Alt linux server 9 настройка домена

Обновлено: 02.07.2024

Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.

Для примера будем использовать:

1. Переключаемся под рута


2. Устанавливаем необходимые пакеты


3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция


4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:


5. Пробуем получить Kerberos ticket от имени администратора домена:


Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:


Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:


6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:


Описание параметров конфигфайла sssd можно посмотреть тут

Устанавливаем права доступа для файла sssd.conf:


Перезапускаем SSSD service


7. Редактируем настройки PAM

Плохое решение:

редактируем файл /etc/pam.d/common-session, после строки


Хорошее решение:

переопределить параметры через системные настройки PAM, вызываем


и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.

Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.

P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его


добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):

P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:

1. Устанавливаем нужные пакеты:

2. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

3. Проверяем, что наш домен виден в сети:

4. Вводим машину в домен:

5. Редактируем настройки PAM

Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.

Директор Иван Иваныч хороший директор, и через какое-то время дела фирмы пошли в гору, штат сотрудников стал расширяться, в фирме образовалось две структуры, бухгалтерских отдел и финансовый отдел. А сотрудников стало уже почти 50 человек, а через год их может стать около сотни. Посовещавшись, вы с директором решили внедрить домен, при такой сети это позволить гораздо успешнее и проще управлять сетью. Так же будет отныне решено использовать сервер dhcp, что в такой сети будет являться хорошим решением, а также позволить пользователям ноутбуков не беспокоиться, когда их настройки были перенастроены при подключении к сетям ваших деловых партнеров.

1. Особенности данного примера

Особенности данного примера состоят в следующем:

- в качестве серверной ОС используется Alt Linux 5 KDE (desktop);

- установка на Alt Linux 5 KDE (desktop) новой Samba-3.4.8., которая позволит ввести в домен компьютеры под управлением Window 7 (идущая с Alt Linux 5 KDE (desktop) Samba-3.0.37. не позволит этого сделать);

- внедрение сервера dhcp, что является хорошим решением в большой сети, плюс удобство для мобильных пользователей;

2. Начальные условия

- имя домена firma, имя сервера altserver, NetBIOS имя aserver, его ip будет статическим 192.168.1.7 и 192.168.2.7;

- будут две подсети, бухгалтерия 192.168.1. , экономисты 192.168.2.;

- использование dhcp и wins, dns пока не трогаем;

- всем клиентам будет назначен динамический ip-адрес, сетевой принтер будет получать ip-адрес согласно своему mac-адресу;

- каждому пользователю будет создан и доступен персональный общий ресурс, а также будут созданы два ресурса для каждого отдела (бухгалтеры и финансисты);

- пользователь director будет владельцем всех ресурсов.

3. Установка Samba-3.4.8.

Предварительно делаем обновление системы, для этого подключаем нужный репозиторий и выполняем команду:

Без обновления пакет Samba-3.4.8. имеет шансы при установке выдавать ошибки и не установиться.

Пока отложим дальнейшее конфигурирование сервера Samba, и займемся сервером dhcp.

4. Настройка сервера dhcp

Выполните команду hostname, откликом должно быть:

Так как ваш сервер будет обслуживать два сегмента сети (это опционально! для примера), пользователи могут захотеть получить доступ из одного сегмента в другой, поэтому будет лучше включить маршрутизацию, для этого в файле /etc/net/sysctl.conf исправьте значение параметра

Настройка сервера dhcp в альтлинукс осуществляется в файле /etc/dhcp/dhcpd.conf. После установки пакета dhcp-server вы найдете в этой директории файл dhcpd.conf.sample. Давайте исправим этот файл под наши задачи.

Для наших задач сервер должен:

- выдавать адреса для двух подсетей, причем диапазон будет находиться в пределах .31-.230, практика показывает, что полезно бывает оставить место под статические адреса (сканеры, принтеры, управляемые свичи и т.п.);

- также предположим, что у нас есть сетевой принтер со своей сетевой картой, и мы укажем серверу dhcp всегда назначать ему один и тот же адрес, делается это по привязке к mac-адресу сетевой карты. Mac-адрес вы можете узнать в документации к принтеру, либо зайдя через веб-интерфейс в настройки принтера, как правило, сетевые принтеры имеют такую функцию, в этом примере такой принтер будет называться hp1320n и ему будет назначаться адрес 192.168.1.52.

- точно также предположим, что в подсети финансистов компьютеру Иван Иваныча будет назначаться адрес динамически, но всегда один и тот же - 192.168.2.40.

Перейдите в папку /etc/dhcp/ и получите файл dhcpd.conf:


Теперь приведем файл dhcpd.conf к такому состоянию:

subnet 192.168.2.0 netmask 255.255.255.0 option routers 192.168.2.7;
option subnet-mask 255.255.255.0;
range dynamic-bootp 192.168.2.31 192.168.2.230;

host win7boss
hardware ethernet 09:10:55:57:58:23;
fixed-address 192.168.1.40;
>
>

5. Заводим учетные записи пользователей и групп будущего домена

именно там будет храниться база данных паролей, учтите, это нужно лишь для этого пакета, этот путь задается при сборке, и Василий Терешко задал этот путь там, как правило база данных хранится в папке /etc/samba (однако не исключено, что этот путь будет во всех новых сборках).

Теперь уже непосредственно добавляем пользователя root. Это пароль администратора домена Windows. Никогда не удаляйте эту учетную запись с ее паролем из бэкенда паролей после того, как будут инициализированы группы домена Windows.


Проверьте, что в системе есть файл присоединения имен пользователей (username map file) (в моем альте он был по умолчанию), который позволяет учетной записи root быть ассоциированным с учетной записью administrator из Windows среды, следующего содержания:

Теперь создадим нужные нам группы UNIX и присоединим их к группам windows, тоже сделаем для общеизвестных групп домена Microsoft Windows.

Примечание: под словом присоединим подразумевается to map, и в слэнге это звучить как "примапим", мапить группы, мапить пользователя.

Нужные нам группы это группа пользователей бухгалтерии buhgroup и группа пользователей финансового отдела fingroup.

Сделаем скрипт, который облегчит нам данную задачу, создадим файл:


Примечание: если вам что-то не понравилось, удалить присоединение можно таким скриптом:
Sucessfully removed Domain Admins from the mapping db
Sucessfully removed Domain Users from the mapping db
Sucessfully removed Domain Guests from the mapping db
Sucessfully removed Buhg staff from the mapping db
Sucessfully removed Fin staff from the mapping db

А команда net groupmap list не должна будет что-либо показать.

Теперь создадим наших пользователей. Вот наши сотрудники:

Имя сотрудника
Учетная запись
Пароль
Имя личной папки
Каталог на файл-сервере
Рабочая станция
Иван Иванович
director
dirIvan1
director
/firmafiles
win7boss
Петр Авдеич
finansist
finPetr2
finansist
/firmafiles/finansist
winXPfin
Зоя Федоровна
buhgalter
buhZoya3
buhgalter
/firmafiles/buhgalter
winXPbuh
Василий Николаевич
glfinansist
glfinVas22
glfinansist
/firmafiles/finansist
win7glfin
Елена Викторовна
glbuhgalter
glbuhEl33
glbuhgalter
/firmafiles/buhgalter
win7glbuh

Согласно таблице добавим пользователей:

Соответственно сотрудников бухгалтерии помещаем в группу buhgroup, сотрудников финансового отдела в группу fingroup.

Иван Иваныча добавляем командой

Тем самым не включая его ни в какую группу, что впрочем не помешает ему просматривать все папки , так как он будет владельцем всех общих папок.

В итоге в базе данных Samba у меня такие пользователи:

6. Второй администратор домена

Чтобы еще какой-то сотрудник мог добавлять компьютеры в домен, он должен входить в группу root. Создадим учетную запись такого пользователя (odmin) обычным путем, а затем поместим его в группу root.

Заметьте Primary Group SID: S-1-5-21-. -512, по виндовым понятиям это SID группы Domain Admins. Данный пользователь будет являться администратором домена, но не администратором вашего сервера.

7. Создание общих ресурсов

Создадим общие ресурсы для групп, для этого создадим скрипт /etc/samba/addfolder.sh такого содержания:


В результате получили будущие общие папки, выставили на них владельцев и разрешения:

8. Конфигурирование сервера Samba

Создайте файл smb.conf такого содержания:

[global]
workgroup = FIRMA
netbios name = ASERVER
server string = Server of FIRMA
passwd chat = *New*Password* %n\n*Re-enter*new*password* %n\n *Password*changed*
username map = /etc/samba/smbusers
syslog = 0
log file = /var/log/samba/log.%U.%m.%G.%I
max log size = 50
name resolve order = wins bcast hosts
interfaces = 192.168.1.7/24, 192.168.2.7/24, 127.0.0.1/24
bind interfaces only = Yes
time server = yes

domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
wins support = Yes

[homes]
comment = Домашняя директория
valid users = %S
read only = No
browseable = No
browsable = No

[netlogon]
comment = Network Logon Service
path = /firmafiles/%U
valid users = %S
read only = No

[buhgroup]
comment = Файлы бухгалтерии
path = /firmafiles/buhfiles
valid users = %G
read only = No

[fingroup]
comment = Файлы фин.отдела
path = /firmafiles/finfiles
valid users = %G
read only = No

Проверьте конфигурационный файл smb.conf утилитой testparm на вопрос возможных ошибок, если они обнаружаться, исправьте.


Теперь назначим серверам dhcp и samba запускаться при запуске/перезагрузке системы и запустим их:

9. введение в домен клиентов Windows XP и Windows 7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\LanmanWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000

И запустите (не забываем про администраторские права), нужные сведения будут добавлены.

Примечание: соответствие имен компьютеров и выданных им IP адресов можно увидеть в файле /var/lib/dhcp/dhcpd.leases

Основные достигнутые результаты:

- При входе пользователя подключается диск X, который ведет в домашнюю папку этого пользователя на сервере ( заметьте, тут самое время внедрять квотирование), также на сервере доступны общие папки, но в зависимости от принадлежности пользователя к бухгалтерам или финансистам (что и правильно);

- Пинг по имени идет в пределах одной подсети (что также правильно, так как сервер WINS не должен заниматься разрешением в других подсетях);

- Пинг по IP идет как в пределах одной подсети, так и из одной в другую, на общие ресурсы в другой подсети заходим по IP (то есть маршрутизация работает);

- пароли Samba и linux разные вещи, пользователи могут менять их как вздумается, на сервере у линукс-пользователей они остаются какие были (во всяком случае мне так показалось);

Из нерешенного:

Общие папки на Windows-компьютерах сети расшариваются, но доступ назначается либо индивидуально, по имени пользователя, либо всей группе Domain USERS, при назначении прав группам buhgroup и fingroup пользователи, входящие в эти группы, доступ в общие папки не имели. Причину этого не выяснил. А в остальном прекрасный вариант для небольшой сети, в которой нужно централизованное управление и не нужен LDAP.


В примере много экспериментального, поэтому возможно что-то сделано не так/не красиво/не тем путем, принимаются замечания и критика, однако у меня это работало .

Альт Рабочая станция — дистрибутив на базе ядра Linux, включающий в себя операционную систему и набор приложений для полноценной работы, поддерживающий различное дополнительное оборудование. Альт Рабочая станция предназначена для установки как на физические, так и на виртуальные машины. Дистрибутив выпускается в нескольких вариантах исполнения: для x86 (Intel 32- и 64-битных), ARM64 (mini-ITX на отечественном процессоре «Байкал-М», Huawei Kunpeng Desktop, NVIDIA Jetson Nano, Raspberry Pi 3 и Pi 4), e2k и e2kv4 («Эльбрус»), mipsel («Таволга Терминал»), armh.

Альт Рабочая станция представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

Дистрибутив Альт Рабочая станция включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1292.

Дистрибутив может использоваться в инфраструктуре Active Directory (аутентификация в домене, доступ к файловым ресурсам и ресурсам печати) и гетерогенной сети под управлением Альт Сервер. Реализована поддержка групповых политик для интеграции в инфраструктуру Active Directory (для архитектуры i586/x86_64).

Систему можно использовать для решения широкого круга задач:

Основным языком интерфейса Альт Рабочая станция является русский, также можно выбрать дополнительно другие языки.

Системные требования для установки Альт Рабочая станция (версия для x86):

  • архитектура: рекомендуется х86_64 (64 бита), допускается х86 (32 бита);
  • оперативная память: от 512 МБ, рекомендуется 4+ ГБ;
  • жёсткий диск: от 16 ГБ, рекомендуется 40+ ГБ;
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное.
  • архитектура: х86_64 (64 бита);
  • оперативная память: от 1 ГБ, рекомендуется 4+ ГБ;
  • жёсткий диск: от 16 ГБ, рекомендуется 40+ ГБ;
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное.

Системные требования для установки Альт Рабочая станция на платформе Эльбрус:

  • архитектура: рекомендуется v4 («Эльбрус-8С/1С+»), допускается v3 («Эльбрус-4С»);
  • оперативная память: штатная комплектация достаточна;
  • жёсткий диск: штатная комплектация достаточна (рекомендуется SSD от 32 ГБ);
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное (при доступности свободных драйверов).

Альт Сервер

Альт Сервер — серверный дистрибутив на базе ядра Linux с широкой функциональностью, позволяющий поддерживать корпоративную инфраструктуру, а также различное дополнительное оборудование. Дистрибутив выпускается в нескольких вариантах исполнения: для x86 (64-битных), AArch64 (Huawei Kunpeng, ThunderX и другие), ppc64le (YADRO, Power 8 и 9, OpenPower), e2k и e2kv4 («Эльбрус»).

Альт Сервер представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

Дистрибутив Альт Сервер включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1541.

Система управления сервером имеет более 100 модулей и позволяет работать через графический или веб-интерфейс. Также дистрибутив может использоваться в качестве рабочей станции разработчика.

Альт Cервер предоставляет 3 вида контроллеров домена:

  • Samba-DC (контроллер домена Active Directory). Рекомендуется для аутентификации рабочих станций под управлением Windows и Linux (гетерогенная сеть). Реализована поддержка групповых политик для интеграции в инфраструктуру Active Directory.
  • FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux. Возможна настройка групповых политик для пользователей.
  • ALT-домен (основан на OpenLDAP и MIT Kerberos). Рекомендуется для аутентификации рабочих станций под управлением Linux.
  • серверы баз данных PostgreSQL, MariaDB;
  • прокси-сервер Squid;
  • web-сервер Apache;
  • почтовые сервера Postfix, Dovecot;
  • сервер антиспама Spamassassin;
  • система мониторинга Zabbix;
  • сервер сетевой загрузки;
  • средства для создания зеркала репозитория для централизованного обновления рабочих мест под управлением Альт Рабочая станция.
  • сервер групповой работы с функциональностью Microsoft Exchange;
  • инструмент для установки и загрузки операционных систем по сети.
  • Системные требования для установки Альт Сервер на платформе x86:
  • оперативная память: от 1 Гб, рекомендуется(1) 8+ Гб;
  • жёсткий диск: от 32 Гб, рекомендуется(2) 200+ Гб;
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное, возможно использование без монитора.

Системные требования для установки Альт Сервер на платформе Эльбрус

  • архитектура: рекомендуется v4 («Эльбрус-8С»), допускается v3 («Эльбрус-4С»);
  • оперативная память: штатная комплектация достаточна;
  • жёсткий диск: штатная комплектация достаточна (рекомендуется SSD от 32 Гб);
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное (при доступности свободных драйверов).

Альт Образование

Альт Образование — дистрибутив, ориентированный на использование в образовательных учреждениях.

Дистрибутив включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1912.

Альт Образование представляет собой совокупность интегрированных программных продуктов, созданных на основе операционной системы Linux. Альт Образование выпускается для следующих аппаратных платформ: x86 (Intel 32/64 бит), AArch64 («Байкал-М», Huawei Kunpeng Desktop, Raspberry Pi 4 и другие), e2k («Эльбрус»).

Альт Образование полностью соответствует Распоряжению Правительства РФ от 18 октября 2007 г. 1447-р.

Основные компоненты и их версии

  • ядра Linux 5.4.51 и 5.7.8;
  • языки программирования Perl 5.28, Python 2.7 и 3.7, PHP 7.3, Free Pascal 2.5, java 1.8;
  • GCC 8.4;
  • рабочие среды XFCE 4.14, KDE 5.19;
  • офисный пакет LibreOffice-still 6.3.6;
  • веб-браузер Chromium 83.0;
  • среда запуска унаследованных приложений на Win32 API — WINE 5.0.2;
  • редактор растровой графики GIMP 2.10;
  • векторный редактор Inkscape 1.0;
  • издательская система Scribus 1.5.5;
  • 3D-редактор Blender 2.82;
  • редактор звука audacity 2.3;
  • система компьютерной алгебры wxMaxima 20.02;
  • система численных вычислений scilab 6.0;
  • система решения численных инженерных задач octave 5.2;
  • система управления дистанционным обучением Moodle 3.8.3;
  • wiki-движок Mediawiki 1.34;
  • средство для совместного хранения и обработки документов nextcloud 16.0, nextcloud-client 2.5;
  • подготовка для запуска в среде виртуализации: virtualbox-guest-additions 6.1.8;
  • сервер печати: cups 2.3.1;
  • интеграция с доменом AD: samba 4.11.9;
  • интеграция с доменом FreeIPA: freeipa-client 4.8.6;
  • пакетный менеджер rpm 4.13.
  • Минимальный размер ОЗУ: 512 Мб
  • Рекомендуемый размер ОЗУ: от 1 Гб
  • Место на жестком диске: от 10 до 30 Гб
  • Интеграция рабочих мест учащихся и преподавателя.
  • Возможность централизованного управления учебным классом.
  • Возможность сетевой загрузки бездисковых клиентов с сохранением данных на сервере позволяет не привязывать профиль учащегося к конкретной рабочей станции в ходе учебного процесса.
  • Поддержка гостевых сеансов.
  • Возможность работы в гетерогенной сети, а также в сети с контроллерами домена любого типа (Active Directory, Samba-DC или LDAP/Kerberos), доступа к совместным файловым ресурсам и принтерам.
  • Возможность установки с единого носителя не только пользовательских, но и серверных приложений, а также специализированных программ для учителя.
  • Необходимый комплект образовательных программ выбирается на этапе установки дистрибутива.
  • Наличие графических средств настройки системы, включая аутентификацию, синхронизацию времени, управление пользователями и группами, просмотр системных журналов, настройку принтеров и других периферийных устройств.
  • Широкий выбор различных программ для работы в сети Интернет, с документами, со сложной графикой и анимацией, для обработки звука и видео, разработки программного обеспечения, для образования.
  • Обеспечена совместимость с образовательными веб-сервисами, а также отечественным ПО.
  • Основным языком интерфейса Альт Образование является русский, дополнительно можно выбрать другие языки.

Альт Сервер Виртуализации

Альт Сервер Виртуализации — серверный дистрибутив на базе ядра Linux для предоставления функций виртуализации в корпоративной инфраструктуре.

Дистрибутив Альт Сервер виртуализации включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Регистрационный номер ПО: 6487.

Дистрибутив выпускается в нескольких вариантах исполнения:

  • x86_64 (Intel, AMD);
  • AArch64 (ARMv8, в т.ч. Huawei Kunpeng, ThunderX и др.);
  • ppc64le (YADRO, Power 8, Power 9, OpenPower).
  • вычислений (ЦПУ и память);
  • сети;
  • хранения данных.

Управление системой виртуализации возможно через командный интерфейс, веб-интерфейс, с использованием API.

Альт Сервер Виртуализации представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

Варианты использования дистрибутива

  • Базовый гипервизор. Реализован на базе KVM, включает в себя утилиту запуска виртуальных машин qemu и унифицированный интерфейс управления виртуальным окружением libvirt. Для работы с гипервизором используются интерфейс командной строки virsh или графическое приложение virt-manager на рабочей станции администратора.
  • Кластер серверов виртуализации на основе проекта PVE (для x86_64 и aarch64). Устанавливается на группу серверов. Предназначен для управления виртуальным окружением KVM и контейнерами LXC, виртуальным сетевым окружением и хранилищем данных. Для управления используется интерфейс командной строки, а также веб-интерфейс. Возможна интеграция с корпоративными системами аутентификации (AD, LDAP и другие на основе PAM).
  • Облачная виртуализация уровня предприятия на основе проекта OpenNebula. Для использования необходим 1 или несколько серверов управления (могут быть виртуальными) и группа серверов для запуска виртуальных окружений KVM или контейнеров LXC. Возможна интеграция с корпоративными системами аутентификации. Позволяет создавать шаблоны виртуализации и на их основе разворачивать новые виртуальные машины с нужным набором свойств. Служит для создания корпоративного облачного ресурса IaaS (виртуальная инфраструктура как сервис), объемы которого при необходимости наращиваются за счет интеграции со сторонними публичными облаками.
  • Контейнерная виртуализация. К использования предлагаются Docker, Podman или LXC/LXD. Для построения кластера и управления контейнерами возможно использование Kubernetes.
  • ядро Linux: 5.4.68;
  • glibc 2.27;
  • openssl 1.1.1g;
  • qemu 4.2.1;
  • libivrt 5.10;
  • PVE 6.2;
  • OpenNebula 5.10;
  • Docker 19.03;
  • Podman 2.0.6;
  • LXC 4.0;
  • LXD 4.0;
  • LXD3.0 3.0;
  • sssd 2.2.

Альт Сервер Виртуализации предоставляет набор дополнительных служб, востребованных в инфраструктуре виртуализации любой сложности и архитектуры:

  • freeipa-client 4.8;
  • сервер сетевой файловой системы NFS;
  • распределѐнная сетевая файловая система Ceph;
  • распределѐнная сетевая файловая система GlusterFS;
  • поддержка iSCSI как в качестве клиента, так и сервера;
  • сетевые службы DNS и DHCP;
  • виртуальный сетевой коммутатор Open vSwitch;
  • служба динамической маршрутизации bird с поддержкой протоколов BGP, OSPF и др.;
  • сетевой балансировщик нагрузки HAProxy, keepalived;
  • веб-серверы Apache и Nginx;
  • mariadb 10.

Альт 8 СП Сервер и рабочая станция

Альт 8 СП — дистрибутив операционной системы для серверов и рабочих станций со встроенными программными средствами защиты информации, сертифицированный ФСТЭК России.

  • Intel i586/x86_64;
  • Эльбрус-4С/8С;
  • AArch64 (ARMv8),
  • armh (ARMv7);
  • ppc64le (POWER).
  • Альт 8 СП Сервер;
  • Альт 8 СП Рабочая станция.

Настоящий сертификат удостоверяет, что операционная система Альт 8 СП является операционной системой типа «А», соответствует требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа А четвёртого класса защиты. ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017).

  • для обеспечения выполнения программ в защищенной среде;
  • для работы со средствами виртуализации (поддерживаются на процессорах архитектур Intel x86_64, AArch64 (ARMv8), ppc64le;
  • для применения в государственных информационных системах 1 класса защищенности;
  • для применения в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности;
  • для применения в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных;
  • для применения в информационных системах общего пользования II класса.

Дистрибутив Альт 8 СП включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 4305.

Основным языком интерфейса Альт 8 СП является русский, также можно выбрать дополнительно другие языки.

Альт 8 СП Сервер

  • ядро Linux 5.4;
  • файловый сервер Samba 4.11;
  • система управления пользователями FreeIPA (только для архитектуры x86_64);
  • почтовый сервер Postfix 2.11;
  • почтовый сервер Dovecot 2.3;
  • сервер антиспама Spamassassin 3.4;
  • web-сервер Apache2 2.4;
  • прокси-сервер Squid 4.13;
  • система мониторинга Zabbix 4.4;
  • сервер печати CUPS 2.3.

В составе дистрибутива «Альт 8 СП» сертифицирован комплекс программных компонент для построения виртуальной инфраструктуры (поддерживаются на процессорах архитектур Intel x86_64, AArch64 (ARMv8), ppc64le):

  • гипервизор KVM;
  • виртуализационная платформа QEMU;
  • система виртуализации окружения LXC;
  • набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt);
  • средства контейнерной виртуализации (docker, podman);
  • средства для построения кластера и управления виртуальными контейнерами (Kubernetes).
  • архитектуры: i586/x86_64, Эльбрус-4С/8С, AArch64 (ARMv8), ppc64le (POWER);
  • оперативная память: от 1 Гбайт (рекомендуется 8+ Гбайт);
  • жесткий диск: от 30 Гбайт (рекомендуется 200+ Гбайт);
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное, возможно использование без монитора.
  • Работа на нескольких аппаратных архитектурах.
  • Поддержка средств виртуализации для Intel x86_64, AArch64 (ARMv8), ppc64le.
  • Поддержка широкого спектра периферийного оборудования.
  • Набор серверных служб для корпоративной инфраструктуры.
  • Поддержка групповых политик для интеграции в инфраструктуру Active Directory.
  • Модульная платформа конфигурирования с графическим и веб-интерфейсом (Alterator).
  • Возможность удаленного управления компьютерами по сети по протоколу SSH и через веб-интерфейс.
  • Возможность развернуть сервер сетевой установки и сервер обновлений с помощью web-интерфейса.
  • Совместимость с отечественным программным обеспечением.
  • Оперативный выпуск обновлений по безопасности.

Возможна совместная поставка комплектов вариантов исполнения одной архитектуры. Варианты поставки операционной системы Альт 8 СП Сервер приведены ниже:

  • 64 бит
  • 32 бит
  • Эльбрус-4С
  • Эльбрус-8С
  • AArch64(ARMv8)
  • ppc64le (POWER)

Рабочая станция / Сервер

  • 64 бит
  • 32 бит
  • Эльбрус-4С
  • Эльбрус-8С
  • AArch64(ARMv8)

В поставку входят:

  • Дистрибутив «Операционная система Альт 8 СП» (компакт-диск DVD-R).
  • Комплект эксплуатационных документов (компакт-диск DVD-R) в соответствии с ведомостью.
  • Формуляр.
  • Копия действующего сертификата.

Альт 8 СП Рабочая станция

  • ядро Linux 5.4;
  • рабочая среда MATE 1.22;
  • офисный пакет LibreOffice 6.4.7;
  • веб-браузер Firefox ESR 68;
  • почтовый клиент Thunderbird 68.9;
  • графические редакторы GIMP 2.10 и Inkscape 1.0;
  • приложения для сканирования и распознавания текста gImageReader 3.3;
  • приложения для работы с мультимедийными объектами Audacity 2.3, медиаплеер VLC 3.0.
  • архитектуры: i586/x86_64, Эльбрус-4С/8С, AArch64 (ARMv8), armh (ARMv7);
  • оперативная память: от 512 Мбайт (рекомендуется 4+ Гбайт);
  • жесткий диск: от 30 Гбайт (рекомендуется 40+ Гбайт);
  • сеть: рекомендуется порт Ethernet;
  • периферийное оборудование: стандартное.
  • Работа на нескольких аппаратных архитектурах.
  • Поддержка широкого спектра периферийного оборудования.
  • Наличие графических средств настройки системы (Alterator).
  • Поддержка групповых политик для интеграции в инфраструктуру Active Directory.
  • Включен набор предустановленного прикладного ПО.
  • Дополнительные компоненты для совместимости с отечественным программным обеспечением.
  • Оперативный выпуск обновлений по безопасности.

Возможна совместная поставка комплектов вариантов исполнения одной архитектуры. Варианты поставки операционной системы Альт 8 СП Сервер приведены ниже:

Имеем:

  • сеть с тремя подсетями:10.0.0.0/24, 10.0.10.0/24, 10.0.20.0/24.
  • выход во внешний мир (есть спул адресов 192.168.100.16/28, т.е. у нас 14 внешних адресов).
  • компьютер с двумя сетевыми картами.

Хотим: получить полностью функциональный Интернет-сервер со следующими возможностями (см содержание):

Установка ОС, настройка маршрутов

Раздел Объём
swap 2000 Mb
/ остаток

Можно для надёжности создать RAID массив. Мы рассмотрим простой случай - софтверный RAID1 (зеркало). Софтверный потому что далеко не всегда удаётся найти драйвера для raid-контролллера, а если и находится, то ещё реже удаётся найти второй такой контроллер в случае выхода первого из строя, а это значит, что всю информацию мы теряем. Cофтверный RAID, где роль контроллера выполняет сама ОС, таких недостатков лишён. Для RAID1 понадобится два жёстких диска, крайне желательно одной модели. Система даст им обозначения sda и sdb (или hda, hdb если интерфейс IDE).

Последовательно выполняем шаги:

  1. Для каждого диска создаём одинаковое количество разделов, одинакового размера. В нашем случае sda1=sdb1=2Gb и sda2=sdb2=73Gb. Тип файловой системы для каждого раздела Linux RAID
  2. Добавляем созданные разделы к RAID
    1. Создать RAID. MD - устройство уровня RAID1. Выделяем объекты sda1, sdb1. Выбираем файловую систему swap. Создаётся устройство md0
    2. Создать RAID. MD - устройство уровня RAID1. Выделяем объекты sda2, sdb2. Выбираем файловую систему ext2/3. Точка монтирования "/". Опции = default. Создаётся устройство md1

    4) Для дистрибутива Alt Linux 4.х Desktop выбираем тип установки: сервер.

    5) Устанавливаем загрузик в md1.

    6) Задаём пароль для Администратора системы (пользователь root).

    7) Заводим системного пользователя, например, pavel.

    8) Выбор групп пакетов: SMTP server, Proxy, NTP, POP3/IMAP, FTP.

    9) Настраиваем сетевые карты. Интерфейс eth0 для локальной сети настроим позже, сейчас настраиваем доступ в Интернет через eth1 на закладке "IP интерфейсы":

    • СтавиМ крестик на "Интерфейс включен"
    • IP-адрес 192.168.100.18
    • Маска сети 255.255.255.240
    • Шлюз: 192.168.100.17

    На закладке "Общие сетевые настройки":

    10) Выбираем часовой пояс.

    - После перезагрузки заходим пользователем root. Проверяем работоспособность сетевых настроек. Для этого пингуем адреса Интернета и проверяем внешний DNS сервер пингуя какой-нибудь узел по имени (само сабой мы должны быть 100% уверены, что все эти ресурсы сейчас доступны):

    Если пинги не проходят, то, скорее всего, проблема с сетевой картой.

    Например, 3Com 3C905-TX не единожды себя компрометировала тем, что вроде бы работает и даже пингует сама себя, но в сеть через неё выходить не удавалось.

    - Доустанавливаем столь необходимый Midnight Commander:

    - Обновляем установленную ОС через Интернет (не обязательно, но желательно). Перед обновлением раскомментируем источники обновления на Master и Sisyphus (в последнем могут быть нестабильные пакеты, т.ч. сомневающиеся могут оставить этот источник закоментированным, но там находится более свежее ПО), перечисляемые в /etc/apt/sources.list.d/server.alt.list.

    Если сервер сейчас не имеет прямого подключения к Интернет, то можно обновиться и через прокси-сервер. Для этого определим переменные окружения:

    Если прокси требует пароля, то:

    начинаем полное обновление системы:

    - Добавляем маршруты между нашими подсетями, где 10.0.0.1 маршрутизатор между локальными подсетями:

    Оба синтаксиса команд эквивалентны. Добавим эти строки в конец файла /etc/rc.d/rc, чтобы команды выполнялись при загрузке ОС.- Обновлять и доустанавливать пакеты можно и без доступа в интернет. Как это настроить можно узнать, прочитав Решение проблем в Linux

    - Настраиваем eth0. В /etc/net/ifaces/eth0/options:

    Применяем настройки и проверяем, пингуя локальную станцию:

    - Теперь можно заходить на сервер с рабочего места администратора по протоколу ssh, если из Windows, то можно использовать PuTTY (см статью Терминальное подключение к серверу Linux с помощью ключей ssh без паролей). Подключаемся пользователем pavel и меняем пользователя на root:

    В Alt Linux 4 настройка некоторых параметров системы и служб значительно упростилась благодаря использованию альтераторов (alterator), позволяющим делать это через web-интерфейс. Посмотрим, что уже установлено:

    Посмотрим, что вообще есть:

    Можно удалить некоторые ненужные альтераторы:

    Теперь можно зайти на страницу администрирования по адресу https://10.0.0.2:8080, указав имя ползователя "root". На данном этапе посетим только следующие страницы:

    1. "Web-интерфейс - Сервер" редактируем параметры сертификата и пересоздаём его, нажав соответсвующую кнопку. Нажимаем кнопку "Перезапустить HTTP-сервер"
    2. "Статистика - Сетевой трафик" . Запускаем службу и включаем в автозапуск.
    3. "Дата и Время" - "Дата и Время". Проверем, что правильно установлены дата и время.

    Firewall (брендмауэр). iptables

    - Делаем из компьютера маршрутизатор. Раньше для этого нужно было изменить 0 на 1 в /proc/sys/net/ipv4/ip_forward. Теперь, когда для управления сетевыми настройками используется проект etcnet, нужно указать в /etc/net/sysctl.conf:

    - На этом можно закончить шаг 2 и приступить к шагу 3, а можно дать доступ к Интернету для наших пользователей в локальной сети. Для этого добавим правило прямого доступа (без прокси сервера) к Интернет для адреса 10.0.0.244

    или для всей подсети

    Параметр MASQUERADE равен SNAT --to 192.168.100.18, но не привязывается к IP адресу, что удобней, однако у меня были случаи когда с ним правило не работало, а с IP адресом работало. В причинах я не разбирался, но имейте в виду при отладке.

    - Проверяем добавленную запись

    - Если ошиблись, то удаляем, изменяем и прописываем заново

    где 1 это номер правила по порядку, или удаляем все правила из таблицы POSTROUTING

    - В целях отладки можно добавить правило выпускающее команды ping и traceroute от клиентов во внешний мир

    - Запомнить конфигурацию файрвола можно командой iptables-save, восстановить iptables-restore, хранится она в /etc/sysconfig/iptables.

    - После установки прокси-сервера нужно не забыть добавленные правила убрать, иначе останется возможность попадать в Интернет в обход прокси.

    DNS. Bind

    - Устанавливаем пакет bind

    - Добавляем DNS серверы на административной странице (в веб интерфейсе) "Сеть" - "Общие настройки сети" или в файле /etc/resolv.conf:

    FTP-сервер. vsftpd

    • В Alt Linux vsftpd можно настроить через альтератор в web-интерфейсе. Зайдя на страницу "Серверы - Сетевой суперсервер", убираем ограничение "только с адресов" (оставляем поле пустым). На странице "Серверы - FTP-серве" ставим нужные галочки в "Общих настройках" (у меня все кроме анонимного пользователя), нажимаем "Принять". Добавлем локального пользователя и даём ему право на запись.

    Прокси. Squid

    • Автоматизировать загрузку squid при старте компьютера можно через альтератор в web-интерфейсе.
    • На административной веб-странице "Серверы - Прокси-сервер" добавляем squid в автозапуск.
    • Можно установить альтератор для lightsquid:

    но там статистика будет не столь подробная, как если его устанавливать отдельно.

    Web-сервера. Apache

    - На ряду с административным защищённым веб-сервером у нас будет работать и обычный. Для этого на административной странице переходим: "Серверы - Web-сервер - запустить. службу". Не забудем поставить галочку на "Запуск при старте системы".

    См. также статью Apache.

    СУБД. MySQL

    - Можно посмотреть как он запустился в /var/log/mysql/info:

    - Подсоединяемся к служебной базе MySQL c одноимённым названием:

    - Меняем пароль рута на new_pass (или другой) и выходим. Служебная команда PASSWORD зашифровывает пароль.

    - Подсоединяемся к серверу ещё раз, только теперь с паролем

    - Из таблицы user удаляем запись пользователя '%' и (какая есть), т.к. эта запись предоставляет доступ любому пользователю.

    - Проверим, осуществляется ли автоматический запуск mysqld:

    видим, что нет. Добавляем и проверяем:

    ещё раз добавляем и проверяем:

    mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off

    - Смотрим журнал /var/log/mysql/info. Заметим, что теперь прослушивается порт 3306:

    Несколько полезных команд

    Больше информации в спец статье по MySQL.

    Почтовый сервер. Postfix

    См. также как Postfix устанавливается под Debian. Большинство настроек схожи

    Установка Postfix c поддержкой TLS и MySQL

    - Начиная с версии 2.2 поддержка TLS встроена в Postfix. Список поддерживаемых баз данных можно узнать выполнив:

    - Доустанавливаем поддержку MySQL:

    К сожалению, в Alt Linux даже после установки этого пакета, информация, выдаваемая postconf не обновилась (в отличае от Debian).

