Настройка домена astra linux

Обновлено: 03.07.2024

В этом посте мы решили рассказать о доменной аутентификации в Linux, с использованием смарт-карт и USB-токенов JaCarta PKI в качестве второго фактора аутентификации. Если о локальной аутентификации через PAM-модуль информации существует довольно много, то вопрос доменной инфраструктуры и аутентификация по Kerberos-билетам в Linux рассмотрен слабо, особенно на русском языке. В качестве операционной системы возьмем Astra Linux и на примере Astra Linux Directory (ALD) это и покажем.

Выгода такого решения очевидна – оно позволяет отказаться от парольной аутентификации пользователя, что поможет кардинально снизить влияние «человеческого фактора» на безопасность системы. Плюс это даст ряд преимуществ от использования электронных ключей внутри операционной системы, после аутентификации в домене.

Немного вводных об Astra Linux Directory (ALD) и JaCarta PKI

Домен Astra Linux Directory (ALD) предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.

ALD использует технологии LDAP, Kerberos5, Samba/CIFS и обеспечивает:

  • централизованное хранение и управление учетными записями пользователей и групп;
  • сквозную аутентификацию пользователей в домене с использованием протокола Kerberos5;
  • функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
  • автоматическую настройку файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
  • поддержку соответствия БД LDAP и Kerberos;
  • создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
  • интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, Web-серверов, серверов печати и другие возможности.


В среде Astra Linux Directory (ALD) электронные ключи JaCarta PKI могут использоваться для двухфакторной аутентификации пользователя в домене ALD и отказа от паролей. Кроме того, с этими же электронными ключами можно выполнять различные сценарии внутри ОС, после аутентификации, такие, как: электронная подпись, хранение ключевых контейнеров, доступ к Web-ресурсам, проброс ключа в сессии MS Windows. Доступ к VDI сервисам, таким, как VmWare или Citrix.

Процесс настройки

Пример демо-зоны

  • Сервер — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit;
    • libengine-pkcs11-openssl;
    • opensc.
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit.

    Установка драйверов на сервер и клиент

    Для обеспечения работы со смарт-картой JaCarta PKI на клиенте и сервере установите следующие пакеты: libccid, pcscd, libpcsclite1. После установки этих обязательных пакетов установите пакет драйверов IDProtectClient, который можно загрузить с официального сайта «Аладдин Р.Д.».

    Для обеспечения работы со смарт-картой подсистемы Kerberos добавочно к предустановленным пакетам ald/kerberos установите пакет krb5-pkinit на клиенте и сервере.

    Для обеспечения возможности выпуска ключей и сертификатов на JaCarta PKI на сервере также установите пакеты libengine-pkcs11-openssl и opensc.

    Установка и настройка центра сертификации на сервере

    В качестве центра сертификации (CA) будет использован OpenSSL.

    OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT.

      Выпустите сертификат KDC:
      $ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial –days 365

    Подготовка смарт-карты. Выпуск ключей и сертификата пользователя

    Убедитесь в том, что установлены пакеты libengine-pkcs11-openssl и opensc. Подключите устройство, которое следует подготовить.

    Проинициализируйте устройство, установите PIN-код пользователя. Помните, что инициализация устройства удалит все данные на JaCarta PKI без возможности восстановления.

    Для инициализации необходимо воспользоваться утилитой pkcs11-tool.

    pkcs11-tool --slot 0 --init-token --so-pin 00000000 --label 'JaCarta PKI' --module /lib64/libASEP11.so,

    --slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

    --init-token – команда инициализации токена;

    --so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;

    --label 'JaCarta PKI' – метка устройства;

    --module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

    Для задания PIN-кода пользователя используйте команду:

    pkcs11-tool --slot 0 --init-pin --so-pin 00000000 --login --pin 11111111 --module /lib64/libASEP11.so,

    --slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

    --init-pin – команда установки PIN-кода пользователя;

    --so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;

    --login – команда логина;

    --pin 11111111 – задаваемый PIN-код пользователя;

    --module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

    Сгенерируйте ключи на устройстве, для этого введите следующую команду:

    pkcs11-tool --slot 0 --login --pin 11111111 --keypairgen --key-type rsa:2048 --id 42 --label “test1 key” --module /lib64/libASEP11.so,

    --slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

    --login --pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;

    --keypairgen --key-type rsa:2048 — указывает, что должны быть сгенерированы ключи длиной 2048 бит;

    --id 42 — устанавливает атрибут CKA_ID ключа. CKA_ID может быть любым;

    Запомните это значение! Оно необходимо для дальнейших шагов подготовки устройства к работе.

    --label “test1 key” — устанавливает атрибут CKA_LABEL ключа. Атрибут может быть любым;

    --module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

    Сгенерируйте запрос на сертификат с помощью утилиты openssl. Для этого введите следующие команды:


    Обратите внимание на -new -key 0:42, где 0 — номер виртуального слота с устройством, 42 — атрибут CKA_ID сгенерированных раннее ключей.

    Информацию, которую необходимо указать в запросе, следует задавать в поле "/C=RU/ST=Moscow/L=Moscow/O=Aladdin/OU=dev/CN=test1 (! Ваш_Пользователь!)/emailAddress=test1@mail.com".

    Необходимо установить переменные окружения

    и выпустить сертификат на пользователя.

    $ openssl x509 -CAkey cakey.pem -CA cacert.pem -req -in client.req -extensions client_cert -extfile pkinit_extensions -out client.pem –days 365

    Далее перекодируйте полученный сертификат из PEM в DER.

    Запишите полученный сертификат на токен.

    pkcs11-tool --slot 0 --login --pin 11111111 --write-object client.cer --type 'cert' --label 'Certificate' --id 42 --module /lib/libASEP11.so,

    --slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

    --login --pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;

    --write-object ./client.cer — указывает, что необходимо записать объект и путь до него;

    --type 'cert' — указывает, что тип записываемого объекта – сертификат;

    'cert' --label 'Certificate' — устанавливает атрибут CKA_LABEL сертификата. Атрибут может быть любым;

    --id 42 — устанавливает атрибут CKA_ID сертификата. Должен быть указан тот же CKA_ID, что и для ключей;

    --module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so.

    Настройка клиента. Проверка работоспособности

    Создайте на клиенте каталог /etc/krb5/. Скопируйте в /etc/krb5/ сертификат CA (cacert.pem) c сервера.

    Настройте kerberos в /etc/krb5.conf. Секцию [libdefaults] дополните следующими строками.

    kinit Когда появится строка запроса PIN-кода к карте, введите его.

    Для проверки того, что kerberos-тикет был успешно получен для пользователя, введите команду klist. Для удаления тикета — kdestroy.

    Для входа в домен по смарт-карте на экране входа в ОС вместо пароля введите PIN-код от смарт-карты.

    На этом настройка окончена. Да, к сожалению, система сама не поменяет и не подстроит login окно под смарт-карту, и оно будет стандартным, но если приложить немного секретных усилий, можно добиться красивого результата.

    Ввод компьютера под управлением Astra Liniux в домен Windows AD может быть выполнен двумя способами:

    1. с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
    2. с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);

    Далее рассмативается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи.

    Конфигурация стенда

    Имя компьютера (hostname)Операционная системаРоли компьютераIP-адрес
    dc01.example.comWindows Server 2008R2Контроллер домена; DNS сервер192.168.0.1
    astra01Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)Рабочая станция, член доменаСтатический или динамически назначаемый IP-адрес

    Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:

    1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "

    2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.

    3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:

    4) Нажать "Сохранить"

    5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.

    Установка пакетов

    В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :

    sudo apt install fly-admin-ad-client

    При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

    Ввод Astra Linux в домен Active Directory

    1) Открыть "Панель управления"

    2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"

    3) Заполнить все поля и нажать кнопку "Подключиться":

    Установка пакетов

    Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :

    При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

    Ввод Astra Linux в домен Active Directory

    После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".

    Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":


    Установка пакетов

    Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

    Ввод Astra Linux в домен Active Directory

    Ввод компьютера в домен может быть выполнен командой:

    Подсказка по команде:

    Установка пакетов

    Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

    Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:


    Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:


    В окне для выбора сервисов установим галочки "Active Directory Domain Services" и "DNS Server":


    Во всех остальных пунктах даем согласие на установку.

    После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":

    На первой вкладке укажите опцию для создания нового домена и укажите его название:


    Введите пароль сброса:


    На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:

    На следующих трёх вкладках также оставляем все как есть:




    Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:


    После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:


    Добавление новых пользователей:

    Откроем утилиту управления пользователями и компьютерами домена:


    Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:



    Добавим нового пользователя user:





    Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

    Установка центра сертификации Active Directory:

    Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.

    Для пользоватей Linux

    Его можно получить здесь:





    Настройка подключения к домену

    Astra Linux Smolensk

    Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией.

    Если во время выполнения инструкции панель " Настройки клиента Active Directory " не будет запускаться, то введите в командной строке следующую команду:

    Она предоставит пользователю root доступ к графическому интерфейсу среды.

    В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:

    Настройка автоматического создания домашней директории

    Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.

    Это можно сделать в настройках pam. Для этого в файле

    /etc/pam.d/common-session для систем основанных на Debian

    /etc/pam.d/system-auth для систем основанных на Red Hat

    /etc/pam.d/system-auth-sss-only для пользователей Alt linux

    активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:

    Проверка аутентификации под пользователем в домене без Рутокена

    Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:


    Настройка клиента для аутентфикации в домене с помощью Рутокена

    Упрощенная настройка

    Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.

    Ручная настройка

    Установка необходимых пакетов для работу:

    Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут. Установим данную библиотеку.

    Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации. На данный момент абсолютно все машины на ОС windows разных версий ну и windows server в качестве контроллера домена. Вопрос такой: насколько я понял вводить то в виндовый домен клиенты на astra linux можно но будут ли работать всякие групповые политики? SSO ? если нет то как быть? ALD (Astra linux directory) поднимать и на нем настраивать все? возможно ли будет туда экспортировать пользователей из active directory? И еще у нас внутренний сайт на sharepoint которым активно пользуются. можно ли будет сделать SSO в связке с ним?


    SSO будет , если на клиентах отконфигурить керберос. Группы тоже. Политики, какие , например? Экспорт тоже возможен, AD - это ldap. SSO с виндовыми сервисами , которые остались тоже будет , но в том случае если вы либо переджойните их в новый домен либо переймете свои ALD роли старого.

    С ALD никогда не работал и не буду, так что я говорил в общем про AD на линуксе и его интеграцию в него linux клиентов.

    Сам использую Univention


    Вот пример, как включить керберос, но до этого надо настроить sssd , pam , сертификаты etc

    constin ★★★★ ( 26.03.18 15:34:03 )
    Последнее исправление: constin 26.03.18 15:36:25 (всего исправлений: 1)


    Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации

    Видимо, гос. учреждение.

    так что я говорил в общем про AD на линуксе

    На какой версии samba, у ветки 3.5 и 4.х есть различия в настройке и поддержке.

    Различие есть, принцип конфигурационного файла тот же, а вот сами файлы уже разные

    Там и функциональные отличия немалые есть, например в samba 3.5 можно использовать openldap, а в samba 4.x - нет.

    есть такая фигня, перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях



    constin ★★★★ ( 27.03.18 09:49:52 )
    Последнее исправление: constin 27.03.18 09:51:16 (всего исправлений: 1)


    ага, это сертифицированный пакет в астре?


    ага, это сертифицированный пакет в астре?


    А, все понял, болгенос, сертификаты, линуксы на русском и оборонка. Удачи)

    перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях

    Неправда ваша. В самых простых случаях переноситься легко. Ничего заново писать не нужно.

    пожалуйста самый простой случай - полная шара, если не прописать строку map to guest = bad user - то работать без пароля не будет, в 3.5 это строка еще не требовалась

    Писал не просто так, а на реальном примере. У меня домашняя самба. Ничего менять не пришлось, но и гостевого входа правда нет, усе под логинами. Переехал не заметно.

    Политики, какие , например?

    ну всякие подключения сетевых дисков, прокси ну а завести так, чтобы ввел в домен на виндовом сервере и заработало никак?) кроме univention есть еще какие то варианты?


    мы говорим о linux клиентах? Я не работаю с windows вообще. Разрешение на подключение сетевых ресурсов можно регулировать политиками. Само подключение дисков я настраиваю в /etc/profile.d, так как gvfs глючит а некоторых приложениях, например в thunderbird.

    извините если неточно формулирую мысли.да мы говорим о linux клиентах. а вы сейчас про чьи политики говорите ALD,univention или AD? мне бы для начала узнать будет ли что то кроме авторизации работать при вводе в обычный AD или же нам обязательно надо менять контроллер домена. И спрошу еще раз какие еще варианты кроме univention т.к я боюсь он в какой то момент станет полностью платным и конец)

    Брат по несчастью) У нас тоже поставили задачу перехода на Астру. Даже заставили план написать. В конце года должны уже переводить клиентов на астру. Домен тоже виндовый на 2008. Не известно как будут работать принтеры и тд. Беглый поиск драйверов показал что на 99% принтеров есть драйвера под линукс, но будут ли они работать на астре не ясно. Плюс не идет речь о репозитории, выхода у астры в интернет быть не должно. Установка не сертифицированного ПО запрещена. Хотя по факту чую придется запускать винду из под виртуальной машины что бы люди могли нормально работать. Плюс ко всему у нас в отделе никто не шарит в линуксе. Сейчас установили астру, ввели ее в домен винды, но самба не видит сеть предприятия.


    Настройка пакета ossec-web осуществляется на сервере.Дать права для пользователя audit-user к файлам сервиса ossec и web-интерфейсу:

    Пользователю www-data необходимо дать права для просмотра директории /var/www/ossec:

    В файлах /etc/php5/apache2/php.ini и /etc/php5/cli/php.ini в секцию нужно добавить параметр . Системную временную зону можно посмотреть в файле /etc/timezone. Например, Europe/Moscow.Web-интерфейс доступен через браузер по адресу: susrv/ossec/prog/UnitList.php. Для каждого агента будет создана директория с его именем в /var/www/ossec/data/.

    Incron

    Для появления событий в web-интерфейсе достаточно перезапустить сервис incron:

    service incron restart

    Дать доступ для пользователя ossec к данному файлу:

    Настройка на сервере:

    Для установки web-интерфейса и серверной части сервиса ossec требуется установить пакет ossec-web со всеми зависимостями.

    apt-get install ossec-web

    Установка данного пакета повлечет за собой установку следующих пакетов:

    Создать каталог для хранения логов и дать доступ для пользователя ossec. Права удобно назначить с помощью расширенных атрибутов доступа ACL.

    cp /var/ossec/etc/10-ossec-syslog.conf /etc/rsyslog.d/

    service rsyslog restart

    Настройка ossec-сервера

    После выполнения вышеперечисленных действий необходимо перезапустить сервер, чтобы изменения вступили в силу:

    Все агентские машины должны быть добавлены на сервере через интерактивную команду /var/ossec/bin/manage_agents всех агентов, указав их имя и IP-адрес и экспортировать ключ.После подключения нового агента необходимо перезапустить сервер.

    Ввод Astra Linux в домен Windows

    Разблокирование суперпользователя (root)

    Для более удобной работы разблокируем учётную запись root:

    Назначим пароль для учётной записи root:

    Настройка сети

    Строку с 127.0.1.1 ws3 удалить.Убедиться, что в файле /etc/hostname правильно указано имя машины:

    /etc/hostname

    Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:

    /etc/network/interfaces

    Создать файл /etc/resolv.conf и добавить строки:

    /etc/resolv.conf

    sudo service networking restart
    ip a
    ping dc.dev.local
    sudo ntpdate dc.dev.local

    Установка требуемых пакетов

    Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:

    sudo dpkg -l samba winbind ntp apache2 postgresql

    Установить дополнительные пакеты (потребуется диск с дистрибутивом):

    Настройка конфигурационных файлов

    Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:

    Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:

    Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка /var/cache/samba/* и /var/lib/samba/*

    Проверим нет ли ошибок в конфигурации samba, выполнив команду:

    Редактируем файл /etc/security/limits.conf. Добавляем в конец:

    /etc/security/limits.conf

    Редактируем файл /etc/pam.d/common-session. Добавляем в конец:

    sudo net ads join -U Administrator
    sudo net ads keytab list

    Настройка Apache и Postgresql на работу с Kerberos

    Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:

    Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:

    Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:

    Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:

    sudo service postgresql restart

    Добавление принтера через web интерфейс CUPS

    Для удаленного использования сервера печати необходимо от имени администратора через механизм sudo выполнить следующие команды:

    и вставить следующую строку:

    Значение параметра DefaultAuthType должно быть Basic.

    Перезапустить сервис печати CUPS командой:

    sudo service cups status

    Для дальнейшей настройки открыть браузер и ввести адрес:

    Убедитесь в правильности настроек, нажав на кнопку Print Test Page (Печать тестовой страницы) в выпадающем меню Maintenance (Обслуживание). Если принтер не печатает, но вы уверены в правильности всех настроек, попытайтесь сменить драйвер принтера на другой.

    Настройка авторизации

    Если не настроена авторизация через Kerberos, по умолчанию для всех ресурсов будет использоваться авторизация через , при этом будет использоваться пользовательская БД, прописанная в настройках ОС. Логин и пароль пользователя будут передаваться от пользователя к серверу в открытом виде с использованием метода аутентификации . Для корректного функционирования авторизации через пользователю, от которого работает web-сервер (по умолчанию — ), необходимо выдать права на чтение информации из БД пользователей и сведений о метках безопасности. Например, добавить права на чтение файла

    и права на чтение каталога :

    Если у вас уже есть настроенный и доступный DNS-сервер (собственный, или сервер провайдера), создание в локальной сети кеширующего DNS-сервера позволит без особых затрат ускорить работу с Интернет за счет ускорения разрешения имен по запросам различных сетевых служб и/или пользовательскими программами.

    Для примера предположим, что у нас есть:

    сервер DNS с адресом 192.168.32.211

    Для создания кеширующего dns-сервера

    раскомментируем в файле конфигурации /etc/bind/named.conf.options строки

    • указываем адреса используемых DNS-серверов, которым нужно передавать запросы (для примера взяты адреса DNS-серверов Google)
    • и, в этом примере, отключаем авторизацию dnssec (использование dnssec будет рассмотрено позже)

    Можно , но не обязательно, ещё добавить список интерфейсов компьютера, через сервис DNS должен принимать запросы:

    и перезапускаем сервис

    sudo systemctl restart bind9

    Настройка пользовательских компьютеров

    На пользовательском компьютере использовать команду:

    В файле /etc/nsswitch.conf добавить слово winbind параметры password и group:

    Чтобы пользователи AD после аутентификации могли менять свой пароль из командной строкив файле /etc/pam.d/common-password из строки убрать слово

    Предупреждение: Использование контроллера домена как файлового сервера

    Несмотря на то, что Samba в режиме AD DC может предоставлять услуги разделения файлов так же, как и в любом другом режиме применения, разработчкики Samba не рекомендуют использовать DC как файловый север по следующим причинам:

    • Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошим способом резервирования, повышающим безопасность обновлений;
    • Отсутствие сложных данных и влияния на другие сервисы позволяет обновлять DC совместно с ОС хоста каждые год или два;
    • Обновления могут выполняться путем установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав множества рисков, связанных с повреждением данных;
    • Необходимость модернизации DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникает в разные моментв времени. В то время, как AD DC стремительно развивается, приобретая новые возможности, файловый сервер, после более 20 лет, гораздо более консервативен;
    • mandatory smb signing is enforced on the DC.

    Если вы изучаете возможность использовать Samba DC как файловый сервер, рассмотрите вместо этого возможность использовать на DC виртуальную машину VM, содержащую отдельного участника домена.

    Если вы вынуждены использовать Samba DC как файловый сервер, помните, что виртуальная файловая система (virtual file system, VFS) позволяет настраивать разделяемые ресурсы только со списками управления доступом access (control lists, ACL) Windows.Разделяемые ресурсы с ACL POSIX на Samba DC не поддерживаются, и не работают.

    Для предоставления сетевх разделяемых ресурсов с полными возможностями Samba, используйте отдельного участника домена Samba.

    Выпуск сертификата для пользователя

    Необходимо установить переменные окружения:

    и выпустить сертификат на пользователя:

    Далее перекодируйте полученный сертификат из формата PEM в формат DER.

    Запишите полученный сертификат на токен:

    Настройка клиента. Проверка работоспособности

    Создайте на клиенте каталог/etc/krb5/. Скопируйте в/etc/krb5/сертификат CA(cacert.pem)c сервера.

    Настройте kerberos в /etc/krb5.conf. Секцию дополните следующими строками:

    Когда появится строка запроса PIN-кода к карте, введите его.

    Для проверки того, что kerberos-тикет был успешно получен для пользователя, введите команду klist.

    Для удаления тикета — kdestroy.


    Инструмент командной строки nmcli для работы с NetworkManager

    В составе пакета имеется инструмент командной строки nmcli для работы с NetworkManager.

    Инструмент может работать с устройствами (devices, dev) или с соединениями (connection, con).

    Примеры применения командного интерфейса к устройствам:

    man nmcliman nmcli-examplesman nm-online

    Для того, чтобы NetworkManager прочитал изменения конфигурации (в том числе изменения списка интерфейсов, перечисленных в файле /etc/network/interfaces), следует перезапустить службу NetworkManager:

    sudo systemctl restart NetworkManager

    Для того, чтобы изменения настроек сетевого адаптера, сделанные через графический интерфейс, вступили в силу, следует перезапустить сетевой адаптер (на примере адаптера eth0):

    сначала выключить адаптер:

    sudo ifconfig eth0 down

    И повторно включить адаптер:

    sudo ifconfig eth0 up

    Networking: Настройка сети из командной строки

    • Для систем, работающих в статичной сети (например, для серверов), следует сохранять как можно более простую конфигурацию ;
    • Для систем, работающих с динамически меняющимися сетями и IP-адресами (например, для мобильных компьютеров) рекомендуется дополнительно использовать для настройки пакет resolvconf, упрощающий переключение конфигураций при смене сетевого адреса.

    Пакет ifupdown содержит три команды: команды ifup и ifdown, обеспечивающие настройки сетевых интерфейсов в соответствии с конфигурационным файлом /etc/network/interfaces, и команда ifquery, проверяющая корректность конфигурационного файла /etc/network/interfaces. При этом список включенных в данный момент интерфейсов хранится в файле /run/network/ifstate

    Сценарий изменения настройки сетевого интерфейса (на примере интерфейса eth0):

    Остановить сетевой интерфейс командой

    Внести изменения в файл /etc/network/interfaces в секцию, относящуюся к интерфейсу eth0.

    Проверить корректность файла:

    Повторно запустить интерфейс командой:

    Допускается вносить изменения в файл /etc/network/interfaces заранее, после чего перезапускать интерфейс одной командой:

    sudo ifdown eth0; sudo ifup eth0

    Типичной ошибкой при использовании команд ifdown/ifup является повторное назначение параметров интерфейса неотключенным и некорректно работающим сервисом NetworkManager,что выглядит как игнорирование изменений, внесённых в файл /etc/network/interfaces.Для проверки полного состояния сетевого интерфейса вместо устаревшей команды ifconfig следует использовать современную команду ip из пакета iproute2:

    проверить все сетевые адреса, назначенные сетевому интерфейсу:

    очистить все сетевые адреса, назначенные сетевому интерфейсу:

    Разрешение имён для клиентских машин

    После выполнения указанных выше настроек DNS сервер не может получать и, соответственно, выдавать информацию об именах и IP-адресах клиентских машин.

    Если в домене используются клиентские машины, получающие динамические IP-адреса от сервера DHCP, сервер DNS может быть настроен на автоматическое получение информации о выданных адресах. Примерный порядок настройки см. в статье Динамическое обновление DNS FreeIPA;

    Если в домене используются клиентские машины, которым присваиваются статические адреса, то:

    1. Можно использовать для присвоения этих статических адресов сервер DHCP с динамическим обновлением адресов;

    Система печати через Kerberos (ALD)

    Для выполнения действий по управлению принтерами и очередями печати необходимо создать в ALD учетную запись группы администраторов печати:

    ald-admin group-add print_admins
    ALD

    • lpmac_ald (только для версии ОССН Смоленск 1.6+ при использовании в домене ALD);
    • lpmac (для всех остальных версий ОССН)

    sudo ald-admin group-add lpmac_ald

    sudo ald-admin group-add lpmac

    • lpmac_ald (только для версии ОССН Смоленск 1.6+ при использовании в домене ALD);
    • lpmac (для всех остальных версий ОССН)

    ALDALDALDsudo ald-admin service-add ipp/server.my_domain
    mac
    Kerberosald-client
    sudo

    Далее выполнить вход на сервере печати от имени учетной записи, входящей в группу ALD print_admins, и настроить принтеры (установить политику parsec и назначить максимальные допустимые уровни заданий). Настройка принтеров может быть выполнена с использованием утилиты fly-admin-printer (см. электронную справку).На клиентских машинах должны быть созданы файлы /etc/cups/client.conf. В файле конфигурации клиента client.conf должен быть задан один параметр ServerName, определяющий имя сервера печати, например:

    Взаимодействие по протоколу RDP и vino

    Установка и настройка пакетов

    На компьютере Astra Linux eстановить пакеты vino и xrdp:

    В файле /etc/xrdp/xrdp.ini в настройках протокола Xvnc изменить порт 5910 на 5900 и перезапустить xrdp:

    sudo systemctl restart xrdp

    Нужно запустить (из под учетной записи пользователя) vnc-сервер командой:

    Настройка пароля для vnc-сервера.

    Для того, чтобы vnc-сервер запрашивал пароль при подключении клиентской машины, на сервере необходимо установить пакет

    Для подключения пользовательской машины к серверу необходимо воспользоваться стандартным rdp клиентом, указав ip-адрес сервера:


    При подключении к серверу, в меню приглашения выбрать пункт vnc-any, указать ip-адрес сервера, и пароль к сессии:


    Подготовка к инсталляции

      Выберите имя хоста для вашего AD DC. Не рекомендуется использовать в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4 . Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

    Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (realm) Kerberos AD ;

    Отключите инструменты (например, resolvconf), которые автоматически обновляют файл настроек DNS /etc/resolv.conf.AD DC и члены домена обязаны использовать сервер DNS, способный разрешать зоны DNS AD . Если в сети нет других серверов DNS, то файл /etc/resolv.conf должен указывать адрес самого сервера:

    Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (fully-qualified domain name, FQDN) и короткое имя хоста DC во внешний сетевой IP-адрес DC. Например:

    Имя хоста не должно разрешаться в IP-адрес 127.0.0.1 или в любой другой IP-адрес, кроме используемого на внешнем сетевом интерфейсе DC.Для проверки правильности настроек можно использовать команду:

    Kerberos

    При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов, и сервисов.

    Во время процедуры назначения Samba автоматическм создает конфигурационный файл /var/lib/samba/private/krb5.conf для клиентов Kerberos, настроенный на создаваемый DC. Это файл должен быть скопирован в рабочую конфигурацию Kerberos на всех хостах, входящих в домен. На контроллере домена это можно сделать командой:

    sudo cp -b /var/lib/samba/private/krb5.conf /etc/krb5.conf

    В автоматически создаваемом файле конфигурации Kerberos для поиска доменного контроллера Kerberos (KDC) используются сервисные записи (SRV). Для того, чтобы такая конфигурация работала корректно, в домене должна быть правильно настроена и работать служба DNS.

    Тестирование файлового сервера

    Во время назначения автоматически создаются разделяемые ресурсы netlogon и sysvol, и они обязательно должны существовать в DC. Чтобы увидеть все разделяемые файловые ресурсы, предоставляемые DC:

    smbclient -L localhost -U%

    Нажмите, чтобы развернуть

    Domain= OS= Server=

    Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:

    49386 blocks of size 524288. 42093 blocks available

    Инструменты командной строки

    Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.

    Читайте также: