Astra Linux Directory (ALD)
Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.
Установка пакетов
Установку пакета ald-server можно выполнить:
- либо при инсталляции ОС в:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);
Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):
Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:
После завершения всех действий по установке графический инструмент будет доступен в меню:
Подготовка к настройке
- Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.127.0.0.1 localhost
111.111.111.111 server.domain.ald server111.111.111.112 arm.domain.ald arm
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allroutersНастройка сервера ALD
С помощью графического пакета
Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:
Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.
Из командной строки
Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :
Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.
Подключение клиента к домену ALD
Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены
- Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:
Для подключения клиентов с помощью командной строки используйте команду
1 комментарий
Неизвестный пользователь (amatveev)
К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf
Устанавливаем ALDPro Astra Linux
Сложность развертывания ALDPro является следствием документации, есть подводные камни, о которых принято умалчивать. Поэтому кратко и по делу.
В рассматриваемом примере производится развертывание контроллера домена ALDPro, версии 1.4.1 (последней на момент написания) на версию Astra Linux SE 1.7.3 (frozen).
К сожалению, на хабре не нашлось ни одной верной статьи на эту тему )) то забудут о чем-то упомянуть, то репозиториев нужно чуть ли не все, а это важные моменты.
Не стоит ставить старые версии, так как обновление ALDPro и ОС на новую версию — тот еще квест.
Требования к серверу и клиентам одинаковые — основная причина saltstack. Важно соблюсти все требования в этом спойлере!
Для Astra Linux SE существуют 3 репозитория:
- Основной репозиторий (main) он же iso
- Базовый репозиторий (base) (содержит в себе main)
- Расширенный репозиторий (extended) (не сертифицированные пакеты, без оптимизации под встроенные средства безопасности)
Для каждого репозитория существует репозиторий срочных обновлений (uu в url)
Для каждого репозитория существует репозиторий аппаратно зависимых компонентов. (для установки ALD не актуально на текущий момент).
Так же есть две ветки stable и frozen.
Для разворачивания ALD Pro — требуется использовать только ветки frozen! Только base и extended! Без срочных обновлений сторонних репозиториев!
Каких либо проверок во время установки нет, поэтому рекомендуется ставить на чистую установку, попытки экспериментов приведут к частично нерабочему ALDPro.
Подробности по репозиториям тут.
Требования !
- Дистрибутив только Astra Linux SE x86_64
- Версия дистрибутива только 1.7.2 или 1.7.3
- Ядро только generic.
- Мандатный доступ можно отключить.
- Репозитории только frozen 1.7.2 или 1.7.3.
- Не запускать apt upgrade, вообще ни где и ни когда!
- Имя домена и имя сервера — без заглавных букв и без символов.
- Версии ОС на сервере и клиенте должны совпадать (то есть если сервер 1.7.3 то и клиент должен быть версии на 1.7.3!
- Пароль минимум 9 символов, но нельзя использовать символ $
- Можно развернуть только сам контроллер домена без группы серверов.
- DHCP сервер не обязательный, обновление А записей клиентов будет работать.
- В процессе установки ОС можно убрать все, кроме рабочего стола fly и системных утилит.
- Галочки безопасности то же можно все снять.
- Уровень защищенности для сервера максимальных, для клиентов — любой.
Версия ALDPro — 1 и имеет обновление (последнее 1.4.1). Скоро выйдет v2.
Имейте ввиду что обновление с 1.х до последней хоть и заявлено — не пройдет безболезненно и без участия технической поддержки, если вы не разработчик Python и Django. Лично я не хочу тратить время на дебаг кода.
Спасибо за замечания в комментариях, что еще важно, не путать ALD (samba ad) с ALDPro (FreeIPA), а версию Astra Linux SE (special edition) с CE (common edition).
Версии уровней защищенности (Орел, Смоленск, Воронеж) — больше юридические отличая, так как бинарно дистрибутивы не отличаются. Как впрочем и сервер от рабочей станции, дистрибутив один и тот же.
В описном примере использовался дистрибутив: 1.7.3-03.11.2022_15.53
Подготовка
Прежде чем приступить к разворачиванию ALD Pro, необходимо подготовить среду операционной системы, пропустим процесс установки, так как он тривиален, важно лишь отметить, что в процессе установки выбирать максимальный уровень защищенности, а авто настройку сети лучше отключать , что бы не мучится после, но это можно сделать и позже. Важно! Рабочий стол Fly (он же гном) — обязательный компонент! В целом (упрощенно) не менее 8Гб ОЗУ и не менее 50Гб HDD/SSD.
Если сетевое подключение настраивалось в network-manager — отключите его!
sudo systemctl stop network-manager sudo systemctl disable network-manager sudo apt remove network-manager-gnome
Настройте сеть на использование статического адреса в /etc/network/interfaces
sudo nano /etc/network/interfaces auto eth0 iface eth0 inet static address 192.168.0.10 netmask 255.255.255.0 gateway 192.168.0.1 dns-nameservers 77.88.8.8 x.x.x.x y.y.y.y dns-search ald.domain.ru #domain example.com # когда всего один домен но лучше опцию выше
В документации требует указывать и dns, но по факту создайте файл /etc/resolv.conf и внесите в него данные dns (nameserver 1.1.1.1 или любой).
sudo nano /etc/resolv.conf nameserver 1.1.1.1 search ald.domain.ru
Укажите имя будущего контроллера ALDPro
sudo hostnamectl set-hostname dc01.ald.domain.ru
Помните! Если нужна интеграция или миграция из MS AD — ни каких заглавных букв и символов включая дефисы и нижние подчеркивания!
sudo nano /etc/hosts 127.0.0.1 localhost.localdomain localhost 192.168.0.10 dc01.ald.domain.ru dc01 127.0.1.1 dc01 #(может заглючить salt если убрать, но могу ошибатся не копал глубоко)
Подключаем репозитории ОС и ALDPro
sudo nano /etc/apt/sources.list deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-base 1.7_x86-64 main non-free contrib deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-extended 1.7_x86-64 main contrib non-free sudo nano /etc/apt/sources.list.d/aldpro.list deb https://dl.astralinux.ru/aldpro/stable/repository-main/ 1.4.1 main deb https://dl.astralinux.ru/aldpro/stable/repository-extended/ generic main
sudo nano /etc/apt/preferences.d/aldpro Package: * Pin: release n=generic Pin-Priority: 900
Намеренно не пишу готовые команды добавления строчек в файлы.
На последок можно проверить уровень защищенности, команда должна вернуть 2 :
Когда уровень защищенности ниже 2, переустанавливать не нужно, достаточно ввести команду (подробности тут):
sudo astra-modeswitch set 2
Обновляем и перезагружаем!
sudo apt update && sudo apt dist-upgrade -y
Важно использовать именно такую команду и нельзя использовать apt upgrade!
Для обычных версий, не сервера и не клиентов ALDPro используется astra-update -A -r -T
ПС Специально тикет заводил для уточнения )).
Установка ALDPro
Чек лист перед началом установки:
- Объем оперативной памяти не менее 8 ГБ (для первого контроллера);
- ОС Astra Linux функционирует на максимальном уровне защищенности;
- В файле /etc/hostname указано корректное имя в формате FQDN;
- В файл /etc/hosts указаны корректные данные первого контроллера домена;
- В файл /etc/apt/sources.list указаны репозитории ОС Astra Linux frozen;
- В файле /etc/apt/sources.list.d/aldpro.list указаны репозитории;
- Присутствует файл приоритета /etc/apt/preferences.d/aldpro;
- Сетевой интерфейс имеет статический IP-адрес;
- Доступность репозиториев для установки.
Важно соблюдать все пункты и требования выше под спойлером!
Процесс установки:
Установите портал управления ALDPro (он подтянет все остальное):
sudo DEBIAN_FRONTEND=noninteractive apt-get install -q -y aldpro-mp
После окончания не перезагружаться! Скорректируйте записи в resolv.conf
sudo nano /etc/resolv.conf nameserver 127.0.0.1 search ald.domain.ru
sudo systemctl restart networking
И выполняем продвижение сервера до роли контроллера домена командой :
sudo /opt/rbta/aldpro/mp/bin/aldpro-server-install.sh -d ald.domain.ru -n dc01 -p MyPa$$word --ip 192.168.0.10 --no-reboot
- dc01 — имя контроллера домена;
- ald.domain.ru — имя домена;
- 192.168.0.10 — IP адрес контроллера домена, который настраивали ранее;
- MyPa$$word — пароль доменного администратора (admin).
перед выполнением желательно проверить nslookup или ping как полное имя так и без суффикса.
Готово! Подождите минутку две и можно перезагружать.
После перезагрузки авторизуйтесь на сервере в сеансе рабочего стола под учетной записью доменного администратора (admin), пароль указанный в команде продвижения. В браузере по умолчанию откроется страничка портала (без прозрачной авторизации). Имя вводить без суффикса домена. В случае, когда после перезагрузки в окне авторизации сессии рабочего стола не отображается выбор домена или локального хоста — нажмите Alt+U.
Установка закончена, но это еще не все!
Далее на контроллере домена обязательно нужно подправить NTP, конфиг BIND, монтирование USB для клиентов домена, создать правила ограничения доступа к серверам, добавить еще один контроллер, назначить роли для инженеров, которые смогут добавлять компьютеры в домен не имея возможность войти на сам контроллер и поменять настройки, настроить правила авто добавления для группы компьютеров и создать кастомные политики salt для установки и настройки дополнительного ПО. Можно так же запретить локальный вход на компьютерах домена.
Если публикация интересна и ее пропустят, напишу серию публикаций по дальнейшей настройке и обновлению. Выложу скрипт автоматической установки сервера и клиентов, с дополнительными опциями как переименование компьютера в домене, обновление IP адресов клиентов, настройкой сетевых папок и тд. делал для своего удобства.