Домен безопасности astra linux

Astra Linux Directory (ALD)

Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.

Установка пакетов

Установку пакета ald-server можно выполнить:

  • либо при инсталляции ОС в:
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
    • Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
    • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);

    Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):

    Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:

    После завершения всех действий по установке графический инструмент будет доступен в меню:

    Подготовка к настройке

      Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
      При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.

    127.0.0.1 localhost
    111.111.111.111 server.domain.ald server

    111.111.111.112 arm.domain.ald arm

    # The following lines are desirable for IPv6 capable hosts
    ::1 localhost ip6-localhost ip6-loopback
    ff02::1 ip6-allnodes
    ff02::2 ip6-allrouters

    Настройка сервера ALD

    С помощью графического пакета

    Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:

    Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.

    Из командной строки

    Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :

    Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.

    Подключение клиента к домену ALD

    Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены

      Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:

    Для подключения клиентов с помощью командной строки используйте команду

    1 комментарий

    Неизвестный пользователь (amatveev)

    К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf

    Источник

    Устанавливаем ALDPro Astra Linux

    Сложность развертывания ALDPro является следствием документации, есть подводные камни, о которых принято умалчивать. Поэтому кратко и по делу.

    В рассматриваемом примере производится развертывание контроллера домена ALDPro, версии 1.4.1 (последней на момент написания) на версию Astra Linux SE 1.7.3 (frozen).

    К сожалению, на хабре не нашлось ни одной верной статьи на эту тему )) то забудут о чем-то упомянуть, то репозиториев нужно чуть ли не все, а это важные моменты.

    Не стоит ставить старые версии, так как обновление ALDPro и ОС на новую версию — тот еще квест.

    Требования к серверу и клиентам одинаковые — основная причина saltstack. Важно соблюсти все требования в этом спойлере!

    Для Astra Linux SE существуют 3 репозитория:

    • Основной репозиторий (main) он же iso
    • Базовый репозиторий (base) (содержит в себе main)
    • Расширенный репозиторий (extended) (не сертифицированные пакеты, без оптимизации под встроенные средства безопасности)

    Для каждого репозитория существует репозиторий срочных обновлений (uu в url)

    Для каждого репозитория существует репозиторий аппаратно зависимых компонентов. (для установки ALD не актуально на текущий момент).

    Так же есть две ветки stable и frozen.

    Для разворачивания ALD Pro — требуется использовать только ветки frozen! Только base и extended! Без срочных обновлений сторонних репозиториев!

    Каких либо проверок во время установки нет, поэтому рекомендуется ставить на чистую установку, попытки экспериментов приведут к частично нерабочему ALDPro.

    Подробности по репозиториям тут.

    Требования !

    • Дистрибутив только Astra Linux SE x86_64
    • Версия дистрибутива только 1.7.2 или 1.7.3
    • Ядро только generic.
    • Мандатный доступ можно отключить.
    • Репозитории только frozen 1.7.2 или 1.7.3.
    • Не запускать apt upgrade, вообще ни где и ни когда!
    • Имя домена и имя сервера — без заглавных букв и без символов.
    • Версии ОС на сервере и клиенте должны совпадать (то есть если сервер 1.7.3 то и клиент должен быть версии на 1.7.3!
    • Пароль минимум 9 символов, но нельзя использовать символ $
    • Можно развернуть только сам контроллер домена без группы серверов.
    • DHCP сервер не обязательный, обновление А записей клиентов будет работать.
    • В процессе установки ОС можно убрать все, кроме рабочего стола fly и системных утилит.
    • Галочки безопасности то же можно все снять.
    • Уровень защищенности для сервера максимальных, для клиентов — любой.

    Версия ALDPro — 1 и имеет обновление (последнее 1.4.1). Скоро выйдет v2.

    Имейте ввиду что обновление с 1.х до последней хоть и заявлено — не пройдет безболезненно и без участия технической поддержки, если вы не разработчик Python и Django. Лично я не хочу тратить время на дебаг кода.

    Спасибо за замечания в комментариях, что еще важно, не путать ALD (samba ad) с ALDPro (FreeIPA), а версию Astra Linux SE (special edition) с CE (common edition).

    Версии уровней защищенности (Орел, Смоленск, Воронеж) — больше юридические отличая, так как бинарно дистрибутивы не отличаются. Как впрочем и сервер от рабочей станции, дистрибутив один и тот же.

    В описном примере использовался дистрибутив: 1.7.3-03.11.2022_15.53

    Подготовка

    Прежде чем приступить к разворачиванию ALD Pro, необходимо подготовить среду операционной системы, пропустим процесс установки, так как он тривиален, важно лишь отметить, что в процессе установки выбирать максимальный уровень защищенности, а авто настройку сети лучше отключать , что бы не мучится после, но это можно сделать и позже. Важно! Рабочий стол Fly (он же гном) — обязательный компонент! В целом (упрощенно) не менее 8Гб ОЗУ и не менее 50Гб HDD/SSD.

