Немного теории о ALD в Astra Linux.
Комплекс программ Astra Linux Directory (ALD) является нашей разработкой и предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.
ALD использует технологии LDAP, Kerberos 5, Samba/CIFS и обеспечивает:
- централизованное хранение и управление учетными записями пользователей и групп;
- сквозную аутентификацию пользователей в домене с использованием протокола Kerberos 5;
- функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
- автоматическую настройку всех необходимых файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
- поддержку соответствия БД LDAP и Kerberos;
- создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
- интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, веб-серверов, серверов печати и т.п.
Кроме того, ALD предоставляет программные интерфейсы для интеграции в домен разрабатываемых программных решений.
«Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:
ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.
ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;
ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен.
Подготовим ALD сервер
Домен - test.local
Контроллер - srv.test.local (ip 192.168.1.100)
Клиент - arm.test.local (ip 192.168.1.101)
Установим и настроим ALD
Если сервер ALD не был отмечен при установке ОС, выполняем:
sudo apt-get -y install ald-server-common
sudo apt-get -y install ald-admin smolensk-security-ald fly-admin-ald
Генерация энтропии для Kerberos (https://wiki.astralinux.ru/pages/viewpage.action?pageId=8618023)
Скачать и установить два пакета:
sudo wget --no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/libhavege1_1.9.1-1_amd64_signed.deb
sudo wget --no-check-certificate https://wiki.astralinux.ru/download/attachments/8618023/haveged_1.9.1-1_amd64_signed.deb
sudo dpkg -i libhavege1_1.9.1-1_amd64_signed.deb
sudo dpkg -i haveged_1.9.1-1_amd64_signed.deb
Пример файла sudo nano /etc/ald/ald.conf
VERSION=1.7
DOMAIN=.test.local
SERVER=srv.test.local
MINIMUM_UID=2500
DEFAULT_LOGIN_SHELL=/bin/bash
DEFAULT_LOCAL_GROUPS=users,audio,video,scanner
ALLOWED_LOCAL_GROUPS=users,audio,video,scanner
ALLOWED_LOCAL_GROUPS=users,audio,video,scanner,cdrom,floppy,fuse
TICKET_MAX_LIFE=10h
TICKET_MAX_RENEWABLE_LIFE=7d
NETWORK_FS_TYPE=cifs
SERVER_EXPORT_DIR=/ald_export_home
CLIENT_MOUNT_DIR=/ald_home
SERVER_FS_KRB_MODES=krb5,krb5i
CLIENT_FS_KRB_MODE=krb5i
SERVER_POLLING_PERIOD=60
SERVER_PROPAGATE_PERIOD=600
CACHE_REFRESH_PERIOD=600
UTF8_GECOS=1
SERVER_ON=1
CLIENT_ON=1
Запустим первичную инициализацию из root:
sudo su
ald-init init
Можно проверить командами
sudo ald-client status
sudo ald-admin test-integrity
В случае изменения /etc/ald/ald.conf необходимо выполнить команду commit-config для того, чтобы изменения вступили в силу на сервере:
ald-init commit-config
а на клиентах:
ald-client commit-config
Входим в "Управление доменной политикой безопасности" и созданим пользователя
Авторизуемся на сервер и открываем управление ALD
Создадим первого доменного пользователя “domuser1” с паролем “Qwer@1234”
Зададим пользователю domuser1 пароль после создания.
На вкладке «МРД» зададим метки.
На вкладке «Привилегии домена» разрешим ему вход на нужные компьютеры.
Выйдем из текущей учетки и авторизуемся как domuser1.
Добавление в домен ALD рабочей станции
Настроим рабочую станцию
Настроим сеть и имена машин
sudo nano /etc/hosts
192.168.1.100 srv.test.local srv
192.168.1.101 arm.test.local arm
127.0.0.1 localhost
sudo nano -Y sh /etc/resolv.conf
domain test.local
search test.local
sudo nano -Y sh /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.1.101
netmask 255.255.255.0
gateway 192.168.1.1
sudo nano -Y sh /etc/hostname
arm
Перезагрузим
Установим клиент ALD
sudo apt-get -y install ald-client-common
sudo nano -Y sh /etc/ald/ald.conf
DOMAIN=.test.local
SERVER=srv.test.local
CLIENT_ON=1
Включаем рабочую станцию в домен ALD:
sudo ald-client join srv.test.local
Проверим командой
sudo ald-client status
После зайдем через сервер в "Управление доменной политикой безопасности - Компьютеры домена" и в графическом интерфейсе проверим появление новой рабочей станции.
Не забудем разрешить пользователю domuser1 вход на эту станцию.
Войдем на новую рабочую станцию ARM как пользователь domuser1.
В следующих частях опишу настройку связки Apache + PHP + ALD на Astra Linux SE 1.5
