Участник:Petr-akhlamov/Советы ГИТам/Сервер-GUI

Сервер на предприятии

По лицензионным соображениям Альт Сервер можно использовать на предприятии только купив лицензию. Поэтому мы воспользуемся стартовым Mate набором на базе P9, чтобы был сервер с GUI.

https://mirror.yandex.ru/altlinux-starterkits/release/

alt-p9-server-systemd-20210312-x86_64.iso

RoadMap

• Общие папки + авторизация Samba/LDAP
• Веб-сервер
• Почтовый сервер
• Терминальный сервер
• Консультант
• Сервер бэкапов
• Wiki
• request-traker
• TrueConf

Оформление

Alterator-Web

• Ставим пакеты:

# apt-get install apache2-full alterator-fbi

• Устанавливаем и запускаем серсисы апач и альтератор:

# service ahttpd start
# service ahttpd enable

• Правим файл ahttpd

# pluma /etc/ahttpd/ahttpd.conf

К строчке server-port 80 добавляем строку server-port 8080.

Заходим по адресу: http://localhost:8080

Стиль-сервер

Ставим пакеты

• branding-alt-server-*
  • alterator
  • bootloader
  • bootsplash
  • graphics
  • indexhtml

Обновляем тему grub

# update-grub

Отключение автозапуска графики

# systemctl set-default multi-user.target

Для включения обратно:

# systemctl set-default graphical.target

Запуск в tty1

# nano /etc/systemd/logind.conf

ReserveVT = 1

Запуск графики вручную

$ startx

Выход в консоль - завершение сеанса.

Настройка сети

• через Synaptic ставим пакет etcnet-full
• через Synaptic ставим пакеты wicd-gtk wicd
• через Synaptic удаляем все пакеты NetworkManager

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/eth0

Правим настройки

nano options

Для DHCP:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
BOOTPROTO=dhcp

---

Для Static:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address

192.168.0.5/24

Правим настройки шлюза:

nano ipv4route

default via 192.168.0.15

Домены по-умолчанию и DNS-сервера:

nano resolv.conf

search mydom1.local domain2.ru
nameserver 8.8.8.8 192.168.0.5

Перезапускаем сеть:

service network restart

Правим

# nano /etc/sudoers :

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL

user ALL=(ALL:ALL)ALL

Сервера

После установки серверов перезапускаем веб-интерфейс:

# service ahttpd restart

DHCP

# apt-get install alterator-dhcp

См. Alterator-dhcp

DNS

LDAP/Samba

или

LDAP

Установка

# apt-get install alt-domain-server alterator-openldap

Останавливаем Bind:

# service bind stop
# service bind disable

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Ставим Самбу:

# apt-get install samba
# service samba start
# service samba enable

Запускаем службу OpenLDAP:

# service slapd start
# service slapd enable

В Альтератор-Сеть-Ethernet интерфейсы меняем имя сервера:

dc1

Идем в веб-альтератор:

• Колонка слева Система - Домен
• Тип домена - ALT-домен
• вводим имя домена, например, petr.ru
• Применить

Перезагружаем веб-сервер:

# reboot

Добавление пользователей

Идем в веб-альтератор:

• Колонка слева Пользователи - Пользователи
• Выбор источника - База LDAP на этом сервере
• Создаем пользователей

Подключение компьютера

Ставим пакеты:

apt-get install sssd-ldap sssd-krb5

• Открываем ЦУС
• Домен ALT Linux
• вводим домен
• ставим галочку "кэшировать аутентификацию при недоступности сервера"

Samba

Установка

Ставим SambaDC:

# apt-get install task-samba-dc

Очищаем конфигурацию:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Вводим имя компьютера и домена:

# nano /etc/sysconfig/network

hostname dc.petr.ru
domainname petr.ru

Вводим команды:

# hostname dc.petr.ru
# domainname petr.ru

Создаем домен:

samba-tool domain provision

Realm [PETR.RU]: //жмем Enter
Domain [PETR]: //жмем Enter
Server Role (dc, member, standalone) [dc]: //жмем Enter
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: //жмем Enter
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: //тут надо выставить внешний DNS, если он не прописался по-умолчанию, чтобы домен мог разрешать внешние адреса. Например 8.8.8.8.
Administrator password: //Вводим пароль администратора
Retype password: //Повторяем пароль администратора

Запускаем службу:

service samba enable
service samba start

Перезагружаем сервер.

Копируем файл настроек krb5:

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Т.к. Samba использует свой DNS-сервер удаляем bind:

# apt-get remove bind

Выполняем:

service network restart

Проверка работоспособности:

1)

# samba-tool domain info 127.0.0.1

2)

# smbclient -L localhost -U administrator

3)

host petr.ru

(адрес должен иметь адрес 127.0.0.1)
4)Проверяем имена хостов:

адрес _kerberos._udp.*адрес домена с точкой

# host -t SRV _kerberos._udp.petr.ru.
_kerberos._udp.petr.ru has SRV record 0 100 88 dc.petr.ru.

адрес _ldap._tcp.*адрес домена с точкой

# host -t SRV _ldap._tcp.petr.ru.
_ldap._tcp.petr.ru has SRV record 0 100 389 dc.petr.ru.

адрес хоста.*адрес домена с точкой

# host -t A dc.petr.ru.
dc.petr.ru has address 10.0.2.5

5)Проверяем Kerberos

# kinit administrator

Password for administrator@PETR.RU: Warning: Your password will expire in 41 days on Чт 29 апр 2021 18:25:49

6)Просмотр полученного билета:

# klist

Управление пользователями

Создать пользователя с паролем[1], :

samba-tool user create <имя пользователя>
samba-tool user setexpiry <имя пользователя>

Например,

samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@stand.alt'

Просмотреть доступных пользователей:

samba-tool user list

Удалить пользователя:

samba-tool user delete <имя пользователя>

Отключить пользователя:

samba-tool user disable <имя пользователя>

Включить пользователя:

samba-tool user enable <имя пользователя>

Изменить пароль пользователя:

samba-tool user setpassword <имя пользователя>

Не забудьте разблокировать пользователя:

samba-tool user setexpiry <имя пользователя> --noexpiry

Если компьютер с таким именем заведён, удалить его можно командой:

pdbedit -x -m <имя>

Подключение компьютера

Ставим пакет:

apt-get install task-auth-ad-sssd

• через Synaptic ставим пакет etcnet-full
• через Synaptic ставим пакет wicd-gtk
• через Synaptic удаляем все пакеты NetworkManager

Настраиваем сеть:

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/eth0

Правим настройки

nano options

BOOTPROTO=static
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address

10.0.2.10/24

Правим настройки шлюза:

nano ipv4route

default via 10.0.2.1

Домены по-умолчанию и DNS-сервера:

nano resolv.conf

search petr.ru
nameserver 10.0.2.5 //адрес Samba-сервера

Перезапускаем сеть:

service network restart

Т.к. Samba использует свой DNS-сервер удаляем bind:

# apt-get remove bind

Правим:

# nano /etc/sudoers

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL

user ALL=(ALL:ALL)ALL

Синхронизируем время:

net time set -S petr.ru

• ЦУС-Пользователи-Аутентификация
  • Домен AD:
  • домен petr.ru
  • рабочая группа: PETR
  • имя компьютера: вводим свое
  • Вводим пароль доменного администратора
  • Перезагружаемся

Поэтому мы делаем небольшой хак, делаем скрипт, который при запуксе системы будет перезапускать службу сети.

# cd /etc/systemd/system

# nano network-restart.service

Вводим в текстовом редакторе:

[Unit]
Description=Restart Network
After=default.target

[Service]
ExecStart=service network restart

[Install]
WantedBy=default.target

# systemctl daemon-reload

# systemctl enable network-restart

Libvirt

См. здесь.

Прозрачной сети не получится, только NAT.