1. Параметры виртуальной машины:
2. ОС Astra Linux SE 1.7.5 “Смоленск”
Отключите службу Network Manager если она установлена
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManagerПосле отключения NetworkManager сетевые настройки нужно задавать вручную в файлах interfaces и resolv.conf. Файл /etc/network/interfaces используется для конфигурирования сетевых интерфейсов. Изменим его в любом тестовом редакторе, например, nano:
sudo nano /etc/network/interfacesauto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.99.10
netmask 255.255.255.0
gateway 192.168.99.1 Чтобы применить новые настройки, следует перезапустить службу networking командой systemctl restart networking
sudo systemctl restart networkingДля возможности обращения к публичным репозиториям следует настроить функцию разрешения имен.
sudo nano /etc/resolv.conf
nameserver 77.88.8.8 #IP адрес DNS сервераПосле настройки службы разрешения имен проверьте подключение к репозиториям Astra Linux:
localadmin@astra:~$ ping -c 4 dl.astralinux.ru
PING dl.astralinux.ru (51.250.6.116) 56(84) bytes of data.
64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=1 ttl=52 time=31.9 ms
64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=2 ttl=52 time=27.2 ms
. . .Имя хоста должно быть задано в формате полного имени FQDN (от англ. Fully Qualified Domain Name), например, “dc.office.lab”, где "office.lab" — это название домена предприятия.
sudo hostnamectl set-hostname dc.office.labДля того, чтобы имя контроллера всегда могло быть преобразовано в IP-адрес даже при недоступности DNS-сервиса, в файл /etc/hosts требуется добавить строку, соответствующую его FQDN. В эту строку рекомендуется вписать не только полное, но и короткое имя хоста, только первым по списку обязательно должно идти полное имя хоста.
sudo nano /etc/hosts127.0.0.1 localhost.localdomain localhost
192.168.99.10 dc.office.lab dcПосле изменения имени хоста желательно сделать перезагрузку:
sudo rebootФайлы программ Linux объединяются в пакеты и распространяются через специальные хранилища, называемые репозиториями. Основным файлом для хранения списка доступных репозиториев является /etc/apt/sources.list.
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-base 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-extended 1.7_x86-64 main contrib non-freeНеобходимо также создать отдельный список источников программного обеспечения для ALD Pro в файле /etc/apt/sources.list.d/aldpro.list командой:
sudo nano /etc/apt/sources.list.d/aldpro.listВставим в этот файл ссылку на deb-репозиторий продукта:
deb https://dl.astralinux.ru/aldpro/frozen/01/2.4.0 1.7_x86-64 main baseПроверьте, нет ли пакетов, доступных для обновления, и обновите систему, если таковые будут обнаружены. Выполним следующие команды:
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnewИспользовать команду sudo apt upgrade для обновления операционной системы категорически запрещается, т. к. она не удаляет устаревшие пакеты, даже если это требуется для обновления приложений, что может нарушить работу операционной системы. Поэтому вместо нее следует использовать утилиту astra-update.
Похожий результат можно получить командой dist-upgrade, причем при обновлении продукта ALD Pro ее необходимо вызывать с опцией --force-confnew, чтобы пакетный менеджер мог переопределить содержимое конфигурационных файлов, даже если они были изменены из скриптов установки или вручную. При вызове команды без параметров она использует стратегию --force-confold.
Установка пакетов ALD Pro на контроллере домена
Теперь система готова к установке пакетов серверной части ALD Pro. Для этого выполните команду:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mpПовышение роли сервера до контролера домена
Все готово для продвижения контроллера (англ. domain controller promotion) или, как обычно говорят, для повышения роли сервера до контроллера домена. В ходе этой процедуры выполняется установка и настройка всех необходимых компонентов, чтобы сервер начал выполнять функции контроллера домена.
Далее мы запустим утилиту aldpro-server-install. Она является неинтерактивной, поэтому все параметры обязательны, включая пароль, иначе повышение роли не будет выполнено успешно. Учитывая, что команде требуется указать пароль в открытом виде, перед ее вызовом рекомендуется отключать запись истории команд.
Отключите историю, чтобы не записать пароль в журнал:
set + o historyЗапустите скрипт повышения роли сервера:
sudo aldpro-server-install -d office.lab -n dc -p 'xxXX1234!' --ip 192.168.99.10 --no-rebootКомментарии по использованным ключам:
-d (domain) — имя домена.-n (name) — имя сервера.-p (password) — пароль администратора домена.--ip — IP-адрес контроллера домена. Адрес требуется указывать явно, если на контроллере домена есть несколько сетевых интерфейсов.--no-reboot — отменяет перезагрузку после завершения процедуры настройки. Выполнение скрипта занимает некоторое время, поэтому мы рекомендуем выполнить перезагрузку вручную после ознакомления с результатами его работы в терминале.Теперь можно включить ведение истории команд:
set -o history``Контроллер домена установлен, осталось только перезагрузить сервер и войти из-под учетной записи доменного администратора:
sudo rebootКак упоминалось ранее, в качестве DNS-сервера выступает служба bind9. Конфигурационный файл /etc/bind/ipa-options-ext.conf содержит настройки её работы в разрезе службы FreeIPA.
Удалите содержимое и добавьте в файл /etc/bind/ipa-options-ext.conf следующее содержимое:
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;Для применения изменений необходимо перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service