Как установить fly admin ad client
При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду:
Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не помешал установке нового.
Для Astra Linux Смоленск и РЕД ОС
Использование домена и клиента с разными ОС
Доменная и клиентская машины не обязательно должны иметь одинаковую операционную систему для корректной аутентификации по смарт-картам. Но тем не менее, если версии SSSD – разные, как у Astra Linux (SSSD 16.1.3) и РЕД ОС (SSSD 2.0.0), то на доменной машине должна быть установлена ОС с более новой версией SSSD.
В обратную же сторону настройка домена возможна.
Настройка сервера. Создание домена FreeIPA и пользователя
Для демонстрации настройки было использовано два стенда. Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей последовательности команд:
После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого и будет настраиваться доступ по Рутокену.
Для этого перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавьте нового пользователя. В нашем случае был создан пользователь "user".
Настройка клиента. Подключение к домену
Для пользователей Astra Linux
Если в качестве клиента выступает Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.
После добавления нового пользователя, переходим к настройке клиента. Настройка была осуществлена с помощью следующих команд:
После подключения настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.
Попробуем подключиться к созданному пользователю user:
Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.
Настройка аутентификации по Рутокену для клиента
Создание заявки на сертификат
Для упрощения настройки можно воспользоваться графической утилитой по работе с Рутокенами в линукс. Скачаем ее:
При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.
После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на кнопку для обновления списка устройств:
Далее вводим PIN-код Рутокена:
На Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:
Генерация ключевой пары
Откроем список объектов на Рутокене:
В первую очередь, сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию для генерации ключевой пары:
В окне выбора алгоритма ключа необходимо указать "RSA-2048"
Метку ключа можно оставить пустой:
Создание заявки на сертификат
После генерации ключевой пары, необходимо создать для неё заявку на сертификат. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:
В открывшемся окне выберем опцию для создания заявки на сертификат:
Введём данные сертификата. В графе Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации:
Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем "Нет":
Укажем путь, куда сохраним заявку на сертификат:
Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:
Создание сертификата
Переходим к серверу, который получил нашу заявку.
Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя.
На новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окно вставляем нашу заявку.
В поле Идентификатор пользователя необходимо указать caIPAserviceCert
Выданный сертификат можно получить на этой же вкладке, переместившись чуть ниже до пункта с сертификатами.
Нажмем "Загрузить" и отправим сертификат пользователю.
Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты".
Выбираем самый первый сертификат и переходим на вкладку "Действия"→ "Загрузить".
После этого полученный сертификат пользователя и УЦ отправляем клиенту.
Импорт сертификата на Рутокен
Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим PIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:
В открывшемся окне выберем опцию импорта сертификата ключа
Укажем путь до сертификата:
При желании можно задать метку сертификата:
Финальная настройка на стороне клиента
Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт Настройки аутентификации в домене FreeIPA.
Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:
В открывшемся окне укажем путь до корневого сертификата УЦ:
Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.
Лампочка на Рутокене замигает и отобразится окно для ввода PIN-кода.
Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.
Начинаем внедрять Astra Linux в организации, появился ряд вопросов… Коллеги, просьба поделиться опытом, кто и как решал подобные проблемы у себя на производстве:
а почему его на distrowatch нет? на основе чего это поделие слеплено? или оно самобытно и это базовый дистр?
Основа ОС – популярный Linux-дистрибутив Debian
что плохого в смене пароля? или бюджетник не в состоянии придумывать пароли? да что то такое припоминаю…
если система введена в домен стандартными способами, то passwd и аналогичная утилита fly* меняет пароли только локальных УЗ, но не доменных… И к тому же, необходимо какое-то предупреждение об его истечении. Ну и возможность поменять пароль на экране блокировки было бы неплохо.
Очевидно тем, что его можно утратить …
Смену? Да, тяжкая утрата
Начинаем внедрять Astra Linux в организации, появился ряд вопросов… Коллеги, просьба поделиться опытом, кто и как решал подобные проблемы у себя на производстве:
Наши рога и копыта полностью перебрались в юрисдикцию Нидерландов. Проблем с Астрой там нет, никаких, потому что никто не заставляет насильно-добровольно устанавливать её. Такие дела.
а тут ты только узнаешь что выбрал не тот дистрибутив, или то, что надо ставить винду или что надо завести трактор и валить из страны где путин обстял все подъезды…
Ой тут дядя был я забыл как его ник он через LDAP такие финты делает что уууууу. Если вспомню скастую. Когда я его читал и слушал мне показалось что LDAPом можно вообще всё что в голову взбредёт если это касается пользователей и не только. (Сам я ни бум бум в этом)
Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.
Для примера будем использовать:
1. Переключаемся под рута
2. Устанавливаем необходимые пакеты
3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция
4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
5. Пробуем получить Kerberos ticket от имени администратора домена:
Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:
Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:
6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:
Описание параметров конфигфайла sssd можно посмотреть тут
Устанавливаем права доступа для файла sssd.conf:
Перезапускаем SSSD service
7. Редактируем настройки PAM
Плохое решение:
редактируем файл /etc/pam.d/common-session, после строки
Хорошее решение:
переопределить параметры через системные настройки PAM, вызываем
и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.
Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.
P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его
добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):
P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:
1. Устанавливаем нужные пакеты:
2. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
3. Проверяем, что наш домен виден в сети:
4. Вводим машину в домен:
5. Редактируем настройки PAM
Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.
Доброго времени суток, дорогие друзья. Мы продолжаем развивать тематику администрирования Linux-систем на нашем канале. В сегодняшнем выпуске, я пошагово продемонстрирую процесс подключения репозиториев и последующую установку пакетов из их состава на примере сертифицированной отечественной операционной системы Astra Linux Special Edition 1.6 Smolensk.
Главной особенностью Смоленска является его закрытость и отсутствие официальных внешних репозиториев. Т.е. даже для поддержки пакетов безопасности в актуальном состоянии вам требуется скачивать образ бюллетеня и уже из него подтягивать соответствующие обновы.
Установка пакетов, интегрированных в дистрибутив, тоже представляет собой определённые сложности. Во-первых, далеко не все пакеты присутствуют на базовом диске. Поэтому зачастую приходится подмонтировать второй носитель от разработчиков.
Благо, хоть при покупке сертифированной версии у официалов он сразу идёт в комплекте. А если всё-таки чего-то не хватает, всегда можно перетянуть часть пакетов из версии общего назначения. В данный момент актуален Орёл. Так что далее под Common Edition будем подразумевать именно его.
Во-вторых, нужно помнить, что в данной версии Linux, произвести установку пакетов можно 2 способами. Первый – это с использованием графического интерфейса и менеджера пакетов Synaptic. Ну а второй, с помощью нашей любимой командной строки. Далее мы рассмотрим оба варианта. Приступим.
Подключение дисков в Synaptic Astra Linux
Шаг 1. Начнём с лёгкого. Клацаем по звёздочке и переходим в панель управления.
Шаг 2. Слева ищем оснастку «Программы», а в ней «Менеджер пакетов Synaptic». При запуске система просит нас ввести пароль от учётной записи с соответствующими привилегиями. Делаем это и жмём «Да».
Шаг 4. И на вкладке «Настройки» выбираем пункт «Репозитории».
Шаг 5. Тут показаны все источники с репозиториями на которые в данный момент ссылается Astra. В моём случае это оригинальный установочный DVD диск и бюллетень с последними обновлениями безопасности, который мы подключали в предыдущем уроке.
Шаг 6. Давайте добавим ещё один диск со средствами разработки. Напоминаю, что при покупке он также будет прилагаться к основному дистрибутиву. Жмём «Правка» - «Добавить компакт-диск…».
Шаг 7. И подключаем образ стандартными средствами VirtualBox. «Choose/Create a disk image».
Шаг 8. «Add». Ищем сам образ с пометкой devel. «Choose».
Шаг 9. В появившемся окошке жмём подключить, а затем подтверждаем вставку кликнув «Ок».
Шаг 10. Другой диск пока добавлять не будем. Жмём «Нет».
Шаг 11. И проверяем, подключился ли новый репозиторий. Да. Вот он у нас. Сразу над бюллетенем.
Установка программ в Synaptic Astra Linux
Шаг 12. Теперь давайте попробуем установить пакет с помощью Synaptic’а. Например, забьём в поиске astra-winbind. В будущем он нам обязательно пригодится при вводе машинки с Astra Linux в виндовый домен.
Шаг 13. Кликаем правой кнопкой. «Отметить для установки».
Шаг 14. Вместе с ним установится ещё куча зависимостей. Пускай. Жмём «Применить».
Шаг 15. И запускаем ракету.
Шаг 16. На всякий случай можете проверить полный список изменений перед тем, как накатывать. Но я с ним уже ознакомился ранее, поэтому жму «Применить».
Шаг 17. И жду пока система попросит вставить ей диск с Бюллетенем. Привычным движением подключаю носитель и продолжаю установку.
Шаг 18. В случае отсутствия каких-либо пакетов на данном дистрибутиве, система попросит подключить оригинальный диск.
Шаг 19. Делаем это.
Шаг 20. И дожидаемся завершения инсталляции. Winbind успешно установлен в систему.
Подключение репозиториев через терминал в Astra Linux
Шаг 21. Но работать с GUI– это как-то не трушно. Настоящие линуксоиды испокон веков воспринимают только чёрное окно терминала. Давайте вызовем его.
Шаг 22. И воткнём в тачку диск Орла. По сути, наш Смоленск – это тот же Орёл, только донельзя порезаный. А Орёл в свою очередь тот же Debian, только… Ну общем вы поняли. Как говорили нам однажды на курсах в Москве: «Те же яйца, только в профиль».
Шаг 23. Пишем команду «sudo apt-cdrom add» для монтирования подключённого диска. Он уже вставлен, так что жмём «ENTER».
Установка пакетов в Astra Linux
Шаг 24. Далее просим систему обновить список пакетов введя «sudo apt-get update».
Шаг 25. И вводим команду для установки пакета, отвечающего за создание DNS-сервера. Он сто пудов присутствует на диске с Орлом. «sudo apt-get nstall bind9». Соглашаемся с предупреждением.
Шаг 26. Ждём пока всё распакуется и проверяем корректность установки введя «sudo apt list --installed». Система покажет список всех установленных на текущий момент пакетов. Видим в списке bind9. Значит наша операция завершилась успешно.
Таким образом мы установили 2 новых пакета. Оригинальный линуксовский bind9 версии и winbind, необходимый для получения информации о пользователях виндового домена. В будущем, когда мы будем подключать Astra к серверу, данный демон окажется не лишним.
Друзья, сегодня мы научились подключать репозитории и производить установку пакетов в Astra Linux при помощи графического менеджера пакетов Synaptic, а также посредством командной строки. Надеюсь, что данный урок помог вам разобраться в принципах установки дефолтного софта в данной ОС.
В следующем видео, я собираюсь рассмотреть алгоритм настройки сети и подключить данную машинку к домену. Дайте знать в комментариях, если вам интересно, как это сделать. Ну а если вы любите линуху так же, как люблю её я, то специально для вас у меня есть отличное предложение.
В данный момент всё ещё действует 50% скидка на обучающий курс «Администрирование Linux с нуля». В нём я подробно рассматриваю базовые вопросы администрирование наиболее популярной серверной операционной системы семейства Linux. Так что, если хотите действительно погрузиться в тему линухи с головой – сейчас самое время. Ссылочка будет в описании.
>>>КЛИКНИТЕ, ЧТОБЫ УЗНАТЬ ПОДРОБНОСТИ<<<
С вами был Денис Курец. Большое спасибо за ваше внимание. Если впервые на нашем канале – не забудьте кликнуть на колокольчик, чтобы не пропустить новые выпуски по тематике сетевого и системного администрирования. Со старичков, как обычно, по лайку. Увидимся на следующей неделе. Всем пока.
Читайте также: