ALT Domain: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
 
(не показано 5 промежуточных версий 2 участников)
Строка 1: Строка 1:
{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].<br>
30 мая 2023<br>
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт».
[https://www.basealt.ru/about/news/archive/view/gruppovye-politiki-v-linux-kak-v-windows-s-bazalt-spo-ehto-vozmozhno Новое решение «Альт Домен»] позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.
}}
== Что это такое==
== Что это такое==
Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты)  
Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты)  
Строка 9: Строка 14:
*LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
*LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
*Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
*Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
*SAMBA (раздающая единый для всех каталог /share)
*SAMBA (раздающая единый для всех каталог share)


На клиенте настраиваются следующие службы:
На клиенте настраиваются следующие службы:
Строка 17: Строка 22:


== Как присоединить клиента (ALT) ==
== Как присоединить клиента (ALT) ==
Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)


== Как присоединить клиента (другие ОС) ==
== Как присоединить клиента (другие ОС) ==
=== Ubuntu ===
=== Ubuntu ===
Настройка выполнялась для Ubuntu-11.04
*Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
*В процессе debconf спросит нас параметры ldap. Задаём:
**ldaps://ldap.example.com
**dc=example,dc=com
*убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
*sudo auth-client-config -t nss -p lac_ldap
*проверяем работу nss (id <domain_user>)
*добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
*можем выполнять вход в систему под <domain_user>
Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:
*apt-get install cifs-utils
*заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
*монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.

Текущая версия от 12:42, 30 мая 2023

Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.

Что это такое

Начиная с дистрибутивов Пятая_платформа существует решение для развёртывания инфраструктуры (сервер-клиенты) "из коробки". Это решение называется "ALT Domain"

Из чего состоит

ALT Domain состоит из следующих сервисов:

  • DDNS (bind),обслуживающий домен example.com
  • DHCP, обслуживающий локальную сеть
  • LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
  • Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
  • SAMBA (раздающая единый для всех каталог share)

На клиенте настраиваются следующие службы:

  • nss-ldap
  • pam-krb5
  • pam-mount + avahi (для автомонтирования /share при входе по krb-тикету)

Как присоединить клиента (ALT)

Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)

Как присоединить клиента (другие ОС)

Ubuntu

Настройка выполнялась для Ubuntu-11.04

  • Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
  • В процессе debconf спросит нас параметры ldap. Задаём:
    • ldaps://ldap.example.com
    • dc=example,dc=com
  • убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
  • sudo auth-client-config -t nss -p lac_ldap
  • проверяем работу nss (id <domain_user>)
  • добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
  • можем выполнять вход в систему под <domain_user>

Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:

  • apt-get install cifs-utils
  • заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
  • монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.