Введение
Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:
- С использованием инструментария winbind:
- графический инструмент fly-admin-ad-client;
- инструмент командной строки astra-winbind;
- С использованием инструментария sssd:
- графический инструмент fly-admin-ad-sssd-client;
- инструмент командной строки astra-ad-sssd-client;
Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.
Конфигурация стенда
Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
---|---|---|---|
dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | Статический (далее для примера используется IP-адрес 192.168.5.7) |
astra01 | Astra Linux Special Edition | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Настройка системных часов и сетевых подключений
Для успешного ввода Astra Linux в домен AD на вводимой машине перед вводом в домен необходимо:
- Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux);
- Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-client
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
- Открыть «Панель управления»:
- Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
- Заполнить все поля и нажать кнопку «Подключиться»:
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLE\username».
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.
Для установки пакета:
- Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
-
Установить пакет:
sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd-client можно используя Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-sssd-client
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
После установки пакет доступен в графическом меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка клиента SSSD Fly».
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку «Подключиться»:
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-winbind
Ввод в домен с помощью astra-winbind
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.
Ввод компьютера в домен может быть выполнен командой:
sudo astra-winbind -dc dc01.example.com -u Администратор
где:
- -dc dc01.example.com — указание контроллера домена;
- -u Администратор — указание имени администратора домена;
Подсказка по команде:
sudo astra-winbind -h Usage: astra-winbind <ключи> ключи: -h этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из файла /etc/resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -px получает пароль администратора домена из stdin -p пароль администратора домена (небезопасно) -s разрешить и запустить службу подключения к домену -S запретить и остановить службу подключения к домену -l вывести компьютер из домена примеры: полное имя контроллера домена и отключение запроса подтверждения astra-winbind -dc astra01.atws.as -u admin -p password -y сторонний сервер времени и запрос пароля в процессе astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin передача пароля через stdin, домен ищется в resolv.conf echo | ./astra-winbind -dc astra01 -u admin -px -y информация о текущем домене astra-winbind -i
Особенности ввода в домен Windows AD 2003
При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:
-
Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:
cp /etc/samba/smb.conf /tmp/smb.conf
-
Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:
sed -i -e ‘/^\[global\]/a client min protocol = NT1’ «/tmp/smb.conf»;
-
Выполнить ввод в домен используя модифицированный файл конфигурации:
sudo astra-winbind -dc dc01.example.com -u Администратор -y —par «—configfile=/tmp/smb.conf»
-
Заменить созданный при второй попытке ввода конфигурационный файл /etc/samba/smb.conf сохраненной модифицированной копией:
sudo mv /tmp/smb.conf /etc/samba/smb.conf
-
Перезагрузить компьютер:
sudo systemctl restart
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-ad-sssd-client
При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
Ввод компьютера в домен может быть выполнен командой:
sudo astra-ad-sssd-client -d example.com -u Администратор
где:
- -d example.com — указание имени домена;
- -u Администратор — указание имени администратора домена;
Примерный диалог при выполнении команды:
compname = astra01 domain = example.com username = admin введите пароль администратора домена: ok продолжать ? (y\N) y настройка сервисов... Завершено. Компьютер подключен к домену. Для продолжения работы, необходимо перезагрузить компьютер!
Для завершения подключения требуется перезагрузить компьютер:
sudo reboot
Подсказка по команде astra-ad-sssd-client:
sudo astra-ad-sssd-client -h Usage: astra-ad-sssd-client <ключи> ключи: -h,--help этот текст -d домен. если отсутствует, берется из hostname.resolv.conf -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -n сервер времени. -px получает пароль администратора домена от внешнего сценария через перенаправление стандартного ввода (stdin) -p пароль администратора домена -U удаление --par указать параметры вручную
После перезагрузки проверить статус подключения можно следующими способами:
-
Получить билет Kerberos от имени администратора домена:
kinit admin@dc01.example.com
-
Проверить статус подключения:
sudo astra-ad-sssd-client -i
Примеры
Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:
sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y
Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:
cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y
Подключение к домену domain.net без запроса подтверждения:
sudo astra-ad-sssd-client -d domain.net -y
Получение информации о текущем домене
sudo astra-ad-sssd-client -i
Удаление данных подключения:
sudo astra-ad-sssd-client -U
Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:
sudo astra-ad-sssd-client -U
В современном мире информационных технологий все чаще возникает необходимость объединить компьютеры под управлением различных операционных систем в единый рабочий домен. Однако, когда речь идет о подключении операционной системы Astra Linux к домену Windows, возникают определенные сложности для начинающих пользователей.
Astra Linux — операционная система на базе Linux, разработанная специально для государственных и коммерческих организаций. В свою очередь, операционная система Windows является наиболее популярной в мире и широко применяется в офисной среде. Поэтому умение интегрировать Astra Linux в домен Windows может быть полезным навыком для IT-специалистов и системных администраторов.
В данном руководстве будут представлены основные шаги для добавления Astra Linux в домен Windows. Первым шагом будет подготовка обоих операционных систем к интеграции. Далее необходимо настроить сетевые параметры и проверить доступность домена. После этого можно приступить к подключению Astra Linux к домену Windows и проверить корректность работы.
Итак, если вы хотите научиться добавлять Astra Linux в домен Windows, этот статья поможет вам разобраться в основных принципах и шагах этого процесса. Необходимо иметь некоторые базовые знания о работе с операционными системами и сетевыми настройками. Приступим к подключению!
