Установка контроллера домена.
Хочу рассказать о первичной установке контроллера домена Astra Linux Directory.
Согласно официально документации:
“Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а так же предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:
– ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен;
– ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;
– ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.
Для поддержки централизации хранения атрибутов СЗИ в распределенной сетевой среде предназначены дополнительные пакеты ALD, первая часть наименования которых соответствует одному из основных пакетов:
– ald-client-parsec — расширение, необходимое клиентской части ALD;
– ald-admin-parsec — расширение утилиты администрирования БД ALD;
– ald-server-parsec — расширение, необходимое для организации хранения атрибутов СЗИ на сервере ALD”
Установка пакетов
Что бы избежать установки множества отдельных deb пакетов , можно установить ald-server-common:
На вопрос системы “Продолжить [Д/н ] ? ” можно просто нажать Enter ( по умолчанию Да)
Установим аналогичным образом утилиту администрирования ald-admin и его GUI графического “братишку” 🙂 smolensk-security-ald
Отредактируем файл /etc/ald/ald.conf : (выделенные строчки)
VERSION=1.3
DOMAIN=.itsecforu.ru
SERVER=ald.itsecforu.ru
MINIMUM_UID=2500
TICKET_MAX_LIFE=10h
TICKET_MAX_RENEWABLE_LIFE=7d
NETWORK_FS_TYPE=cifs
SERVER_EXPORT_DIR=/ald_export_home
CLIENT_MOUNT_DIR=/ald_home
SERVER_FS_KRB_MODES=krb5,krb5i
CLIENT_FS_KRB_MODE=krb5i
SERVER_ON=1
CLIENT_ON=1
Произведем инициализацию командой:
ald-init-init
Следуя подсказкам системы назначим пароль администратору ALD.
Если инициализация прошла успешно, система выдаст сообщение:
Сервер ALD активен
Клиент ALD включен
Так же проверить это можно командой : ald-client status.
Напомню что для корректной работы должны быть настроены:
- Организация сети;
- Синхронизация времени;
- Разрешение доменных имен.