установка ald pro
Рабочий гайд по установке AldPro и дальнейшей настройке
Я использовал hyper v машина 6 ядра(это много можно поставить меньше ~4) 8 гб
При работе в hyper v после добавления машины выключаем безопасную загрузку(иначе не стратанет, и автоматические контрольные точки)
Качаем образ по ссылки нижи все действия были выполнены на нем
нам нужна 1.7.2-11.08.2022_15.28
https://dsm.kurukurucruise.ru/sharing/gju7mtd63
https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/iso/1.7.2-11.08.2022_15.28.iso
Исходные данные:
Имя сервера: astra_aldpro_3
IP-адрес сервера: 192.168.0.215
Имя домена: ald.local (задать при установке)
Для установки нам потребуются:
- обязательно именно эта версия образа (по ссылке выше)
apt upgrade не запускайте он может сработать в 1 раз из 100 но это зачастую будет убийство системы
- Версии ОС на сервере и клиенте должны совпадать (то есть если сервер 1.7.2 то и клиентская машина 1.7.2)
- Минимальная длина пароля 9 символов, но нельзя использовать символ $, ~ . %
- При установки поставь галочку на установить ssh чтоб потом это не делать
Подготовка к установке ALD PRO
сразу как только увидели систему открываем терминал fly, настраиваем сеть
sudo nano /etc/network/interfacesauto eth0
iface eth0 inet static
address 192.168.0.215
netmask 255.255.255.0
gateway 192.168.0.1
казываем dns в файле
sudo nano /etc/resolv.confnameserver 1.1.1.1
search ald.localсохраняем затем выключаем NetManeger
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
sudo ip addr flush dev eth0
sudo systemctl restart networkingпроверяем что есть сеть ping 8.8.8.8
Затем подключаемся к серверу по ssh например через cmd - "имя пользовтеля"@"айпи" (без кавычек) или через любую другую утилиту putty и тд.. вылезет подтверждение сертификата пишем "yes"
Указываем имя контроллера домена
sudo hostnamectl set-hostname srv-ald.ald.localsudo nano /etc/hosts127.0.0.1 localhost.localdomain localhost
192.168.0.215 srv-ald.ald.local srv-ald
127.0.1.1 srv-aldПодключаем репозитории:
все репозитории кроме этих выключаем
sudo nano /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-base 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-extended 1.7_x86-64 main contrib non-free
sudo nano /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/stable/repository-main/ 2.1.0 main
deb https://dl.astralinux.ru/aldpro/stable/repository-extended/ generic mainСоздаем файл приоритета
sudo nano /etc/apt/preferences.d/aldproСо следующим содержимым
Package: *
Pin: release n=generic
Pin-Priority: 900Обновляем и перезагружаем!
sudo apt update && sudo apt dist-upgrade -yПерезагружаемся
sudo rebootУстановка ALD PRO
Устанавливаем портал управления ALDPro (он подтянет все остальное):
sudo DEBIAN_FRONTEND=noninteractive apt-get install -q -y aldpro-mpв моментах придется очень долго ждать.
После окончания не перезагружаться! Скорректируйте записи в resolv.conf
sudo nano /etc/resolv.confnameserver 127.0.0.1
search ald.domain.ruВыполняем продвижение сервера до роли контроллера домена командой :
sudo aldpro-server-install -d ald.local -n srv-ald -p PaSsWorD1234 --ip 192.168.0.215 --no-rebootесли установка прошла успешно то тебя без ошибок выкинет в консоль
https://192.168.0.215 (именно по https, по стоку доступ по http запрещен)
При возникновении ошибок неизвестного характера читаем:
14_Instruktsiya_Razvertyvanie_ALD_Pro_v_virtualnoy_srede_znakomstvo_s_ALD_Pro_.pdfhttps://itproblog.ru/установка-ald-pro/
https://www.aldpro.ru/professional/ALD_Pro_Module_02/ALD_Pro_deployment.html
После установки часть служб может не работать, причина непонятно но это чиниться простым запуском
systemctl list-unit-files | grep -E "(samba|smbd|nmbd|winbind|krb5)"
Если наблюдаем похожую картину то запускаем их вручную
sudo systemctl enable smbd nmbd winbind krb5-kdc krb5-admin-server
sudo systemctl start smbd nmbd winbind krb5-kdc krb5-admin-server
sudo systemctl status smbd nmbd winbind krb5-kdc krb5-admin-server
После этого все сервисы в автозагрузке и все должно работать.
С чем связана это проблема непонятно, скорее всего с высокими интеллектуальными способностями людей которые разрабатывали этот наипрекраснейший продукт или из за фантомных конфликтов служб, разбираться мне не особо хочется, дабы не увязнуть в этом болоте.
Аутентификацию через Kerberos можете не пробовать она не будет работать!!
Если FreeIPA уже работает, то настраивать отдельный Kerberos нет необходимости и даже вредно!
FreeIPA уже включает в себя:
- ✅ Встроенный KDC (Kerberos сервер)
- ✅ Встроенную базу пользователей
- ✅ DNS сервер
- ✅ LDAP сервер
- ✅ Управление политиками
Да кстати заходит в доме на контроллере домена - плохая идея, такая функция не предусмотрена ввиду ненастроенных политики и безопасности, только локальный вход иначе вход зависнет на сером экране!!!
Возникает вопрос почему например в Active Directory таких проблем нет:
🖥️ Windows Server vs Linux FreeIPA
Windows Server (Active Directory)
- ✅ Разрешает интерактивный вход на контроллер домена
- ✅ Специальные группы: "Domain Admins", "Enterprise Admins"
- ✅ По умолчанию настроены политики для такого доступа
- ✅ Графический интерфейс предназначен для администрирования
Linux FreeIPA
- ❌ Запрещает интерактивный вход на контроллер домена по умолчанию
- 🔒 Это осознанное решение безопасности
- 🛡️ Контроллер рассматривается как критическая инфраструктура
🔐 Причины такого подхода в FreeIPA:
1. Безопасность
- Минимизация поверхности атаки
- Нет интерактивных сессий - меньше уязвимостей
2. Стабильность
- Контроллер должен быть максимально стабильным
- Интерактивные сессии могут привести к случайным изменениям
3. Идеология Unix/Linux
- "Одна служба - одна функция"
- Серверы должны управляться удаленно
При успешном входе в систему доменным пользователем в связке ключей должен появиться TGT-билет, что можно проверить с помощью команды klist
