ALT Domain

Материал из ALT Linux Wiki
Версия для печати больше не поддерживается и может содержать ошибки обработки. Обновите закладки браузера и используйте вместо этого функцию печати браузера по умолчанию.
Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.

Что это такое

Начиная с дистрибутивов Пятая_платформа существует решение для развёртывания инфраструктуры (сервер-клиенты) "из коробки". Это решение называется "ALT Domain"

Из чего состоит

ALT Domain состоит из следующих сервисов:

  • DDNS (bind),обслуживающий домен example.com
  • DHCP, обслуживающий локальную сеть
  • LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
  • Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
  • SAMBA (раздающая единый для всех каталог share)

На клиенте настраиваются следующие службы:

  • nss-ldap
  • pam-krb5
  • pam-mount + avahi (для автомонтирования /share при входе по krb-тикету)

Как присоединить клиента (ALT)

Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)

Как присоединить клиента (другие ОС)

Ubuntu

Настройка выполнялась для Ubuntu-11.04

  • Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
  • В процессе debconf спросит нас параметры ldap. Задаём:
    • ldaps://ldap.example.com
    • dc=example,dc=com
  • убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
  • sudo auth-client-config -t nss -p lac_ldap
  • проверяем работу nss (id <domain_user>)
  • добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
  • можем выполнять вход в систему под <domain_user>

Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:

  • apt-get install cifs-utils
  • заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
  • монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.