Astra linux ввод в домен windows 2003


Введение

Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:

  1. С использованием инструментария winbind:
    1. графический инструмент fly-admin-ad-client;
    2. инструмент командной строки astra-winbind;
  2. С использованием инструментария sssd:
    1. графический инструмент fly-admin-ad-sssd-client;
    2. инструмент командной строки astra-ad-sssd-client;

Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.

Конфигурация стенда

Имя компьютера (hostname) Операционная система Роли компьютера IP-адрес
dc01.example.com Windows Server 2008R2 Контроллер домена; DNS сервер Статический (далее для примера используется IP-адрес 192.168.5.7)
astra01 Astra Linux Special Edition Рабочая станция, член домена Статический или динамически назначаемый IP-адрес

Настройка системных часов и сетевых подключений

Для успешного ввода Astra Linux в домен AD на вводимой машине перед вводом в домен необходимо:

  1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux);
  2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется  IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.


Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-client

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.


  1. Открыть «Панель управления»:
  2. Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
  3. Заполнить все поля и нажать кнопку «Подключиться»:

Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLE\username».

Для ввода с помощью SSSD  в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1)  необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.

Для установки пакета:

  1. Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
  2. Установить пакет:

    sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd-client можно используя Графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-sssd-client

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

После установки пакет доступен в графическом меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка клиента SSSD Fly».

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку «Подключиться»:

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-winbind

Ввод в домен с помощью astra-winbind

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-winbind -dc dc01.example.com -u Администратор

где:

  • -dc dc01.example.com — указание контроллера домена;
  • -u Администратор — указание имени администратора домена;

Подсказка по команде:

sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-px  получает пароль администратора домена из stdin
-p   пароль администратора домена (небезопасно)
-s   разрешить и запустить службу подключения к домену
-S   запретить и остановить службу подключения к домену
-l   вывести компьютер из домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i

Особенности ввода в домен Windows AD 2003

При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:

  1. Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:

    cp /etc/samba/smb.conf /tmp/smb.conf

  2. Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:

    sed -i -e ‘/^\[global\]/a client min protocol = NT1’ «/tmp/smb.conf»;

  3. Выполнить ввод в домен используя модифицированный файл конфигурации:

    sudo astra-winbind -dc dc01.example.com -u Администратор -y —par «—configfile=/tmp/smb.conf»

  4. Заменить созданный при второй попытке ввода конфигурационный файл  /etc/samba/smb.conf сохраненной модифицированной копией:

    sudo mv /tmp/smb.conf /etc/samba/smb.conf

  5. Перезагрузить компьютер:

    sudo systemctl restart

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-ad-sssd-client

При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-ad-sssd-client -d example.com -u Администратор

где:

  • -d example.com — указание имени домена;
  • -u Администратор — указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

sudo reboot

Подсказка по команде astra-ad-sssd-client:

sudo astra-ad-sssd-client -h
Usage: astra-ad-sssd-client <ключи>
ключи:
-h,--help   этот текст
-d   домен. если отсутствует, берется из hostname.resolv.conf
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-n   сервер времени.
-px  получает пароль администратора домена от внешнего сценария
     через перенаправление стандартного ввода (stdin)
-p   пароль администратора домена
-U   удаление
--par     указать параметры вручную

После перезагрузки проверить статус подключения можно следующими способами:

  1. Получить билет Kerberos от имени администратора домена:

    kinit admin@dc01.example.com

  2. Проверить статус подключения:

    sudo astra-ad-sssd-client -i

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y

Подключение к домену domain.net без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -y

Получение информации о текущем домене

sudo astra-ad-sssd-client -i

Удаление данных подключения:

sudo astra-ad-sssd-client -U

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

sudo astra-ad-sssd-client -U


Введение

Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:

  1. С использованием инструментария winbind:
    1. графический инструмент fly-admin-ad-client;
    2. инструмент командной строки astra-winbind;
  2. С использованием инструментария sssd:
    1. графический инструмент fly-admin-ad-sssd-client;
    2. инструмент командной строки astra-ad-sssd-client;

Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.

Конфигурация стенда

Имя компьютера (hostname) Операционная система Роли компьютера IP-адрес
dc01.example.com Windows Server 2008R2 Контроллер домена; DNS сервер Статический (далее для примера используется IP-адрес 192.168.5.7)
astra01 Astra Linux Special Edition Рабочая станция, член домена Статический или динамически назначаемый IP-адрес

Настройка системных часов и сетевых подключений

Для успешного ввода Astra Linux в домен AD на вводимой машине перед вводом в домен необходимо:

  1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux);
  2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется  IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-client

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.


  1. Открыть «Панель управления»:
  2. Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
  3. Заполнить все поля и нажать кнопку «Подключиться»:

Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLEusername».

Для ввода с помощью SSSD  в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1)  необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.

Для установки пакета:

  1. Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
  2. Установить пакет:

    sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd-client можно используя Графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-sssd-client

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

После установки пакет доступен в графическом меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка клиента SSSD Fly».

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку «Подключиться»:

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-winbind

Ввод в домен с помощью astra-winbind

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-winbind -dc dc01.example.com -u Администратор

где:

  • -dc dc01.example.com — указание контроллера домена;
  • -u Администратор — указание имени администратора домена;

Подсказка по команде:

sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-px  получает пароль администратора домена из stdin
-p   пароль администратора домена (небезопасно)
-s   разрешить и запустить службу подключения к домену
-S   запретить и остановить службу подключения к домену
-l   вывести компьютер из домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i

Особенности ввода в домен Windows AD 2003

При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:

  1. Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:

    cp /etc/samba/smb.conf /tmp/smb.conf

  2. Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:

    sed -i -e ‘/^[global]/a client min protocol = NT1’ «/tmp/smb.conf»;

  3. Выполнить ввод в домен используя модифицированный файл конфигурации:

    astra-winbind -dc astra-w2003.ad2.loc -u admin -p 1 -y —par «–configfile=/tmp/smb.conf»

  4. Заменить созданный при второй попытке ввода конфигурационный файл  /etc/samba/smb.conf сохраненной модифицированной копией:

    sudo mv /tmp/smb.conf /etc/samba/smb.conf

  5. Перезагрузить компьютер:

    sudo systemctl restart

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-ad-sssd-client

При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-ad-sssd-client -d example.com -u Администратор

где:

  • -d example.com — указание имени домена;
  • -u Администратор — указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (yN)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

sudo reboot

Подсказка по команде astra-ad-sssd-client:

sudo astra-ad-sssd-client -h
Usage: astra-ad-sssd-client <ключи>
ключи:
-h,--help   этот текст
-d   домен. если отсутствует, берется из hostname.resolv.conf
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-n   сервер времени.
-px  получает пароль администратора домена от внешнего сценария
     через перенаправление стандартного ввода (stdin)
-p   пароль администратора домена
-U   удаление
--par     указать параметры вручную

После перезагрузки проверить статус подключения можно следующими способами:

  1. Получить билет Kerberos от имени администратора домена:

    kinit admin@dc01.example.com

  2. Проверить статус подключения:

    sudo astra-ad-sssd-client -i

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y

Подключение к домену domain.net без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -y

Получение информации о текущем домене

sudo astra-ad-sssd-client -i

Удаление данных подключения:

sudo astra-ad-sssd-client -U

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

sudo astra-ad-sssd-client -U

Содержание

  1. Основные способы ввода ПК в домен Windows AD
  2. Основные ошибки при вводе клиента в домен Windows AD
  3. Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»
  4. Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»
  5. Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»
  6. Проблема с авторизацией после ввода в домен
  7. Конфликтующие модули в pam-стеке (winbind и sssd)
  8. Исправление параметров в файле /etc/krb5.conf при использовании winbind
  9. Ошибка «Проблема установки» при использовании sssd
  10. Ошибка: «Your account has been locked. Please contact your System administrator»
  11. Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»
  12. ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd
  13. Astra linux started authorization manager
  14. Host Names
  15. Наличие соединения
  16. Синхронизация времени
  17. Брандмауэры
  18. Проверка модели устройства
  19. Astra linux started authorization manager
  20. 1 Доустанавливаем необходимые пакеты с диска
  21. 2 Добавляем библиотеку librtpkcs11ecp.so
  22. 3 Проверяем что Рутокен ЭЦП работает в системе
  23. 4 Считываем сертификат
  24. Ввод Astra Linux SE 1.5 в AD Windows и настройка SSO
  25. Ввод Astra Linux в домен Windows
  26. Разблокирование суперпользователя (root)
  27. Настройка сети
  28. Установка требуемых пакетов
  29. Настройка конфигурационных файлов
  30. Настройка Apache и Postgresql на работу с Kerberos

Графический инструмент fly-admin-ad-client (ввод в домен с использованием winbind): Быстрый ввод Astra Linux в AD Windows

Инструмент командной строки astra-ad-sssd-client (ввод в домен с использованием SSSD): Подключение Astra Linux к домену Microsoft Windows с помощью astra-ad-sssd-client

Основные ошибки при вводе клиента в домен Windows AD

Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»

Причина: в команде ввода в домен неправильно указано имя администратора домена или пароль:

  • Указанный пользователь не имеет необходимых прав;
  • В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
  • Неправильно указаны данные (например, после смостоятельного внесения изменений) в файле /etc/nsswitch.conf.
  • Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
  • При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
  • Вернуть файл /etc/nsswitch.conf к исходному состоянию.

Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»

Причина: неправильно указано имя рабочей группы (NetBIOS).

Решение: указать правильное имя рабочей группы (NetBIOS).

Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»

Причина: в команде ввода в домен указано имя компьютера уже испольованное в домене AD (например, имя другого ПК).

  1. Изменить имя компьютера, вводимого в домен:
    1. Изменить имя ПК в файле /etc/hosts и в файле /etc/hostname;
    2. Перезагрузить ПК;
    3. повторить ввод в домен AD;
  2. Удалить ненужные записи в контроллере домена.

Проблема с авторизацией после ввода в домен

Вход в домен не выпоняется, записи об ошибках входа в журналах отсутствуют, возмжно появление на экране входа сообщения «Ошибка входа».

Причина: не синхронизировано время контроллера домена и клиента.

Решение: проверить синхронизацию времени с контроллером домена AD, для чего выполнить команду:

net time set -S winserv.win.ad

Дополнительно проверить синхронизацию времени с контроллером домена AD, если нет информации об ошибке. В /var/log/auth.log отображается следующее:
Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-15-9.png» data-location=»Справочный центр > Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-15-9.png» data-image-height=»31″ data-image-width=»1100″>

Конфликтующие модули в pam-стеке (winbind и sssd)

На экране авторизации отображается ошибка «Вход неудачен». В файлах журналов отсутствует информация о попытке входа доменным пользователем, однако в /var/log/auth.log содержатся сообщения вида:

Причина: одновременное использование пакетов winbind и sssd.

Решение: использовать только пакеты winbind или только sssd. Для удаления ненужного пакета выполнить команду:

Для удаления пакета sssd:

sudo apt purge *sss*

или для удаления пакета winbind:

sudo apt purge *winbind*

Если в дальнейшем будет использоваться пакет winbind, то выполнить команду:

где в появившемся окне снять чек-бокс с модуля sss authentication:
Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-17-17.png» data-location=»Справочный центр > Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-17-17.png» data-image-height=»524″ data-image-width=»840″>

См. также следующий раздел «Исправление параметров в файле /etc/krb5.conf при использовании winbind»

Исправление параметров в файле /etc/krb5.conf при использовании winbind

Если иные способы не помогают, то при проблемах с входом пользователя можно попробовать д обавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:

Вместо «@WINDOMAIN.AD» и «@windomain.ad» указать свой домен:
Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-20-19.png» data-location=»Справочный центр > Основные ошибки при работе с доменом Windows AD в ОС Astra Linux > image2021-7-2_14-20-19.png» data-image-height=»153″ data-image-width=»658″>

Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.

