Alterator-net-domain

Материал из ALT Linux Wiki

Название пакета

alterator-net-domain

Назначение

Модуль Домен предназначен для развертывания доменной структуры.

Поддерживает следующие виды доменов:

  • ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos.
  • Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.
  • FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.
  • DNS — обслуживание только запросов DNS указанного домена сервисом BIND.

Запуск

Модуль alterator-net-domain доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система → Домен):

Веб-интерфейс модуля alterator-net-domain

Использование модуля

ALT-домен

В этой группе настраивается домен LDAP/Kerberos, который позволяет:

  • вести централизованную базу пользователей и групп;
  • аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля;
  • использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki);
  • автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf;
  • использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги;
  • аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows.

Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен

Внимание! Домен нужно устанавливать только после настройки сервера DHCP (см. Модуль DHCP). В противном случае придётся выбирать другое имя домена.


Имя домена должно соответствовать RFC 1035 и удовлетворять следующим правилам:

  1. Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
  2. Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
  3. Компонент имени домена не должен превышать 63 символов.
  4. Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.

Примеры: domain, school-33, department.company

Создание домена

Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».

Примечание: Обратите внимание на успешную диагностику работы всех необходимых служб: ALT-домен


После успешного создания домена необходимо перезагрузить компьютер.

Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле Пользователи, настраивать группы в модуле Группы.

Настройка рабочих станций

Настройка рабочих станций для использования централизованной аутентификации производится в центре управления системы в разделе Аутентификация:

Настройка рабочих станций для использования централизованной аутентификации

При установке по сети с настроенного сервера домена, централизованная аутентификация настраивается автоматически.

Active Directory

Подробное описание технологии https://www.altlinux.org/AD

Инициализация домена

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

  1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера и DNS 127.0.0.1:
    Ethernet-интерфейсы
  2. В модуле Домен указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»:
    Создание домена в ЦУС
  3. После успешного создания домена, будет выведена информация о домене:
    Создание домена в ЦУС
  4. Перегрузить сервер.
Внимание! Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.


Настройка рабочих станций

Предварительно в модуле Ethernet-интерфейсы необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска:

Настройка сети

Примечание: После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.


Ввод в домен можно осуществить в разделе Аутентификация:

  1. Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»:
    Ввод рабочей станции в домен Active Directory
  2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
    Запрос пароля администратора Active Directory
  3. При успешном подключении к домену, отобразится соответствующая информация:
    Успешное подключение к Active Directory
  4. Перезагрузить рабочую станцию.

FreeIPA

Подробное описание технологии https://www.altlinux.org/FreeIPA

Инициализация домена

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

  1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера:
    Ethernet-интерфейсы
  2. В модуле Домен указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»:
    Создание домена FreeIPA в ЦУС
  3. Дождаться создания домена, будет выведена информация о домене:
  1. Перегрузить сервер.
Внимание! Пароли должны быть не менее 8 символов


Веб-интерфейс будет доступен по адресу https://ipa.example.test/ipa/ui/.

Настройка рабочих станций

Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в модуле Ethernet-интерфейсы: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска

Настройка на использование DNS-сервера FreeIPA

Примечание: После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.


Ввод в домен можно осуществить в разделе Аутентификация:

  1. Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»:
    Ввод рабочей станции в домен FreeIPA
  2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
    Запрос пароля администратора FreeIPA
  3. При успешном подключении к домену, отобразится соответствующая информация:
    Успешное подключение к FreeIPA
  4. Перезагрузить рабочую станцию.

Только DNS

Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS.