ООО «БАЗАЛЬТ СПО»

АЛЬТ ДОМЕН

Инструкция по установке

МОСКВА 2026

ООО «Базальт СПО» Альт Домен.
Инструкция по установке
СОДЕРЖАНИЕ
Состав продукта............................................................................................................................4
Требования к аппаратному обеспечению...................................................................................5
1 Оперативная память (RAM)..................................................................................................5
2 Размеры хранилища............................................................................................................... 5
3 Центральный процессор (СPU).............................................................................................5
4 DNS.......................................................................................................................................... 6
4.1 Синхронизация времени.................................................................................................6
5 Требования к портам..............................................................................................................7
Установка ОС «Альт Сервер»......................................................................................................8
1 Создание загрузочного flash-диска.......................................................................................8
1.1 В операционной системе Linux......................................................................................8
1.2 В операционной системе OS X.......................................................................................9
1.3 В операционной системе Windows...............................................................................10
1.4 Проверка целостности записанного образа.................................................................10
2 Установка дистрибутива......................................................................................................11
2.1 Начало установки. Загрузка системы..........................................................................11
2.2 Установка системы........................................................................................................ 12
3 Обновление системы до актуального состояния...............................................................23
4 Смена редакции после установки.......................................................................................24
Разворачивание домена.............................................................................................................. 27
1 Создание первого контроллера домена..............................................................................27
1.1 Настройка NTP-сервера.................................................................................................27
1.2 Установка имени контроллера домена........................................................................28
1.3 Сетевые настройки........................................................................................................ 28
1.4 Настройка файла /etc/resolvconf.conf...........................................................................29
1.5 Использование модуля управления сервисами...........................................................30
2

ООО «Базальт СПО» Альт Домен.
Инструкция по установке
1.6 С помощью samba-tool.................................................................................................. 36
1.7 Запуск службы каталогов..............................................................................................42
1.8 Настройка Kerberos........................................................................................................43
1.9 Проверка работоспособности домена..........................................................................44
2 Присоединение к домену в роли контроллера домена.....................................................46
2.1 Присоединение к домену с помощью модуля управления сервисами.....................47
2.2 Присоединение к домену с помощью samba-tool domain join...................................50
2.3 Проверка результатов присоединения.........................................................................53
3 Присоединение к домену в роли участника.......................................................................53
3.1 Установка пакетов.........................................................................................................54
3.2 Настройка сети...............................................................................................................54
3.3 Ввод клиентской машины в домен...............................................................................55
3.4 Проверка подключения к домену.................................................................................57
Установка административных инструментов..........................................................................59
1 Установка административных шаблонов...........................................................................59
2 Модуль удаленного управления базой данных конфигурации (ADMC)........................59
3 Модуль редактирования настроек клиентской конфигурации (GPUI)...........................60
Приложения................................................................................................................................. 63
1 Центр управления системой................................................................................................ 63
3

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

1 СОСТАВ ПРОДУКТА

Программный комплекс (ПК) «Альт Домен» функционирует на ОС «Альт Сервер» или

ОС «Альт СП Сервер». В данном документе описана процедура установки на ОС «Альт Сервер»,

для уточнения деталей установки на ОС «Альт СП Сервер» обратитесь к документации на

«Альт СП» («Руководство администратора. ЛКНВ.11100-01 90 03»).

Состав ПК «Альт Домен»:

контроллер(ы) домена (DC) на базе дистрибутива «Альт Сервер»;

модуль для ввода компьютера в домен;

модуль удалённого управления базой данных конфигурации (ADMC) – графический

инструмент для управления объектами домена и групповыми политиками;

модуль редактирования настроек клиентской конфигурации (GPUI) – предназначен для

изменения параметров групповых политик;

шаблоны групповых политик;

модуль применения конфигурации на целевой ОС Linux (gpupdate);

аналитический инструмент, формирующий отчёты о применении групповых политик

(GPResult);

инструмент диагностики (ADT).

Приложения продукта устанавливаются в следующем порядке:

1. Установка ОС «Альт Сервер».

2. Разворачивание нового домена:

создание первого контроллера домена;

присоединение сервера в роли контроллера домена к существующему домену;

присоединение сервера или рабочей станции в роли рядового участника к существующему

домену.

3. Установка административных инструментов (ADMC, GPUI).

4. Установка инструмента диагностики (ADT).

В табл. 1 представлены параметры, используемые в качестве примера в данном разделе.

Таблица 1. Параметры домена

IP-адрес Полное доменное имя (FQDN)

Первый контроллер домена 192.168.0.132 dc1.test.alt

Второй контроллер домена 192.168.0.133 dc2.test.alt

Участник домена 192.168.0.135 host-01.test.alt

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

2 ТРЕБОВАНИЯ К АППАРАТНОМУ ОБЕСПЕЧЕНИЮ

В этом разделе перечислены требования для установки контроллера домена. Перед

установкой необходимо убедиться, что система соответствует этим требованиям.

П р и м е ч а н и е . В условиях реальной эксплуатации рекомендуется использовать два или

более контроллера домена для обеспечения отказоустойчивости.

2.1 Оперативная память (RAM)

Для демонстрационной/тестовой системы рекомендуется 2 ГБ.

Для производственной установки – не менее 4 ГБ ОЗУ, далее в зависимости от размера

базы .

П р и м е ч а н и е . Наибольшее влияние на требования к памяти оказывает количество

одновременно открытых сеансов.

2.2 Размеры хранилища

10 ГБ достаточно для доменов с несколькими сотнями пользователей.

При планировании размера хранилища также необходимо учесть:

уровни журналов и политику хранения журналов;

использование изображений/аватаров для идентификации пользователей;

количество пользователей, машин и групп;

объём, необходимый для резервного копирования.

П р и м е ч а н и е . Указанный объём не учитывает дисковое пространство, необходимое для

установки самого сервера.

2.3 Центральный процессор (СPU)

Для нескольких сотен пользователей достаточно 4 vCPUs.

Некоторые процессы Samba не являются многопоточными, поэтому увеличение числа

процессоров не всегда увеличивает производительность.

Чтобы сбалансировать нагрузку, рекомендуется создать второй контроллер домена в

репликации с первым и применить политику балансировки нагрузки на уровне клиента.

Необходимое количество контроллеров домена зависит от нескольких параметров:

количества сторонних LDAP-приложений, подключенных к домену;

качества кода этих приложений;

количества запросов к файловым серверам.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

2.4 DNS

Не следует использовать существующий домен, если вы не являетесь его владельцем. Для

частных/тестовых установок рекомендуется использовать зарезервированные домены верхнего

уровня из RFC2606 (https://tools.ietf.org/html/rfc2606), например, domain.example

Имя домена для разворачиваемого контроллера домена должно состоять минимум из двух

компонентов, разделённых точкой.

П р и м е ч а н и е . Следует избегать использования суффикса .local. Если домен использует

этот суффикс, на сервере и подключаемых компьютерах под управлением Linux необходимо

отключить службу avahi-daemon.

П р и м е ч а н и е . Имя контроллера домена и всех ПК – членов домена – не должно

превышать 15 символов (ограничение связано с параметром sAMAccountName в Active

Directory).

2.4.1 Синхронизация времени

Для аутентификации Kerberos требуется точная синхронизация времени между

контроллером домена и рабочими станциями. Максимально допустимое отклонение времени по

умолчанию составляет 5 минут. При превышении этого значения доступ будет запрещён:

пользователь не сможет получить доступ к общим ресурсам или выполнить запрос к каталогу.

На всех контроллерах домена должен быть настроен NTP-сервер.

Samba поддерживает как ntpd, так и chrony в роли сервера NTP. Демон синхронизирует

время с внешними источниками и предоставляет клиентам доступ к актуальному времени.

Из Рис. 1 видно, что только DC с ролью «Эмулятор PDC» получает время от внешних NTP-

серверов, остальные контроллеры получают время от эмулятора PDC. Рабочие станции получают

время от любого доступного DC. Если DC с ролью эмулятора PDC отключён, другие DC

продолжают искать его, что может привести к смещению времени. В качестве обходного пути

следует установить одинаковые внешние NTP-серверы на всех DC. В этом случае, если эмулятор

PDC отключится и его невозможно будет быстро восстановить, необходимо передать его роль

другому DC вручную.

Рис. 1. Схема синхронизации времени

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

2.5 Требования к портам

Для корректной работы службы Samba на контроллере домена должны быть открыты

порты, указанные в табл. 2.

Таблица 2. Порты, используемые Samba AD DC

Служба Порт Протокол Примечание

DNS 53 TCP и UDP Используется для разрешения имён между

DC и клиентами.

Может быть реализован внутренним DNS

Samba или через Bind9

Kerberos 88 TCP и UDP Для аутентификации Kerberos

NTP 123 UDP

(опционально)

Если на DC настроен и работает NTP

End Point Mapper

(DCE/RPC Locator Service)

135 TCP Для клиентских операций с DC

NetBIOS Name Service 137 UDP

NetBIOS Datagram 138 UDP Для репликации файлов между DC

NetBIOS Session 139 TCP Для репликации файлов между DC

LDAP 389 TCP и UDP Для клиентских запросов к контроллерам

SMB over TCP 445 TCP Для репликации файлов

Kerberos 464 TCP и UDP Используется kadmin для установки и смены

пароля Kerberos

LDAPS 636 TCP Если в smb.conf установлен параметр tls

enabled = yes (по умолчанию)

Global Catalog 3268 TCP Для клиентского доступа к глобальному

каталогу

Global Catalog SSL 3269 TCP Если в smb.conf установлен параметр tls

enabled = yes (по умолчанию)

Динамические порты RPC 49152

65535

TCP Диапазон, используемый Windows Server

2008+. Задаётся параметром rpc server

port в smb.conf

П р и м е ч а н и е . В зависимости от состава используемых служб Samba могут

потребоваться и другие порты.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

3 УСТАНОВКА ОС «АЛЬТ СЕРВЕР»

Данный раздел содержит краткую инструкцию по установке дистрибутива «Альт Сервер».

