Как ввести в домен astra linux
Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации. На данный момент абсолютно все машины на ОС windows разных версий ну и windows server в качестве контроллера домена. Вопрос такой: насколько я понял вводить то в виндовый домен клиенты на astra linux можно но будут ли работать всякие групповые политики? SSO ? если нет то как быть? ALD (Astra linux directory) поднимать и на нем настраивать все? возможно ли будет туда экспортировать пользователей из active directory? И еще у нас внутренний сайт на sharepoint которым активно пользуются. можно ли будет сделать SSO в связке с ним?
SSO будет , если на клиентах отконфигурить керберос. Группы тоже. Политики, какие , например? Экспорт тоже возможен, AD - это ldap. SSO с виндовыми сервисами , которые остались тоже будет , но в том случае если вы либо переджойните их в новый домен либо переймете свои ALD роли старого.
С ALD никогда не работал и не буду, так что я говорил в общем про AD на линуксе и его интеграцию в него linux клиентов.
Сам использую Univention
Вот пример, как включить керберос, но до этого надо настроить sssd , pam , сертификаты etc
constin ★★★★ ( 26.03.18 15:34:03 )Последнее исправление: constin 26.03.18 15:36:25 (всего исправлений: 1)
Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации
Видимо, гос. учреждение.
так что я говорил в общем про AD на линуксе
На какой версии samba, у ветки 3.5 и 4.х есть различия в настройке и поддержке.
Различие есть, принцип конфигурационного файла тот же, а вот сами файлы уже разные
Там и функциональные отличия немалые есть, например в samba 3.5 можно использовать openldap, а в samba 4.x - нет.
есть такая фигня, перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях
Последнее исправление: constin 27.03.18 09:51:16 (всего исправлений: 1)
ага, это сертифицированный пакет в астре?
ага, это сертифицированный пакет в астре?
А, все понял, болгенос, сертификаты, линуксы на русском и оборонка. Удачи)
перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях
Неправда ваша. В самых простых случаях переноситься легко. Ничего заново писать не нужно.
пожалуйста самый простой случай - полная шара, если не прописать строку map to guest = bad user - то работать без пароля не будет, в 3.5 это строка еще не требовалась
Писал не просто так, а на реальном примере. У меня домашняя самба. Ничего менять не пришлось, но и гостевого входа правда нет, усе под логинами. Переехал не заметно.
Политики, какие , например?
ну всякие подключения сетевых дисков, прокси ну а завести так, чтобы ввел в домен на виндовом сервере и заработало никак?) кроме univention есть еще какие то варианты?
мы говорим о linux клиентах? Я не работаю с windows вообще. Разрешение на подключение сетевых ресурсов можно регулировать политиками. Само подключение дисков я настраиваю в /etc/profile.d, так как gvfs глючит а некоторых приложениях, например в thunderbird.
извините если неточно формулирую мысли.да мы говорим о linux клиентах. а вы сейчас про чьи политики говорите ALD,univention или AD? мне бы для начала узнать будет ли что то кроме авторизации работать при вводе в обычный AD или же нам обязательно надо менять контроллер домена. И спрошу еще раз какие еще варианты кроме univention т.к я боюсь он в какой то момент станет полностью платным и конец)
Брат по несчастью) У нас тоже поставили задачу перехода на Астру. Даже заставили план написать. В конце года должны уже переводить клиентов на астру. Домен тоже виндовый на 2008. Не известно как будут работать принтеры и тд. Беглый поиск драйверов показал что на 99% принтеров есть драйвера под линукс, но будут ли они работать на астре не ясно. Плюс не идет речь о репозитории, выхода у астры в интернет быть не должно. Установка не сертифицированного ПО запрещена. Хотя по факту чую придется запускать винду из под виртуальной машины что бы люди могли нормально работать. Плюс ко всему у нас в отделе никто не шарит в линуксе. Сейчас установили астру, ввели ее в домен винды, но самба не видит сеть предприятия.
Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:
Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:
В окне для выбора сервисов установим галочки "Active Directory Domain Services" и "DNS Server":
Во всех остальных пунктах даем согласие на установку.
После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":
На первой вкладке укажите опцию для создания нового домена и укажите его название:
Введите пароль сброса:
На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:
На следующих трёх вкладках также оставляем все как есть:
Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:
После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:
Добавление новых пользователей:
Откроем утилиту управления пользователями и компьютерами домена:
Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:
Добавим нового пользователя user:
Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.
Установка центра сертификации Active Directory:
Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.
Для пользоватей Linux
Его можно получить здесь:
Настройка подключения к домену
Astra Linux Smolensk
Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией.
Если во время выполнения инструкции панель " Настройки клиента Active Directory " не будет запускаться, то введите в командной строке следующую команду:
Она предоставит пользователю root доступ к графическому интерфейсу среды.
В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:
Настройка автоматического создания домашней директории
Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.
Это можно сделать в настройках pam. Для этого в файле
/etc/pam.d/common-session для систем основанных на Debian
/etc/pam.d/system-auth для систем основанных на Red Hat
/etc/pam.d/system-auth-sss-only для пользователей Alt linux
активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:
Проверка аутентификации под пользователем в домене без Рутокена
Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:
Настройка клиента для аутентфикации в домене с помощью Рутокена
Упрощенная настройка
Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.
Ручная настройка
Установка необходимых пакетов для работу:
Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут. Установим данную библиотеку.
Последняя на момент написания статьи версия Astra Linux Common Edition это 2.12.
Запишите загруженный ISO-образ на установочный носитель (DVD-диск / USB-флешку).
По вашему запросу компания ИТРИУМ может предоставить дистрибутив операционной системы.
Установка операционной системы
- Загрузите целевой компьютер/сервер с подготовленного установочного носителя.
- Выберите язык загрузчика (выберите English).
Задайте разметку дисков.
Дождитесь окончания процесса установки и извлеките установочный диск для загрузки ОС.
Настройка сетевых параметров
Для корректной работы требуется фиксированный IP-адрес сервера. Задайте сетевые параметры вручную или используйте DHCP, который всегда для данного MAC выдаёт один и тот же IP-адрес.
Отключите network-manager. Для этого, откройте терминал Fly и выполните следующую команду:
sudo apt remove network-manager -y
После отключения network-manager перезагрузите систему.
Откройте терминал Fly и выведите список подключённых сетевых устройств:
В тексте вывода обратите внимание на первую строку:
eth0: flags=4098<BROADCAST,MULTICAST> mtu 1500
Рассмотрим пример настройки одного сетевого интерфейса со статическим IP-адресом. Выполните команду открытия файла /etc/network/interfaces в текстовом редакторе:
Допишите блок кода (вместо eth0 впишите имя вашего интерфейса):
iface eth0 inet ic
Сохраните изменения: нажмите Ctrl+X, введите Y (для подтверждения изменений) и нажмите Enter.
Настройка репозиториев
Для установки необходимых системных компонентов необходимо произвести настройку репозиториев Astra Linux.
Выполните команду открытия файла /etc/apt/sources.list в текстовом редакторе:
Измените блок кода и приведите его к следующему виду:
Установка системных компонентов
Для работы Платформы НЕЙРОСС необходимо установить и настроить Java 1.8 (ГосJava) и некоторые системные утилиты (ntp и др.). Приведённые ниже инструкции предполагают, что у целевой операционной системы корректно настроен сетевой интерфейс и есть доступ в сеть Интернет. В отсутствие доступа в сеть Интернет вы можете загрузить необходимые deb-пакеты, перенести их на целевую систему и установить их вручную.
Создайте файл /etc/apt/sources.list.d/gosjava.list:
Добавьте в него следующую строку:
Сохраните изменения: нажмите Ctrl+X, введите Y (для подтверждения изменений) и нажмите Enter.
Добавьте цифровой ключ подписи в APT.
sudo apt up sudo apt install gosjava-jre
Проверить корректность установки java вы можете с помощью команды:
Установка необходимых системных компонентов
Установка и настройка NTP-сервера
Все узлы сети НЕЙРОСС должны быть синхронизированы по времени. Для этого каждый узел выполняет периодическую синхронизацию времени с NTP-сервером, адрес которого задан в настройках узла.
Платформа НЕЙРОСС автоматически выполняет синхронизацию времени с указанным в настройках NTP-сервером. Если сервер Платформы НЕЙРОСС должен сам выступать в роли NTP-сервера для других узлов НЕЙРОСС, то необходимо установить системный сервис NTP-сервера.
Проверьте, правильно ли установлена временная зона:
При необходимости, выполните перенастройку:
Установите демон NTP-сервера:
Если сервер должен быть основным источником времени (должен «доверять» сам себе), то отредактируйте файл /etc/ntp.conf в текстовом редакторе:
Поместите следующее содержимое в файл /etc/ntp.conf:
После переконфигурации NTP-сервера может потребоваться 10-15 минут, чтобы применить новые настройки. В течение этого времени синхронизация с этим NTP-сервером может быть всё ещё недоступна.
Подготовка накопителей
Для обработки медиаданных (импорта, экспорта и пр.) требуется хотя бы один накопитель. В роли накопителей в Платформе НЕЙРОСС выступают разделы (partitions) на жёстких дисках. Платформа НЕЙРОСС использует все смонтированные разделы с файловыми системами типов Ext4, Ext2, NTFS, VFAT за исключением корневого раздела (смонтированного в /), однако для медиаданных рекомендуется выделить отдельный физический диск/диски.
В подавляющем большинстве случаев достаточно простого физического подключения диска, но иногда требуется смонтировать раздел для диска вручную.
-
Выполните физическое подключение диска и загрузите операционную систему.
Выполните поиск всех доступных дисков и разделов:
Название жёсткого диска в Linux зависит от интерфейса, через который он подключён. Название может начинаться на:
Пример вывода команды (два диска: sda и sdb, диск sdb не имеет таблицы разделов):
Создайте точку монтирования раздела:
Отформатируйте диск в файловую систему ext4 с помощью утилиты mkfs:
sudo mount /dev/sdb /storage
Справочный центр Astra Linux
Напоминаем о том, что перед вводом клиента в AD или ALD необходимо корректно настроить сеть.
Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, будет выполнено повторное введение в AD или возникнет затруднение, то обязательно потребуется очистка каталогов /var/cache/samba/* и /var/lib/samba/*
Ввод Astra Linux в домен Windows
Разблокирование суперпользователя (root)
Для более удобной работы разблокируем учётную запись root:
$sudo passwd -u root
Назначим пароль для учётной записи root:
$sudo passwd root
root разблокирован. Можно использовать su или перезайти root-ом. Можно не использовать учётную запись root, а команды выполнять с использованием sudo.
По завершении настроек учётную запись root необходимо заблокировать!
Настройка сети
192.168.1.3 ws3.dev.local ws3 127.0.0.1 localhost
Строку с 127.0.1.1 ws3 удалить.
Убедиться, что в файле /etc/hostname правильно указано имя машины:
Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:
auto eth0 iface eth0 inet ic address 192.168.1.3 gateway 192.168.1.1 netmask 255.255.255.0
Создать файл /etc/resolv.conf и добавить строки:
domain dev.local dev.local nameserver 192.168.1.1
Перезапустим сетевую службу:
service networking restart
Просмотреть доступные сетевые интерфейсы и назначенные адреса:
Проверить отклик контроллера домена по протоколу icmp по имени, выполнив на ws3 команду:
Синхронизируем время с контроллером домена:
systemctl stop ntp
systemctl start ntp
Установка требуемых пакетов
Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:
dpkg -l samba winbind ntp apache2 postgresql
Установить дополнительные пакеты (потребуется диск с дистрибутивом):
apt-get install nscd nslcd libpam-winbind libpam-krb5 libapache2-mod-auth-kerb php5 php5-pgsql php5-sybase php5-ldap libsasl2-modules-ldap libsasl2-modules-gssapi-mit krb5-user
Настройка конфигурационных файлов
Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:
[libdefaults] default_realm = DEV.LOCAL krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_sync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = < host = < rcmd = host ftp = ftp >plain = < something = something-else >> fcc-mit-ticketflags = true [realms] DEV.LOCAL = < kdc = dc.dev.local admin_server = dc.dev.local default_domain = dev.local >[domain_realm] .dev.local = DEV.LOCAL dev.local = DEV.LOCAL [login] krb4_convert = true krb4_get_tickets = false
Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:
[global] workgroup = DEV realm = DEV.LOCAL os level = 0 invalid users = root load ers = no show add er wizard = no cap name = /dev/null disable spoolss = yes dns proxy = no security = kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab encrypt passwords = true domain logons = no socket options = TCP_NODELAY local master = no domain master = no preferred master = no idmap config * : range = 10000-20000 idmap config * : backend = tdb template shell = /bin/bash template homedir = /home/%D/%U winbind enum groups = yes winbind enum users = yes winbind use default domain = yes winbind offline logon = yes winbind refresh tickets = yes
Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка каталогов /var/cache/samba/* и /var/lib/samba/*
Проверим, нет ли ошибок в конфигурации samba, выполнив команду:
Редактируем файл /etc/security/limits.conf. Добавляем в конец:
Радактируем файл /etc/nsswitch.conf:
passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Редактируем файл /etc/pam.d/common-session. Добавляем в конец:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
service samba restart
service winbind restart
service ntp restart
service nscd restart
service nslcd restart
Вводим Astra Linux в домен windows (требуется учётная запись администратора домена):
net join -U Administrator
В результате успешного выполнения предыдущей команды должен появиться файл /etc/krb5.keytab. Просмотреть список принципалов в этом файле можно командой:
net keytab list
Позволим остальным читать файл /etc/krb5.keytab:
chmod 0644 /etc/krb5.keytab
Добавим в автозапуск:
insserv -v /etc/init.d/apache2
insserv -v /etc/init.d/samba
Проверить установлен ли Postgresql в автозагрузку:
Проверим загрузились ли требуемые службы:
service samba us
service winbind us
service nscd us
service nslcd us
service apache2 us
service postgresql us
Проверим связь с доменом и работу служб, последовательно выполнив команды:
getent passwd | grep DEV
Проверим Kerberos. Попробуем получить tgt для доменного пользователя:
Настройка Apache и Postgresql на работу с Kerberos
Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:
<Directory /var/www/> AuthType Kerberos KrbServiceName host/[email protected] Krb5Keytab /etc/krb5.keytab KrbMethodK5Passwd off KrbLocalUserMapping on KrbSaveCredentials on Require valid-user </Directory>
Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:
net keytab list
Назначим права для пользователя www-data, от имени которого работает Apache, для доступа к macdb и к файлу таблицы ключей:
usermod -a -G shadow www-data
setfacl -d -m u:www-data:r /etc/parsec/macdb
setfacl -R -m u:www-data:r /etc/parsec/macdb
setfacl -m u:www-data:rx /etc/parsec/macdb
setfacl -m u:www-data:r /etc/krb5.keytab
Всем доменным пользователям, которым требуется доступ к веб-серверу, необходимо назначить метки безопасности и уровни:
pdpl-user -z domain_user
service apache2 restart
Редактируем файл /etc/postgresql/9.4/main/postgresql.conf.:
Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:
local all all peer host all all 192.168.1.0/24 gss
Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:
usermod -a -G shadow postgres
setfacl -d -m u:postgres:r /etc/parsec/macdb
setfacl -R -m u:postgres:r /etc/parsec/macdb
setfacl -m u:postgres:rx /etc/parsec/macdb
setfacl -m u:postgres:r /etc/krb5.keytab
service postgresql restart
На контроллере домена dc нужно добавить принципала к учётной записи машины ws3, для чего выполнить команду от имени администратора:
setspn -A postgres/ws3.dev.local ws3
Если пользователь root был разблокирован, то его необходимо заблокировать выполнив команду:
usermod -e 1 root
Справочный центр Astra Linux
По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:
При необходимости, количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
-
в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме:
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Мандатный контроль целостности
Управление в консольном режиме:
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Мандатный контроль целостности
Управление в консольном режиме
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности
Управление в консольном режиме
systemctl is-enabled astra-console-lock
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности
Управление в консольном режиме
systemctl is-enabled astra-interpreters-lock
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности
Управление в консольном режиме
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности
Управление в консольном режиме
systemctl is-enabled astra-macros-lock
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
systemctl is-enabled astra-ptrace-lock
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти
Управление в консольном режиме
Добавить опцию монтирования secdel в файле /etc/fstab
Управление в графическом режиме
Управление в консольном режиме
us: active включен
us: inactive выключен
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности
Управление в консольном режиме
systemctl is-enabled astra-ulimits-control
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности
Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk:
подписывайтесь на мой канал Яндекс дзена!Вы будете первым узнавать о новых материалах!
Вводим в домен Alt Linux
Для того что ввести станцию в домен надо сначала подготовить ее к этому, для этого делаем след шаги:
- Выставляем на станции точное время (или время равное с контроллером домена)
- Редактируем файл /etc/resolv.conf и прописываем там ДНС контроллера домена
search имяДомена.lcl
nameserver ДНСконтроллераДомена
127.0.0.1 localhost.localdomain localhost
127.0.0.1 имяКомпа.имяДомена имяКомпа
Домен: ИМЯДОМЕНА.LCL
Рабочая группа: ИМЯДОМЕНА
Имя компьютера: имя компьютера
PS соблюдайте регистр.
Сейчас каждый подумает, что это сложно и долго, но если присмотреться, то все эти же действия мы делаем когда вводим в домен нашу станцию под Windows))) так что все не так и сложно!
Окно авторизации с логином
После ввода в домен станции, следующая глобальная проблема была с тем, что постоянно приходилось вводить логин и пароль и это очень не нравилось юзерам, а хотелось, что бы было как в windows , что бы в окне авторизации автоматически стоял логин пользователя и оставалось ввести только пароль.
что бы в В Alt Linux такое сделать нужно сделать след:
Теперь, после того как вы зайдете в систему под юзером, он запомнит его и при повторном входе у вас уже будет заполнено поле логин. все)
Читайте также: