Skip to main content

установка ald pro

Рабочий гайд по установке AldPro и дальнейшей настройке

Я использовал hyper v машина 6 ядра(это много можно поставить меньше ~4) 8 гб

При работе в hyper v после добавления машины выключаем безопасную загрузку(иначе не стратанет, и автоматические контрольные точки)

image.png

image.png

image.png

Качаем образ по ссылки нижи все действия были выполнены на нем

нам нужна 1.7.2-11.08.2022_15.28

https://dsm.kurukurucruise.ru/sharing/gju7mtd63

https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/iso/1.7.2-11.08.2022_15.28.iso

Исходные данные:

Имя сервера: astra_aldpro_3

image.png

IP-адрес сервера: 192.168.0.215

Имя домена: ald.local (задать при установке)

Для установки нам потребуются:
  • обязательно именно эта версия образа (по ссылке выше)

apt upgrade не запускайте он может сработать в 1 раз из 100 но это зачастую будет убийство системы

  • Версии ОС на сервере и клиенте должны совпадать (то есть если сервер 1.7.2 то и клиентская машина 1.7.2)
  • Минимальная длина пароля 9 символов, но нельзя использовать символ $, ~ . %
  • При установки поставь галочку на установить ssh чтоб потом это не делать

Подготовка к установке ALD PRO

image.png












сразу как только увидели систему открываем терминал fly, настраиваем сеть

sudo nano /etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.0.215
netmask 255.255.255.0
gateway 192.168.0.1

image.png

казываем dns в файле

sudo nano /etc/resolv.conf
nameserver 1.1.1.1
search ald.local

сохраняем затем выключаем NetManeger

sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
sudo ip addr flush dev eth0
sudo systemctl restart networking

проверяем что есть сеть ping 8.8.8.8

Затем подключаемся к серверу по ssh например через cmd - "имя пользовтеля"@"айпи" (без кавычек) или через любую другую утилиту putty и тд.. вылезет подтверждение сертификата пишем "yes"

image.png

Указываем имя контроллера домена

sudo hostnamectl set-hostname srv-ald.ald.local
sudo nano /etc/hosts
127.0.0.1     localhost.localdomain localhost
192.168.0.215  srv-ald.ald.local srv-ald
127.0.1.1     srv-ald

Подключаем репозитории:

все репозитории кроме этих выключаем

sudo nano /etc/apt/sources.list

deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-base 1.7_x86-64 main non-free contrib
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.3/repository-extended 1.7_x86-64 main contrib non-free


sudo nano /etc/apt/sources.list.d/aldpro.list

deb https://dl.astralinux.ru/aldpro/stable/repository-main/ 2.1.0 main
deb https://dl.astralinux.ru/aldpro/stable/repository-extended/ generic main

Создаем файл приоритета

sudo nano /etc/apt/preferences.d/aldpro

Со следующим содержимым

Package: *
Pin: release n=generic
Pin-Priority: 900

Обновляем и перезагружаем!

sudo apt update && sudo apt dist-upgrade -y

Если вылезает такая ошибка

image.png

# Завершаем все процессы apt
sudo killall apt apt-get dpkg

# Если не помогает, принудительное завершение
sudo kill -9 $(pgrep apt)
sudo kill -9 $(pgrep dpkg)

image.png

обновляемся, если вдруг сталкиваемся с тем что загрузка падает в скорости или она изначально около 100 кб/сек останавливаем и запускаем заново

image.png

после перезапуска а делал я это часто(на самом деле кайф если ты ставишь в какой нибудь канторе можно просто 4 часа отдыхать, а если кто то спросит что ты ниче не делаешь, показываешь и говоришь что обновление ставлю, какой бред)

image.png

Перезагружаемся

sudo reboot

Установка ALD PRO

Устанавливаем портал управления ALDPro (он подтянет все остальное):

sudo DEBIAN_FRONTEND=noninteractive apt-get install -q -y aldpro-mp

в моментах придется очень долго ждать.

После окончания не перезагружаться! Скорректируйте записи в resolv.conf

sudo nano /etc/resolv.conf
nameserver 127.0.0.1
search ald.domain.ru

Выполняем продвижение сервера до роли контроллера домена командой :

sudo aldpro-server-install -d ald.local -n srv-ald -p PaSsWorD1234 --ip 192.168.0.215 --no-reboot

если установка прошла успешно то тебя без ошибок выкинет в консоль

image.png


image.png
https://192.168.0.215 (именно по https, по стоку доступ по http запрещен)

При возникновении ошибок неизвестного характера читаем:

14_Instruktsiya_Razvertyvanie_ALD_Pro_v_virtualnoy_srede_znakomstvo_s_ALD_Pro_.pdf

Практические 1-2.docx

https://itproblog.ru/установка-ald-pro/

https://www.aldpro.ru/professional/ALD_Pro_Module_02/ALD_Pro_deployment.html

https://chat.deepseek.com

После установки часть служб может не работать, причина непонятно но это чиниться простым запуском

systemctl list-unit-files | grep -E "(samba|smbd|nmbd|winbind|krb5)"

image.png

Если наблюдаем похожую картину то запускаем их вручную

sudo systemctl enable smbd nmbd winbind krb5-kdc krb5-admin-server
sudo systemctl start smbd nmbd winbind krb5-kdc krb5-admin-server
sudo systemctl status smbd nmbd winbind krb5-kdc krb5-admin-server

image.png

После этого все сервисы в автозагрузке и все должно работать.

С чем связана это проблема непонятно, скорее всего с высокими интеллектуальными способностями людей которые разрабатывали этот наипрекраснейший продукт или из за фантомных конфликтов служб, разбираться мне не особо хочется, дабы не увязнуть в этом болоте.

Аутентификацию через Kerberos можете не пробовать она не будет работать!!

Если FreeIPA уже работает, то настраивать отдельный Kerberos нет необходимости и даже вредно!

FreeIPA уже включает в себя:

  • ✅ Встроенный KDC (Kerberos сервер)
  • ✅ Встроенную базу пользователей
  • ✅ DNS сервер
  • ✅ LDAP сервер
  • ✅ Управление политиками
Да кстати заходит в доме на контроллере домена - плохая идея, такая функция не предусмотрена ввиду ненастроенных политики и безопасности, только локальный вход иначе вход зависнет на сером экране!!!

Возникает вопрос почему например в Active Directory таких проблем нет:

🖥️ Windows Server vs Linux FreeIPA
Windows Server (Active Directory)
  • ✅ Разрешает интерактивный вход на контроллер домена
  • ✅ Специальные группы: "Domain Admins", "Enterprise Admins"
  • ✅ По умолчанию настроены политики для такого доступа
  • ✅ Графический интерфейс предназначен для администрирования
Linux FreeIPA
  • ❌ Запрещает интерактивный вход на контроллер домена по умолчанию
  • 🔒 Это осознанное решение безопасности
  • 🛡️ Контроллер рассматривается как критическая инфраструктура

🔐 Причины такого подхода в FreeIPA:

1. Безопасность
  • Минимизация поверхности атаки
  • Нет интерактивных сессий - меньше уязвимостей
2. Стабильность
  • Контроллер должен быть максимально стабильным
  • Интерактивные сессии могут привести к случайным изменениям
3. Идеология Unix/Linux
  • "Одна служба - одна функция"
  • Серверы должны управляться удаленно

При успешном входе в систему доменным пользователем в связке ключей должен появиться TGT-билет, что можно проверить с помощью команды klist

image.png

Back to top