Содержание
- Как добавить Astra Linux в домен Windows
- Шаг 1: Подключение Astra Linux к сети
- Шаг 2: Установка необходимых пакетов
- Шаг 3: Настройка Astra Linux для работы с доменом Windows
- Шаг 4: Проверка добавления в домен Windows
- Установка Astra Linux
- Подключение к домену Windows
- Настройка групповой политики для Astra Linux
- Дополнительные советы и рекомендации
- Вопрос-ответ
- Что такое Astra Linux?
- Какую версию Astra Linux следует использовать для добавления в домен Windows?
- Какие требования должны быть выполнены для добавления Astra Linux в домен Windows?
- Какой протокол следует использовать при добавлении Astra Linux в домен Windows?
- Какие шаги нужно выполнить для добавления Astra Linux в домен Windows?
- Можно ли добавить Astra Linux в домен Windows без использования командной строки?
Как добавить Astra Linux в домен Windows
Добавление Astra Linux в домен Windows может быть полезным для упрощения управления компьютерами и пользователями в сети организации. В данном руководстве будет описана процедура добавления Astra Linux в существующий домен Windows.
Шаг 1: Подключение Astra Linux к сети
Перед тем как добавить Astra Linux в домен Windows, необходимо убедиться, что компьютер с Astra Linux подключен к сети организации. Убедитесь, что у вас есть доступ к интернету и что настройки сети настроены правильно.
Шаг 2: Установка необходимых пакетов
Для успешного добавления Astra Linux в домен Windows потребуется установить несколько пакетов:
- Убедитесь, что у вас установлен «samba». Если он не установлен, выполните команду: sudo apt-get install samba.
- Также установите «likewise-open» командой: sudo apt-get install likewise-open.
Шаг 3: Настройка Astra Linux для работы с доменом Windows
Теперь настало время настройки Astra Linux для работы с доменом Windows:
- Откройте файл «/etc/samba/smb.conf» с помощью текстового редактора. Убедитесь, что в нем есть следующее содержимое:
[global]
workgroup = YOUR_DOMAIN
client signing = yes
client use spnego = yes
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap config * : range = 2000000-2999999
idmap config * : backend = tdb
#idmap config YOUR_DOMAIN : default = yes
#idmap config YOUR_DOMAIN : range = 1000000-1999999
- Замените «YOUR_DOMAIN» на имя вашего домена Windows. Сохраните и закройте файл.
- В терминале выполните команду: sudo service smbd restart, чтобы перезапустить службу Samba.
- Затем выполните команду: sudo domainjoin-cli join YOUR_DOMAIN YOUR_USER, где «YOUR_DOMAIN» — имя вашего домена Windows, а «YOUR_USER» — имя пользователя с правами администратора в домене Windows.
- Вам будет предложено ввести пароль пользователя с правами администратора в домене Windows.
- После успешного выполнения команды, Astra Linux будет добавлен в домен Windows.
Шаг 4: Проверка добавления в домен Windows
Чтобы проверить, что Astra Linux успешно добавлен в домен Windows, выполните следующие действия:
- Перезагрузите компьютер с Astra Linux.
- На экране входа в систему выберите опцию «Другой пользователь».
- Введите ваше имя пользователя и пароль в формате «Ваш_Домен\Ваш_Пользователь».
- Нажмите «Вход».
Если вы смогли успешно войти в систему с использованием учетных данных домена Windows, значит Astra Linux успешно добавлен в домен.
Теперь вы можете управлять Astra Linux и пользователями в домене Windows. У вас будет доступ к общим ресурсам, а также возможность управлять политиками безопасности и группами пользователей.
Удачи в работе с Astra Linux в домене Windows!
Установка Astra Linux
Установка операционной системы Astra Linux в домен Windows начинается с загрузки дистрибутива Astra Linux. Далее следует выполнить следующие шаги:
- Подготовка к установке:
- Скачайте дистрибутив Astra Linux с официального сайта разработчика;
- Проверьте целостность скачанного файла с помощью контрольной суммы;
- Создайте загрузочную флешку или диск с помощью специальной программы, например, Rufus или Etcher.
- Запуск установки:
- Подключите загрузочную флешку или диск к компьютеру;
- Запустите компьютер и установку операционной системы Astra Linux запустится с загрузочного носителя;
- Выберите язык установки и нажмите «Далее».
- Выбор установочного режима:
- Выберите режим установки «Пошаговая установка».
- Выберите тип установки и нажмите «Далее».
- Параметры установки:
- Укажите место установки Astra Linux и нажмите «Далее».
- Выберите язык для системы и раскладку клавиатуры, затем нажмите «Далее».
- Введите имя компьютера и домена, а также пароль администратора. Нажмите «Далее».
- Выберите режим работы дискового пространства и нажмите «Далее».
- Выберите способ создания разделов и нажмите «Далее».
- Укажите необходимый размер раздела под систему и нажмите «Далее».
- Выберите способ форматирования раздела и нажмите «Далее».
- Задайте параметры сетевого подключения и нажмите «Далее».
- Выберите режим работы HTTP-прокси, при необходимости, и нажмите «Далее».
- Установка компонентов:
- Выберите компоненты, которые необходимо установить, и нажмите «Далее».
- Подождите, пока компоненты будут установлены на компьютер.
- Завершение установки:
- Разместите установочные диски в безопасном месте и нажмите «Далее».
- Перезагрузите компьютер.
После установки Astra Linux можно приступить к настройке подключения к домену Windows. Для этого необходимо выполнить последовательность действий, описанную в предыдущей статье.
Для подключения Astra Linux к домену Windows необходимо выполнить следующие шаги:
- Запустить Astra Linux и войти в систему с правами администратора.
- Открыть меню «Система» и выбрать «Настройки домена».
- В появившемся окне выбрать опцию «Подключиться к домену».
- Ввести имя домена, к которому вы хотите подключиться, и нажать «Подключиться».
- Появится окно для ввода учетных данных. Введите имя пользователя и пароль администратора домена и нажмите «Подключиться».
- После успешного подключения будет отображено сообщение о завершении процесса.
- Перезагрузите компьютер для применения изменений.
После перезагрузки Astra Linux будет подключена к домену Windows и вы сможете использовать учетные данные домена для входа в систему.
Важно помнить, что для подключения к домену Windows требуется наличие соответствующих привилегий. Обратитесь к администратору вашего домена, чтобы получить необходимые данные и разрешения перед началом процесса подключения.
Шаг | Действие |
---|---|
1 | Запустить Astra Linux и войти в систему с правами администратора. |
2 | Открыть меню «Система» и выбрать «Настройки домена». |
3 | В появившемся окне выбрать опцию «Подключиться к домену». |
4 | Ввести имя домена и нажать «Подключиться». |
5 | Ввести имя пользователя и пароль администратора домена и нажать «Подключиться». |
6 | После успешного подключения будет отображено сообщение о завершении процесса. |
7 | Перезагрузить компьютер для применения изменений. |
Настройка групповой политики для Astra Linux
Групповая политика в операционной системе Astra Linux позволяет управлять настройками и ограничениями для пользователей и компьютеров в сети. С помощью групповой политики можно установить различные параметры безопасности, настроить доступ к ресурсам сети, установить программное обеспечение и многое другое.
Чтобы настроить групповую политику в Astra Linux, следуйте этим простым шагам:
- Откройте утилиту «Настройки системы» из главного меню.
- Выберите раздел «Администрирование» и нажмите на иконку «Групповая политика».
- При первом запуске утилита может потребовать установки пакета gpm-support. Подтвердите установку, если это требуется.
- После установки пакета запустите утилиту снова.
После этого вы сможете настраивать групповую политику для Astra Linux. В утилите групповой политики вы найдете список различных категорий настроек, которые можно изменить. Например, в разделе «Параметры безопасности» вы можете установить требования для паролей, ограничить доступ к определенным функциям и настроить защиту от несанкционированного доступа.
Кроме того, в утилите групповой политики есть возможность создания собственных шаблонов для применения групповой политики на нескольких компьютерах одновременно. Для этого выберите пункт «Создать шаблон» и укажите необходимые настройки.
Категория | Описание |
---|---|
Параметры безопасности | Настройки, связанные с безопасностью системы |
Настройки сети | Настройки сетевого соединения и доступа к сетевым ресурсам |
Настройки печати | Настройки принтеров и печати документов |
Настройки программного обеспечения | Установка и удаление программного обеспечения |
После настройки групповой политики сохраните изменения и перезагрузите систему. Ваши настройки будут применены и вступят в силу после перезагрузки.
Теперь вы знаете, как настроить групповую политику для Astra Linux и управлять настройками в сети. Пользуйтесь этой функцией, чтобы обеспечить безопасность и эффективность работы пользователей и компьютеров в вашем домене Windows.
Дополнительные советы и рекомендации
В процессе добавления Astra Linux в домен Windows могут возникнуть некоторые сложности. В этом разделе представлены дополнительные советы и рекомендации, которые помогут вам успешно выполнить данную задачу.
- Убедитесь в наличии прав администратора — Для добавления компьютера в домен Windows требуются права администратора. Убедитесь, что у вас есть необходимые права для выполнения данной операции.
- Проверьте правильность доменного имени — При вводе доменного имени убедитесь, что вы указали его правильно. Неправильно введенное доменное имя может привести к невозможности добавления Astra Linux в домен.
- Настройте сетевые параметры — Настройте сетевые параметры компьютера, чтобы он мог успешно общаться с контроллером домена. Убедитесь, что компьютер имеет правильную IP-адресацию, подсетку и шлюз по умолчанию.
- Проверьте доступность контроллера домена — Убедитесь, что контроллер домена доступен для компьютера, который вы пытаетесь добавить в домен. Проверьте сетевое подключение и правильность настроек контроллера домена.
- Перезагрузите компьютер после добавления в домен — После успешного добавления Astra Linux в домен Windows рекомендуется перезагрузить компьютер, чтобы изменения вступили в силу.
- Внимательно следуйте указаниям документации — При выполнении операции добавления Astra Linux в домен Windows внимательно следуйте указаниям документации. Учтите, что настройки могут отличаться в зависимости от версии Astra Linux и Windows.
Учитывая эти советы и рекомендации, вы будете лучше подготовлены для успешного добавления Astra Linux в домен Windows.
Вопрос-ответ
Что такое Astra Linux?
Astra Linux — это отечественная операционная система, разработанная специально для государственных организаций и критически важных объектов.
Какую версию Astra Linux следует использовать для добавления в домен Windows?
Для добавления в домен Windows рекомендуется использовать версию Astra Linux Common Edition, так как она предлагает больше возможностей в работе с сетью и доменами.
Какие требования должны быть выполнены для добавления Astra Linux в домен Windows?
Для добавления Astra Linux в домен Windows необходимо наличие учетной записи администратора в домене и доступ к компьютеру с установленной Astra Linux.
Какой протокол следует использовать при добавлении Astra Linux в домен Windows?
При добавлении Astra Linux в домен Windows следует использовать протокол LDAP (Lightweight Directory Access Protocol), который позволяет управлять учетными записями и ресурсами в домене.
Какие шаги нужно выполнить для добавления Astra Linux в домен Windows?
Для добавления Astra Linux в домен Windows необходимо настроить сетевые параметры, установить и настроить пакеты samba и krb5, настроить файлы конфигурации samba и krb5, а затем присоединить Astra Linux к домену Windows.
Можно ли добавить Astra Linux в домен Windows без использования командной строки?
Да, возможно добавить Astra Linux в домен Windows без использования командной строки. Для этого можно воспользоваться графическим интерфейсом, предоставленным операционной системой.
Подключение операционной системы Astra Linux к домену Windows может быть полезным для организаций, где используется гибридное окружение из различных операционных систем. Такое подключение позволяет совместно использовать ресурсы домена Windows, включая общий доступ к файлам и папкам, аутентификацию пользователей и централизованное управление.
В данной статье мы рассмотрим пошаговую инструкцию по подключению Astra Linux к домену Windows. Мы покажем, как настроить сервер домена Windows и выполнить необходимые действия на операционной системе Astra Linux. Это позволит вам без проблем интегрировать Astra Linux в вашу существующую инфраструктуру на базе Windows.
Для успешного подключения Astra Linux к домену Windows необходимо соблюдать некоторые условия и выполнить ряд этапов, начиная от установки и настройки сервера домена Windows до конфигурации Astra Linux. Важно иметь доступ к серверу домена, а также учетную запись с административными правами. Подключение операционной системы Astra Linux к домену Windows может быть сложной задачей, но с нашей пошаговой инструкцией вы сможете успешно выполнить все необходимые манипуляции и обеспечить эффективную работу вашей смешанной среды операционных систем.
Содержание
- Подключение Astra Linux к домену Windows: пошаговая инструкция
- Шаг 1: Установка Astra Linux
- Шаг 2: Подключение к сети
- Шаг 3: Проверка доступности домена
Доменная сеть Windows часто используется в офисной работе, поэтому настройка подключения Astra Linux к домену Windows может стать необходимой задачей. Следуя пошаговой инструкции, вы сможете успешно завершить процесс подключения.
Шаг 1: Подготовка
Перед началом процесса подключения вам необходимо убедиться в следующих условиях:
- У вас есть доступ к доменному контроллеру Windows;
- У вас есть учетная запись с правами администратора в домене Windows;
- Вы знаете имя домена и имя доменного контроллера.
Шаг 2: Установка необходимых пакетов
Перед подключением Astra Linux к домену Windows необходимо установить следующие пакеты:
- samba
- krb5-user
- winbind
- libpam-winbind
Вы можете установить эти пакеты с помощью менеджера пакетов Astra Linux или через команду терминала:
sudo apt-get install samba krb5-user winbind libpam-winbind
Шаг 3: Настройка файлов Samba
Зайдите в файловую систему Astra Linux и настройте файлы конфигурации Samba следующим образом:
sudo nano /etc/samba/smb.conf
Проверьте и убедитесь, что параметры «workgroup» и «realm» соответствуют вашему домену Windows:
workgroup = YOUR_DOMAIN
realm = YOUR_REALM
Сохраните изменения и закройте файл.
Шаг 4: Настройка файла Kerberos
Откройте файл Kerberos для редактирования:
sudo nano /etc/krb5.conf
Добавьте следующие строки в файл, заменив YOUR_DOMAIN на ваш домен Windows:
[libdefaults]
default_realm = YOUR_DOMAIN
dns_lookup_kdc = true
dns_lookup_realm = true
Сохраните изменения и закройте файл.
Шаг 5: Перезагрузка служб
Перезагрузите следующие службы, чтобы применить изменения:
sudo systemctl restart smbd
sudo systemctl restart winbind
Шаг 6: Присоединение к домену
Выполните следующую команду для присоединения Astra Linux к домену Windows:
sudo net ads join -U administrator@YOUR_DOMAIN
Замените YOUR_DOMAIN на ваш домен Windows. После выполнения команды вам может потребоваться ввести пароль администратора домена Windows.
Шаг 7: Проверка подключения
Выполните команду терминала:
id YOUR_DOMAIN\\YOUR_USERNAME
Замените YOUR_DOMAIN на ваш домен Windows и YOUR_USERNAME на имя пользователя в домене Windows. Если команда возвращает положительный результат, значит, подключение Astra Linux к домену Windows прошло успешно.
Теперь вы можете использовать учетные данные из домена Windows для авторизации на Astra Linux. Удачи!
Шаг 1: Установка Astra Linux
Перед тем, как подключить Astra Linux к домену Windows, необходимо установить операционную систему Astra Linux на компьютер. Для этого выполните следующие шаги:
1. Подготовка к установке:
Перед началом установки, убедитесь, что у вас есть загрузочный носитель Astra Linux и компьютер, на который вы будете устанавливать операционную систему. Также, обязательно проверьте наличие необходимых системных требований для запуска Astra Linux.
2. Загрузка Astra Linux:
Вставьте загрузочный носитель Astra Linux в компьютер и перезагрузите его. Загрузка должна начаться с загрузочного носителя. Если загрузка не начинается автоматически, проверьте настройки BIOS или UEFI и убедитесь, что загрузка с носителя возможна.
3. Выбор варианта установки:
При загрузке с загрузочного носителя будет предложено выбрать вариант установки Astra Linux. Обычно доступно несколько вариантов (например, установка с Live-сеансом или установка на жесткий диск). Выберите наиболее подходящий вариант для ваших потребностей и нажмите Enter.
4. Процесс установки:
Следуйте инструкциям на экране для установки Astra Linux. Вам может потребоваться ввести некоторую информацию, такую как язык установки и разделы жесткого диска для установки. Убедитесь, что выбрана правильная разделов и продолжайте установку.
5. Завершение установки:
По окончании установки, вам будет предложено перезагрузить компьютер. Перезагрузитесь и приступайте к настройке Astra Linux для подключения к домену Windows.
Шаг 2: Подключение к сети
Перед тем как подключить Astra Linux к домену Windows, необходимо убедиться в наличии подключения к сети. Для этого выполните следующие действия:
- Убедитесь, что у вас есть доступ к рабочей сети.
- Откройте «Центр управления сетями и общим доступом» на компьютере с установленной Astra Linux.
- Выберите «Подключение по локальной сети» и нажмите на «Свойства».
- Убедитесь, что в настройках выбран протокол TCP/IP версии 4 (IPv4).
- В окне настроек протокола TCP/IP введите IP-адрес, подсеть и шлюз, предоставленные администратором сети.
- Нажмите «ОК», чтобы сохранить настройки.
Теперь ваш компьютер с Astra Linux должен быть подключен к локальной сети, что позволит приступить к следующему шагу – подключению к домену Windows.
Шаг 3: Проверка доступности домена
После успешного подключения к локальной сети и указания корректных настроек TCP/IP на компьютере с Astra Linux необходимо проверить доступность домена Windows.
Для этого перейдите к следующим действиям:
- Откройте командную строку Astra Linux, нажав комбинацию клавиш Ctrl + Alt + T.
- Введите команду
ping имя_домена
, где имя_домена — имя вашего домена Windows. - Нажмите клавишу Enter.
Команда ping
позволяет отправить запрос на указанный домен и проверить, получает ли компьютер с Astra Linux ответ от сервера домена Windows.
Если вы получаете успешный ответ с указанным IP-адресом и временем отклика, значит доступность домена подтверждена.
В случае, если в ответе у вас появляются сообщения об ошибке, возможно проблема с настройками сети или доступностью сервера домена, и вам следует проверить соединение и настройки TCP/IP на компьютере с Astra Linux.
Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных. Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
Графический инструмент fly-admin-ad-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-client -y
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод в домен с помощью fly-admin-ad-client
Открыть «Панель управления»
Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
Заполнить все поля и нажать кнопку «Подключиться»:
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-winbind
Ввод компьютера в домен может быть выполнен командой:
sudo astra-winbind -dc dc01.example.com -u Администратор
где:
-dc dc01.example.com — указание контроллера домена;
-u Администратор — указание имени администратора домена;
Подсказка по команде:
sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h этот текст
-dc имя контроллера домена. если FQDN, ключ -d можно опустить
-d домен. если отсутствует, берется из файла /etc/resolv.conf
-g группа. если отсутствует, берется из домена
-n сервер времени. если нет, используется контроллер домена
-y отключает запрос подтверждения
-i информация по текущему подключению
-u логин администратора домена
-px получает пароль администратора домена из stdin
-p пароль администратора домена (небезопасно)
-s разрешить и запустить службу подключения к домену
-S запретить и остановить службу подключения к домену
-l вывести компьютер из домена
Введение
Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:
- С использованием инструментария winbind:
- графический инструмент fly-admin-ad-client;
- инструмент командной строки astra-winbind;
- С использованием инструментария sssd:
- графический инструмент fly-admin-ad-sssd-client;
- инструмент командной строки astra-ad-sssd-client;
Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.
Конфигурация стенда
Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
---|---|---|---|
dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | Статический (далее для примера используется IP-адрес 192.168.5.7) |
astra01 | Astra Linux Special Edition | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Настройка системных часов и сетевых подключений
Для успешного ввода Astra Linux в домен AD на вводимой машине перед вводом в домен необходимо:
- Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux);
- Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-client
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
- Открыть «Панель управления»:
- Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
- Заполнить все поля и нажать кнопку «Подключиться»:
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLEusername».
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.
Для установки пакета:
- Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
-
Установить пакет:
sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd-client можно используя Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-sssd-client
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
После установки пакет доступен в графическом меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка клиента SSSD Fly».
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку «Подключиться»:
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-winbind
Ввод в домен с помощью astra-winbind
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.
Ввод компьютера в домен может быть выполнен командой:
sudo astra-winbind -dc dc01.example.com -u Администратор
где:
- -dc dc01.example.com — указание контроллера домена;
- -u Администратор — указание имени администратора домена;
Подсказка по команде:
sudo astra-winbind -h Usage: astra-winbind <ключи> ключи: -h этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из файла /etc/resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -px получает пароль администратора домена из stdin -p пароль администратора домена (небезопасно) -s разрешить и запустить службу подключения к домену -S запретить и остановить службу подключения к домену -l вывести компьютер из домена примеры: полное имя контроллера домена и отключение запроса подтверждения astra-winbind -dc astra01.atws.as -u admin -p password -y сторонний сервер времени и запрос пароля в процессе astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin передача пароля через stdin, домен ищется в resolv.conf echo | ./astra-winbind -dc astra01 -u admin -px -y информация о текущем домене astra-winbind -i
Особенности ввода в домен Windows AD 2003
При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:
-
Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:
cp /etc/samba/smb.conf /tmp/smb.conf
-
Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:
sed -i -e ‘/^[global]/a client min protocol = NT1’ «/tmp/smb.conf»;
-
Выполнить ввод в домен используя модифицированный файл конфигурации:
astra-winbind -dc astra-w2003.ad2.loc -u admin -p 1 -y —par «–configfile=/tmp/smb.conf»
-
Заменить созданный при второй попытке ввода конфигурационный файл /etc/samba/smb.conf сохраненной модифицированной копией:
sudo mv /tmp/smb.conf /etc/samba/smb.conf
-
Перезагрузить компьютер:
sudo systemctl restart
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-ad-sssd-client
При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
Ввод компьютера в домен может быть выполнен командой:
sudo astra-ad-sssd-client -d example.com -u Администратор
где:
- -d example.com — указание имени домена;
- -u Администратор — указание имени администратора домена;
Примерный диалог при выполнении команды:
compname = astra01 domain = example.com username = admin введите пароль администратора домена: ok продолжать ? (yN) y настройка сервисов... Завершено. Компьютер подключен к домену. Для продолжения работы, необходимо перезагрузить компьютер!
Для завершения подключения требуется перезагрузить компьютер:
sudo reboot
Подсказка по команде astra-ad-sssd-client:
sudo astra-ad-sssd-client -h Usage: astra-ad-sssd-client <ключи> ключи: -h,--help этот текст -d домен. если отсутствует, берется из hostname.resolv.conf -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -n сервер времени. -px получает пароль администратора домена от внешнего сценария через перенаправление стандартного ввода (stdin) -p пароль администратора домена -U удаление --par указать параметры вручную
После перезагрузки проверить статус подключения можно следующими способами:
-
Получить билет Kerberos от имени администратора домена:
kinit admin@dc01.example.com
-
Проверить статус подключения:
sudo astra-ad-sssd-client -i
Примеры
Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:
sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y
Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:
cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y
Подключение к домену domain.net без запроса подтверждения:
sudo astra-ad-sssd-client -d domain.net -y
Получение информации о текущем домене
sudo astra-ad-sssd-client -i
Удаление данных подключения:
sudo astra-ad-sssd-client -U
Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:
sudo astra-ad-sssd-client -U
В этой статье будет описан процесс добавления Linux-машины (Ubuntu 20.04) в домен Windows AD.
Шаг 1. Установка пакетов и подготовка
sudo apt updatesudo apt upgrade
После этого установите требуемые пакеты.
sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
Далее мы настроим все инструменты. Вам требуется знать:
- Домен: office.local
- IP DNS-сервера: 192.168.0.1
- IP второго DNS-сервера: 192.168.0.2
Шаг 2. Настройка DNS
Откройте конфигурационный файл netplan:
sudo nano /etc/netplan/*.yaml
Если вы видите там «dhcp4: true», то есть ваш DHCP-сервер настроен корректно, переходите к следующему шагу. Если вы настраиваете параметры сетевого подключения вручную, ознакомьтесь с примером настройки:
network:ethernets:enp0s3:addresses:- 192.168.0.15/24gateway4: 192.168.0.10nameservers:addresses: [192.168.0.1, 192.168.0.2]search:- office.localoptional: trueversion: 2
- addresses — это IP, назначаемый сетевой карте;
- gateway4 — IP роутера;
- nameservers — DNS-сервера;
- search — целевой домен.
sudo netplan apply
Шаг 3. Обнаружение домена, присоединение к нему и проверка результата.
В первую очередь требуется обнаружить домен:
realm discover office.local
Вы увидите что-то подобное. Это означает, что настройки сети верны и машина получила ответ от домена. Если нет, вам необходимо проверить настройки сети, домен и работоспособность DNS.
office.localtype: kerberosrealm-name: OFFICE.LOCALdomain-name: office.localconfigured: no...
Затем присоединитесь к домену AD. Замените admin1 на имя администратора и укажите пароль.
realm join -U admin1 office.localPassword for admin1:
Проверьте, возможен ли прием информации о пользователе AD. Замените user1 на имя пользователя вашего домена.
id user1@office.localuid=687821651(user1@office.local) gid=687800512(user1@office.local) groups=687800512(domain users@office.local)
Шаг 4. Последние настройки и авторизация.
Необходимо произвести настройку, чтобы в будущем каждый раз не добавлять имя домена к имени пользователя.
sudo nano /etc/sssd/sssd.conf
Измените значение use_fully_qualified_names на False. Перезагрузите и проверьте:
sudo systemctl restart sssdid useruid=687821651(user1@office.local) gid=687800512(user1@office.local) groups=687800512(domain users@office.local)
Теперь нужно настроить создание домашних каталогов для пользователей AD при входе в систему.
sudo nano /etc/pam.d/common-session#add this line in the end of filesession optional pam_mkhomedir.so skel=/etc/skel umask=077
Войдите в систему как пользователь AD.
su – userPassword:Creating directory '/home/user1@office.local'.user1@ubuntu-server:~$
Это означает, что вы успешно вошли в систему как пользователь AD.
Также вы можете разрешить авторизацию для некоторых пользователей и групп AD или же ограничить других. В приведенном ниже примере настроен запрет для всех пользователей, кроме user0, user1 и группы Main Admins.
sudo realm deny –allsudo realm permit user0@office.local user1@office.localsudo realm permit -g 'Main Admins'
Настройка пользователей AD для получения root-прав такая же, как и для локальных, но выполняется в другом файле.
sudo nano /etc/sudoers.d/admins
Добавьте к нему нужные строки. Например:
user ALL=(ALL) ALL%Domain\ Admins ALL=(ALL) ALL
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
Я администрирую серверы на базе Astra Linux и хочу рассказать о своем видении настройки ALD домена: серверной части, клиентской, использовании файла hosts (по сравнению с DNS сервером). Также дам описание настройки резервного сервера.
ALD мне интересен в первую очередь потому, что уже имеет интеграцию с Astra Linux. Статья будет вам полезна, если вы собираетесь узнать больше о Astra Linux не только из официальной wiki. Кроме того, эту операционную систему (вместе с рядом других решений компании «Астра») смогут поставить на виртуальную машину клиенты публичного облака #CloudMTS.
Серверная часть
Настройку произвожу на виртуальных машинах в virtualbox, на сервере ip-адрес 192.168.1.1, также на данном сервере расположен репозиторий (настройка ip-адресов и репозиториев ничем не отличаются от настроек в Debian, на базе которой построена Astra). Первое, что необходимо настроить — это синхронизацию времени: поднимем ntp сервер, который будет брать время с текущей машины. Для это нужно отредактировать файл /etc/ntp.conf, внеся в него следующие изменения:
server 127.127.1.0
fudge 127.127.1.0 stratum 10
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
Параметры подсети укажите в соответствии с вашими ip адресами.
Запустим службу:
systemctl enable ntp
systemctl start ntp
Вы можете использовать DNS сервер — bind, например. Он присутствует в стандартном репозитории Astra Linux. На мой взгляд, использование файл hosts — это более простая реализация, чем полноценный DNS сервер. При этом корректно настроенный файл /etc/hosts должен быть одинаковый на всех машинах в домене. Перед редактированием данного файла зададим корректное hostname для сервера:
hostnamectl set-hostname dc1.local
В данной ситуации hostname сервера будет dc1, а имя домена, соответственно, local, именно на эти параметры будет ориентироваться ald-server при инициализации. Последним штрихом перед инициализацией ald сервера будет корректная настройка файла /etc/hosts:
127.0.0.1 localhost
#127.0.1.1 hostname
192.168.1.1 dc1.local dc1
192.168.1.2 dc2.local dc2
192.168.1.101 host1.local host1
192.168.1.102 host2.local host2
Обязательно необходимо «закомментировать» 127.0.1.1, а также важна последовательность указания полного имени хоста, т. е. первым должно быть указано имя хоста с доменом, и только потом имя хоста без домена.
В данном примере указан один домен и две рабочие станции. Если рабочих станций больше, то, соответственно, всех их необходимо перечислить в данном файле, а также скопировать данный файл на все машины, которые планируется ввести в домен. После этого можно приступать к установке необходимых пакетов, а также инициализации сервера:
sudo apt install ald-server-common fly-admin-ald-server smolensk-security-ald
Пакет smolensk-security-ald добавит возможность администрировать ald сервер в стандартной утилите fly-admin-smc (об этом будет рассказано далее).
Во время установки будет запрос на создание пароля администратора домена. Для текущей публикации будет создан пароль 12345678, далее данный пароль будет использован для ввода всех машин в домен.
ВАЖНО. Если по каким-то причинам у вас сбились настройки сервера, то их можно отредактировать в файле /etc/ald/ald.conf. В текущем файле важен параметр DOMAIN, значение данного параметра всегда должно начинаться с . (точки), т.е. в текущем примере данная строка будет выглядеть так:
DOMAIN = .local
Инициализируем сервер командой:
ald-init init
После инициализации необходимо перезагрузить сервер. В процессе инициализации домена будет еще запрос на создание пароля администратора домена, а также запрос на создание пароля на базу данных kerberos. Если все прошло удачно, то на экране появится сообщение:
Теперь приступим к настройке клиентской части.
Клиентская часть
Настроим ntp клиента для синхронизации времени, скопируем файл hosts с сервера, зададим имя хоста, а также настроим /etc/ald/ald.conf. В файле /etc/ntp.conf необходимо добавить строки:
server dc1.local
Запустим службу ntp:
systemctl start ntp
systemctl enable ntp
Зададим имя хоста (в данном пример ip адрес хоста 192.168.1.101):
hostnamectl set-hostname host1
Перед настройкой ald.conf необходимо установить необходимые пакеты:
sudo apt install fly-admin-ald-client ald-client
Ниже представлен пример файла ald.conf (данный файл аналогичен файлу ald.conf с сервера):
Теперь можно ввести машину в домен командой:
ald-client join
После ввода машины в домен ее необходимо перезагрузить. Во время инициализации необходимо ввести пароль учетной записи, у которой имеются права на ввод машины в домен.
Если все прошло удачно, то на экране отобразится следующий текст:
Резервный сервер ald
На будущем резервном сервере необходимо установить пакеты:
sudo apt install ald-server-common smolensk-security-ald
И отредактировать файл /etc/ald/ald.conf, изменив один параметр:
SERVER_ID=2
Далее зададим корректное имя хоста для резервного сервера:
sudo hostnamectl set-hostname dc2.local
Теперь инициализируем резервный сервер командой:
sudo ald-init init --slave
После выполнения данной команды, сервер перейдет в резервный режим. После инициализации необходимо перезагрузить машину.
Если, например, основной сервер вышел из строя, то для перевода резервного сервера в основной режим необходимо выполнить команду:
sudo ald-init promote
Необходимо на всех клиентских рабочих станциях отредактировать файл /etc/ald/ald.conf. Как это сделать одной командой — расскажу в разделе «Дополнительно».
В данном файле необходимо изменить параметры SERVER и SERVER_ID:
SERVER=dc2.local #dc2.local – резервный сервер
SERVER_ID=2 #2 – id резервного сервера
И далее выполнить команду:
sudo ald-client commit-config
Администрирование ald сервера
Как было написано ранее, администрирование можно производить через стандартную системную утилиту fly-admin-smc. Ее можно запустить через консоль, либо в панели управления, перейдя на вкладку «Безопасность» и запустив аплет «Политика безопасности». Первым делом необходимо настроить политику паролей в соответствии с вашими требованиями:
Выше представлена вкладка политики паролей. После настройки политики можно приступить к созданию пользователей и настройке их прав.
На вкладке «Пользователи» необходимо нажать кнопку +, ввести имя пользователя, тип файловой системы, установить local (также можно хранить каталоги на сетевых ресурсах), а также убрать галку «новая» напротив надписи «Первичная группа». При этом пользователь будет добавлен в группу «domain user». Далее создадим пароль для пользователя.
На вкладке «Привилегии домена» можно сделать пользователя «администратором» домена, а также разрешить авторизацию с конкретных доменных машин, или с любых машин, входящих в домен.
На вкладке «МРД» указываем, к каким меткам пользователь имеет доступ, а также уровень целостности.
Дополнительно: «заливка» hosts на все рабочие станции
Представьте ситуацию, в будущий домен будет входить 100 или более машин. Раскидать в ручную файл hosts — проблематично. В данной ситуации поможет bash с СИ подобным синтаксисом.
На тестовом стенде имеется подсеть 192.168.1.0/24, 192.168.1.1 — сервер, 192.168.1.2 — 192.168.1.100 — рабочие станции. На каждой машине (в том числе и на сервере) имеется пользователь user с паролем 12345678. Данный пользователь должен быть полноценным администратором (с доступом к sudo, во время установки системы создается пользователь имеющий данные права) и иметь уровень целостности 63. Для данной цели необходимо выполнить следующие команды:
sudo usermod -aG astra-admin,astra-console user
sudo pdpl-user -l 0:0 -i 63 user
Если пользователь user отсутствует в системе, выполним следующие команды:
sudo useradd -m -G astra-admin,astra-console -s /bin/bash user
sudo passwd user
sudo pdpl-user -l 0:0 -i 63 user
Чтобы не вводить пароль при распространении ключей, необходимо установить утилиту sshpass:
sudo apt install sshpass
Теперь можно приступить к формированию ключа (без sudo, с правами пользователя user), для беспарольного доступа:
shh-keygen -t rsa -b 1024
Распространим ключи на рабочие станции:
for((i=2;i<101;i++)); do sshpass -p 12345678 ssh-copy-id -f -o StrictHostKeyChecking=no user@192.168.1.$i; done
Скопируем файл hosts на все машины с помощью утилиты scp:
for((i=2;i<101;i++)); do scp /etc/hosts user@192.168.1.$i:/home/user; ssh user@192.168.1.$i sudo cp /home/user/hosts /etc/hosts; done
После выполнения данных команд файл hosts будет распространен на все машины, которые будут входить в домен.
Таким же образом можно редактировать данный файл на всех хостах в домене. Например, нам необходимо удалить строку с именем хоста host40:
for((i=2;i<102;i++)); do ssh user@192.168.1.$i sudo sed -i '/host40/d' /etc/hosts; done
Если необходимо переключиться на резервный сервер на всех клиентских машинах, выполним команду:
for((i=2;i<102;i++)); do ssh user@192.168.1.$i sudo sed -i 's/SERVER=dc1.local/SERVER=dc2.local/g' /etc/ald/ald.conf; sudo sed -i 's/SERVER_ID=1/SERVER_ID=2/g' /etc/ald/ald.conf; sudo ald-client commit-config -f; done
На этом у меня сегодня всё, спасибо за ваше внимание.
Делитесь в комментариях вашим опытом.
Выбрать готовые образы программных решений для виртуальных машин IaaS можно в личном кабинете на сайте #CloudMTS.
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Источник
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Источник
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Источник
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Источник
Ввод Astra Linux Special Edition 1.6 в Active Directory с настройкой SSO в PostgreSQL.
Настроим ОС Astra Linux SE 1.6 и введем в домен MS Active Directory . В процессе настроим SMABA, WINBIND и POSTGRESQL, а также настроим в POSTGRESQL SSO через GSSAPI.
Данная настройка проводилась с обновлением ОС Astra Linux SE 1.6 — 20191029SE16 . Процесс обновления ОС не описан в процессе конфигурации.
Вводные данные
Контроллеры домена Active Directory
ОС — MS Windows Server 2012R2
Сервер c базой данных Postgresql
ОС – Astra Linux SE 1.6. Установлена без ALD и без режима киоска. Дополнительное ПО выбрано базовые средства, рабочий стол Fly, средства работы в сети, СУБД.
Разблокировка учетной записи ROOT
Для удобства настройки разблокируем учетную запись ROOT
Для безопасности по окончанию работ требуется заблокировать учетную запись ROOT!
Настройка сети на bd1
Приведем файл /etc/hosts к виду
Проверим правильность имени машины в /etc/hostname
Настроим статический IP-адрес, для этого внесем строки в файл /etc/network/interfaces
Для автоматической генерации файла /etc/resolv.conf установим пакет resolvconf.
Перезапустим службу сети
Проверим, должен появиться интерфейс eth0 с назначенным нами адресом 192.168.0.100
Проверим доступность контроллеров домена Active Directory
Настроим синхронизацию времени с контроллерами домена, для этого в файле /etc/ntp.conf добавим в секцию «You do need to talk to an NTP server or two (or three)»
Установим требуемые пакеты
Сначала проверим установлены ли пакеты SAMBA, WINBIND, NTP и POSTGRESQL
dpkg – l samba winbind ntp postgresql
Произведем до установку пакетов которые нам потребуются далее (потребуется диск с дистрибутивом ОС)
apt-get install nscd nslcd libpam-winbind libpam-krb5 libsasl2-modules-gssapi-mit krb5-user libnss-winbind
Чтобы установить следующий пакет потребуется диск разработчика
apt-get install libsasl2-modules-ldap
Настройка конфигурационных файлов для работы с доменом Active Directory.
Отредактируем конфигурационный файл Kerberos /etc/krb5.conf и приведем его к виду
Источник
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении.
Astra Linux Common Edition предназначена для автоматизации коммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Источник