    Если сетевое подключение настраивалось в network-manager — отключите его!

    sudo systemctl stop network-manager sudo systemctl disable network-manager sudo apt remove network-manager-gnome

    Настройте сеть на использование статического адреса в /etc/network/interfaces

    sudo nano /etc/network/interfaces auto eth0 iface eth0 inet static address 192.168.0.10 netmask 255.255.255.0 gateway 192.168.0.1 dns-nameservers 77.88.8.8 x.x.x.x y.y.y.y dns-search ald.domain.ru #domain example.com # когда всего один домен но лучше опцию выше

    В документации требует указывать и dns, но по факту создайте файл /etc/resolv.conf и внесите в него данные dns (nameserver 1.1.1.1 или любой).

    sudo nano /etc/resolv.conf nameserver 1.1.1.1 search ald.domain.ru

    Укажите имя будущего контроллера ALDPro

    sudo hostnamectl set-hostname dc01.ald.domain.ru

    Помните! Если нужна интеграция или миграция из MS AD — ни каких заглавных букв и символов включая дефисы и нижние подчеркивания!

    sudo nano /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.0.10 dc01.ald.domain.ru dc01 127.0.1.1 dc01 #(может заглючить salt если убрать, но могу ошибатся не копал глубоко)

    Подключаем репозитории ОС и ALDPro

    sudo nano /etc/apt/sources.list deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-base 1.7_x86-64 main non-free contrib deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-extended 1.7_x86-64 main contrib non-free sudo nano /etc/apt/sources.list.d/aldpro.list deb https://dl.astralinux.ru/aldpro/stable/repository-main/ 1.4.1 main deb https://dl.astralinux.ru/aldpro/stable/repository-extended/ generic main
    sudo nano /etc/apt/preferences.d/aldpro Package: * Pin: release n=generic Pin-Priority: 900

    Намеренно не пишу готовые команды добавления строчек в файлы.

    На последок можно проверить уровень защищенности, команда должна вернуть 2 :

    Когда уровень защищенности ниже 2, переустанавливать не нужно, достаточно ввести команду (подробности тут):

    sudo astra-modeswitch set 2

    Обновляем и перезагружаем!

    sudo apt update && sudo apt dist-upgrade -y

    Важно использовать именно такую команду и нельзя использовать apt upgrade!

    Для обычных версий, не сервера и не клиентов ALDPro используется astra-update -A -r -T

    ПС Специально тикет заводил для уточнения )).

    Установка ALDPro

    Чек лист перед началом установки:

    1. Объем оперативной памяти не менее 8 ГБ (для первого контроллера);
    2. ОС Astra Linux функционирует на максимальном уровне защищенности;
    3. В файле /etc/hostname указано корректное имя в формате FQDN;
    4. В файл /etc/hosts указаны корректные данные первого контроллера домена;
    5. В файл /etc/apt/sources.list указаны репозитории ОС Astra Linux frozen;
    6. В файле /etc/apt/sources.list.d/aldpro.list указаны репозитории;
    7. Присутствует файл приоритета /etc/apt/preferences.d/aldpro;
    8. Сетевой интерфейс имеет статический IP-адрес;
    9. Доступность репозиториев для установки.

    Важно соблюдать все пункты и требования выше под спойлером!

    Процесс установки:

    Установите портал управления ALDPro (он подтянет все остальное):

    sudo DEBIAN_FRONTEND=noninteractive apt-get install -q -y aldpro-mp

    После окончания не перезагружаться! Скорректируйте записи в resolv.conf

    sudo nano /etc/resolv.conf nameserver 127.0.0.1 search ald.domain.ru
    sudo systemctl restart networking

    И выполняем продвижение сервера до роли контроллера домена командой :

    sudo /opt/rbta/aldpro/mp/bin/aldpro-server-install.sh -d ald.domain.ru -n dc01 -p MyPa$$word --ip 192.168.0.10 --no-reboot
    • dc01 — имя контроллера домена;
    • ald.domain.ru — имя домена;
    • 192.168.0.10 — IP адрес контроллера домена, который настраивали ранее;
    • MyPa$$word — пароль доменного администратора (admin).

    перед выполнением желательно проверить nslookup или ping как полное имя так и без суффикса.

    Готово! Подождите минутку две и можно перезагружать.

    После перезагрузки авторизуйтесь на сервере в сеансе рабочего стола под учетной записью доменного администратора (admin), пароль указанный в команде продвижения. В браузере по умолчанию откроется страничка портала (без прозрачной авторизации). Имя вводить без суффикса домена. В случае, когда после перезагрузки в окне авторизации сессии рабочего стола не отображается выбор домена или локального хоста — нажмите Alt+U.

    Установка закончена, но это еще не все!

    Далее на контроллере домена обязательно нужно подправить NTP, конфиг BIND, монтирование USB для клиентов домена, создать правила ограничения доступа к серверам, добавить еще один контроллер, назначить роли для инженеров, которые смогут добавлять компьютеры в домен не имея возможность войти на сам контроллер и поменять настройки, настроить правила авто добавления для группы компьютеров и создать кастомные политики salt для установки и настройки дополнительного ПО. Можно так же запретить локальный вход на компьютерах домена.

    Если публикация интересна и ее пропустят, напишу серию публикаций по дальнейшей настройке и обновлению. Выложу скрипт автоматической установки сервера и клиентов, с дополнительными опциями как переименование компьютера в домене, обновление IP адресов клиентов, настройкой сетевых папок и тд. делал для своего удобства.

    Источник

    Читайте также:  Main linux log file
Оцените статью
Adblock
detector