Подробное пошаговое описание процесса установки см. в документации «Альт Сервер».

3.1 Создание загрузочного flash-диска

Для создания загрузочного flash-диска понадобится файл ISO-образа установочного диска с

дистрибутивом. ISO-образы установочных дисков являются гибридными (Hybrid ISO/IMG), что

позволяет записать их на flash-накопитель.

3.1.1 В операционной системе Linux

Для создания загрузочного flash-диска можно воспользоваться одной из программ с

графическим интерфейсом.

Например, программа ALT Media Writer (altmediawriter) может автоматически загружать

образы из интернета и записывать их, при необходимости извлекая сжатые образы (img.xz) (Рис.

2).

Рис. 2. ALT Media Writer. Запись ISO-образа

П р и м е ч а н и е . Будьте внимательны при указании имени flash-диска – запись ISO-образа

по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

П р и м е ч а н и е . Не добавляйте номер раздела, образ пишется на flash-диск с самого

начала!

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Для создания загрузочного flash-диска можно воспользоваться утилитой командной строки

dd. Для этого можно воспользоваться командой:

dd oflag=direct if=<файл-образа.iso> of=</dev/sdX> bs=1M status=progress;

sync

где:

файл-образа.iso – ISO-образ установочного диска с дистрибутивом;

/dev/sdX – устройство, соответствующее flash-диску.

Для удобства показа прогресса записи можно установить пакет pv и использовать команду:

pv <файл-образа.iso> | dd oflag=direct of=</dev/sdX> bs=1M; sync где:

файл-образа.iso – ISO-образ установочного диска с дистрибутивом; /dev/sdX – устройство,

соответствующее flash-диску.

Просмотреть список доступных устройств можно командой lsblk или (если такой

команды нет) blkid.

Например, так можно определить имя flash-диска:

$ lsblk | grep disk

sda 8:0 0 931,5G 0 disk

sdb 8:16 0 931,5G 0 disk

sdc 8:32 1 7,4G 0 disk

Flash-диск имеет имя устройства sdc.

Затем записать:

# dd oflag=direct if=/iso/alt-server-11.1-x86_64.iso of=/dev/sdc bs=1M

status=progress; sync

или, например, так:

# pv /iso/alt-server-11.1-x86_64.iso | dd oflag=direct of=/dev/sdc bs=1M;sync

dd: warning: partial read (524288 bytes); suggest iflag=fullblock 4GiB

0:10:28 [4,61MiB/s] [===================================> ] 72% ETA 0:04:07

П р и м е ч а н и е . Не извлекайте flash-диск, пока образ не запишется до конца! Определить

финал процесса можно по прекращению моргания индикатора flash-диска либо посредством

виджета Безопасное извлечение съемных устройств.

3.1.2 В операционной системе OS X

В операционной системе OS X для создания загрузочного flash-диска можно использовать

команду:

sudo dd if=alt-server-11.1-x86_64.iso of=/dev/rdiskX bs=10M sync

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

где alt-server-11.1-x86_64.iso – образ диска ISO, а /dev/rdiskX – usb-

устройство.

Просмотреть список доступных устройств можно командой:

diskutil list

П р и м е ч а н и е . Будьте внимательны при указании имени usb-устройства – запись образа

по ошибке на свой жёсткий диск приведёт к почти гарантированной потере данных на нём!

3.1.3 В операционной системе Windows

В операционной системе Windows для создания загрузочного flash-диска можно

использовать специальные программы: ALT Media Writer, Win32 Disk Imager и другие.

ALT Media Writer – это инструмент, который помогает записывать образы ALT на

портативные накопители, такие как flash-диски. Он может автоматически загружать образы из

интернета и записывать их. Для записи образа на flash-диск необходимо:

скачать и установить ALT Media Writer;

вставить flash-диск в USB-разъем;

запустить ALT Media Writer;

выбрать дистрибутив и нажать кнопку «Создать Live USB…»;

начнётся загрузка образа из интернета (см. Рис. 2);

выбрать устройство (flash-диск);

после окончания загрузки нажать кнопку «Записать на диск» (если был отмечен пункт

«Записать образ после загрузки», запись образа начнётся автоматически).

Созданный описанными выше способами, flash-диск является одновременно и

загрузочным, и установочным. В результате, установка дистрибутива может быть произведена

исключительно с использованием flash-диска.

3.1.4 Проверка целостности записанного образа

Для проверки целостности записанного образа необходимо выполнить следующие шаги:

1) определить длину образа в байтах:

$ du -b alt-server-11.1-x86_64.iso | cut -f1

5143404544

2) посчитать контрольную сумму образа (или просмотреть контрольную сумму образа из

файла MD5SUM на сервере FTP):

$ md5sum alt-server-11.1-x86_64.iso

13b3df1b05e3aef0fb11485ea947df48 alt-server-11.1-x86_64.iso

3) подсчитать контрольную сумму записанного образа на DVD или USB Flash

(выполняется под правами пользователя root):

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

# head -c 5143404544 /dev/sdd | md5sum

13b3df1b05e3aef0fb11485ea947df48

где размер после -c – вывод в п.1, а /dev/sdd – устройство DVD или USB-Flash, на

которое производилась запись.

3.2 Установка дистрибутива

3.2.1 Начало установки. Загрузка системы

П р и м е ч а н и е . В данной инструкции рассмотрена установка системы в режиме UEFI.

Особенности установки в режиме legacy отображены в примечаниях.

Для начала установки ОС «Альт Сервер» необходимо загрузиться с носителя, на котором

записан дистрибутив. Для этого может потребоваться включить в BIOS опцию загрузки с

оптического привода или с USB-устройства.

П р и м е ч а н и е . Способ входа в меню BIOS и расположение конкретных настроек может

сильно отличаться в зависимости от используемого оборудования. Чаще всего для входа в BIOS

необходимо нажать клавишу <Delete>, как только компьютер начнёт загружаться. За полной

инструкцией по настройке обратитесь к документации к вашему оборудованию.

Загрузка с установочного диска или специально подготовленного USB-flash-накопителя

начинается с меню (Рис. 3). Чтобы начать процесс установки, нужно клавишами перемещения

курсора <↑>, <↓> выбрать пункт меню «Install ALT Server» и нажать клавишу <Enter>.

П р и м е ч а н и е . Начальный загрузчик в режиме Legacy показан на (Рис. 4).

Рис. 3. Установка. Загрузка с установочного диска

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

3.2.2 Установка системы

Во время установки системы выполняются следующие шаги:

1) язык;

2) выбор редакции;

3) лицензионное соглашение;

4) дата и время;

5) подготовка диска;

6) установка системы;

7) сохранение настроек;

8) установка загрузчика;

9) настройка сети;

10) администратор системы;

11) системный пользователь;

12) установка пароля на LUKS-разделы;

13) завершение установки.

Установка начинается с выбора основного языка – языка интерфейса программы установки

и устанавливаемой системы (Рис. 5).

Рис. 4. Установка. Начальный загрузчик в режиме Legacy

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 5. Установка. Выбор языка

После окна выбора языковых параметров установщик ОС «Альт Сервер» переходит к этапу

«Выбор редакции» (Рис. 6).

Редакция – это набор компонентов, входящих в состав дистрибутива. Каждая редакция

включает уникальный набор предустановленных и доступных для установки компонентов.

Для работы с ПК «Альт Домен» следует выбрать редакцию «Альт Домен». Для

подтверждения выбора редакции необходимо отметить пункт «Да, я согласен с выбранной

редакцией» и нажать кнопку «Далее».

П р и м е ч а н и е . Редакцию можно изменить и после установки системы (см. Смена

редакции после установки).

Далее программа установки переходит к окну «Лицензионное соглашение» (Рис. 7). Текст

лицензионного соглашения зависит от редакции, выбранной на предыдущем шаге. Для

подтверждения согласия, необходимо отметить пункт «Да, я согласен с условиями» и нажать

кнопку «Далее».

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 6. Установка. Выбор редакции

Рис. 7. Установка. Лицензионное соглашение

На этапе «Дата и время» выполняется выбор региона и города, по которым будет определен

часовой пояс и установлены системные часы (Рис. 8). Для корректной установки даты и времени

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

достаточно правильно указать часовой пояс и выставить желаемые значения для даты и времени.

Для ручной установки текущих даты и времени нужно нажать кнопку «Изменить…».

Рис. 8. Установка. Выбор часового пояса

На этапе «Подготовка диска» (Рис. 9) подготавливается площадка для установки

ОС «Альт Сервер», в первую очередь – выделяется свободное место на диске.

В списке разделов перечислены уже существующие на жестких дисках разделы (в том

числе здесь могут оказаться съемные USB-носители, подключенные к компьютеру в момент

установки).

В списке «Выберите профиль» перечислены доступные профили разбиения диска.

Профиль – это шаблон распределения места на диске для установки ОС. Можно выбрать один из

профилей:

–«Установка сервера»;

–«Вручную».

Профиль «Установка сервера» предполагает автоматическое разбиение диска. При выборе

этого профиля будет создан раздел под корень (swap и раздел под efi автоматически). Если размер

диска больше 130 ГБ, будет также создан раздел /var.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 9. Установка. Выбор профиля разбиения диска(ов)

П р и м е ч а н и е . При установке системы в режиме UEFI рекомендуется выбрать

автоматическое разбиение диска для создания необходимых разделов для загрузки с EFI.

П р и м е ч а н и е . При отмеченном пункте «Очистить выбранные диски перед применением

профиля» будут удалены все данные с выбранных дисков (включая внешние USB-носители) без

возможности восстановления. Рекомендуется использовать эту возможность при полной

уверенности в том, что диски не содержат никаких ценных данных.

По завершении этапа подготовки диска происходит переход на шаг «Установка системы».

Программа установки предлагает выбрать дополнительные пакеты программ, которые

будут включены в состав ОС «Альт Сервер» и установлены вместе с ней на диск (Рис. 10).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 10. Установка. Выбор групп пакетов

Если не выбирать дополнительные пакеты программ, система будет установлена с

минимальным набором пакетов без графической оболочки.

П р и м е ч а н и е . При установке системы без графической оболочки доступно управление

настройками сервера через веб-интерфейс ЦУС (см. Центр управления системой).

Выбрав необходимые дополнительные пакеты следует нажать кнопку «Далее», после чего

начнётся установка пакетов.

Установка пакетов (Рис. 11) происходит автоматически в два этапа:

–получение пакетов;

–установка пакетов.

После завершения установки базовой системы выполняется шаг сохранения настроек (Рис.

12). Он проходит автоматически и не требует вмешательства пользователя, на экране

отображается индикатор выполнения. После сохранения настроек осуществляется автоматический

переход к следующему шагу.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 11. Установка. Установка пакетов

Рис. 12. Установка. Сохранение настроек

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

На этапе «Установка загрузчика» программа установки автоматически определяет, в каком

разделе жёсткого диска следует располагать загрузчик для возможности корректного запуска

ОС «Альт Сервер».

При установке на EFI модуль установки загрузчика предложит вариант установить

загрузчик в специальный раздел «EFI» (Рис. 13).

Рис. 13. Установка. Установка загрузчика

П р и м е ч а н и е . Установка загрузчика при установке в режиме Legacy показана на Рис.

14.

Для подтверждения выбора и продолжения работы программы установки необходимо

нажать кнопку «Далее».

На этапе «Настройка сети» необходимо задать имя компьютера и установить параметры

работы сетевой карты и настройки сети: IP-адреса сетевых интерфейсов, DNS-сервер, шлюз и т.п.

Конкретные значения будут зависеть от используемого сетевого окружения (Рис. 15).

П р и м е ч а н и е . Имя домена, для разворачиваемого контроллера домена, должно

состоять минимум из двух компонентов, разделённых точкой.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 14. Установка. Установка загрузчика в режиме Legacy

Рис. 15. Установка. Настройка сети

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

На вторичном сервере обязательно нужно указать первичный сервер в поле DNS-серверы

(Рис. 16).

Рис. 16. Установка. Настройка сети на вторичном сервере

Для сохранения настроек сети и продолжения работы программы установки необходимо

нажать кнопку «Далее».

На этапе «Администратор системы» программа установки создает учетную запись

администратора (Рис. 17). В открывшемся окне необходимо ввести пароль учетной записи

администратора (root). Чтобы исключить опечатки при вводе пароля, пароль учетной записи

вводится дважды.

На этапе «Системный пользователь» программа установки создает учетную запись

системного пользователя (пользователя) ОС «Альт Сервер» (Рис. 18).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 17. Установка. Задание пароля администратора

Рис. 18. Установка. Создание пользователя

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Если на этапе подготовки диска были созданы кодируемые разделы (LUKS-разделы), на

этапе «Установка пароля на LUKS-разделы» необходимо ввести пароль для обращения к этому

разделу (Рис. 19).

П р и м е ч а н и е . Если кодируемые разделы, не создавались, этот шаг пропускается

автоматически.

Рис. 19. Установка. Установка пароля на кодированные разделы

На экране последнего этапа установки отображается информация о завершении установки

(Рис. 20).

После нажатия кнопки «Завершить» автоматически начнется перезагрузка системы.

3.3 Обновление системы до актуального состояния

После установки системы, её следует обновить до актуального состояния.

Для обновления системы необходимо выполнить команды (с правами администратора):

# apt-get update

# apt-get dist-upgrade

# update-kernel

# apt-get clean

# reboot

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Получить права администратора можно, зарегистрировавшись в системе

под именем root или выполнив команду:

$ su –

Рис. 20. Установка. Завершение установки

3.4 Смена редакции после установки

Если при установке системы была выбрана редакция «Альт Сервер», но планируется работа

с ПК «Альт Домен», необходимо переключиться на соответствующую редакцию.

П р и м е ч а н и е . С м е н а редакции – безопасная операция, при которой установка или

удаление компонентов не выполняется. После смены редакции можно выбрать и установить

компоненты базового раздела, используя графический (alt-components) или консольный

(alteratorctl components) инструмент.

Переключение редакции возможно как в графическом режиме, так и в консоли.

Смена редакции в консоли:

1) просмотр списка доступных редакций:

$ alteratorctl editions

Альт Домен (edition_domain)

* Альт Сервер (edition_server)

Звёздочкой (*) отмечена текущая редакция.

2) просмотр лицензии редакции «Альт Домен»:

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

$ alteratorctl editions license edition_domain

3) установка редакции «Альт Домен»:

$ alteratorctl editions set edition_domain

4) проверка текущей редакции:

$ alteratorctl editions

* Альт Домен (edition_domain)

Альт Сервер (edition_server)

П р и м е ч а н и е . Для смены редакции потребуется ввести пароль администратора.

П р и м е ч а н и е . Переключение редакции не приводит к установке или удалению

пакетов. Это безопасная операция, изменяющая только метаданные.

Смена редакции в ЦУС (см. Центр управления системой):

1)открыть модуль «Системная информация», выбрав в разделе «Система» пункт «О

системе»;

2)на вкладке «О системе» (Рис. 21) отображается основная информация о дистрибутиве,

включая текущую редакцию. Для смены редакции необходимо нажать кнопку «Изменить»;

Рис. 21. Системная информация

3)в отрывшемся окне выбрать редакцию «Альт Домен» и нажать кнопку «Далее» (Рис. 22);

4)внимательно прочитать лицензионное соглашение, в случае согласия с условиями,

установить отметку в пункте «Да, я согласен с условиями» и нажать кнопку «Завершить» (Рис.

23);

5)ввести пароль администратора (root) и нажать кнопку «Подтвердить».

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 22. Системная информация. Смена редакции

Рис. 23. Системная информация. Лицензионное соглашение

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4 РАЗВОРАЧИВАНИЕ ДОМЕНА

4.1 Создание первого контроллера домена

Развёртывание домена (контроллера домена) возможно двумя способами. Первый способ

предполагает использование утилиты командной строки samba-tool domain provision (см. С

помощью samba-tool), при котором администратор вручную выполняет все этапы создания домена

и последующей настройки сервисов. Второй способ – использование модуля управления

сервисами (см. Использование модуля управления сервисами), который автоматически выполняет

полный цикл развёртывания: создание домена, а также настройку необходимых

конфигурационных файлов, включая smb.conf и krb5.conf.

Все действия выполняются на узле dc1.test.alt (192.168.0.132).

Для управления службой DNS Samba поддерживает работу с двумя DNS-бэкендами:

–внутренний DNS-сервер (SAMBA_INTERNAL);

–внешний DNS-сервер BIND 9 (BIND9_DLZ).

В данной инструкции рассмотрен внутренний DNS-сервер, разворачивание домена с

внешним DNS-сервером рассмотрено в руководстве администратора.

4.1.1 Настройка NTP-сервера

Настройка сервера времени chrony в качестве NTP-сервера:

1) установить пакет chrony:

# apt-get install chrony

2) включить режим сервера chrony:

# control chrony server

3) установить синхронизацию с российским пулом NTP:

# sed -i -r 's/^(pool.*)/#\1\npool ru.pool.ntp.org iburst/' /etc/chrony.conf

или указать серверы NTP в директиве server или pool в файле конфигурации NTP

/etc/chrony.conf:

pool ru.pool.ntp.org iburst

4) включить и запустить службу:

# systemctl enable --now chronyd

5) проверить состояние службы:

# systemctl status chronyd.service

П р и м е ч а н и е . Параметр iburst ускоряет начальную синхронизацию, отправляя несколько

запросов подряд при старте.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4.1.2 Установка имени контроллера домена

Этот раздел можно пропустить, если имя компьютера было задано при установке системы

на этапе «Настройка сети».

Имя контроллера домена, для разворачиваемого DC, должно состоять минимум из двух

компонентов разделенных точкой.

Для установки имени узла необходимо выполнить команду:

# hostnamectl set-hostname dc1.test.alt

П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться

приложения. Для решения этой проблемы необходимо перезагрузить систему.

4.1.3 Сетевые настройки

Для корректной работы контроллера домена должны соблюдаться следующие условия:

–для сервера должно быть задано полное доменное имя (FQDN);

–IP-адрес сервера не должен изменяться;

–в настройках сетевого интерфейса должен быть указан IP-адрес 127.0.0.1 в качестве

первичного DNS.

Настройку сети можно выполнить как в консоли, так и в графическом интерфейсе.

Настройка сети в консоли:

1) задать имя компьютера:

# hostnamectl set-hostname dc1.test.alt

2) указать собственный IP-адрес в качестве первичного DNS. Для этого в файле

/etc/net/ifaces/enp1s0/resolv.conf указать:

nameserver 127.0.0.1

nameserver 8.8.8.8

search test.alt

где enp1s0 ‒ имя интерфейса;

3) обновить DNS адреса:

# resolvconf -u

4) убедиться в наличии следующих строк в файле /etc/resolv.conf:

nameserver 127.0.0.1

search test.alt

Если сеть настраивается в ЦУС (см. Центр управления системой), в модуле «Ethernet-

интерфейсы» необходимо указать имя компьютера и DNS 127.0.0.1 (Рис. 24).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 24. Настройка сети в ЦУС

П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться

приложения. Для решения этой проблемы необходимо перезагрузить систему.

П р и м е ч а н и е . До развёртывания контроллера домена (на этапе установки пакетов и

первичной настройки системы) допускается временно указать внешний DNS-сервер

в /etc/resolv.conf для обеспечения доступа к репозиториям и внешним ресурсам. После

разворачивания домена внешний DNS-сервер необходимо удалить из конфигурации. В качестве

DNS-сервера должен быть указан собственный IP-адрес контроллера домена (либо 127.0.0.1).

4.1.4 Настройка файла /etc/resolvconf.conf

Чтобы все локальные DNS-запросы обрабатывались через Samba, в файле

/etc/resolvconf.conf должна присутствовать строка:

name_servers=127.0.0.1

Если этой строки нет – необходимо добавить её в конец файла и обновить конфигурацию:

# resolvconf -u

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4.1.5 Использование модуля управления сервисами

Сервис Samba Active Directory предназначен для управления Samba AD и позволяет:

–разворачивать контроллеры домена Samba AD (создавать новый домен или присоединяться

к существующему);

–удалять контроллеры домена Samba AD;

–просматривать информацию о параметрах, с которыми был развёрнут контроллер домена.

Управление сервисами доступно из консоли с помощью alteratorctl, а также из

графического интерфейса с помощью приложения alt-services.

4.1.5.1 Установка пакетов

Для установки сервиса Samba Active Directory необходимо установить пакет alterator-

service-samba-ad:

# apt-get install alterator-service-samba-ad

Для работы в графическом интерфейсе требуется установить приложение alt-services:

# apt-get install alt-services

4.1.5.2 Параметры команды разворачивания домена

Команда alteratorctl services deploy service_samba_ad позволяет

развернуть новый домен или присоединить дополнительный DC к существующему домену.

Синтаксис:

$ alteratorctl services deploy service_samba_ad [ОПЦИИ] [ПАРАМЕТРЫ]

Возможные опции:

-f, --force-deploy – принудительное развёртывание сервиса;

-y, --yes – автоматически отвечать ДА на все вопросы;

--no-default – не использовать значения по умолчанию, если параметр не установлен.

Команда alteratorctl services deploy service_samba_ad поддерживает

множество параметров позволяющих гибко настроить контроллер домена.

Подробную информацию можно найти на справочной странице:

$ alteratorctl services deploy service_samba_ad –help

4.1.5.3 Создание нового домена

4.1.5.3.1 В командной строке (alteratorctl)

Создание контроллера домена test.alt с паролем администратора Pa$$word:

# alteratorctl services deploy service_samba_ad \

--mode=create \

--realm=test.alt \

--netBiosName=test \

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

--adminPassword='Pa$$word' \

--dnsSettings.dnsBackend=SAMBA_INTERNAL \

--dnsSettings.forwarders.0=8.8.8.8

где

–--mode=crete – создать новый домен;

–--realm – имя Kerberos-области (LDAP), и DNS-имя домена;

–--netBiosName – имя домена (имя рабочей группы);

–--adminPassword – пароль основного администратора домена (если параметр не указан,

пароль запрашивается в интерактивном режиме);

–--dnsSettings.forwarders.0 – внешний DNS-сервер (при необходимости можно

добавить несколько, указав --dnsSettings.forwarders.1 и т. д.).

П р и м е ч а н и е . Пароль администратора должен быть не менее 7 символов и содержать

символы минимум из трёх групп:

–заглавные буквы (A–Z);

–строчные буквы (a–z);

–цифры (0–9);

–специальные символы (например, !@#$%^&*).

Пароль, не соответствующий требованиям, – это одна из причин завершения развертывания

домена ошибкой.

П р и м е ч а н и е . Параметр --use-rfc2307=true позволяет поддерживать расширенные

атрибуты типа UID и GID в схеме LDAP и ACL на файловой системе Linux.

После успешного развёртывания запустите домен:

# alteratorctl services start service_samba_ad

Если уровень домена не указан, то домен разворачивается на уровне 2008_R2. Для

разворачивания домена на другом уровне, уровень необходимо явно указать, например:

# alteratorctl services deploy service_samba_ad \

--mode=create \

--realm=test.alt \

--netBiosName=test \

--adminPassword='Pa$$word' \

--dnsSettings.dnsBackend=SAMBA_INTERNAL \

--dnsSettings.forwarders.0=8.8.8.8 \

--functionalLevel=2016

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Если необходим уровень 2012_R2, следует сначала развернуть домен на

уровне 2008_R2, а затем повысить его до 2012_R2.

4.1.5.3.2 В приложении «Альт сервисы»

Для разворачивания домена можно воспользоваться графическим приложением «Альт

сервисы».

П р и м е ч а н и е . «Альт сервисы» можно запустить следующими способами:

–из ЦУС, выбрав необходимый сервис в разделе «Серверы» (см. Центр управления

системой);

–из командной строки, выполнив команду:

$ alt-services

Для создания домена с бэкендом SAMBA_INTERNAL:

1) в приложении «Альт Сервисы» выберите сервис Samba AD и нажмите кнопку «Развернуть»

(Рис. 25);

Рис. 25. «Управление сервисами»

2) на первом шаге мастера отображаются ресурсы, которые будут заняты сервисом.

Убедитесь, что необходимые ресурсы свободны, и нажмите кнопку «Далее» (Рис. 26);

П р и м е ч а н и е . В разделе «Дополнительные опции» при необходимости можно выбрать:

-«Принудительное развертывание (пропуск предварительных проверок)» – сервис будет

развёрнут независимо от текущего состояния системы (предварительная диагностика при

этом невозможна);

-«Предварительная диагностика» – выполнение проверки перед развёртыванием домена;

-«Пост-диагностика» – выполнение проверки после развёртывания домена;

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

-«Запустить сразу же после развертывания» – автоматический запуск сервиса после

успешного завершения развёртывания.

Рис. 26. Проверка ресурсов

3) если выбрана опция «Предварительная диагностика», будет отображён список тестов,

выполняемых для проверки возможности развёртывания домена (Рис. 27);

Рис. 27. Тесты предварительной диагностики

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4) если выбрана опция «Пост-диагностика», будет отображён список тестов, выполняемых

для проверки уже развёрнутого домена (Рис. 28);

Рис. 28. Тесты пост-диагностики

5) выберите режим «Создать новый домен» и укажите параметры (Рис. 29):

–«Пароль администратора» – надёжный пароль для учётной записи Administrator;

–«NetBIOS имя контроллера домена» – имя DC (например, dc1);

–«NetBIOS имя» – короткое имя домена (обычно совпадает с первой частью Realm,

например, test);

–«Realm» – полное DNS-имя домена (например, test.alt);

–«Тип базы» – формат внутреннего хранилища каталога Samba:

•«tdb» – формат по умолчанию (ограничение размера – до 4 ГБ);

•«mdb» – формат на базе LMDB;

–«Использовать RFC 2307» – cинхронизация UNIX UID/GID между узлами;

–«Функциональный уровень» – определяет функциональность домена (DFL) и леса (FFL) и

влияет на совместимость с версиями Windows Server (2008 – по умолчанию, или 2016);

–«Имя сайта» – логическое расположение контроллера в AD;

–«Настройки DNS»:

•«Серверы пересылки» – внешние DNS-серверы, на которые будут пересылаться

запросы к внешним доменам;

•«Бэкенд DNS» – DNS-сервер для обслуживания доменной зоны: SAMBA_INTERNAL

(встроенный DNS-сервер Samba) или BIND9 с динамической загрузкой зон из AD.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 29. Параметры развертывания

6) проверьте выбранные параметры и нажмите кнопку «Подтвердить» (Рис. 12);

Рис. 30. Проверка параметров перед развертывания

7) введите пароль администратора системы (root) для подтверждения;

8) после успешного развёртывания нажмите кнопку «Завершить».

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Пароль администратора должен быть не менее 7 символов и содержать

символы минимум из трёх групп:

•заглавные буквы (A–Z);

•строчные буквы (a–z);

•цифры (0–9);

•специальные символы (например, !@#$%^&*).

Пароль, не соответствующий требованиям, – это одна из причин завершения развертывания

домена ошибкой.

В окне «Управление сервисами» откроется вкладка «Состояние» с параметрами

развёрнутого домена.

Запустите домен, нажав кнопку «Запустить» (Рис. 31).

Рис. 31. Запуск домена

Далее можно проверить работоспособность домена (см. Проверка работоспособности

домена).

4.1.6 С помощью samba-tool

4.1.6.1 Установка пакетов

Samba поддерживает две реализации Kerberos: Heimdal и MIT.

Для Samba DC на базе Heimdal Kerberos необходимо установить компонент samba-dc:

# alteratorctl components install samba-dc

или пакет task-samba-dc:

# apt-get install task-samba-dc

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Если будет использоваться Samba DC на базе MIT Kerberos следует установить пакет

task-samba-dc-mitkrb5:

# apt-get install task-samba-dc-mitkrb5

П р и м е ч а н и е . Samba на базе Heimdal Kerberos использует KDC несовместимый с MIT

Kerberos, поэтому на контроллере домена на базе Heimdal Kerberos из пакета samba-dc, для

совместимости с клиентской библиотекой libkrb5, в файле krb5.conf (в блоке – libdefaults)

необходимо отключить использование ядерного кеша ключей – KEYRING:persistent:%

{uid}:

# control krb5-conf-ccache default

4.1.6.2 Остановка конфликтующих служб

Samba в режиме контроллера домена (DC) включает встроенные службы:

–LDAP-сервер;

–центр распределения ключей Kerberos (KDC);

–DNS-сервер (если используется SAMBA_INTERNAL).

Перед установкой необходимо остановить и отключить конфликтующие службы krb5kdc и

slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do \

systemctl disable $service; \

systemctl stop $service; \

done

П р и м е ч а н и е . Выключить автозагрузку служб и отключить службы можно в ЦУС

(см. Центр управления системой) в разделе «Система» → «Системные службы».

4.1.6.3 Параметры команды разворачивания домена

Команда samba-tool domain provision поддерживает множество опций,

позволяющих гибко настроить контроллер домена. Эти параметры удобно использовать как

вручную, так и в автоматизированных скриптах.

Более подробную информацию можно найти на справочной странице samba-tool(8)

(man samba-tool).

4.1.6.4 Внутренний DNS-сервер Samba (SAMBA_INTERNAL)

Контроллер домена Samba может использовать встроенный DNS-сервер

(SAMBA_INTERNAL) , который обеспечивает базовые функции, необходимые для работы домена

«Альт Домена». Он прост в настройке, не требует установки дополнительного ПО и специальных

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

знаний о DNS. Рекомендуется использовать внутренний DNS-сервер в простых конфигурациях,

где не требуется сложная инфраструктура DNS.

Встроенный DNS-сервер имеет следующие ограничения:

–нельзя использовать как кеширующий резолвер (caching resolver);

–не поддерживает рекурсивные запросы;

–не поддерживает подпись транзакции с общим ключом (TSIG) (shared-key transaction

signature);

–не поддерживает работу с зонами-заглушками (stub zones);

–не поддерживает передачу зон (zone transfers);

–не поддерживает балансировку нагрузки методом циклического перебора между

контроллерами домена (Round Robin load balancing among DCs);

–не поддерживает условную пересылку DNS-запросов (conditional forwarding).

Внутренний DNS-сервер может разрешать имена только в пределах своей зоны. Для

разрешения внешних доменов необходимо настроить пересылку (forwarding) на внешний DNS-

сервер. Для этого в параметре dns forwarder (файл smb.conf) следует указать один или

несколько IP-адресов DNS-серверов, поддерживающих рекурсивное разрешение. Например:

dns forwarder = 192.168.0.190 8.8.8.8

П р и м е ч а н и е . Samba 4.5 и более поздние версии в параметре dns forwarder

поддерживают несколько IP-адресов, разделенных пробелами. Старые версии поддерживают один

IP-адрес. Запросы направляются к следующему серверу только при отсутствии ответа от

предыдущего.

П р и м е ч а н и е . Внешний DNS-сервер можно указать при создании домена.

При создании домена с внутренним DNS-сервером нужно использовать параметр --dns-

backend=SAMBA_INTERNAL или не указывать этот параметр вообще.

4.1.6.5 Восстановление к начальному состоянию Samba

Перед созданием домена необходимо очистить предыдущую конфигурацию (домен, если

он создавался до этого, будет удалён):

# rm -f /etc/samba/smb.conf

# rm -rf /var/lib/samba

# rm -rf /var/cache/samba

# mkdir -p /var/lib/samba/sysvol

П р и м е ч а н и е . Файл /etc/samba/smb.conf обязательно должен быть удалён перед запуском

samba-tool domain provision. Его наличие может привести к ошибкам при развёртывании домена.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4.1.6.6 Создание домена

4.1.6.6.1 Интерактивное создание домена

Для запуска интерактивной установки необходимо выполнить команду:

# samba-tool domain provision

В ответе на первые два вопроса нужно указать Realm (домен Kerberos и DNS) и имя домена

(рабочей группы):

Realm [TEST.ALT]:

Domain [TEST]:

П р и м е ч а н и е . Чтобы принять значение по умолчанию, необходимо нажать клавишу

<Enter>.

Далее нужно указать роль сервера и бэкенд DNS:

Server Role (dc, member, standalone) [dc]:

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE)

[SAMBA_INTERNAL]:

При запросе «DNS forwarder IP address» можно указать внешний DNS-сервер, чтобы DC мог

разрешать внешние доменные имена:

DNS forwarder IP address (write 'none' to disable forwarding)

[127.0.0.1]: 8.8.8.8

Задать пароль для администратора:

Administrator password:

Retype password:

П р и м е ч а н и е . Пароль администратора должен быть не менее 7 символов и содержать

символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем

регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью

соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.

После ввода данных начнётся процесс настройки контроллера домена:

Looking up Ipv4 addresses

Looking up Ipv6 addresses

Setting up share.ldb

Setting up secrets.ldb

Setting up the registry

Setting up the privileges database

Setting up idmap db

Setting up SAM db

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Setting up sam.ldb partitions and settings

Setting up sam.ldb rootDSE

Pre-loading the Samba 4 and AD schema

Adding DomainDN: DC=test,DC=alt

Adding configuration container

Setting up sam.ldb schema

Setting up sam.ldb configuration data

Setting up display specifiers

Modifying display specifiers and extended rights

Adding users container

Modifying users container

Adding computers container

Modifying computers container

Setting up sam.ldb data

Setting up well known security principals

Setting up sam.ldb users and groups

Setting up self join

Repacking database from v1 to v2 format (first record CN=Phone-Home-

Other,CN=Schema,CN=Configuration,DC=test,DC=alt)

Repack: re-packed 10000 records so far

Repacking database from v1 to v2 format (first record CN=domainPolicy-

Display,CN=401,CN=DisplaySpecifiers,CN=Configuration,DC=test,DC=alt)

Repacking database from v1 to v2 format (first record CN=3c784009-

1f57-4e2a-9b04-

6915c9e71961,CN=Operations,CN=DomainUpdates,CN=System,DC=test,DC=alt)

Adding DNS accounts

Creating CN=MicrosoftDNS,CN=System,DC=test,DC=alt

Creating DomainDnsZones and ForestDnsZones partitions

Populating DomainDnsZones and ForestDnsZones partitions

Repacking database from v1 to v2 format (first record DC=k.root-

servers.net,DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=tes

t,DC=alt)

Repacking database from v1 to v2 format (first record

DC=_ldap._tcp.6e5294b0-7cec-4c77-9b54-

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

c83c57e44c98.domains,DC=_msdcs.test.alt,CN=MicrosoftDNS,DC=ForestDnsZo

nes,DC=test,DC=alt)

Setting up sam.ldb rootDSE marking as synchronized

Fixing provision GUIDs

A Kerberos configuration suitable for Samba AD has been generated

at /var/lib/samba/private/krb5.conf

Merge the contents of this file with your system krb5.conf or replace

it with this one. Do not create a symlink!

Once the above files are installed, your Samba AD server will be ready

to use

Server Role: active directory domain controller

Hostname: dc1

NetBIOS Domain: TEST

DNS Domain: test.alt

DOMAIN SID: S-1-5-21-3202529454-2619939870-177941183

4.1.6.6.2 Создание домена в пакетном режиме

Для пакетной установки необходимо как минимум указать следующие параметры домена:

---realm=REALM_NAME – имя Kerberos-области (LDAP), и DNS-имя домена;

---domain=DOMAIN – имя домена (имя рабочей группы);

---adminPassword=PASSWORD – пароль основного администратора домена;

-dns forwarder=forwarder_ip_address – внешний DNS-сервер, чтобы DC мог

разрешать внешние доменные имена;

---server-role=ROLE – тип серверной роли;

---dns-backend=NAMESERVER-BACKEND – бэкенд DNS-сервера;

---use-rfc2307 – позволяет поддерживать расширенные атрибуты типа UID и GID в

схеме LDAP и ACL на файловой системе Linux.

Пример команды создания контроллера домена test.alt в пакетном режиме:

# samba-tool domain provision -–realm=test.alt \

--domain=test -–adminpass=’Pa$$word’ \

--dns-backend=SAMBA_INTERNAL -–server-role=dc -–use-rfc2307 \

--option=”dns forwarder=8.8.8.8”

П р и м е ч а н и е . Пароль администратора должен быть не менее 7 символов и содержать

символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью

соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.

Если уровень не указан, домен разворачивается на уровне 2008_R2. Для разворачивания

домена на другом уровне, уровень необходимо явно указать, например:

# samba-tool domain provision -–realm=test.alt \

--domain=test -–adminpass=’Pa$$word’ \

--dns-backend=SAMBA_INTERNAL -–option=”dns forwarder=8.8.8.8” \

--option=”ad dc functional level = 2016” \

--server-role=dc ––function-level=2016

П р и м е ч а н и е . Если необходим уровень 2012_R2, следует сначала развернуть домен на

уровне 2008_R2, а затем повысить его до 2012_R2.

П р и м е ч а н и е . Полный список параметров команды samba-tool domain

provision можно увидеть, запустив команду:

# samba-tool domain provision –help

4.1.7 Запуск службы каталогов

После создания домена необходимо включить и запустить службу samba:

# systemctl enable --now samba

В а ж н о . Если используется Samba на базе MIT Kerberos, перед запуском службы samba

необходимо предварительно настроить Kerberos (см. раздел Настройка Kerberos).

При сборке Samba с Heimdal:

Samba включает встроенный KDC (Kerberos Key Distribution Center);

Samba сама управляет своим KDC и не зависит от системного файла /etc/krb5.conf.

При сборке с MIT Kerberos:

Samba не содержит встроенного KDC и использует системную библиотеку MIT Kerberos;

MIT Kerberos требует корректной настройки системного файла конфигурации /etc/krb5.conf,

чтобы знать:

какие реалмы (REALM) существуют;

где находятся KDC для каждого реалма;

как взаимодействовать с ними (протоколы, шифрование и т.д.).

П р и м е ч а н и е . Если служба samba после установки не запускается, необходимо

перезагрузить сервер. Это может быть связано с незавершённой инициализацией или блокировкой

ресурсов.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Пример файла /etc/samba/smb.conf после создания домена с

SAMBA_INTERNAL:

# Global parameters

[global]

dns forwarder = 8.8.8.8

netbios name = DC1

realm = TEST.ALT

server role = active directory domain controller

workgroup = TEST

idmap_ldb:use rfc2307 = yes

[sysvol]

path = /var/lib/samba/sysvol

read only = No

[netlogon]

path = /var/lib/samba/sysvol/test.alt/scripts

read only = No

4.1.8 Настройка Kerberos

После создания домена необходимо настроить файл /etc/krb5.conf. Он используется

для аутентификации Kerberos в домене.

Рекомендуемое содержимое /etc/krb5.conf:

includedir /etc/krb5.conf.d/

[logging]

# default = FILE:/var/log/krb5libs.log

# kdc = FILE:/var/log/krb5kdc.log

# admin_server = FILE:/var/log/kadmind.log

[libdefaults]

dns_lookup_kdc = true

dns_lookup_realm = false

ticket_lifetime = 24h

renew_lifetime = 7d

forwardable = true

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

rdns = false

default_realm = TEST.ALT

# default_ccache_name = KEYRING:persistent:%{uid}

[realms]

TEST.ALT = {

default_domain = test.alt

}

[domain_realm]

dc1 = TEST.ALT

В файле должны быть раскомментированы строка default_realm и содержимое

разделов realms и domain_realm, в них должно быть указано название домена (следует

обратить внимание на регистр символов). В строке dns_lookup_realm должно быть

установлено значение false (отключает автоматическое определение домена по DNS).

П р и м е ч а н и е . При создании домена Samba автоматически генерирует корректный файл

krb5.conf для домена в каталоге /var/lib/samba/private/. Можно просто заменить

этим файлом файл, находящийся в каталоге /etc/:

# cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

4.1.9 Проверка работоспособности домена

Просмотр общей информации о домене:

# samba-tool domain info 127.0.0.1

Forest : test.alt

Domain : test.alt

Netbios domain : TEST

DC name : dc1.test.alt

DC netbios name : DC1

Server site : Default-First-Site-Name

Client site : Default-First-Site-Name

Просмотр предоставляемых служб:

# smbclient -L localhost -U administrator

Password for [TEST\administrator]:

Sharename Type Comment

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

--------- ---- -------

sysvol Disk

netlogon Disk

IPC$ IPC IPC Service (Samba 4.21.9-alt1)

SMB1 disabled – no workgroup available

Общие ресурсы netlogon и sysvol создаются автоматически и необходимы для работы

контроллера домена.

Проверка конфигурации DNS:

1) проверка наличия nameserver 127.0.0.1 в /etc/resolv.conf:

# cat /etc/resolv.conf

Search test.alt

nameserver 127.0.0.1

# host test.alt

test.alt has address 192.168.0.132

2) проверка имён узлов:

# host -t SRV _kerberos._udp.test.alt.

_kerberos._udp.test.alt has SRV record 0 100 88 dc1.test.alt.

# host -t SRV _ldap._tcp.test.alt.

_ldap._tcp.test.alt has SRV record 0 100 389 dc1.test.alt.

# host -t A dc1.test.alt.

Dc1.test.alt has address 192.168.0.132

П р и м е ч а н и е . Точка после имени домена в команде является атрибутом команды.

Если имена не разрешаются необходимо убедиться, что:

-служба samba запущена;

-служба bind остановлена (если используется SAMBA_INTERNAL);

-/etc/resolv.conf указывает на 127.0.0.1.

Проверка Kerberos-аутентификации (имя домена должно быть в верхнем регистре):

# kinit administrator@TEST.ALT

Password for administrator@TEST.ALT:

Warning: Your password will expire in 41 days on Вт 30 сен 2025

16:51:49

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Просмотр полученного билета:

# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@TEST.ALT

Valid starting Expires Service principal

19.08.2025 17:13:17 20.08.2025 03:13:17 krbtgt/TEST.ALT@TEST.ALT

renew until 20.08.2025 17:13:14

Создание пользователя:

# samba-tool user create ivanov --given-name='Иван' \

--surname='Иванов' --mail-address='ivanov@test.alt'

New Password:

Retype Password:

User ‘ivanov’ added successfully

# samba-tool user setexpiry ivanov –noexpiry

Expiry for user ‘ivanov’ disabled.

4.2 Присоединение к домену в роли контроллера домена

Для обеспечения отказоустойчивости и балансировки нагрузки в домен можно добавить

дополнительные контроллеры домена.

Системные требования к дополнительному DC аналогичны требованиям к первому

контроллеру домена (см. Требования к аппаратному обеспечению).

П р и м е ч а н и е . В терминологии контроллеров домена нет понятия PDC (Primary Domain

Controller) или BDC (Backup Domain Controller). Все контроллеры домена равноправны. Однако

роли FSMO (Flexible Single Master Operations) выполняет только один из DC.

П р и м е ч а н и е . Функциональные уровни леса и домена на существующем DC и

дополнительном DC должны совпадать.

На дополнительном домене необходимо настроить NTP для работы в режиме сервер (см.

Настройка NTP-сервера).

Заведение дополнительного контроллера домена выполняется путём присоединения

дополнительного DC к существующему домену.

Для сервера, на котором будет разворачиваться контроллер домена, должен быть назначен

IP-адрес, который не должен изменяться, и установлено правильное имя узла.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Установить имя узла можно, выполнив команду:

# hostnamectl set-hostname dc2.test.alt

П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться

приложения. Для решения этой проблемы необходимо перезагрузить систему.

4.2.1 Присоединение к домену с помощью модуля управления сервисами

4.2.1.1 В командной строке (alteratorctl)

Добавление контроллера домена к существующему домену:

# alteratorctl services deploy service_samba_ad \

--mode=join \

--mode.join.adminLogin=Administrator \

--mode.join.serverRole=dc \

--mode.join.ipAddressDc=192.168.0.132 \

--realm=test.alt \

--netBiosName=test \

--adminPassword='Pa$$word' \

--dnsSettings.forwarders.0=8.8.8.8

где:

–--mode=join – присоединение к домену;

–--mode.join.adminLogin – логин администратора домена;

–--mode.join.serverRole – роль сервера Samba AD;

–--mode.join.ipAddressDc – IPv4-адрес контроллера домена в существующем домене;

–--adminPassword – пароль основного администратора домена (если параметр не указан,

пароль запрашивается в интерактивном режиме);

–--dnsSettings.forwarders.0 – внешний DNS-сервер (при необходимости можно

добавить несколько, указав --dnsSettings.forwarders.1 и т. д.).

После успешного присоединения запустите службу:

# alteratorctl services start service_samba_ad

Далее можно проверить результаты присоединения (см. Проверка результатов

присоединения).

4.2.1.2 В приложении «Альт сервисы»

Добавление контроллера домена к существующему домену с бэкендом

SAMBA_INTERNAL:

1) в приложении «Альт Сервисы» выберите сервис Samba AD и нажмите кнопку «Развернуть»

(Рис. 32);

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 32. Состояние сервиса Samba AD

2) убедитесь, что все необходимые ресурсы свободны, и нажмите кнопку «Далее»;

3) если выбрана опция «Предварительная диагностика», будет отображён список тестов,

выполняемых для проверки возможности развёртывания домена (Рис. 5);

4) если выбрана опция «Пост-диагностика», будет отображён список тестов, выполняемых для

проверки уже развёрнутого домена (Рис. 6);

5) выберите режим «Присоединиться к существующему домену» и укажите параметры (Рис.

33):

–«Логин администратора» – учётная запись с правами администратора домена;

–«IPv4 адрес контроллера домена» – IP-адрес основного DC;

–«Роль сервера» – контроллер домена;

–«Имя контроллера домена» – уникальное имя нового DC (например, dc2).

Остальные параметры (NetBIOS, Realm, DNS) должны совпадать с настройками основного

контроллера.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 33. Параметры для присоединения к домену

6) проверьте выбранные параметры и нажмите кнопку «Подтвердить»;

7) введите пароль администратора системы (root) для подтверждения;

8) после успешного развёртывания нажмите кнопку «Завершить».

Запустите домен, нажав кнопку «Запустить» (Рис. 34).

Рис. 34. Запуск службы

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Далее можно проверить работоспособность домена (см. Проверка работоспособности

домена).

4.2.2 Присоединение к домену с помощью samba-tool domain join

Команда присоединения к домену в роли контроллера домена:

# samba-tool domain join <dnsdomain> [DC|RODC|MEMBER] [options]

Ключевые параметры команды samba-tool domain join:

–--realm REALM_NAME – имя Kerberos-области (LDAP) и DNS-имя домена;

–--dns-backend=NAMESERVER-BACKEND – бэкенд DNS-сервера:

•SAMBA_INTERNAL – встроенный сервер имен (по умолчанию);

•BIND9_DLZ – BIND с интеграцией в AD;

•NONE – без DNS (этот DC не будет DNS-сервером);

П р и м е ч а н и е . На втором DC необходимо иметь DNS-бэкенд аналогичный первому DC.

–--option="dns forwarder=IP" – указывает внешний DNS-сервер для пересылки

(обязателен приSAMBA_INTERNAL). Форвардером может быть как вышестоящий DNS-

сервер организации, так и публичные от Google или Yandex, например:

--option="dns forwarder=8.8.8.8"

–--option='idmap_ldb:use rfc2307 = yes' – если первый DC создан с ключом --

rfc2307, этот параметр обязателен для согласованности UID/GID;

–--site=SITE – привязка контроллера домена к определенному сайту AD;

–--option="interfaces= lo eth0" --option="bind interfaces

only=yes" – привязка Samba к указанным сетевым интерфейсам (если их несколько).

Указание данной опции позволяет samba-tool зарегистрировать корректный IP-адрес при

присоединении;

–--option="ad dc functional level = LEVEL" – функциональный уровень AD.

Возможные значения: 2008_R2 (по умолчанию), 2012, 2012_R2.

П р и м е ч а н и е . При присоединении к существующему домену рекомендуется указывать

функциональный уровень не выше текущего уровня домена.

П р и м е ч а н и е . Для получения дополнительной информации о параметрах команды

samba-tool domain join можно воспользоваться командой:

# samba-tool domain join –help

4.2.2.1 Добавление DC с бэкендом SAMBA_INTERNAL

Все действия выполняются на узле dc2.test.alt (192.168.0.133), если не указано

иное.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Для выполнения операции присоединения к домену требуется пароль

администратора домена.

Предварительная настройка сервера:

1) установить пакет task-samba-dc, который установит все необходимое:

# apt-get install task-samba-dc

или компонент samba-dc:

# alteratorctl components install samba-dc

2) в /etc/resolv.conf должен быть добавлен первый DC как nameserver (enp0s3 – имя

интерфейса):

# echo "nameserver 192.168.0.132" >

/etc/net/ifaces/enp0s3/resolv.conf

# echo "search test.alt" >> /etc/net/ifaces/enp0s3/resolv.conf

# resolvconf -u

# cat /etc/resolv.conf

search test.alt

nameserver 192.168.0.132

3) остановить конфликтующие службы krb5kdc и slapd, а также bind:

# for service in smb nmb krb5kdc slapd bind; do systemctl disable

$service; systemctl stop $service; done

4) очистить базы и конфигурацию Samba (домен, если он создавался до этого, будет удалён):

# rm -f /etc/samba/smb.conf

# rm -rf /var/lib/samba

# rm -rf /var/cache/samba

# mkdir -p /var/lib/samba/sysvol

Присоединение к домену в роли контроллера домена с бэкендом SAMBA_INTERNAL:

1) на существующем контроллере домена завести IP-адрес для нового контроллера домена

(команда выполняется на узле dc1.test.alt):

# samba-tool dns add 192.168.0.132 test.alt DC2 \

A 192.168.0.133 -Uadministrator

Password for [TEST\administrator]:

Record added successfully

П р и м е ч а н и е . Указание аутентифицирующей информации (имени пользователя и

пароля) обязательно!

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . Синтаксис команды samba-tool dns add:

samba-tool dns add <server> <zone> <name> <A|AAAA|PTR|CNAME|NS|MX|SRV|

TXT> <data>

2) на новом контроллере домена установить следующие параметры в файле конфигурации

клиента Kerberos (/etc/krb5.conf):

[libdefaults]

dns_lookup_kdc = true

dns_lookup_realm = false

default_realm = TEST.ALT

3) запросить билет Kerberos администратора домена:

# kinit administrator@TEST.ALT

Password for administrator@TEST.ALT:

П р и м е ч а н и е . Имя домена должно быть указано в верхнем регистре.

Убедиться, что билет получен:

# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@TEST.ALT

Valid starting Expires Service principal

19.08.2025 17:55:32 20.08.2025 03:55:32

krbtgt/TEST.ALT@TEST.ALT

renew until 26.08.2025 17:55:29

4) ввести дополнительный сервер в домен test.alt в качестве контроллера домена:

# samba-tool domain join test.alt DC \

-Uadministrator@TEST.ALT --realm=test.alt \

--option="dns forwarder=8.8.8.8"

В случае успешного выполнения присоединения, в конце будет выведена информация о

присоединении к домену:

Joined domain TEST (SID S-1-5-21-3202529454-2619939870-177941183)

as a DC

5) после успешного ввода в домен в resolvconf необходимо сменить адрес первого DC на

собственный адрес (в примере 192.168.0.133). Для этого следует внести изменения в

файл /etc/net/ifaces/enp0s3/resolv.conf и выполнить:

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

# resolvconf -u

6) установить службу samba запускаемой по умолчанию и запустить её:

# systemctl enable –now samba

4.2.3 Проверка результатов присоединения

П р и м е ч а н и е . После присоединения к домену службе синхронизации данных может

понадобиться до 15 минут для автоматического формирования подключений для репликации.

Проверка корректности присоединения:

1) проверить работу DNS:

$ host -t A test.alt

test.alt has address 192.168.0.132

test.alt has address 192.168.0.133

В списке адресов должен отображаться IP-адрес добавленного контроллера домена.

2) проверить статус репликации между контроллерами домена. Для этого на добавленном DC

выполнить команду:

# samba-tool drs showrepl –summary -Uadministrator

Password for [TEST\administrator]:

[ALL GOOD]

3) на добавленном DC создать нового пользователя домена:

# samba-tool user add testuser –random-password

User ‘testuser’ added successfully

4) убедиться, что учетная запись созданного пользователя доступна на первом контроллере

домена:

# samba-tool user list | grep testuser

testuser

4.3 Присоединение к домену в роли участника

В данном разделе рассмотрен процесс ввода в домен узла host-01.test.alt

(192.168.0.135) с ОС «Альт Рабочая станция».

В данном разделе описывается использование демона служб безопасности системы (SSSD)

для подключения системы к домену. Особенности использования Winbind для подключения

системы к «Альт Домен» рассмотрены в руководстве администратора.

П р и м е ч а н и е . Для выполнения операции присоединения к домену требуется пароль

администратора домена.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

4.3.1 Установка пакетов

Для ввода компьютера в «Альт Домен» потребуется установить пакет task-auth-ad-

sssd и все его зависимости и пакет alterator-gpupdate для включения групповых политик:

# apt-get install task-auth-ad-sssd

4.3.2 Настройка сети

Необходимо произвести настройку сети, если она не выполнялась при установке ОС.

Настройку сети можно выполнить как в графическом интерфейсе, так и в консоли.

Для настройки сети в консоли необходимо выполнить следующие действия:

1) задать имя компьютера:

# hostnamectl set-hostname host-01.test.alt

2) в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо

создать файл /etc/net/ifaces/enp1s0/resolv.conf со следующим содержимым:

nameserver 192.168.0.132

где 192.168.0.132 – IP-адрес DNS-сервера домена.

3) указать службе resolvconf использовать DNS контроллера домена и домен для поиска. Для

этого в файле /etc/resolvconf.conf добавить/отредактировать следующие

параметры:

interface_order=’lo lo[0-9]* lo.* enp1s0’

search_domains=test.alt

где enp1s0 – интерфейс на котором доступен контроллер домена, test.alt – домен.

4) обновить DNS адреса:

# resolvconf -u

П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться

приложения. Для решения этой проблемы необходимо перезагрузить систему.

В результате выполненных действий в файле /etc/resolv.conf должны появиться

строки:

search test.alt

nameserver 192.168.0.132

Для настройки сети в ЦУС (см. Центр управления системой) необходимо выбрать пункт

«Сеть» → «Ethernet интерфейсы». В открвшемся окне задать имя компьютера, указать в поле

«DNS-серверы» DNS-сервер домена и в поле «Домены поиска» – домен для поиска (Ошибка:

источник перекрёстной ссылки не найден).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 35. Настройка сети

П р и м е ч а н и е . После изменения имени компьютера могут перестать запускаться

приложения. Для решения этой проблемы необходимо перезагрузить систему.

4.3.3 Ввод клиентской машины в домен

4.3.3.1 Ввод в домен в командной строке

Для ввода машины в домен необходимо выполнить команду:

# system-auth write ad test.alt host-01 test ‘administrator’ ‘Pa$$word’

Using short domain name – TEST

Joined ‘HOST-01’ to dns domain ‘test.alt’

Successfully registered hostname with DNS

где:

-test.alt – имя домена;

-host-01 – имя компьютера, вводимого в домен;

-test – рабочая группа;

-administrator – имя пользователя, имеющего право вводить машины в домен;

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

-Pa$$word – пароль пользователя, имеющего право вводить машины в домен.

Перезагрузить рабочую станцию для применения всех настроек.

4.3.3.2 Ввод в домен в ЦУС

Для ввода компьютера в домен в ЦУС (см. Центр управления системой) необходимо

выбрать пункт «Пользователи»→«Аутентификация».

В окне модуля «Аутентификация» следует выбрать пункт «Домен Active Directory»,

заполнить поля («Домен», «Рабочая группа», «Имя компьютера»), выбрать пункт «SSSD (в

единственном домене)» и нажать кнопку «Применить» (Рис. 36).

Рис. 36. Ввод в домен в ЦУС

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить

машины в домен, и его пароль, установить отметку в поле «Включить групповые политики» и

нажать кнопку «ОК» (Рис. 37)

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 37. Параметры учетной записи с правами

подключения к домену

При успешном подключении к домену, появится информационное окно с соответствующей

информацией (Рис. 38).

Рис. 38. Успешное

подключение к домену

Перезагрузить рабочую станцию для применения всех настроек.

4.3.4 Проверка подключения к домену

Для проверки возможности поиска доменных пользователей отобразить сведения о

пользователе домена (ivanov – пользователь в домене):

# getent passwd ivanov

ivanov:*:1187401105:1187400513:Иван

Иванов:/home/TEST.ALT/ivanov:/bin/bash

Проверить возможность получения информации о домене:

# net ads info

LDAP server: 192.168.0.132

LDAP server name: dc1.test.alt

Workgroup: TEST

Realm: TEST.ALT

Bind Path: dc=TEST,dc=ALT

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

LDAP port: 389

Server time: Ср, 28 мая 2025 14:20:38 MSK

KDC server: 192.168.0.132

Server time offset: 0

Last machine account password change: Вт, 27 мая 2025 10:30:52 MSK

Проверить, действителен ли пароль учетной записи компьютера:

# net ads testjoin

Join is OK

П р и м е ч а н и е . Список пользователей можно посмотреть на сервере командой:

# samba-tool user list

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

5 УСТАНОВКА АДМИНИСТРАТИВНЫХ ИНСТРУМЕНТОВ

Раздел содержит инструкции по установке административных инструментов.

Административные инструменты обычно устанавливаются на рабочей станции, введенной в

домен, но могут быть установлены и на контроллере домена если на нем установлена графическая

среда.

5.1 Установка административных шаблонов

Для задания конфигурации необходимо установить административные шаблоны (ADMX-

файлы). Для этого следует:

1) установить пакеты политик и утилиту admx-msi-setup:

# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-

browser admx-msi-setup admx-thunderbird

2) запустить утилиту admx-msi-setup, которая загрузит и установит ADMX-файлы от

Microsoft:

# admx-msi-setup

3) после установки политики будут находиться в каталоге

/usr/share/PolicyDefinitions. Скопировать локальные ADMX-файлы в сетевой

каталог sysvol (/var/lib/samba/sysvol/<DOMAIN>/Policies/), выполнив команду:

# samba-tool gpo admxload -U Administrator

5.2 Модуль удаленного управления базой данных конфигурации (ADMC)

Установить пакет admc:

# apt-get install admc

Запуск ADMC осуществляется из меню запуска приложений: пункт

«Системные»→«ADMC» или из командной строки (команда admc).

Интерфейс ADMC представлен на Рис. 39.

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 39. Интерфейс ADMC

Если программа запущена без предварительного получения билета Kerberos, откроется

диалоговое окно аутентификации (Рис. 40).

Рис. 40. Окно «Аутентификация Kerberos»

П р и м е ч а н и е . Получить ключ Kerberos для использования ADMC можно, выполнив

команду:

$ kinit administrator@TEST.ALT

Password for administrator@TEST.ALT:

5.3 Модуль редактирования настроек клиентской конфигурации (GPUI)

Установить пакет gpui:

# apt-get install gpui

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

П р и м е ч а н и е . В настоящее время GPUI не умеет читать файлы ADMX с контроллера

домена. Для корректной работы необходимо установить пакеты admx и файлы ADMX от

Microsoft:

# apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-

browser admx-thunderbird admx-msi-setup

# admx-msi-setup

Для использования модуля необходимо предварительно получить ключ Kerberos для

администратора домена:

# kinit administrator

Password for administrator@TEST.ALT:

Интерфейс GPUI представлен на Рис. 41.

Рис. 41. Окно GPUI

По умолчанию GPUI не редактирует никаких политик. Для того чтобы редактировать

политику, GPUI нужно запустить либо из ADMC, выбрав в контекстном меню объекта групповой

политики пункт «Изменить…» (Рис. 42), либо с указанием каталога групповой политики:

$ gpui-main -p “smb://dc1.test.alt/SysVol/test.alt/Policies/{XXXXXXXX-

XXXX-XXXX-XXXX-XXXXXXXXXXXXXX}”

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Ключ -p позволяет указать путь к шаблону групповой политики, который нужно

редактировать, dc1.test.alt – имя контроллера домена, а «{XXXXXXXX-XXXX-XXXX-XXXX-

XXXXXXXXXXXXXX}» – GUID шаблона групповой политики для редактирования. Можно

указывать как каталоги smb, так и локальные каталоги.

П р и м е ч а н и е . GUID шаблона групповой политики можно узнать в ADMC (это дочерний

контейнер Policies контейнера System), в настройках должен быть отмечен пункт

«Дополнительные возможности».

Пример запуска GPUI для редактирования политики:

$ gpui-main -p “smb://dc.test.alt/SysVol/test.alt/Policies/{2E80AFBE-

BBDE-408B-B7E8-AF79E02839D6}”

Рис. 42. Запуск GPUI из ADMC

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

6ПРИЛОЖЕНИЯ

6.1 Центр управления системой

Центр управления системой (ЦУС, альтератор) представляет собой удобный интерфейс для

выполнения наиболее востребованных административных задач: добавления и удаления

пользователей, настройки сетевых подключений, просмотра информации о состоянии системы и

т. п.

ЦУС в «Альт Домен» представлен в трёх вариантах:

1) консольный интерфейс (alteratorctl);

2) графический интерфейс;

3) веб-интерфейс, позволяющий управлять сервером с любого компьютера сети.

Графический и веб-интерфейс ЦУС состоит из модулей. Каждый модуль отвечает за

настройку определённой функции или свойства системы.

Консольный интерфейс alteratorctl включает модули: компоненты, редакции,

информация о системе, пакеты, диагностика, менеджер системных интерфейсов.

Если «Альт Домен» установлен с графическим окружением (GNOME), доступны все три

интерфейса. В минимальной установке без графики доступен только консольный интерфейс

alteratorctl. Веб-интерфейс может быть установлен дополнительно через компоненты:

alteratorctl components.

Запустить ЦУС в графической среде можно следующими способами:

1) в графической среде GNOME: «Меню GNOME» → «Настройки» → «Центр управления

системой»;

2) нажатием кнопки с соответствующим значком на панели задач;

3) из командной строки: командой acc.

По умолчанию запускается «Alterator на D-Bus» (Рис. 43) – альтернативная реализация

Alterator, использующая взаимодействие модулей через шину D-Bus.

Для запуска ЦУС в «Альт Домен» достаточно прав обычного пользователя. Некоторые

модули (например, «О системе») работают без повышенных привилегий. При доступе к модулям,

требующим административных прав, будет запрошен пароль администратора (root) (Рис. 44).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 43. Центр управления системой

Рис. 44. Запрос пароля администратора

П р и м е ч а н и е . В отдельных случаях пароль администратора потребуется ввести для

выполнения конкретных действий (например, установки или удаления пакета).

При необходимости можно переключиться на предыдущую версию ЦУС («Alterator

legacy»), нажав кнопку «Переключиться на старую версию».

Для запуска «Alterator legacy» будет запрошен пароль администратора системы (root).

После успешного входа будет запущен «Alterator legacy» (Рис. 45).

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 45. Alterator legacy

П р и м е ч а н и е . Запустить «Alterator legacy» можно вручную:

$ acc-legacy

Веб-интерфейс ЦУС доступен, если при установке системы была выбрана одна из групп

приложений:

–«Поддержка графической подсистемы Альт Сервер (GNOME)»

–«Web-интерфейс – Альтератор (legacy)»

Если веб-интерфейс не установлен, его можно добавить, установив компонент alterator-

legacy-web (или пакет alterator-fbi).

Перед установкой можно проверить статус компонента:

$ alteratorctl components status alterator-legacy-web

Компонент: Web-интерфейс - Альтератор (legacy)

Категория: Альтератор (legacy)

Статус: не установлен

Список пакетов, входящих в компонент:

[ ] alterator-fbi

Установка компонента:

# alteratorctl components install alterator-legacy-web

После установки компонента необходимо запустить веб-службу сервера ЦУС:

# systemctl enable --now ahttpd.service

# systemctl enable –now alteratord

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Работа с ЦУС может происходить из любого веб-браузера. Для начала работы необходимо

перейти по адресу https://ip-адрес:8080/.

При запуске центра управления системой необходимо ввести в соответствующие поля имя

пользователя (root) и пароль пользователя (Рис. 46).

Рис. 46. Вход в систему

После входа будут доступны все возможности ЦУС на той машине, к которой было

произведено подключение через веб-интерфейс (Рис. 47).

Список установленных пакетов, относящихся к ЦУС, можно посмотреть, выполнив

команду:

$ rpm -qa | grep alterator*

Прочие пакеты для ЦУС можно найти, выполнив команду:

$ apt-cache search alterator*

Модули можно дополнительно загружать и удалять как обычные программы:

# apt-get install alterator-net-openvpn

# apt-get remove alterator-net-openvpn

После установки модуля с веб-интерфейсом требуется перезапустить службу ahttpd:

# systemctl restart ahttpd

ООО «Базальт СПО» Альт Домен.

Инструкция по установке

Рис. 47. Веб-интерфейс центра управления системой