    - Заводим пользователя vmail:

    - Проверяем какой номер пользователя (uid) и группы (gid)в ситсеме:

    - Вносим изменения в /etc/postfix/main.cf. Обратите внимание, что перед названием параметра не должно быть пробела или табуляции, иначе (как я выяснил на собственном опыте) параметр игнорируется:

    - По умолчанию Postfix ограничивает размер почтового ящика 50 Мб и максимальный размер письма 10 Мб. Если нужно изменить эти параметры, то добавляем (исправляем если есть) строки:

    - Создаём виртуальный домен. Для этого добавляем следующие строки, учитывая что у нас пользователь vmail имеет uid=501 и gid=504 (если нет, то подставить свои):

    - Создадим указанный каталог для спула:

    - Создадим файлы доступа к MySQL. Пользователь postfixadmin будет создан позже, при установке Postfix Admin. Создаём файл /etc/postfix/virt_alias.cf:

    - Создаём файл /etc/postfix/virt_mailbox.cf:

    - Создаём файл /etc/postfix/transport.cf:

    указывая в hosts IP адрес, мы принуждаем Postfix соединяться с MySQL через порт, если же указать localhost, то он будет стараться соединиться через сокет, а так как оба чрутятся в разные каталоги, то найти сокет он не сможет и выдаст в /var/log/maillog ошибку:

    - Чтобы проверить, что мы задали верные параметры соединения с базой, выполним:

    - В /etc/postfix/master.cf убираем комментарии со строк (второй строки может не быть):

    - Посмотреть настройки Posfix, отличающиеся от настроек по умолчанию, можно командой:

    Так мы можем убедиться, что все заданные параметры вступили в силу, если нет, то скорее всего при его определении мы не убрали перед ними пробелы.- Перезапускаем Postfix:

    Postfix Admin

    Устанавливаем Postfix Admin для управления почтовыми ящиками через веб-интерфейс

    -Доустанавливаем пакет работы со строками для PHP и telnet для проверки:

    - Распаковываем и копируем всё содержимое каталога postfixadmin-2.2.0 в /var/www/apache2/html/postfixadmin:

    - Можно сделать резервную копию всех таблиц в виде SQL выражений. Для этого на странице администратора нажать кнопку Backup.

    - Теперь в консоли проверяем как работает доставка почты, т.е. smtp:

    Шифрование соединения и принимаемой почты.

    - Для шифрования параметров аутонтификации (по умолчанию имя пользователя и пароль передаются открытым текстом) доустанавливаем поддержку TLS:

    Если возникла ошибка:

    То, согласно подсказкам, выполняем:

    - Конфигурируем Postfix. Добавляем настройки tls в /etc/postfix/main.cf:

    - В случае сбоев смотреть лог-файл:

    - Для выхода из less нажмите q.

    ClamAV (проверка почты на вирусы)

    - Устанавливаем антивирус ClamAV:

    - Смотрим в файле /etc/clamsmtpd.conf какой порт clamsmtpd прослушивает (Listen) и на какой отдаёт обратотанную почту (OutAddress)

    - Добавляем в /etc/postfix/main.cf:

    - Добавляем в /etc/postfix/master.cf:

    На этом с Postfix всё. Можно ещё раз проверить с помощью telnet, что почта, проходя через антивирусную защиту, доходит в ящик пользователя.Дополнительную информаци по настройке postfix, защите от спама и полезные ссылки смотрите в дополнительной статье по Postfix.

    Courier-IMAP с поддержкой MySQL.

    Сourier-IMAP отвечает за отдачу почты пользователю. Исходники можно взять с ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/

    Устанавливаем Courier.

    Выполняем предложенные команды:

    - Настраиваем доступ к БД MySQL. Для этого добавляем поддержку установленного модуля в /etc/courier-authlib/authdaemon.conf:


    - Редактируем файл /etc/courier-imap/imapd:

    - Редактируем файл /etc/courier-imap/pop3d:

    - Проверяем можем ли забрать почту, т.е. работоспособность pop3:

    Как видим, одно письмо на 470 байт лежит. Можно его просмотреть командой retr 1 (конечно перед quit)

    Устанавливаем Cyrus-SASL2 для шифрования отдаваемой почты.

    - Расскажем SASL, где и как искать пароли, когда к нему обратится postfix. Аутонтификацию будем проводит методом saslauthd. Для этого создадим файл /usr/lib/sasl2/smtpd.conf следующиго содержания:

    - Альтернативный метод - auxprop. Чтобы использовать его, нужно в /usr/lib/sasl2/smtpd.conf прописать:

    Создаём сертификат

    - Если в /var/lib/ssl/certs/ лежат файлы pop3d.pem и imapd.pem, то это и есть сертификаты и они уже созданы, чтобы пересоздать их со своими данными удалим эти файлы и отредактируем /etc/courier-imap/pop3d.cnf, где ST короткое (2-3 буквы) название города:

    - На этом настройка почтового сервиса закончена.

    Полезные ссылки

    Введение сервера в "боевой" режим

    Если мы устанавливали и отлаживали свой сервер, как часто бывает, в тестовом режиме, паралельно с работающим старым сервером, то перед установкой сервера в "боевой" режим нужно внести следующие изменения:

    - Изменить настройки сетевых интерфейсов на боевые (ip адрес, маска, шлюз, DNS).

    - Прописать реальные имена в /etc/hosts.

    - Squid. Внести изменения в конфигурационный файл /etc/squid/squid.conf, чтобы прокси сервер принимал запросы только из локальной сети и компьютера, где установлен:

    Читайте также: