Настройка ALD на Astra Linux SE 1.5
Комплекс программ Astra Linux Directory (ALD) является нашей разработкой и предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.
ALD использует технологии LDAP, Kerberos 5, Samba/CIFS и обеспечивает:
- централизованное хранение и управление учетными записями пользователей и групп;
- сквозную аутентификацию пользователей в домене с использованием протокола Kerberos 5;
- функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
- автоматическую настройку всех необходимых файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
- поддержку соответствия БД LDAP и Kerberos;
- создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
- интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, веб-серверов, серверов печати и т.п.
Кроме того, ALD предоставляет программные интерфейсы для интеграции в домен разрабатываемых программных решений.
«Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:
ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.
ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;
ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен.
Подготовим ALD сервер
Контроллер — srv.test.local (ip 192.168.1.100)
Клиент — arm.test.local (ip 192.168.1.101)
Установим и настроим ALD
Если сервер ALD не был отмечен при установке ОС, выполняем:
Скачать и установить два пакета:
sudo wget —no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/libhavege1_1.9.1-1_amd64_signed.deb
sudo wget —no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/haveged_1.9.1-1_amd64_signed.deb
Пример файла sudo nano /etc/ald/ald.conf
Запустим первичную инициализацию из root:
Можно проверить командами
В случае изменения /etc/ald/ald.conf необходимо выполнить команду commit-config для того, чтобы изменения вступили в силу на сервере:
Входим в «Управление доменной политикой безопасности» и созданим пользователя
Авторизуемся на сервер и открываем управление ALD
Настройка входа в систему с Astra Linux Directory
Для корректной работы надо убедиться, что доменные имена сервера и клиентов корректно отображаются. В файле /etc/hosts к полному доменному имени должен быть короткий псевдоним, дублирующую запись для 127.0.1.1 стоит закоментировать или удалить
$ cat /etc/hosts 127.0.0.1 localhost # 127.0.1.1 ald-server 192.168.15.132 ald-server.example.ru ald-server 192.168.15.129 astra.example.ru astra # The following lines are desirable for IPv6 capable hosts . комадна hostname на сервере и клиенте должна выводить короткое имя, если требуется, необходимо отредактировать /etc/hostname . На примере ald-сервера
$ cat /etc/hostname ald-server Доменные имена в конфигурационном файле ald-сервера должны совпадать с hosts
$ cat /etc/ald/ald.conf . DOMAIN=.example.ru . SERVER=ald-server.example.ru На сервере выполняем команду
Которая по нашим ответам на вопросы сконфигурирует все необходимые службы.
$ sudo ald-client join ald-server Которая так же автоматически всё сконфигурирует. Но прежде на сервере надо создать пользователя для клиента. Для управления ald есть отличная графическая утилита fly-admin-smc
Добавляем пользователя и создаем ему пароль
Указываем нужные нам уровни
Еще одна важная вкладка, где можно сбросить счетчик неправильно введенного пароля, если учетная запись заблокируется
Даем право пользователю добавить компьютер в домен (нужно для команды ald-client join ald-server ) и указываем, с какого компьютера пользователь может залогиниться
Astra Linux Directory (ALD)
Она является надстройкой над технологиями LDAP, Kerberos 5, CIFS, обеспечивающей автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляющей интерфейс управления и администрирования.
Установка пакетов
Установку пакета ald-server можно выполнить:
- либо при инсталляции ОС в:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6);
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и 2;
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1);
Кроме того, в составе дистрибутивов предусмотрен графический инструмент для администрирования домена и клиентов ALD fly-admin-ald-server , который можно установить следующей командой (при этом автоматически будет установлен клиент ALD, но сервер ALD автоматически установлен НЕ БУДЕТ):
Для управления мандатными привилегиями в Astra Linux Special Edition необходимо дополнительно установить пакет smolensk-security-ald. Установка всех пакетов на сервер может быть сделана так:
После завершения всех действий по установке графический инструмент будет доступен в меню:
Подготовка к настройке
- Определить постоянный IP-адрес сервера, и настроить конфигурацию сети.
При этом не допускается использовать адрес интерфейса обратной связи 127.0.0.1.127.0.0.1 localhost
111.111.111.111 server.domain.ald server111.111.111.112 arm.domain.ald arm
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allroutersНастройка сервера ALD
С помощью графического пакета
Первичная настройка сервера ALD может быть выполнена с помощью графического пакета fly-admin-ald-server. Пакет доступен после установки через графическое меню:
Для настройки после запуска графического инструмента следует перейти в закладку «Создание ALD сервера», заполнить необходимые параметры и нажать кнопку «Создать». При этом все необходимые настройки будут выполнены автоматически.
Из командной строки
Для выполнения настройки сервера ALD из командной строки следует запустить программу ald-init с опцией init :
Далее, в соответствии с запросами программы, подтвердить свои действия, указать пароли базы данных Керберос и Администратора домена, и дождаться завершения программы. На этом настройка первичного контроллера домена завершена.
Подключение клиента к домену ALD
Для подключения клиентов к домену ALD в составе дистрибутивов предусмотрены
- Удалить (закомментировать) строку, начинающуюся с 127.0.1.1:
Для подключения клиентов с помощью командной строки используйте команду
1 комментарий
Неизвестный пользователь (amatveev)
К сожалению, в статье не указано, что домен по умолчанию «.example.ru» необходимо сперва исправить в файле /etc/ald/ald.conf