пользователя, тип файловой системы, установить local (также можно хранить каталоги на сетевых ресурсах), а также убрать галку «новая» напротив надписи «Первичная группа». При этом пользователь будет добавлен в группу «domain user». Далее создадим пароль для пользователя.

  

  На вкладке «Привилегии домена» можно сделать пользователя «администратором» домена, а также разрешить авторизацию с конкретных доменных машин, или с любых машин, входящих в домен.

  

  На вкладке «МРД» указываем, к каким меткам пользователь имеет доступ, а также уровень целостности.

  

  Дополнительно: «заливка» hosts на все рабочие станции

  Представьте ситуацию, в будущий домен будет входить 100 или более машин. Раскидать в ручную файл hosts — проблематично. В данной ситуации поможет bash с СИ подобным синтаксисом.

  На тестовом стенде имеется подсеть 192.168.1.0/24, 192.168.1.1 — сервер, 192.168.1.2 — 192.168.1.100 — рабочие станции. На каждой машине (в том числе и на сервере) имеется пользователь user с паролем 12345678. Данный пользователь должен быть полноценным администратором (с доступом к sudo, во время установки системы создается пользователь имеющий данные права) и иметь уровень целостности 63. Для данной цели необходимо выполнить следующие команды:

  sudo usermod -aG astra-admin,astra-console user sudo pdpl-user -l 0:0 -i 63 user

  Если пользователь user отсутствует в системе, выполним следующие команды:

  sudo useradd -m -G astra-admin,astra-console -s /bin/bash user sudo passwd user sudo pdpl-user -l 0:0 -i 63 user 

  Чтобы не вводить пароль при распространении ключей, необходимо установить утилиту sshpass:

  Теперь можно приступить к формированию ключа (без sudo, с правами пользователя user), для беспарольного доступа:

  Распространим ключи на рабочие станции:

  Скопируем файл hosts на все машины с помощью утилиты scp:

  После выполнения данных команд файл hosts будет распространен на все машины, которые будут входить в домен.

  Таким же образом можно редактировать данный файл на всех хостах в домене. Например, нам необходимо удалить строку с именем хоста host40:

  Если необходимо переключиться на резервный сервер на всех клиентских машинах, выполним команду:

  На этом у меня сегодня всё, спасибо за ваше внимание.

  Делитесь в комментариях вашим опытом.

  Выбрать готовые образы программных решений для виртуальных машин IaaS можно в личном кабинете на сайте #CloudMTS.

  Источник

  Читайте также:  Linux synaptic что это