1. Параметры виртуальной машины:
2. ОС Astra Linux SE 1.7.5 “Смоленск”
Отключите службу Network Manager если она установлена
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
После отключения NetworkManager сетевые настройки нужно задавать вручную в файлах interfaces
и resolv.conf
. Файл /etc/network/interfaces
используется для конфигурирования сетевых интерфейсов. Изменим его в любом тестовом редакторе, например, nano
:
sudo nano /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.99.10
netmask 255.255.255.0
gateway 192.168.99.1
Чтобы применить новые настройки, следует перезапустить службу networking командой systemctl restart networking
sudo systemctl restart networking
Для возможности обращения к публичным репозиториям следует настроить функцию разрешения имен.
sudo nano /etc/resolv.conf
nameserver 77.88.8.8 #IP адрес DNS сервера
После настройки службы разрешения имен проверьте подключение к репозиториям Astra Linux:
localadmin@astra:~$ ping -c 4 dl.astralinux.ru
PING dl.astralinux.ru (51.250.6.116) 56(84) bytes of data.
64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=1 ttl=52 time=31.9 ms
64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=2 ttl=52 time=27.2 ms
. . .
Имя хоста должно быть задано в формате полного имени FQDN (от англ. Fully Qualified Domain Name), например, “dc.office.lab”, где "office.lab" — это название домена предприятия.
sudo hostnamectl set-hostname dc.office.lab
Для того, чтобы имя контроллера всегда могло быть преобразовано в IP-адрес даже при недоступности DNS-сервиса, в файл /etc/hosts
требуется добавить строку, соответствующую его FQDN. В эту строку рекомендуется вписать не только полное, но и короткое имя хоста, только первым по списку обязательно должно идти полное имя хоста.
sudo nano /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.99.10 dc.office.lab dc
После изменения имени хоста желательно сделать перезагрузку:
sudo reboot
Файлы программ Linux объединяются в пакеты и распространяются через специальные хранилища, называемые репозиториями. Основным файлом для хранения списка доступных репозиториев является /etc/apt/sources.list
.
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-base 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-extended 1.7_x86-64 main contrib non-free
Необходимо также создать отдельный список источников программного обеспечения для ALD Pro в файле /etc/apt/sources.list.d/aldpro.list
командой:
sudo nano /etc/apt/sources.list.d/aldpro.list
Вставим в этот файл ссылку на deb-репозиторий продукта:
deb https://dl.astralinux.ru/aldpro/frozen/01/2.4.0 1.7_x86-64 main base
Проверьте, нет ли пакетов, доступных для обновления, и обновите систему, если таковые будут обнаружены. Выполним следующие команды:
sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
Использовать команду sudo apt upgrade
для обновления операционной системы категорически запрещается, т. к. она не удаляет устаревшие пакеты, даже если это требуется для обновления приложений, что может нарушить работу операционной системы. Поэтому вместо нее следует использовать утилиту astra-update
.
Похожий результат можно получить командой dist-upgrade
, причем при обновлении продукта ALD Pro ее необходимо вызывать с опцией --force-confnew
, чтобы пакетный менеджер мог переопределить содержимое конфигурационных файлов, даже если они были изменены из скриптов установки или вручную. При вызове команды без параметров она использует стратегию --force-confold
.
Установка пакетов ALD Pro на контроллере домена
Теперь система готова к установке пакетов серверной части ALD Pro. Для этого выполните команду:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp
Повышение роли сервера до контролера домена
Все готово для продвижения контроллера (англ. domain controller promotion) или, как обычно говорят, для повышения роли сервера до контроллера домена. В ходе этой процедуры выполняется установка и настройка всех необходимых компонентов, чтобы сервер начал выполнять функции контроллера домена.
Далее мы запустим утилиту aldpro-server-install
. Она является неинтерактивной, поэтому все параметры обязательны, включая пароль, иначе повышение роли не будет выполнено успешно. Учитывая, что команде требуется указать пароль в открытом виде, перед ее вызовом рекомендуется отключать запись истории команд.
Отключите историю, чтобы не записать пароль в журнал:
set + o history
Запустите скрипт повышения роли сервера:
sudo aldpro-server-install -d office.lab -n dc -p 'xxXX1234!' --ip 192.168.99.10 --no-reboot
Комментарии по использованным ключам:
-d
(domain) — имя домена.-n
(name) — имя сервера.-p
(password) — пароль администратора домена.--ip
— IP-адрес контроллера домена. Адрес требуется указывать явно, если на контроллере домена есть несколько сетевых интерфейсов.--no-reboot
— отменяет перезагрузку после завершения процедуры настройки. Выполнение скрипта занимает некоторое время, поэтому мы рекомендуем выполнить перезагрузку вручную после ознакомления с результатами его работы в терминале.Теперь можно включить ведение истории команд:
set -o history``
Контроллер домена установлен, осталось только перезагрузить сервер и войти из-под учетной записи доменного администратора:
sudo reboot
Как упоминалось ранее, в качестве DNS-сервера выступает служба bind9. Конфигурационный файл /etc/bind/ipa-options-ext.conf
содержит настройки её работы в разрезе службы FreeIPA.
Удалите содержимое и добавьте в файл /etc/bind/ipa-options-ext.conf
следующее содержимое:
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
Для применения изменений необходимо перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service