Пример интеграции с ALD Pro¶
Установка операционной системы.
Системные требования:
1. Операционная система: Astra Linux Special Edition 1.7.8
2. 4 CPU.
2. 8 Гб оперативной памяти.
3. 50 Гб дискового пространства SSD.
Рекомендации во время установки:
Установите операционную систему с графическим окружением и максимальным уровнем защищенности «Смоленск».
1. Настройки сети пропустить.
2. Имя компьютера оставить по умолчанию «astra», домен не указывать.
3. Локальный администратором укажите пользователя «localadmin.
4. Разметка диска «Авто – использовать весь диск и настроить LVM», схема разметки «Все файлы в одном разделе».
5. Версию ядра оставьте «6.1-generic» по умолчанию.
6. Из пакетов программ по умолчанию исключите, «Средства работы с графикой», но добавьте «Средства удаленного подключения SSH».
7. При выборе дополнительных параметров укажите уровень защищенности «Смоленск» и оставьте включенными флажки «Мандатный контроль целостности»
и «Мандатное управление доступа». В тестовых средах для удобства работы можно отключить флажок «Запрос пароля для команды sudo».
Настройка сетевого интерфейса
Для установки пакетов нужно, чтобы сервер имел доступ к репозиториям, расположенным по адресу https://dl.astralinux.ru
Если операционная система установлена с графическим интерфейсом fly-wm, то в качестве менеджера сетевых подключений устанавливается служба NetworkManager.
На серверах ее нужно отключить:
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
После выполнения последней команды в терминале должна отобразиться информация о маскировке службы NetworkManager:
o NetworkManager.service
Loaded: masked (Reason: Unit NetworkManager.service is masked.)
Active: inactive (dead) since Tue 2024-10-29 18:16:15 MSK; 3min 35s ago
Main PID: 493 (code=exited, status=0/SUCCESS)
...
После отключения службы NetworkManager сетевые настройки задаются в файлах /etc/network/interfaces и /etc/resolv.conf.
Файл resolv.conf используется DNS-клиентом, а файл interfaces – утилитами ifup и ifdown для конфигурирования сетевых интерфейсов.
Так как служба каталога интегрирована со службой разрешения имен, то контроллер домена выступает еще и в роли DNS-сервера.
Адреса DNS-серверов устанавливаются на доменных компьютерах вручную или через DHCP. Поэтому на контроллерах домена рекомендуется использовать только статические IP-адреса.
Отредактировать файл конфигурации можно с помощью редактора nano:
sudo nano /etc/network/interfaces
Пример настройки сетевого интерфейса на контроллере домена для использования статического IP-адреса:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.199.199.64
netmask 255.255.255.0
gateway 10.199.199.1
Для применения новых настроек, необходимо перезапустить службу Networking:
sudo systemctl restart networking
Для возможности обращения к публичным репозиториям следует настроить функцию разрешения имен.
В файле /etc/resolv.conf рекомендуется указать бесплатный сервер разрешения имен от Яндекс:
sudo nano /etc/resolv.conf
Изменить содержимое файла:
nameserver 77.88.8.8
После установки настроек необходимо проверить подключение к репозиториям ALSE:
ping -c 4 dl.astralinux.ru
Настройка имени хоста.
Изменение имени хоста рекомендуется делать с помощью утилиты hostnamectl:
sudo hostnamectl set-hostname dc-1.test.tegu.online
В имени хоста можно использовать буквы латинского алфавита [a-z] в нижнем регистре, цифры [0-9], точку [.] и дефис [-].
Имя хоста задается в формате полного имени FQDN ( от Fully Qualified Domain Name), например, dc-1.test.tegu.online,
поэтому команда hostname без параметров должна выдавать полное имя. Данное правило касается имен всех машин домена.
Для того чтобы имя контроллера всегда могло быть преобразовано в IP-адрес вне зависимости от доступности DNS-службы, содержимое файла /etc/hosts должно быть:
10.199.199.64 dc-1.test.tegu.online
127.0.0.1 localhost.localdomain localhost
В начало файла нужно добавить строку со статическим IP-адресом контроллера, полным и коротким именем хоста.
Полное имя должно быть указано перед коротким, чтобы оно считалось каноническим и возвращалось командой hostname -f,
что требуется для корректной работы скриптов автоматизации.
Подключение репозиториев.
Разработчиками ОС Astra Linux рекомендовано использовать репозитории из ветки stable, которые соответствуют последней версии системы,
но для корректной работы продукта ALD Pro требуется использовать репозитории frozen, чтобы гарантировать полную совместимость пакетов.
Информация о поддержке очередных обновлений и возможности обновления ОС публикуется в Release Notes.
Для корректных установки и обновления ALD Pro необходимо задействовать репозитории main и update (при его наличии) от ОС Astra Linux, отключив репозитории base.
Для установки продукта из официальных интернет-репозиториев РусБИТех-Астра на ОС ALSE 1.7.xxx файл /etc/apt/sources.list должен содержать:
Пример для 1.7.8:
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.8/repository-update 1.7_x86-64 main contrib non-free
Для установки продукта ALD Pro 3.1.0 из официальных интернет-репозиториев РусБИТех-Астра нужно создать дополнительный файл /etc/apt/sources.list.d/aldpro.list и добавить в него следующую строку:
deb https://dl.astralinux.ru/aldpro/frozen/01/3.1.0/ 1.7_x86-64 main base
Настройка приоритетов пакетов.
о умолчанию для всех пакетов, находящихся в репозиториях, приоритет P=500. Переопределить приоритет по умолчанию можно с помощью конфигурационных файлов в директории /etc/apt/preferences.d
В системе Astra Linux уже есть один такой конфигурационны файл, устанавливающий приоритет 900 для пакетов релиза 1.7_x86-64:
nano /etc/apt/preferences.d/smolensk
### cat /etc/apt/preferences.d/smolensk
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
Для пакетов ALD Pro — создать конфигурационный файл /etc/apt/preferences.d/aldpro со следующим содержимым:
Package: *
Pin: release n=generic
Pin-Priority: 900
Перестраивать индекс после настройки приоритетов не требуется. Необходимо проверить, нет ли пакетов, доступных для обновления, и обновить систему, если таковые будут обнаружены:
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confold
Установка пакетов.
Перед установкой пакетов перезагрузите сервер.
Для установки пакетов продукта необходимо выполнить следующую команду:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp
где:
DEBIAN_FRONTEND — переменная окружения, которая позволяет изменить режим взаимодействия с пользователем при установке пакетов менеджером APT.
Переключение менеджера пакетов в режим noninteractive позволяет избежать уточнений о настройках для последующей работы от Kerberos, OpenDNSSec и PAM;
-y — ключ позволяет автоматически ответить Да на все возможные вопросы в ходе установки;
-q — ключ позволяет скрыть сообщения о прогрессе установки, делая журнал более читаемым;
aldpro-mp — основной инсталляционный пакет ALD Pro, который позволяет через зависимости установить все остальные пакеты продукта,
за исключением пакетов глобального каталога и модуля синхронизации.
При возникновении ошибок, информация о них записывается в журнал пакетного менеджера в файле /var/log/apt/term.log.
Для просмотра используется следующая команда:
sudo grep 'error:' /var/log/apt/term.log
Повышение роли сервера до контроллера домена.
При установке контроллера домена на сервер, на котором включен режим замкнутой программной среды, перед запуском скрипта продвижения домена необходимо выполнить перезагрузку сервера.
Повышение роли сервера до контроллера домена.
Повышение роли сервера до КД выполняется командой:
aldpro-server-install -n dc-1 -p 'P@$$word' -d test.tegu.online --ip 10.199.199.62 --no-reboot
Параметры утилиты aldpro-server-install:
-d (--domain) — имя домена;
-n (--name) — имя сервера. В параметре нужно передать короткое имя сервера без указания домена, т.е. первый компонент от полного FQDN-имени, которое выдает команда hostname -f;
-p (--admin_pwd) — получить пароль администратора домена из командной строки (небезопасно).
Пароль всегда должен быть экранирован одинарными кавычками, для возможности использовать в пароле спецсимволов например: 'P@$$word'
--ip — IP-адрес КД, на котором предполагается обслуживать клиентов.
--no-reboot — ключ отключает автоматическую перезагрузку после завершения процедуры настройки.
Мы рекомендуем запускать перезагрузку вручную после ознакомления с журналом установки.
Данная процедура выполняется ориентировочно около 10 минут, ни в коем случае процесс не прерывать.
После окончания выполнения продвижения не должно быть никаких ошибок, этим подтвержается успешная установка контроллера домена.
Для вступления изменений в силу необходимо перезагрузить сервер:
sudo reboot
После перезагрузки сервера войти в систему можно, используя УЗ администратора:
login: admin
password: ***** в нашем случае (пароль администратора домена из строки продвижения сервера) - P@$$word
Внимание
Важно помнить, что корректный вход в систему возможен только после полной загрузки всех служб.
Если после перезагрузки сервера не удалось войти в операционную систему контроллера под доменной учетной записью,
стоит повторить попытку через пару минут. Если доступ для доменного пользователя так и не появится,
необходимо войти в систему с помощью локальной учетной записи и проверить содержимое журналов /var/log/auth.log и /var/log/messages.
Проверить статус доменных служб после загрузки сервера командой status утилиты aldproctl:
sudo aldproctl status
Результат выполнения команды:
.....Сервисы ALD Pro.....
Сервис aldpro-mp-services: ЗАПУЩЕН
.....Сервисы FreeIPA.....
Сервис Directory Service: ЗАПУЩЕН
Сервис krb5kdc: ЗАПУЩЕН
Сервис kadmin: ЗАПУЩЕН
Сервис named: ЗАПУЩЕН
Сервис httpd: ЗАПУЩЕН
Сервис ipa-custodia: ЗАПУЩЕН
Сервис smb: ЗАПУЩЕН
Сервис winbind: ЗАПУЩЕН
Сервис ipa-otpd: ЗАПУЩЕН
Сервис ipa-dnskeysyncd: ЗАПУЩЕН
.....Другие сервисы.....
Сервис celery: ЗАПУЩЕН
Сервис celerybeat: ЗАПУЩЕН
Утилита поддерживает такой же набор команд start/stop/restart/status.
Дополнительные настройки DNS
Для корректной работы сервера необходимо отключить DNSSEC, присвоив значение
no параметру dnssec-validation в файле /etc/bind/ipa-options-ext.conf.
Особенностью настроек службы bind9-pkcs11 по умолчанию является запрет на обработку рекурсивных DNS-запросов от клиентов,
находящихся за пределами той же подсети, в которой находится сам DNS-сервер.
Сделано это для предотвращения DDoS-атак с DNS-усилением, но эта защита не актуальна для контроллеров домена,
которые работают в закрытом периметре, поэтому в файле ipa-options-ext.conf рекомендуется задать также значение any
для параметров allow-recursion и allow-query-cache или определить в файле /etc/bind/ipa-ext.conf список доверенных сетей.
Содержимое файла /etc/bind/ipa-options-ext.conf после внесения изменений:
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
Для проверки конфигурационного файла bind9 после изменений использовать команду:
sudo named-checkconf /etc/bind/named.conf
Для применения изменений требуется перезапустить DNS-службу:
sudo systemctl restart bind9-pkcs11.service
Действия по настройке конфигурационного файла /etc/bind/ipa-options-ext.conf рекомендуется производить на основном и резервных контроллерах домена.
Хотя bind9-pkcs11 может успешно выступать в роли распознавателя, для снижения нагрузки с DNS-сервера эту функцию рекомендуется передать стороннему сервису,
например, публичным DNS-серверам от Яндекс, доступных по IP-адресу 77.88.8.8.
Для настройки перенаправления DNS-запросов на портале управления Роли и службы сайта → Служба разрешения имен → Глобальная конфигурация DNS нужно добавить запись
с политикой Только перенаправлять или Сначала перенаправлять, см. Глобальная конфигурация DNS.
Создание обратной DNS-зоны подробно описано в Руководства администратора. Часть 2, в разделе Роли и службы сайта → Служба разрешения имен → Зоны DNS → Создание зоны DNS.
По умолчанию обратная зона создается с маской с размерностью /24, игнорируя настройки сетевого адаптера. Если подсеть отличается от размерности /24,
то необходимо вручную создать обратную зону нужной размерности, а созданную по умолчанию - выключить.
Интеграция.