Ошибка «Проблема установки» при использовании sssd

Причина: ошибка «проблема установки» может возникать, если раннее ПК был введен в домен AD с использованием winbind.

Решение: выполнить следующие команды:

sudo apt purge *winbind*
sudo astra-ad-sssd-client -U -y

После чего перезагрузить ПК и повторить ввод в домен AD.

Ошибка: «Your account has been locked. Please contact your System administrator»

Причина: пользователь заблокирован на контроллере домена AD.

Решение: разблокировать доменного пользователя на контроллере домена AD.

Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»

Причина: компьютер ранее вводился в домен разными способами (winbind или sssd).

Проверить настройку PAM-стека;

Временно перенести папку .fly из домашнего каталога проблемного пользователя в любое удобное место;

При использовании Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.

ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd

Причина: для динамического обновления записей DNS необходима утилита nsupdate, которая содержится в пакете dnsutils, не устанавливаемом по умолчанию.

Источник

Центральной частью схемы аутентификации Kerberos является третья доверенная сторона — Key Distribution Center (KDC), которая является централизованным хранилищем информации о пользователях. Перед разворачиванием Kerberos, должен быть выбран сервер, который будет выполнять роль KDC. Физическая и сетевая безопасность критичны для этого сервера, так как его компрометация ведет к компрометации всего realm.

Выбор хорошего имени для realm так же важен. По правилам, имя realm это доменное имя сайта в верхнем регистре. Например, для сайта или доменной зоны example.com рекомендуется выбрать EXAMPLE.COM в качестве имени realm.

Все серверы и клиенты, которые входят в realm Kerberos должны иметь возможность взаимодействовать между собой. Время между устройствами в realm должно быть синхронизовано. Далее описано как этого добиться.

Host Names

Каждый сервер внутри Kerberos realm должен иметь Fully Qualified Domain Name (FQDN).

Kerberos так же ожидает, что FQDN сервера является reverse-resolvable. Если выяснение доменного имени по IP недоступно, то установите значение переменной rdns в значение false на клиентах в файле krb5.conf.

Active Directory сильно зависит от DNS, поэтому весьма вероятно что ваш Active Directory Domain Controller уже имеет роль DNS. В этом случае убедитесь в том, что каждый сервер имеет свое FQDN перед выполнением тестов, описанных ниже в этом разделе.

Если сервер уже имеет назначенное FQDN, проверьте корректность обнаружения forward и reverse выполнив на клиенте следующие команды:

Если вы используете Astra Linux (или другой дистрибутив), то для установки программы nslookup, вам необходимо установить пакет dnsutils.

Вы можете воспользоваться Synaptic Package Manager или выполнить из командной строки $ apt-get install dnsutils

Вывод первой команды должен содержать IP адрес сервера. Вывод второй команды должен содержать FQDN сервера.

Если у сервера нет назначенного FQDN и сервис DNS не доступен, то вы можете отредактировать локальные файлы hosts (обычно они находятся в /etc) на сервере добавив туда следующую строку:

А на каждом клиенте добавить строку

Где IP-address — это IP адрес сервера. В нашем примере это будет 10.0.0.1.

После этого проверьте работу локальных DNS имен используя команду nslookup как показано выше.

Наличие соединения

Для проверки соединения между хостами, выполните ping для каждого хоста по его FQDN:

Вывод команды ping показывает успешное определение IP адреса по FQDN, и простой ответ от сервера. Ответ от сервера является подтверждением того, что между хостом и сервером есть соединение.

Проблемы при работе ping указывают на проблемы настройки сервера или клиента.

Синхронизация времени

Протокол Kerberos требует синхронизации времени сервера и клиента: если системные часы клиентов и сервера расходятся, то аутентификация не будет выполнена. Простейший способ синхронизировать системные часы — использование Network Time Protocol (NTP) сервера. Некоторый линуксы, например, Astra Linux по-умолчанию синхронизирует время с российскими NTP-серверами. Для настройки собственного NTP-сервера смотрите документацию на ваш дистрибутив (например, UbuntuTime для Ubuntu).

Брандмауэры

Так же как и все остальные сетевые службы, Kerberos должен иметь возможность проходить через любые брандмауэры между хостами. Инструкция Kerberos System Administration Manual имеет детальное описание портов, которые необходимо открыть при настройке брандмауэров.

Проверка модели устройства

  1. Подключите USB-токен к компьютеру.
  2. Для определения названия модели USB-токена откройте Терминал и введите команду:

В результате в окне Терминала отобразится название модели USB-токена:

Убедитесь, что используете: Aktiv Rutoken ECP

Источник

Astra linux started authorization manager

В результате в окне Терминала отобразится название модели USB-токена:

Убедитесь, что используете: Aktiv Rutoken ECP

1 Доустанавливаем необходимые пакеты с диска

Пуск — Настройки — Менеджер пакетов

через Быстрый фильтр или через поиск находим и отмечаем к установке следующие пакеты:

  • libccid
  • pcscd
  • libpam-p11
  • libpam-pkcs11
  • libp11-2
  • libengine-pkcs11-openssl
  • opensc

В Astra Linux SE 1.6 pkcs11 libengine-pkcs11-openssl версии 1.0.2 не совместим с библиотекой librtpkcs11ecp.so. Для корректного функционирования, следует скачать и установить п одписанный пакет libengine-pkcs11-openssl1.1 версии 0.4.4-4 для Смоленска 1.6:

2 Добавляем библиотеку librtpkcs11ecp.so

Загружаем библиотеку через браузер.

Для 64-битной системы используйте ссылку:

Для 32-битной системы используйте ссылку:

или через консоль

Пуск — Утилиты — Терминал Fly

Для 64-битной системы используйте:

Для 32-битной системы используйте:

Копируем в системную папку.

Для 32- и 64-битной системы используйте:

3 Проверяем что Рутокен ЭЦП работает в системе

Пуск — утилиты — Терминал Fly

В случае если увидите вот такую строку, значит все хорошо.

4 Считываем сертификат

Проверяем что на устройстве есть сертификат

Пуск — утилиты — Терминал Fly

Если после строчки

нет ничего, значит устройство пустое. Обратитесь к администратору или создайте ключи и сертификат самостоятельно следуя пункту 4.1

Если после строчки

выводится информация о ключах и сертификатах то необходимо считать сертификат

вместо нужно подставить ID который вы увидите в выводе команды

Источник

Описание процесса настройки Astra Linux для ввода в домен Windows. Настройка SAMBA, Winbind, Apache и Postgresql.

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)

Напоминаем о том, что перед вводом клиента в AD или ALD необходимо корректно настроить сеть.

Ввод Astra Linux в домен Windows

Исходные данные:

Разблокирование суперпользователя (root)

Для более удобной работы разблокируем учётную запись root:

По завершении настроек учётную запись root необходимо заблокировать!

Настройка сети

В начало файла /etc/hosts добавить строки:

Строку с 127.0.1.1 ws3 удалить.

Убедиться, что в файле /etc/hostname правильно указано имя машины:

Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:

Создать файл /etc/resolv.conf и добавить строки:

Перезапустим сетевую службу:

Установка требуемых пакетов

Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:

Настройка конфигурационных файлов

Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:

Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:

Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка каталогов /var/cache/samba/* и /var/lib/samba/*

Проверим, нет ли ошибок в конфигурации samba, выполнив команду:

Редактируем файл /etc/security/limits.conf. Добавляем в конец:

Редактируем файл /etc/pam.d/common-session. Добавляем в конец:

Настройка Apache и Postgresql на работу с Kerberos

Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:

Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:

Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:

Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:

Источник

В этой статье будет рассмотрена установка Astra Linux Directory – реализация службы каталогов от компании АО «НПО РусБИТех» (Astra Linux). Особо отмечу, что речь идет про бесплатную версию Astra Linux Directory, а не Pro версию.

Цель статьи – это подготовить руководство для быстрого старта, которое позволило бы вам в разумные строки развернуть стенд для тестирования службы каталогов Astra Linux Directory.

Краткое описание служб каталогов ALD

Существует две версии продукта – Astra Linux Directory и Astra Linux Directory Pro. Как бы это странно не звучало, но технически это два разных продукта. Astra Linux Directory используются свой вариант каталога, а в основе служб каталогов Astra Linux Directory Pro лежит FreeIPA.

Astra Linux Directory доступна из коробки в бесплатной редакции Astra Linux Common Edition.

Кратко опишу основные возможности бесплатной версии Astra Linux Directory:

  1. Позволяет организовать централизованное хранение и управление учетными записями пользователей и групп.
  2. Предоставляет сквозную аутентификацию пользователей в домене с использованием протокола Kerberos.
  3. Обеспечивает функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS.

К основным особенностям я бы отнес следующие:

  1. Поддерживает только клиенты с ОС Astra Linux.
  2. Добавление машины ОС MS Windows в домен ALD штатными средствами ОС MS Windows невозможно.
  3. Одновременной работы нескольких серверов ALD не предусмотрено.
  4. Переключение на резервный сервер ALD только вручную.
  5. «Плоская» иерархия пользователей и ПК, т.е. нет возможности, например, создавать OU.

Все приведенные мной выше умозаключения отражают только мое видение продукта и относятся к версии 1.7.37.

Планируемая схема установки

Планируемая к развертыванию схема приведена ниже:

Она включает в себя один сервер (ADC01) и один клиент (ACLT01). В качестве службы разрешения имен я буду использовать сервер BIND. В целом для такой схемы можно вообще не использовать BIND, а просто сделать соответствующие записи в /etc/hosts.

Подготовка операционных систем

У Astra Linux Directory Common Edition нет градации на серверных и клиентские редакции ОС. Поэтому предварительная подготовка сервера и клиента ничем не отличаются.

Во всех примерах этой статьи использовалась версия Astra Linux Directory Common Edition релиза “Орёл” (2.12.43). Версия ядра – 5.10.0.-1038.40-hardened.

Итого подготовка серверной и клиентской системы включает в себя следующие шаги:

1. Установка и первоначальная настройка операционной системы. Можете использовать как физическое устройство, так и виртуальную машину. В целом можно использовать стандартные параметры установки, но вот версия ядра должна быть именно “hardened”:

2. Актуализация репозиториев:

apt update

3. Обновление установленных пакетов:

apt upgrade

Установка Astra Linux Directory включает в себя следующие верхнеуровневые шаги:

  1. Настройка BIND.
  2. Установка и настройка серверных служб ALD.

Предварительно неоходимо указать в качестве DNS сервера на сетевом интерфейсе адрес самого сервера.

Настройка BIND

Нам нужен вариант с локальным DNS сервером.

  1. Устанавливаем пакет BIND:
apt install bind9

2. Устанавливаем пакет утилит для работы с DNS (например, в этот пакет входит утилита dig):

apt install dnsutils

3. Корректируем настройка BIND. Нужно указать на каких IP-адресах сервера прослушивать запросы и на какие внешние DNS следует перенаправлять запросы. Открываем на редактирование конфигурационный файл:

nano /etc/bind/named.conf.options

Нам нужно скорректировать секции “forwarders” и “listen-on”. В секции “forwarders” нужно указать на какие внешние DNS перенаправлять запросы, а в секции “listen-on” нужно указать локальные адреса, на которых сервер будет прослушивать подключения. Пример моего файла конфигурации:

options {
        directory "/var/cache/bind";

        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

        forwarders {
                8.8.8.8;
        };

        listen-on {
                127.0.0.1;
                10.10.10.37;
        };

        //========================================================================
        // If BIND logs error messages about the root key being expired,
        // you will need to update your keys.  See https://www.isc.org/bind-keys
        //========================================================================
        dnssec-validation auto;

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

4. Теперь необходимо внести информацию и прямой и обратной зоне. В моем случае DNS-имя зоны будет itproblog.ru. Открываем на редактирование конфигурационный файл:

nano /etc/bind/named.conf.local

Пример моего конфигурационного файла named.conf.local:


//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "itproblog.ru"    {
    type master;
    file "/etc/bind/zones/db.itproblog.ru";
};

zone "10.10.10.in-addr.arpa" {
    type master;
    file "/etc/bind/zones/db.10.10.10";
};

В секции type указан тип зоны (основная зона), а в секции file расположение файла с текстом зоны (его мы настроим далее).

5. Создаем каталог для файлов DNS зон, создаем пустые файлы зон и назначаем необходимые разрешения:

mkdir /etc/bind/zones
touch /etc/bind/zones/db.itproblog.ru
touch /etc/bind/zones/db.10.10.10
chown -R bind:bind /etc/bind/zones

6. Редактируем файл с прямой зоной:

nano /etc/bind/zones/db.itproblog.ru

Пример моего файла прямой зоны:

$TTL    604800
@       IN      SOA     adc01.itproblog.ru. root.itproblog.ru. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      adc01.itproblog.ru.
adc01   IN      A       10.10.10.37
aclt01  IN      A       10.10.10.36

7. Редактируем файл с обратной зоной:

nano /etc/bind/zones/db.10.10.10

Пример моего файла обратной зоны:

$TTL    604800
@       IN      SOA     itproblog.ru. root.itproblog.ru. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      adc01.itproblog.ru
37     IN      PTR     adc01.itproblog.ru
36     IN      PTR     aclt01.itproblog.ru

8. Проверяем корректность заполнения конфигурационного файла и файлов зон:

named-checkconf
named-checkzone itproblog.ru /etc/bind/zones/db.itproblog.ru
named-checkzone 10.10.10.in-addr.arpa /etc/bind/zones/db.10.10.10

Если ваш вывод на консоль отличается от вывода со скриншота выше, то, вероятно, нужно скорректировать ошибки в конфигурационных файлах.

9. Перезагружаем сервис BIND:

systemctl restart bind9

10. Проверяем разрешение имени через наш DNS сервер:

dig @localhost adc01.itproblog.ru

dig 10.10.10.37 aclt01.itproblog.ru

т.е. имена сервера и клиента успешно разрешаются в IP-адреса.

Установка служб Astra Linux Directory

  1. Устанавливаем основной пакет ALD сервера и графический интерфейс администрирования Fly:
apt install ald-server-common fly-admin-ald-server

В процессе установки нас попросят указать пароль администратора LDAP. Указываем его:

2. Указываем полное доменное имя сервера:

hostnamectl set-hostname adc01.itproblog.ru

Проверяем:

hostnamectl

Да, полное доменное имя применилось корректно.

3. Перезагружаем сервер.

4. Теперь необходимо создать домен. Переходим по следующему пути в графическом режиме: “Пуск” – “Панель управления” – “Сеть” – “Доменная политика безопасности“.

5. Указываем пароль, который мы задали на этапе установки сервера ALD.

6. Поскольку пока еще сервер ALD не настроен, то могут возникать ошибки в диалоговых окна. Пока просто игнорируем их.

7. Указываем пароль базы данных Kerberos, пароль администратора ALD.

Я также отметил опцию “Использовать свои настройки сети” и выбрал IP-адрес для службы. После этого нажимаем кнопку “Создать сервер”.

8. Нажимаем “Да” в подтверждении о том, что мы согласны с тем, что предыдущая БД будет перезаписана (если она имеется).

9. В случае успешного завершения создания сервера мы получим соответствующее уведомление:

10. Перезагружаем сервер.

Проверка работы серверных служб ALD

Выполнил проверку сервиса ALD:

 ald-init status

Сообщение говорит о том, что сервис сконфигурирован, клиент и сервис работают корректно.

Теперь попробуем открыть графическую оснастку администрирования. Переходим по следующему пути в графическом режиме: “Пуск” – “Панель управления” – “Сеть” – “Доменная политика безопасности“:

Нажимаем кнопку “Подключиться”.

Указываем пароль администратора ALD:

В случае успешного подключения мы должны увидеть древовидно меню слева, как указано на скриншоте ниже.

Создание тестовых пользователей

Для того, чтобы проверить подключение клиента и работу под доменной УЗ создадим две учетные записи – user1 и user2.

Переходим по следующему пути в графическом режиме: “Пуск” – “Панель управления” – “Сеть” – “Доменная политика безопасности“. Указываем пароль администратора ALD.

В контекстном меню элемента “Пользователи” выбираем пункт “Создать“:

“:

Заполняем имя пользователя и указываем первичную группу “Domain Users”:

Подтверждаем наши намерения создать пользователя (зеленая галочка).

Создаем пароль для учетной записи:

Выполняем аналогичные действия для учетной записи user2.

Итого, в нашей директории должно быть два пользователя – user1 и user2:

Предварительно на клиентском ПК необходимо указать в качестве DNS сервера наш сервер с ALD, т.к. именно там мы настроили BIND DNS.

Перезагружаем клиент и проверяем, что имя нашего сервера ALD разрешается в IP:

ping adc01.itproblog.ru

Указываем полное доменное имя клиента:

hostnamectl set-hostname aclt01.itproblog.ru

1. Устанавливаем необходимые пакеты:

apt install ald-client-common ald-admin

2. Для разнообразия присоединим клиент через командную строку. Это можно сделать вот такой небольшой командой:

ald-client join adc01.itproblog.ru

где последним параметром передается имя контроллера домена ALD.

Подтверждаем изменения.

3. На этапе выбора пользователя с правами присоединения к домену нажимаем Enter и указываем пароль администратора ALD.

4. В случае успешного присоединения вы должны увидеть следующий вывод:

Если теперь посмотреть в консоль управления ALD на сервере, то вы можете увидеть новый объект компьютера:

Проверка работы клиента ALD

Если мы попробуем сейчас выполнить вход на клиентский компьютер под доменной учетной записью user1, то увидим следующее сообщение – “Доступ запрещен”:

С кем это связано? Все дело в том, что в оснастке управления ALD для учетной записи пользователя необходимо явно указать – на какие клиентские ПК ему разрешен доступ. Давайте добавим доменному user1 разрешения локального входа на доменный ПК aclt01.itproblog.ru.

Для этого на сервере ALD необходимо открыть оснастку управления ALD и в свойствам УЗ user1 на вкладке “Привилегии домена” добавим компьютер aclt01.itproblog.ru:

Сохраните внесенные изменения.

Попробуем выполнить вход теперь:

Да теперь мы успешно выполнили вход под доменной учетной записью.

Описание стенда

Сервер:

ОС: Windows server 2019

доменное имя: server,astradomain.ad

Клиент:

ОС: РЕД ОС Астра Линукс ALT Linux Ubuntu

доменное имя: redos.astradomain.ad smolensk.astradomain.ad orel.astradomain.ad ubuntu.astradomain.ad

Настройка сервера

Установка сервиса Active Directory

Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:

Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:

В окне для выбора сервисов установим галочки «Active Directory Domain Services» и «DNS Server»:

Во всех остальных пунктах даем согласие на установку.

После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт «Promote this server to a domain controller»:

На первой вкладке укажите опцию для создания нового домена и укажите его название:

Введите пароль сброса:

На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:

 

На следующих трёх вкладках также оставляем все как есть:

Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:

После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:

Добавление новых пользователей:

Откроем утилиту управления пользователями и компьютерами домена:

Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:

Добавим нового пользователя user:

Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Установка центра сертификации Active Directory:

Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.

Для пользоватей Linux

Для аутентификации пользователей через linux машины. Помимо токенов с ключами и сертификатов пользователей, вам также необходимо направить им корневой сертификат УЦ.

Его можно получить здесь:

Настройка клиента Linux

Настройка подключения к домену

Astra Linux Smolensk

Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией. 

Если во время выполнения инструкции панель «Настройки клиента Active Directory» не будет запускаться, то введите в командной строке следующую команду:

Она предоставит пользователю root доступ к графическому интерфейсу среды.

В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:

#########################################################
############## Меняем доменное имя клиента ##############
#########################################################
# Меняем имя клиента в нашем домене astradomain.ad на client
sudo hostnamectl set-hostname client.astradomain.ad
 
# После данного этапа потребуется перезагрузка


#########################################################
### Настройка подключения. Изменяем адрес DNS сервера ###
#########################################################
# узнайте название вашего соединения. Они могут отличаться
CON_NAME="Проводное соединение 1"
# название интерфейса, которое использует ваше соединение
INT_NAME="eth0"
# адрес dns сервера
DNS_SERVER_IP=10.0.2.37
# отключаем соединение
sudo nmcli con down "$CON_NAME"
 
# настраиваем сетевую карту соединения - по умолчанию $INT_NAME
sudo nmcli con mod "$CON_NAME" connection.interface-name $INT_NAME
 
# настраиваем DNS - вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости указываем адрес локального сервера DNS. В нашем случае в качестве DNS сервера выступал сам сервер FreeIPA. Поэтому был указан его IP адрес
sudo nmcli con mod "$CON_NAME" ipv4.dns "$DNS_SERVER_IP 8.8.8.8"
sudo nmcli con mod "$CON_NAME" ipv4.ignore-auto-dns yes
 
# включаем сетевое соединение
sudo nmcli con up "$CON_NAME"

# Проверка подключения
ping server.astradomain.ad

#########################################################
############# Установка необходимых пакетов #############
#########################################################
# для пользователей систем с менеджером пакетов yum
sudo yum install -y realmd PackageKit

# для пользователей систем с менеджером пакетов apt-get
sudo apt-get install -y realmd packagekit

# Узнаем какие пакеты еще необходимы для подключения к домену
realm discover astradomain.ad

# Список необходимых для работы пакетов будет выведен в следующем формате
# required-package: pkg1
# required-package: pkg2
# required-package: pkg3
# ...

# Доустановим отсутствующие пакеты
# для пользователей систем с менеджером пакетов yum
sudo yum install -y pkg1 pkg2 pkg3 ...

# для пользователей систем с менеджером пакетов apt-get
sudo apt-get install -y pkg1 pkg2 pkg3 ...


#########################################################
################# Подключение к домену ##################
#########################################################
# Подключимcя к домену
# Пользователь user должен обладать правами подключения устройств в домен.
sudo realm join astradomain.ad --user=user

# Установим пакет krb5-workstation
# для пользователей систем с менеджером пакетов yum
sudo yum install -y krb5-workstation

# для пользователей систем с менеджером пакетов apt-get
sudo apt-get install -y krb5-user

# для пользователей Alt linux
sudo apt-get install -y krb5-workstation

# Если в домене есть пользователь user, к которому можно подключиться с помощью пароля, то можно осуществить проверку настройки получив тикет для него
kinit user@ASTRADOMAIN.AD

# Проверка получения тикета
klist

# Удаляем тикет
kdestroy

Настройка автоматического создания домашней директории

Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.

Это можно сделать в настройках pam. Для этого в файле 

/etc/pam.d/common-session для систем основанных на Debian

/etc/pam.d/system-auth для систем основанных на Red Hat

/etc/pam.d/system-auth-sss-only для пользователей Alt linux

активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:

...
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
...

Проверка аутентификации под пользователем в домене без Рутокена

Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутентифицироваться через командную строку:

Настройка клиента для аутентификации в домене с помощью Рутокена

Упрощенная настройка

Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.

Ручная настройка

Установка необходимых пакетов для работу:

# для пользователей систем с менеджером пакетов yum
sudo yum install -y nss-tools opensc krb5-pkinit

# для пользователей систем с менеджером пакетов apt-get
sudo apt-get install -y libnss3-tools opensc krb5-pkinit

Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут.  Установим данную библиотеку.

# Установка пакета для систем основанных на red hat
sudo rpm -i librtpkcs11ecp-2.0.5.1-1.x86_64.rpm
# Установка пакета для Debian систем
sudo dpkg -i librtpkcs11ecp-2.0.5.1-1.x86_64.deb

Добавление корневого сертификата и сертификатов токена в БД

Инициализируем БД:

mkdir /etc/pki/nssdb
sudo certutil -N -d /etc/pki/nssdb --empty-password

Добавление корневого сертификата в БД:

sudo certutil -d /etc/pki/nssdb -A -n 'CA-ROOT-CERT' -t CT,CT,CT -a -i /path/to/ca_cert.pem

Добавление сертификатов с Рутокена:

sudo modutil -dbdir /etc/pki/nssdb -add "Rutoken PKCS11" -libfile librtpkcs11ecp.so

Проверку того, что сертификаты добавились в БД можно осуществить с помощью команды

# перезапустите сервис pcscd на случай, если он выключен
sudo systemctl restart pcscd

# проверяем наличие сертификатов в БД
sudo certutil -L -d /etc/pki/nssdb -h all

Настройка SSSD

Для того, чтобы аутентификация корректно работала на лок скрине. В настройках sssd нужно указать название сервиса, использующегося при аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:

echo $XDG_CURRENT_DESKTOP

Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.

MATE → mate-screensaver
X-Cinnamon → cinnamon-screensaver
fly → <Отсутствует>
KDE → kde
GNOME → xdg-screensaver

Сконфигурируем SSSD. Для этого отредактируем файл /etc/sssd/sssd,conf. Он должен выглядеть примерно следующим образом:

[sssd]
domains = astradomain.ad
config_file_version = 2
services = nss, pam

[domain/astradomain.ad]
ad_domain = astradomain.ad
krb5_realm = ASTRADOMAIN.AD
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
fallback_homedir = /home/%u@%d
access_provider = ad

# Если хотим подключатся к пользователям домена не вводя имя домена
use_fully_qualified_names = False

# Для пользователей Astra Linux также нужно добавить строчку отключения групповых политик
ad_gpo_access_control = permissive

# Для активации входа по смарт-картам
[pam]
pam_cert_auth = True
# Указываем название сервиса, используемого лок скрином. Если сервис отсутствует, то данную строку не используют
pam_p11_allowed_services = +<service_name>

Перезапустим сервис SSSD

sudo systemctl restart sssd

Настройка Kerberos

Скопируем корневой сертификат в директорию /etc/pki/tls/certs/

sudo cp /path/to/ca_cert.pem /etc/pki/tls/certs/

Для настройки Kerberos изменим содержимое файла /etc/krb5.conf. Секция [libdefaults] должна содержать следующее:

...
[libdefaults]
...
# Путь до дерриктории с корневым сертификатов с постфиксом .pem
    pkinit_anchors = DIR:/etc/pki/tls/certs/
# Адрес KDC
    pkinit_kdc_hostname = server.astradomain.ad
# Пропускаем проверку EKU сертификата
    pkinit_eku_checking = kpServerAuth
    default_ccache_name = KEYRING:persistent:%{uid}
# Имя домена по умолчанию
    default_realm = ASTRADOMAIN.AD
# Путь д сертификатов и ключей
    pkinit_identities = PKCS11:librtpkcs11ecp.so
# Для совместимости с AD 
    canonicalize = True
...

Проверка настройки с помощью получения тикета для пользователя user, который аутентифицируется по Рутокену

# Получение тикета. Должно быть предложено ввести ПИН-код токена
kinit user

# Проверка получения тикета
klist

# Сброс тикета
kdestroy

Попытка аутентификации по смарт-карте

Попробуйте аутентифицироваться под доменным пользователем user по смарт-карте в системе:

Если аутентификация не прошла успешно, то попробуйте изменить конфигурацию pam модулей, иначе можете пропустить данную часть

Настройка pam модулей

Для аутентификации пользователя в системе с помощью смарт-карты необходимо изменить содержимое pam модулей

Для систем основанных на Debian 

Файл /etc/pam.d/common-auth должен содержать следующие строки:

...
auth [success=2 default=ignore] pam_sss.so forward_pass
auth [success=1 default=ignore] pam_unix.so try_first_pass nullok_secure
...
Для систем основанных на Red Hat

Файл /etc/pam.d/system-auth должен содержать следующие строки:

...
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok try_first_pass
auth        requisite                                    pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient                                   pam_sss.so forward_pass
...

Аутентфикация через гритер

Проверьте аутентификацию через гритер  через лок скрин.

Для пользователей Astra Linux предложение ввода ПИН-кода не отображается. В поле ввода пароля просто введите ПИН-код от Рутокена:


0

1

Проблема такова контролер домена работает на Windows server 2008 R2 с SMB V1. Первоначальные настройки сети произведены и контроллер пингуется. Файлы конфига прилагаю. Ошибка Failed to join domain: failed to lookup DC info for domain ‘GZHIRO.local’ over rpc: {Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.
SMB.conf
#astra-winbind
[global]
server string = Astra linux
usershare allow guests = Yes
map to guest = Bad User
obey pam restrictions = Yes
pam password change = Yes
passwd chat = Entersnewsspassword:* %nn Retypesnewsspassword:* %nn passwordsupdatedssuccessfully .
passwd program = /usr/bin/passwd %u
server role = standalone server
unix password sync = Yes

workgroup = GZHIRO
server min protocol = NT1
client min protocol = NT1
min protocol = NT1
realm = GZHIRO.LOCAL
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no
kerberos method = secrets and keytab
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
idmap config * : range = 100000-199999
idmap config * : backend = tdb
idmap config GZHIRO.LOCAL : range = 200000-299999
idmap config GZHIRO.LOCAL : backend = rid
winbind nss info = rfc2307
winbind enum groups = no
winbind enum users = no
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
winbind refresh tickets = yes
winbind offline logon = yes
winbind cache time = 1440
password server 10
unix charset = UTF8
dos charset = CP866

Введение

Вот уже более года я занимаюсь администрированием Astra Linux, которая построена на базе ОС Debian. В плане администрирования данные операционные системы имеют различия. Также в Astra Linux есть службы собственной разработки. 

В посте пойдет речь об администрировании ald домена, серверной, клиентской части, а также о поднятии резервного сервера.

Серверная часть

Настройку произвожу на виртуальных машинах в virtualbox, на сервере ip адрес 192.168.1.1, также на данном сервере расположен репозиторий(настройка ip адресов и репозиториев ничем не отличаются от настроек в debian). Первое, что необходимо настроить — это синхронизацию времени: поднимем ntp сервер, который будет брать время с текущей машины. Для это достаточно отредактировать файл /etc/ntp.conf, внеся в него следующие изменения:


server 127.127.1.0

fudge 127.127.1.0 stratum 10

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

Параметры подсети укажите в соответсвии с вашими ip адресами.

Запустим службу:

systemctl enable ntp

systemctl start ntp

Так как в ald отсутствует собственный dns сервер, его заменой служит корректно настроенный файл /etc/hosts, который должен быть одинаковый на всех машинах в домене. Перед редактированием данного файла, зададим корректное hostname для сервера:

hostnamectl set-hostname dc1.local

В данной ситуации hostname сервера будет dc1, а имя домена, соответственно, local, именно на эти параметры будет ориентироваться ald-server при инициализации. Последним штрихом перед инициализацией ald сервера буден корректная настройка файла /etc/hosts:

127.0.0.1 localhost

#127.0.1.1 hostname

192.168.1.1 dc1.local dc1

192.168.1.2 dc2.local dc2

192.168.1.101 host1.local host1

192.168.1.102 host2.local host2

Обязательно необходимо «закомментировать» 127.0.1.1, а также важна последовательность указания полного имени хоста, т. е. первым должно быть указано имя хоста с доменом, и только потом имя хоста без домена.

В данном примере указан один домен и две рабочие станции. Если рабочих станций больше, то, соответственно, всех их необходимо перечислить в данном файле, а также скопировать данный файл на все машины, которые планируется ввести в домен. После этого можно приступать к установке необходимых пакетов, а также инициализации сервера:

sudo apt install ald-server-common fly-admin-ald-server smolensk-security-ald

Пакет smolensk-security-ald — добавит возможность администрировать ald сервер в стандартной утилите fly-admin-smc (об этом будет рассказано далее).

Во время установки будет запрос на создание пароля администратора домена. Для текущей публикации будет создан пароль 12345678, далее данный пароль будет использован для ввода всех машин в домен.

ВАЖНО: Если по каким то причинам у Вас сбились настройки сервера, то их можно отредактировать в файле /etc/ald/ald.conf, в текущем файле важен параметр DOMAIN, значение данного параметра всегда должно начинаться с . (точки), т.е. в текущем примере данная строка будет выглядеть так:

DOMAIN = .local

Инициализируем сервер командой:

ald-init init

После инициализации необходимо перезагрузть сервер. В процессе инициализации домена еще раз будет запрос на создание пароля администратора домена, а также запрос на создание пароля на базу данных kerberos. Если все прошло удачно, то на экране появится сообщение как на рисунке 1.

Рис. 1

Рис. 1

После данным манипуляций настройка сервера закончена, приступим к настройке клиентской части.

Клиентская часть

Достаточно настроить ntp клиента для синхронизации времени, скопировать файл hosts с сервера, задать имя хоста, а также настроить /etc/ald/ald.conf. В файле /etc/ntp.conf необходимо добавить строки:

server dc1.local

Запустим службу ntp:

systemctl start ntp

systemctl enable ntp

Зададим имя хоста (в данном пример ip адрес хоста 192.168.1.101):

hostnamectl set-hostname host1

Перед настройкой ald.conf необходимо установит необходимые пакеты:

sudo apt install fly-admin-ald-client ald-client

На рисунке 2 представлен пример файла ald.conf (данный файл аналогичен файлу ald.conf с сервера).

Рис. 2

Рис. 2

После данным манипуляций можно ввести машину в домен командой:

ald-client join

После ввода машины в домен ее необходимо перезагрузить. Во время инициализации необходимо ввести пароль учетной записи, у которой имеются права на ввод машины в домен.

Если все прошло удачно, то на экране отобразится текст как на рисунке 3

Рис. 3

Рис. 3

Резервный сервер ald

Создать резервный сервер также довольно просто. Для этого на будущем резервном сервере (на резервном сервере также необходимо расположить корректный файл hosts), необходимо установить пакеты:

sudo apt install ald-server-common smolensk-security-ald

И отредактировать файл /etc/ald/ald.conf, изменив один параметр:

Рис. 4

Рис. 4

SERVER_ID=2

Далее зададим корректное имя хоста для резервного сервера:

sudo hostnamectl set-hostname dc2.local

Теперь инициализируем резервный сервер командой:

sudo ald-init init --slave

После выполнения данной команды, сервер перейдет в резервный режим. После инициализации необходимо перезагрузить машину.

Если, например, основной сервер вышел из строя, то для перевода резервного сервера в основной режим необходимо выполнить команду:

sudo ald-init promote

Дополнительно необходимо на всех клиентских рабочих станциях отредактировать файл /etc/ald/ald.conf, как это сделать одной командой будет рассказано в разделе «Дополнительно».

Рис. 5

Рис. 5

В данном файле необходимо изменить параметр SERVER и SERVER_ID:

SERVER=dc2.local #dc2.local – резервный сервер

SERVER_ID=2 #2 – id резервного сервера

После манипуляций необходимо выполнить команду:

sudo ald-client commit-config

Администрирование ald сервера

Как было написано ранее, администрирование можно производить через стандартную системную утилиту fly-admin-smc. Ее можно запустить через консоль, либо в панели управления, перейдя на вкладку «Безопасность» и запустив аплет «Политика безопасности». Первым делом необходимо настроить политику паролей в соответствии с вашими требованиями:

Рис. 6

Рис. 6

На рисунке 6 представлена вкладка политики паролей. После настройки политики можно приступить к созданию пользователей и настройке их прав.

Рис. 7

Рис. 7

На вкладке «Пользователи» необходимо нажать на кнопку +, ввести имя, тип файловой системы установить local (также можно хранить каталоги на сетевых ресурсах), а также убрать галку «новая» напротив надписи «Первичная группа». При этом пользователь будет добавлен в группу «domain user». Далее создадим пароль для пользователя.

Рис. 8

Рис. 8

На вкладке «Привилегии домена» можно сделать пользователя «администратором» домена, а также разрешить авторизацию с конкретных доменных машин, или с любых машин, входящих в домен.

Рис. 9

Рис. 9

Рис. 10

Рис. 10

На вкладке «МРД» указываем, к каким меткам пользователь имеет доступ, а также уровень целостности.

Рис. 11

Рис. 11

Дополнительно

Представьте такую ситуацию, в будущий домен будет входить 100, или более машин, раскидать в ручную файл hosts будет довольно проблематично, в данной ситуации поможет bash с СИ подобным синтаксисом.

На тестовом стенде имеется подсеть 192.168.1.0/24, 192.168.1.1 — сервер, 192.168.1.2-192.168.1.100 — рабочие станции. На каждой машине(в том числе и на сервере) имеется пользователь user, с паролем 12345678. Данный пользователь должен быть полноценным администратором(с доступом к sudo, во время установки системы создается пользователь имеющий данные права) системы и иметь уровень целостности 63, для выполнения данной цели необходимо выполнить следующие команды:

sudo usermod -aG astra-admin,astra-console user

sudo pdpl-user -l 0:0 -i 63 user

Если пользователь user отсутствует в системе — выполним следующие команды:

sudo useradd -m -G astra-admin,astra-console -s /bin/bash user

sudo passwd user

sudo pdpl-user -l 0:0 -i 63 user

Для того что бы не вводить пароль при распространении ключей, необходимо установить утилиту sshpass:

sudo apt install sshpass

После данным манипуляций можно приступить к формированию ключа(без sudo, с правами пользователя user), для без парольного доступа:

shh-keygen -t rsa -b 1024

Распространим ключи на рабочие станции:

for((i=2;i<101;i++)); do sshpass -p 12345678 ssh-copy-id -f -o StrictHostKeyChecking=no user@192.168.1.$i; done

Скопируем файл hosts на все машины с помощью утилиты scp:

for((i=2;i<101;i++)); do scp /etc/hosts user@192.168.1.$i:/home/user; ssh user@192.168.1.$i sudo cp /home/user/hosts /etc/hosts; done

После выполнения данных команд файл hosts будет распространен на все машины, которые будут входить в домен.

Таким же образом можно редактировать данный файл на всех хостах в домене(например необходимо удалить строку с именем хоста — host40):

for((i=2;i<102;i++)); do ssh user@192.168.1.$i sudo sed -i '/host40/d' /etc/hosts; done

Если Вам необходимо переключиться на резервный сервер на всех клиентских машинах, выполним команду:

for((i=2;i<102;i++)); do ssh user@192.168.1.$i sudo sed -i ‘s/SERVER=dc1.local/SERVER=dc2.local/g’ /etc/ald/ald.conf; sudo sed -i ‘s/SERVER_ID=1/SERVER_ID=2/g’ /etc/ald/ald.conf; sudo ald-client commit-config -f; done

Заключение

Как видно из данной публикации ald домен довольно просто разворачивать, а также очень просто администрировать используя стандартную системную утилиту fly-admin-smc.

Введение

Вот уже более года занимаюсь администрированием операционной системы Astra Linux, данная операционная система построена на базе операционной системе debian, но в плане администрирования данные операционные системы имеют различия, также в Astra Linux имеются службы собственной разработки. В данной публикации пойдет речь об администрирование ald домена, серверной части, а также клиентской (как правильно ввести систему в домен и правильное формирование файла hosts).

Серверная часть

Настройку произвожу на виртуальных машинах в virtualbox, на сервере ip адрес 192.168.1.1, также на данном сервере расположен репозиторий(настройка ip адресов и репозиториев ничем не отличаются от настроек в debian). Первое, что необходимо настроить — это синхронизацию времени, поднимем ntp сервер, который будет брать время с текущей машины, для это достаточно отредактировать файл /etc/ntp.conf, внеся в него следующие изменения:


server 127.127.1.0

fudge 127.127.1.0 stratum 10

restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

Параметры подсети укажите в соответсвии с вашими ip адресами.

Запустим службу:

systemctl enable ntp

systemctl start ntp

Так как в ald отсутствует собственный dns сервер, то его заменой служит корректно настроенный файл /etc/hosts, который должен быть одинаковый на всех машинах в домене. Перед редактированием данного файла, зададим корректное hostname для сервера:

hostnamectl set-hostname dc1.local

В данной ситуации hostname сервера будет dc1, а имя домена, соответственно, local, именно на эти параметры будет ориентироваться ald-server при инициализации. Последним штрихом перед инициализацией ald сервера буден корректная настройка файла /etc/hosts:

127.0.0.1 localhost

#127.0.1.1 hostname

192.168.1.1 dc1.local dc1

192.168.1.101 host1.local host1

192.168.1.102 host2.local host2

Обязательно необходимо «закомментировать» 127.0.1.1, а также важна последовательно указания полного имени хоста, т. е. первым должно быть указано имя хоста с доменом, и только потом имя хоста без домена.

В данном примере указан один домен и две рабочие станции (если рабочих станций больше, то соответственно всех их необходимо перечислить в данном файле, а также скопировать данный файл на все машины, которые планируется ввести в домен). После данных манипуляций можно приступать к установке необходимых пакетов, а также инициализации сервера:

sudo apt install ald-server-common fly-admin-ald-server smolensk-security-ald

Пакет smolensk-security-ald — добавит возможность администрировать ald сервер в стандартной утилите fly-admin-smc (об этом будет рассказано далее).

Во время установки будет запрос на создание пароля администратора домена, для текущей публикации будет создан пароль 12345678, далее данный пароль будет использован для ввода всех машин в домен. После установки всех пакетов обязательно необходимо перезагрузить машину.

ВАЖНО: Если по каким то причинам у Вас сбились настройки сервера, то их можно отредактировать в файле /etc/ald/ald.conf, в текущем файле важен параметр DOMAIN, значение данного параметра всегда должно начинаться с . (точки), т.е. в текущем примере данная строка будет выглядеть так:

DOMAIN = .local

После перезагрузки сервера можно приступить к инициализации сервера командой:

ald-init init

В процессе инициализации домена еще раз будет запрос на создание пароля администратора домена, а также запрос на создание пароля на базу данных kerberos. Если все прошло удачно, то на экране появится сообщение как на рисунке 1.

Рис. 1

Рис. 1

После данным манипуляций настройка сервера закончена, приступим к настройке клиентской части.

Клиентская часть

Клиентская часть настраивается довольно просто, достаточно настроить ntp клиента, для синхронизации времени, скопировать файл hosts с сервера, задать имя хоста, а также настроить /etc/ald/ald.conf. В файле /etc/ntp.conf необходимо добавить строки:

server dc1.local

Запустим службу ntp:

systemctl start ntp

systemctl enable ntp

Зададим имя хоста (в данном пример ip адрес хоста 192.168.1.101):

hostnamectl set-hostname host1

Перед настройкой ald.conf необходимо установит необходимые пакеты:

sudo apt install fly-admin-ald-client ald-client

После того как пакеты будут установлены, необходимо перезагрузить машину, после того как машина будет перезагружена, можно приступить к настройке ald.conf и ввода машины в домен, на рисунке 2 представлен пример файла ald.conf (данный файл аналогичен файлу ald.conf с сервера)

Рис. 2

Рис. 2

После данным манипуляций можно ввести машину в домен командой:

ald-client join

Во время инициализации необходимо ввести пароль учетной записи у которой имеются права на ввод машины в домен.

Если все прошло удачно, то на экране отобразится текст как на рисунке 3

Рис. 3

Рис. 3

На этом настройка клиентской части закончена, можно приступать к администрированию ald сервера.

Администрирование ald сервера

Как было написано ранее администрирование можно производить через стандартную системную утилиту fly-admin-smc, ее можно запустить через консоль, либо в панели управления, перейдя на вкладку безопасность и запустив аплет «Политика безопасности». Первое, что необходимо настроить — это политику паролей в соответствии с Вашими требованиями:

Рис. 4

Рис. 4

На рисунке 4 представлена вкладка политики паролей. После настройки политики паролей можно приступить к созданию пользователей и настройке прав пользователей.

Рис. 5

Рис. 5

На вкладке пользователи необходимо нажать на кнопку +, ввести имя пользователя, тип файловой системы установить local (также можно хранить каталоги на сетевых ресурсах), а также убрать «галочку» «новая», напротив надписи «Первичная группа», при этом пользователь будет добавлен в группу «domain user». Далее создадим пароль для пользователя.

Рис. 6

Рис. 6

На вкладке «Привилегии домена» можно сделать пользователя «администратором» домена, а также разрешить авторизацию с конкретных доменных машин, или с любых машин входящих в домен.

Рис. 7

Рис. 7

Рис. 8

Рис. 8

На вкладке «МРД» настраивается к каким меткам пользователь может иметь доступ, а также уровень целостности.

Рис. 9

Рис. 9

Дополнительно

Представьте такую ситуацию, в будущий домен будет входить 100, или более машин, раскидать в ручную файл hosts будет довольно проблематично, в данной ситуации поможет bash с СИ подобным синтаксисом.

На тестовом стенде имеется подсеть 192.168.1.0/24, 192.168.1.1 — сервер, 192.168.1.2-192.168.1.100 — рабочие станции. На каждой машине(в том числе и на сервере) имеется пользователь user, с паролем 12345678. Данный пользователь должен быть полноценным администратором(с доступом к sudo, во время установки системы создается пользователь имеющий данные права) системы и иметь уровень целостности 63, для выполнения данной цели необходимо выполнить следующие команды:

sudo usermod -aG astra-admin,astra-console user

sudo pdpl-user -l 0:0 -i 63 user

Если пользователь user отсутствует в системе — выполним следующие команды:

sudo useradd -m -G astra-admin,astra-console -s /bin/bash user

sudo psswd user

sudo pdpl-user -l 0:0 -i 63

Для того что бы не вводить пароль при распространении ключей, необходимо установить утилиту sshpass:

sudo apt install sshpass

После данным манипуляций можно приступить к формированию ключа(без sudo, с правами пользователя user), для без парольного доступа:

shh-keygen -t rsa -b 1024

Распространим ключи на рабочие станции:

for((i=2;i<101;i++)); do sshpass -p 12345678 ssh-copy-id -f -o StrictHostKeyChecking=no user@192.168.1.$i; done

Скопируем файл hosts на все машины с помощью утилиты scp:

for((i=2;i<101;i++)); do scp /etc/hosts user@192.168.1.$i:/home/user; ssh user@192.168.1.$i sudo cp /home/user/hosts /etc/hosts; done

После выполнения данных команд файл hosts будет распространен на все машины, которые будут входить в домен.

Таким же образом можно редактировать данный файл на всех хостах в домене(например необходимо удалить строку с именем хоста — host40):

for((i=2;i<102;i++)); do ssh user@192.168.1.$i sudo sed -i '/host40/d' /etc/hosts; done

Заключение

Как видно из данной публикации ald домен довольно просто разворачивать, а также очень просто администрировать используя стандартную системную утилиту fly-admin-smc.

Операционные системы Astra Linux

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.

Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .

На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.

Источник

Операционные системы Astra Linux

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.

Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .

На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.

Источник

Операционные системы Astra Linux

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.

Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .

На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.

Источник

Операционные системы Astra Linux

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.

Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .

На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.

Источник

Ввод Astra Linux Special Edition 1.6 в Active Directory с настройкой SSO в PostgreSQL.

Настроим ОС Astra Linux SE 1.6 и введем в домен MS Active Directory . В процессе настроим SMABA, WINBIND и POSTGRESQL, а также настроим в POSTGRESQL SSO через GSSAPI.

Данная настройка проводилась с обновлением ОС Astra Linux SE 1.6 — 20191029SE16 . Процесс обновления ОС не описан в процессе конфигурации.

Вводные данные

Контроллеры домена Active Directory

ОС — MS Windows Server 2012R2

Сервер c базой данных Postgresql

ОС – Astra Linux SE 1.6. Установлена без ALD и без режима киоска. Дополнительное ПО выбрано базовые средства, рабочий стол Fly, средства работы в сети, СУБД.

Разблокировка учетной записи ROOT

Для удобства настройки разблокируем учетную запись ROOT

Для безопасности по окончанию работ требуется заблокировать учетную запись ROOT!

Настройка сети на bd1

Приведем файл /etc/hosts к виду

Проверим правильность имени машины в /etc/hostname

Настроим статический IP-адрес, для этого внесем строки в файл /etc/network/interfaces

Для автоматической генерации файла /etc/resolv.conf установим пакет resolvconf.

Перезапустим службу сети

Проверим, должен появиться интерфейс eth0 с назначенным нами адресом 192.168.0.100

Проверим доступность контроллеров домена Active Directory

Настроим синхронизацию времени с контроллерами домена, для этого в файле /etc/ntp.conf добавим в секцию «You do need to talk to an NTP server or two (or three)»

Установим требуемые пакеты

Сначала проверим установлены ли пакеты SAMBA, WINBIND, NTP и POSTGRESQL

dpkg – l samba winbind ntp postgresql

Произведем до установку пакетов которые нам потребуются далее (потребуется диск с дистрибутивом ОС)

apt-get install nscd nslcd libpam-winbind libpam-krb5 libsasl2-modules-gssapi-mit krb5-user libnss-winbind

Чтобы установить следующий пакет потребуется диск разработчика

apt-get install libsasl2-modules-ldap

Настройка конфигурационных файлов для работы с доменом Active Directory.

Отредактируем конфигурационный файл Kerberos /etc/krb5.conf и приведем его к виду

Источник

Операционные системы Astra Linux

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.

Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.

Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .

На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.

Источник

  1. Главная

  2. ИТ проповедник


  3. Как ввести Astra Linux в домен Active Directory Windows Server 2012 R2 / информационная безопасность
Просмотров: 6 006


Если вам понравилось бесплатно смотреть видео как ввести astra linux в домен active directory windows server 2012 r2 / информационная безопасность онлайн которое загрузил ИТ проповедник 13 января 2019 длительностью 00 ч 15 мин 01 сек в хорошем качестве, то расскажите об этом видео своим друзьям, ведь его посмотрели 6 006 раз.

Copyright ©

Epicube.su

Смотрите видео на портале epicube.su совершенно бесплатно и без регистрации. Наша видеотека каждый день обновляется лучшими роликами со всего мира!

admin@epicube.su Наша почта для ваших пожеланий и связи с нами.

Подключение операционной системы Astra Linux к домену Windows может быть полезным для организаций, где используется гибридное окружение из различных операционных систем. Такое подключение позволяет совместно использовать ресурсы домена Windows, включая общий доступ к файлам и папкам, аутентификацию пользователей и централизованное управление.

В данной статье мы рассмотрим пошаговую инструкцию по подключению Astra Linux к домену Windows. Мы покажем, как настроить сервер домена Windows и выполнить необходимые действия на операционной системе Astra Linux. Это позволит вам без проблем интегрировать Astra Linux в вашу существующую инфраструктуру на базе Windows.

Для успешного подключения Astra Linux к домену Windows необходимо соблюдать некоторые условия и выполнить ряд этапов, начиная от установки и настройки сервера домена Windows до конфигурации Astra Linux. Важно иметь доступ к серверу домена, а также учетную запись с административными правами. Подключение операционной системы Astra Linux к домену Windows может быть сложной задачей, но с нашей пошаговой инструкцией вы сможете успешно выполнить все необходимые манипуляции и обеспечить эффективную работу вашей смешанной среды операционных систем.

Содержание

  1. Подключение Astra Linux к домену Windows: пошаговая инструкция
  2. Шаг 1: Установка Astra Linux
  3. Шаг 2: Подключение к сети
  4. Шаг 3: Проверка доступности домена

Доменная сеть Windows часто используется в офисной работе, поэтому настройка подключения Astra Linux к домену Windows может стать необходимой задачей. Следуя пошаговой инструкции, вы сможете успешно завершить процесс подключения.

Шаг 1: Подготовка

Перед началом процесса подключения вам необходимо убедиться в следующих условиях:

  • У вас есть доступ к доменному контроллеру Windows;
  • У вас есть учетная запись с правами администратора в домене Windows;
  • Вы знаете имя домена и имя доменного контроллера.

Шаг 2: Установка необходимых пакетов

Перед подключением Astra Linux к домену Windows необходимо установить следующие пакеты:

  • samba
  • krb5-user
  • winbind
  • libpam-winbind

Вы можете установить эти пакеты с помощью менеджера пакетов Astra Linux или через команду терминала:

sudo apt-get install samba krb5-user winbind libpam-winbind

Шаг 3: Настройка файлов Samba

Зайдите в файловую систему Astra Linux и настройте файлы конфигурации Samba следующим образом:

sudo nano /etc/samba/smb.conf

Проверьте и убедитесь, что параметры «workgroup» и «realm» соответствуют вашему домену Windows:

workgroup = YOUR_DOMAIN
realm = YOUR_REALM

Сохраните изменения и закройте файл.

Шаг 4: Настройка файла Kerberos

Откройте файл Kerberos для редактирования:

sudo nano /etc/krb5.conf

Добавьте следующие строки в файл, заменив YOUR_DOMAIN на ваш домен Windows:

[libdefaults]
default_realm = YOUR_DOMAIN
dns_lookup_kdc = true
dns_lookup_realm = true

Сохраните изменения и закройте файл.

Шаг 5: Перезагрузка служб

Перезагрузите следующие службы, чтобы применить изменения:

sudo systemctl restart smbd
sudo systemctl restart winbind

Шаг 6: Присоединение к домену

Выполните следующую команду для присоединения Astra Linux к домену Windows:

sudo net ads join -U administrator@YOUR_DOMAIN

Замените YOUR_DOMAIN на ваш домен Windows. После выполнения команды вам может потребоваться ввести пароль администратора домена Windows.

Шаг 7: Проверка подключения

Выполните команду терминала:

id YOUR_DOMAIN\\YOUR_USERNAME

Замените YOUR_DOMAIN на ваш домен Windows и YOUR_USERNAME на имя пользователя в домене Windows. Если команда возвращает положительный результат, значит, подключение Astra Linux к домену Windows прошло успешно.

Теперь вы можете использовать учетные данные из домена Windows для авторизации на Astra Linux. Удачи!

Шаг 1: Установка Astra Linux

Перед тем, как подключить Astra Linux к домену Windows, необходимо установить операционную систему Astra Linux на компьютер. Для этого выполните следующие шаги:

1. Подготовка к установке:

Перед началом установки, убедитесь, что у вас есть загрузочный носитель Astra Linux и компьютер, на который вы будете устанавливать операционную систему. Также, обязательно проверьте наличие необходимых системных требований для запуска Astra Linux.

2. Загрузка Astra Linux:

Вставьте загрузочный носитель Astra Linux в компьютер и перезагрузите его. Загрузка должна начаться с загрузочного носителя. Если загрузка не начинается автоматически, проверьте настройки BIOS или UEFI и убедитесь, что загрузка с носителя возможна.

3. Выбор варианта установки:

При загрузке с загрузочного носителя будет предложено выбрать вариант установки Astra Linux. Обычно доступно несколько вариантов (например, установка с Live-сеансом или установка на жесткий диск). Выберите наиболее подходящий вариант для ваших потребностей и нажмите Enter.

4. Процесс установки:

Следуйте инструкциям на экране для установки Astra Linux. Вам может потребоваться ввести некоторую информацию, такую как язык установки и разделы жесткого диска для установки. Убедитесь, что выбрана правильная разделов и продолжайте установку.

5. Завершение установки:

По окончании установки, вам будет предложено перезагрузить компьютер. Перезагрузитесь и приступайте к настройке Astra Linux для подключения к домену Windows.

Шаг 2: Подключение к сети

Перед тем как подключить Astra Linux к домену Windows, необходимо убедиться в наличии подключения к сети. Для этого выполните следующие действия:

  1. Убедитесь, что у вас есть доступ к рабочей сети.
  2. Откройте «Центр управления сетями и общим доступом» на компьютере с установленной Astra Linux.
  3. Выберите «Подключение по локальной сети» и нажмите на «Свойства».
  4. Убедитесь, что в настройках выбран протокол TCP/IP версии 4 (IPv4).
  5. В окне настроек протокола TCP/IP введите IP-адрес, подсеть и шлюз, предоставленные администратором сети.
  6. Нажмите «ОК», чтобы сохранить настройки.

Теперь ваш компьютер с Astra Linux должен быть подключен к локальной сети, что позволит приступить к следующему шагу – подключению к домену Windows.

Шаг 3: Проверка доступности домена

После успешного подключения к локальной сети и указания корректных настроек TCP/IP на компьютере с Astra Linux необходимо проверить доступность домена Windows.

Для этого перейдите к следующим действиям:

  1. Откройте командную строку Astra Linux, нажав комбинацию клавиш Ctrl + Alt + T.
  2. Введите команду ping имя_домена, где имя_домена — имя вашего домена Windows.
  3. Нажмите клавишу Enter.

Команда ping позволяет отправить запрос на указанный домен и проверить, получает ли компьютер с Astra Linux ответ от сервера домена Windows.

Если вы получаете успешный ответ с указанным IP-адресом и временем отклика, значит доступность домена подтверждена.

В случае, если в ответе у вас появляются сообщения об ошибке, возможно проблема с настройками сети или доступностью сервера домена, и вам следует проверить соединение и настройки TCP/IP на компьютере с Astra Linux.

В современном мире информационных технологий все чаще возникает необходимость объединить компьютеры под управлением различных операционных систем в единый рабочий домен. Однако, когда речь идет о подключении операционной системы Astra Linux к домену Windows, возникают определенные сложности для начинающих пользователей.

Astra Linux — операционная система на базе Linux, разработанная специально для государственных и коммерческих организаций. В свою очередь, операционная система Windows является наиболее популярной в мире и широко применяется в офисной среде. Поэтому умение интегрировать Astra Linux в домен Windows может быть полезным навыком для IT-специалистов и системных администраторов.

В данном руководстве будут представлены основные шаги для добавления Astra Linux в домен Windows. Первым шагом будет подготовка обоих операционных систем к интеграции. Далее необходимо настроить сетевые параметры и проверить доступность домена. После этого можно приступить к подключению Astra Linux к домену Windows и проверить корректность работы.

Итак, если вы хотите научиться добавлять Astra Linux в домен Windows, этот статья поможет вам разобраться в основных принципах и шагах этого процесса. Необходимо иметь некоторые базовые знания о работе с операционными системами и сетевыми настройками. Приступим к подключению!

Содержание

  1. Как добавить Astra Linux в домен Windows
  2. Шаг 1: Подключение Astra Linux к сети
  3. Шаг 2: Установка необходимых пакетов
  4. Шаг 3: Настройка Astra Linux для работы с доменом Windows
  5. Шаг 4: Проверка добавления в домен Windows
  6. Установка Astra Linux
  7. Подключение к домену Windows
  8. Настройка групповой политики для Astra Linux
  9. Дополнительные советы и рекомендации
  10. Вопрос-ответ
  11. Что такое Astra Linux?
  12. Какую версию Astra Linux следует использовать для добавления в домен Windows?
  13. Какие требования должны быть выполнены для добавления Astra Linux в домен Windows?
  14. Какой протокол следует использовать при добавлении Astra Linux в домен Windows?
  15. Какие шаги нужно выполнить для добавления Astra Linux в домен Windows?
  16. Можно ли добавить Astra Linux в домен Windows без использования командной строки?

Как добавить Astra Linux в домен Windows

Добавление Astra Linux в домен Windows может быть полезным для упрощения управления компьютерами и пользователями в сети организации. В данном руководстве будет описана процедура добавления Astra Linux в существующий домен Windows.

Шаг 1: Подключение Astra Linux к сети

Перед тем как добавить Astra Linux в домен Windows, необходимо убедиться, что компьютер с Astra Linux подключен к сети организации. Убедитесь, что у вас есть доступ к интернету и что настройки сети настроены правильно.

Шаг 2: Установка необходимых пакетов

Для успешного добавления Astra Linux в домен Windows потребуется установить несколько пакетов:

  1. Убедитесь, что у вас установлен «samba». Если он не установлен, выполните команду: sudo apt-get install samba.
  2. Также установите «likewise-open» командой: sudo apt-get install likewise-open.

Шаг 3: Настройка Astra Linux для работы с доменом Windows

Теперь настало время настройки Astra Linux для работы с доменом Windows:

  1. Откройте файл «/etc/samba/smb.conf» с помощью текстового редактора. Убедитесь, что в нем есть следующее содержимое:
 

[global]

workgroup = YOUR_DOMAIN

client signing = yes

client use spnego = yes

kerberos method = dedicated keytab

dedicated keytab file = /etc/krb5.keytab

winbind enum users = yes

winbind enum groups = yes

winbind use default domain = yes

idmap config * : range = 2000000-2999999

idmap config * : backend = tdb

#idmap config YOUR_DOMAIN : default = yes

#idmap config YOUR_DOMAIN : range = 1000000-1999999

  1. Замените «YOUR_DOMAIN» на имя вашего домена Windows. Сохраните и закройте файл.
  2. В терминале выполните команду: sudo service smbd restart, чтобы перезапустить службу Samba.
  3. Затем выполните команду: sudo domainjoin-cli join YOUR_DOMAIN YOUR_USER, где «YOUR_DOMAIN» — имя вашего домена Windows, а «YOUR_USER» — имя пользователя с правами администратора в домене Windows.
  4. Вам будет предложено ввести пароль пользователя с правами администратора в домене Windows.
  5. После успешного выполнения команды, Astra Linux будет добавлен в домен Windows.

Шаг 4: Проверка добавления в домен Windows

Чтобы проверить, что Astra Linux успешно добавлен в домен Windows, выполните следующие действия:

  1. Перезагрузите компьютер с Astra Linux.
  2. На экране входа в систему выберите опцию «Другой пользователь».
  3. Введите ваше имя пользователя и пароль в формате «Ваш_Домен\Ваш_Пользователь».
  4. Нажмите «Вход».

Если вы смогли успешно войти в систему с использованием учетных данных домена Windows, значит Astra Linux успешно добавлен в домен.

Теперь вы можете управлять Astra Linux и пользователями в домене Windows. У вас будет доступ к общим ресурсам, а также возможность управлять политиками безопасности и группами пользователей.

Удачи в работе с Astra Linux в домене Windows!

Установка Astra Linux

Установка операционной системы Astra Linux в домен Windows начинается с загрузки дистрибутива Astra Linux. Далее следует выполнить следующие шаги:

  1. Подготовка к установке:
    • Скачайте дистрибутив Astra Linux с официального сайта разработчика;
    • Проверьте целостность скачанного файла с помощью контрольной суммы;
    • Создайте загрузочную флешку или диск с помощью специальной программы, например, Rufus или Etcher.
  2. Запуск установки:
    • Подключите загрузочную флешку или диск к компьютеру;
    • Запустите компьютер и установку операционной системы Astra Linux запустится с загрузочного носителя;
    • Выберите язык установки и нажмите «Далее».
  3. Выбор установочного режима:
    • Выберите режим установки «Пошаговая установка».
    • Выберите тип установки и нажмите «Далее».
  4. Параметры установки:
    • Укажите место установки Astra Linux и нажмите «Далее».
    • Выберите язык для системы и раскладку клавиатуры, затем нажмите «Далее».
    • Введите имя компьютера и домена, а также пароль администратора. Нажмите «Далее».
    • Выберите режим работы дискового пространства и нажмите «Далее».
    • Выберите способ создания разделов и нажмите «Далее».
    • Укажите необходимый размер раздела под систему и нажмите «Далее».
    • Выберите способ форматирования раздела и нажмите «Далее».
    • Задайте параметры сетевого подключения и нажмите «Далее».
    • Выберите режим работы HTTP-прокси, при необходимости, и нажмите «Далее».
  5. Установка компонентов:
    • Выберите компоненты, которые необходимо установить, и нажмите «Далее».
    • Подождите, пока компоненты будут установлены на компьютер.
  6. Завершение установки:
    • Разместите установочные диски в безопасном месте и нажмите «Далее».
    • Перезагрузите компьютер.

После установки Astra Linux можно приступить к настройке подключения к домену Windows. Для этого необходимо выполнить последовательность действий, описанную в предыдущей статье.

Для подключения Astra Linux к домену Windows необходимо выполнить следующие шаги:

  1. Запустить Astra Linux и войти в систему с правами администратора.
  2. Открыть меню «Система» и выбрать «Настройки домена».
  3. В появившемся окне выбрать опцию «Подключиться к домену».
  4. Ввести имя домена, к которому вы хотите подключиться, и нажать «Подключиться».
  5. Появится окно для ввода учетных данных. Введите имя пользователя и пароль администратора домена и нажмите «Подключиться».
  6. После успешного подключения будет отображено сообщение о завершении процесса.
  7. Перезагрузите компьютер для применения изменений.

После перезагрузки Astra Linux будет подключена к домену Windows и вы сможете использовать учетные данные домена для входа в систему.

Важно помнить, что для подключения к домену Windows требуется наличие соответствующих привилегий. Обратитесь к администратору вашего домена, чтобы получить необходимые данные и разрешения перед началом процесса подключения.

Основные шаги подключения к домену Windows

Шаг Действие
1 Запустить Astra Linux и войти в систему с правами администратора.
2 Открыть меню «Система» и выбрать «Настройки домена».
3 В появившемся окне выбрать опцию «Подключиться к домену».
4 Ввести имя домена и нажать «Подключиться».
5 Ввести имя пользователя и пароль администратора домена и нажать «Подключиться».
6 После успешного подключения будет отображено сообщение о завершении процесса.
7 Перезагрузить компьютер для применения изменений.

Настройка групповой политики для Astra Linux

Групповая политика в операционной системе Astra Linux позволяет управлять настройками и ограничениями для пользователей и компьютеров в сети. С помощью групповой политики можно установить различные параметры безопасности, настроить доступ к ресурсам сети, установить программное обеспечение и многое другое.

Чтобы настроить групповую политику в Astra Linux, следуйте этим простым шагам:

  1. Откройте утилиту «Настройки системы» из главного меню.
  2. Выберите раздел «Администрирование» и нажмите на иконку «Групповая политика».
  3. При первом запуске утилита может потребовать установки пакета gpm-support. Подтвердите установку, если это требуется.
  4. После установки пакета запустите утилиту снова.

После этого вы сможете настраивать групповую политику для Astra Linux. В утилите групповой политики вы найдете список различных категорий настроек, которые можно изменить. Например, в разделе «Параметры безопасности» вы можете установить требования для паролей, ограничить доступ к определенным функциям и настроить защиту от несанкционированного доступа.

Кроме того, в утилите групповой политики есть возможность создания собственных шаблонов для применения групповой политики на нескольких компьютерах одновременно. Для этого выберите пункт «Создать шаблон» и укажите необходимые настройки.

Возможные настройки групповой политики в Astra Linux:

Категория Описание
Параметры безопасности Настройки, связанные с безопасностью системы
Настройки сети Настройки сетевого соединения и доступа к сетевым ресурсам
Настройки печати Настройки принтеров и печати документов
Настройки программного обеспечения Установка и удаление программного обеспечения

После настройки групповой политики сохраните изменения и перезагрузите систему. Ваши настройки будут применены и вступят в силу после перезагрузки.

Теперь вы знаете, как настроить групповую политику для Astra Linux и управлять настройками в сети. Пользуйтесь этой функцией, чтобы обеспечить безопасность и эффективность работы пользователей и компьютеров в вашем домене Windows.

Дополнительные советы и рекомендации

В процессе добавления Astra Linux в домен Windows могут возникнуть некоторые сложности. В этом разделе представлены дополнительные советы и рекомендации, которые помогут вам успешно выполнить данную задачу.

  • Убедитесь в наличии прав администратора — Для добавления компьютера в домен Windows требуются права администратора. Убедитесь, что у вас есть необходимые права для выполнения данной операции.
  • Проверьте правильность доменного имени — При вводе доменного имени убедитесь, что вы указали его правильно. Неправильно введенное доменное имя может привести к невозможности добавления Astra Linux в домен.
  • Настройте сетевые параметры — Настройте сетевые параметры компьютера, чтобы он мог успешно общаться с контроллером домена. Убедитесь, что компьютер имеет правильную IP-адресацию, подсетку и шлюз по умолчанию.
  • Проверьте доступность контроллера домена — Убедитесь, что контроллер домена доступен для компьютера, который вы пытаетесь добавить в домен. Проверьте сетевое подключение и правильность настроек контроллера домена.
  • Перезагрузите компьютер после добавления в домен — После успешного добавления Astra Linux в домен Windows рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу.
  • Внимательно следуйте указаниям документации — При выполнении операции добавления Astra Linux в домен Windows внимательно следуйте указаниям документации. Учтите, что настройки могут отличаться в зависимости от версии Astra Linux и Windows.

Учитывая эти советы и рекомендации, вы будете лучше подготовлены для успешного добавления Astra Linux в домен Windows.

Вопрос-ответ

Что такое Astra Linux?

Astra Linux — это отечественная операционная система, разработанная специально для государственных организаций и критически важных объектов.

Какую версию Astra Linux следует использовать для добавления в домен Windows?

Для добавления в домен Windows рекомендуется использовать версию Astra Linux Common Edition, так как она предлагает больше возможностей в работе с сетью и доменами.

Какие требования должны быть выполнены для добавления Astra Linux в домен Windows?

Для добавления Astra Linux в домен Windows необходимо наличие учетной записи администратора в домене и доступ к компьютеру с установленной Astra Linux.

Какой протокол следует использовать при добавлении Astra Linux в домен Windows?

При добавлении Astra Linux в домен Windows следует использовать протокол LDAP (Lightweight Directory Access Protocol), который позволяет управлять учетными записями и ресурсами в домене.

Какие шаги нужно выполнить для добавления Astra Linux в домен Windows?

Для добавления Astra Linux в домен Windows необходимо настроить сетевые параметры, установить и настроить пакеты samba и krb5, настроить файлы конфигурации samba и krb5, а затем присоединить Astra Linux к домену Windows.

Можно ли добавить Astra Linux в домен Windows без использования командной строки?

Да, возможно добавить Astra Linux в домен Windows без использования командной строки. Для этого можно воспользоваться графическим интерфейсом, предоставленным операционной системой.

Добавление операционной системы Astra Linux в домен Windows может быть непростой задачей для многих пользователей. Однако, с помощью данного подробного руководства вы сможете успешно выполнить эту операцию и насладиться полным доступом к сетевым ресурсам Windows.

Astra Linux — это операционная система на базе Linux, разработанная специально для использования в государственных учреждениях России. В то же время, Windows является одной из самых популярных операционных систем для персональных компьютеров. Поэтому возникает необходимость объединить эти две платформы и обеспечить их совместную работу в рамках домена.

Для добавления Astra Linux в домен Windows вы должны выполнить несколько шагов. Сначала необходимо установить драйверы и настроить сеть, затем создать учетную запись пользователя в домене, указать правильные параметры соединения и подключиться к домену. Этот процесс требует внимания к деталям, но с нашей подробной инструкцией вы справитесь с этим заданием без проблем.

Содержание

  1. Установка Astra Linux
  2. Настройка сети в Astra Linux
  3. Создание учетной записи домена Windows
  4. Присоединение Astra Linux к домену Windows
  5. 1. Установка необходимых пакетов
  6. 2. Настройка сетевого соединения
  7. 3. Присоединение Astra Linux к домену Windows
  8. 4. Проверка работу присоединения
  9. Проверка соединения Astra Linux с доменом Windows
  10. Вопрос-ответ
  11. Каким образом можно добавить Astra Linux в домен Windows?
  12. Какие пакеты нужно установить для работы Astra Linux с доменом Windows?
  13. Какие настройки нужно задать в файле smb.conf для добавления Astra Linux в домен Windows?
  14. Каким образом можно добавить пользователя Astra Linux в домен Windows?

Установка Astra Linux

Для установки Astra Linux вам понадобится следовать нескольким простым шагам:

  1. Скачайте образ Astra Linux с официального сайта разработчика.
  2. Запишите образ на загрузочный носитель, например, на DVD или USB-флешку.
  3. Вставьте загрузочный носитель в компьютер и перезагрузите его.
  4. При загрузке компьютера выберите загрузку с загрузочного носителя.
  5. После загрузки выберите язык установки и нажмите «Далее».
  6. Примите лицензионное соглашение и нажмите «Далее».
  7. Выберите необходимый тип установки и диск для установки Astra Linux.
  8. Укажите данные для учетной записи пользователя и пароль.
  9. Дождитесь завершения установки и перезагрузите компьютер.

После перезагрузки вы сможете войти в Astra Linux и начать его настройку для работы в домене Windows.

Настройка сети в Astra Linux

Корректная настройка сети в Astra Linux необходима для подключения операционной системы к домену Windows. Для этого следует выполнить следующие шаги:

  1. Открыть меню сетевых подключений. Для этого нажмите правой кнопкой мыши на значок сети в панели задач и выберите «Network Connections» (Сетевые подключения).
  2. Выбрать сетевое подключение. В открывшемся окне выберите интерфейс, который будет использоваться для подключения к сети. Обычно это Ethernet или Wi-Fi.
  3. Настроить IP-адрес. Чтобы подключить Astra Linux к домену Windows, вы должны настроить статический IP-адрес в сети. Для этого нажмите правой кнопкой мыши на выбранное сетевое подключение и выберите «Properties» (Свойства).
  4. Ввести IP-адрес, маску подсети и шлюз по умолчанию. В открывшемся окне выберите протокол IPv4 и нажмите кнопку «Properties» (Свойства). В появившемся окне введите IP-адрес, маску подсети и шлюз по умолчанию, предоставленные вашим администратором. Нажмите «OK», чтобы сохранить изменения.
  5. Указать DNS-серверы. Для работы с доменом Windows необходимо указать DNS-серверы, которые будут использоваться для разрешения имен. В окне настройки IP-адреса введите адреса DNS-серверов, предоставленные администратором. Нажмите «OK», чтобы сохранить изменения.
  6. Проверить подключение. Чтобы убедиться, что сетевое подключение корректно настроено, откройте командную строку и выполните команду ping с наименованием контроллера домена Windows. Если ответы получены успешно, значит, настройка сети выполнена правильно.

После выполнения этих шагов Astra Linux будет успешно подключена к домену Windows и сможет взаимодействовать с другими компьютерами в сети.

Создание учетной записи домена Windows

Для того чтобы добавить Astra Linux в домен Windows, необходимо создать учетную запись домена Windows. В данном разделе будет описано, как создать учетную запись домена Windows.

  1. Откройте панель управления домена Windows.
  2. Выберите опцию «Создать новую учетную запись».
  3. Укажите необходимую информацию для создания учетной записи, такую как имя пользователя, пароль и привилегии.
  4. Нажмите кнопку «Создать», чтобы завершить создание учетной записи.
  5. После создания учетной записи, удостоверьтесь, что она отображается в списке учетных записей домена.

Теперь у вас есть учетная запись домена Windows, которую можно использовать для добавления Astra Linux в домен Windows. Следуйте дальнейшим инструкциям для настройки Astra Linux в домене Windows.

Присоединение операционной системы Astra Linux к домену Windows может быть полезным в случае необходимости интеграции существующей инфраструктуры на базе Windows. Это позволяет использовать единую систему управления учетными записями пользователей, групповыми политиками и прочими функциями домена Windows.

Для присоединения Astra Linux к домену Windows необходимо выполнить следующие шаги:

  1. Установить необходимые пакеты.

  2. Настроить сетевое соединение.

  3. Присоединить Astra Linux к домену Windows.

  4. Проверить работу присоединения.

Подробнее рассмотрим каждый из этих шагов.

1. Установка необходимых пакетов

Прежде чем присоединить Astra Linux к домену Windows, необходимо установить пакеты, позволяющие осуществить данное действие. Для этого можно воспользоваться командой в терминале:

$ sudo apt-get install realmd sssd sssd-tools adcli

2. Настройка сетевого соединения

Для присоединения к домену Windows необходимо настроить сетевое соединение. Это можно сделать в файле настроек подключения.

Откройте файл /etc/NetworkManager/system-connections/подключение и добавьте следующие строки:

[connection]

id=подключение

uuid=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

type=802-3-ethernet

interface-name=interface

permissions=

secondaries=

[802-3-ethernet]

mac-address=xx:xx:xx:xx:xx:xx

mac-address-blacklist=

[ipv4]

address=ip-адрес

dns-search=домен

dns=ip-адрес dns-сервера

method=auto

[ipv6]

addr-gen-mode=stable-privacy

dns-search=

dns=

method=auto

[proxy]

Замените значения подключение, xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, interface, xx:xx:xx:xx:xx:xx, ip-адрес, домен и ip-адрес dns-сервера на соответствующие значения в вашей сети.

Для присоединения к домену Windows в Astra Linux можно воспользоваться командой:

$ sudo realm join -U administrator домен

Замените administrator на имя администратора домена, а домен на имя вашего домена Windows.

4. Проверка работу присоединения

После присоединения Astra Linux к домену Windows можно проверить работу данного соединения. Для этого воспользуйтесь командой:

$ sudo realm list

Если в результате выполнения команды будет выведена информация о присоединенном домене Windows, то присоединение прошло успешно.

Таким образом, присоединение Astra Linux к домену Windows позволяет использовать многочисленные преимущества централизованного управления сетью и учетными записями пользователей, что может быть полезным для организаций, работающих в смешанной среде.

Проверка соединения Astra Linux с доменом Windows

После того, как вы успешно добавили Astra Linux в домен Windows, для проверки соединения выполните следующие шаги:

  1. Проверка подключения к сети:

    Убедитесь, что ваш компьютер подключен к сети и имеет доступ к роутеру или другому устройству сети. Проверьте, что сетевой кабель подключен правильно и нет проблем с роутером.

  2. Проверка доступности контроллера домена:

    Убедитесь, что контроллер домена, к которому вы добавили Astra Linux, доступен и работает. Проверьте, что сервер контроллера домена включен и находится в рабочем состоянии.

  3. Проверка настроек сетевого подключения:

    Убедитесь, что настроены правильные сетевые параметры на компьютере с Astra Linux. Проверьте IP-адрес, маску подсети, шлюз, DNS-серверы и другие сетевые настройки. Проверьте, что все настройки соответствуют настройкам сети вашего домена Windows.

  4. Проверка доступности ресурсов домена:

    Попробуйте получить доступ к ресурсам домена Windows, таким как общие папки, принтеры, файлы и т. д. Если у вас нет доступа, убедитесь, что ваши учётные данные пользователя корректны и ваш аккаунт имеет необходимые разрешения.

Если все шаги выполнены успешно и у вас есть доступ к ресурсам домена Windows, значит соединение Astra Linux с доменом Windows работает корректно.

Вопрос-ответ

Каким образом можно добавить Astra Linux в домен Windows?

Для добавления Astra Linux в домен Windows необходимо выполнить несколько шагов. Сначала необходимо установить пакет Samba, который позволит Astra Linux работать с протоколом SMB. Затем нужно настроить файл /etc/samba/smb.conf, указав доменное имя и другие настройки. После этого нужно добавить пользователя в домен Windows с помощью команды «net rpc join». И наконец, необходимо указать DNS-сервера Windows, чтобы Astra Linux мог выполнять обратное разрешение источников.

Какие пакеты нужно установить для работы Astra Linux с доменом Windows?

Для работы Astra Linux с доменом Windows необходимо установить пакет Samba, который обеспечивает поддержку протокола SMB. Этот пакет позволяет Astra Linux взаимодействовать с ресурсами и пользователями Windows. Кроме того, также нужно установить пакет smbclient, который предоставляет утилиты командной строки для работы с файлами и папками Windows.

Какие настройки нужно задать в файле smb.conf для добавления Astra Linux в домен Windows?

В файле smb.conf необходимо задать несколько настроек для добавления Astra Linux в домен Windows. Во-первых, нужно указать имя домена с помощью параметра «workgroup = ИМЯ_ДОМЕНА». Далее, необходимо указать протокол авторизации с помощью параметра «security = ADS». Также нужно задать путь к ключу машины с помощью параметра «kerberos method = secrets and keytab». Эти настройки позволяют Astra Linux успешно взаимодействовать с доменом Windows.

Каким образом можно добавить пользователя Astra Linux в домен Windows?

Для добавления пользователя Astra Linux в домен Windows необходимо использовать команду «net rpc join». Эта команда подключает Astra Linux к домену Windows и создает соответствующую учетную запись пользователя. После ввода команды необходимо будет ввести имя пользователя и пароль Windows с правами администратора, чтобы авторизоваться и выполнить операцию. После успешного выполнения команды пользователь Astra Linux будет членом домена Windows и сможет получить доступ к его ресурсам.

  • Astra linux smb подключение к windows
  • Astra linux samba не видит сеть windows
  • Astra linux rdp клиент для windows
  • Astra linux grub windows пароль
  • Astra 4700 драйвер windows 10