====== ALDPro ======
===== aldpdc01 =====
Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
cat /etc/astra/build_version
sudo astra-modeswitch getname
#sudo astra-modeswitch set 2
При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
#timestamp_timeout
sudo nano /etc/sudoers
Вырезать networkmanager (в случае инсталляции fly-dm)
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Установить статический IP
sudo tee /etc/network/interfaces << EOF
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.2.0.10
netmask 255.255.255.0
gateway 10.2.0.1
EOF
sudo tee /etc/resolv.conf << EOF
nameserver 10.2.0.10
nameserver 10.2.0.11
search ald.company.lan
EOF
sudo systemctl restart networking
Настроить имя хоста
sudo hostnamectl set-hostname aldpdc01.ald.company.lan
sudo tee /etc/hosts << EOF
127.0.0.1 localhost.localdomain localhost
10.2.0.10 aldpdc01.ald.company.lan aldpdc01
EOF
Добавить интернет репозитории
sudo tee /etc/apt/sources.list << EOF
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
EOF
Добавить репозиторий ALDPro
sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
EOF
sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
Установка пакетов ALDPro
sudo DEBIAN_FRONTEND=noninteractive apt install -q -y aldpro-mp aldpro-gc aldpro-syncer
Ввод в домен
sudo aldpro-server-install -d ald.company.lan -n aldpdc01 -p 'P@ssw0rd' --ip 10.2.0.10 --no-reboot --setup_syncer --setup_gc
Проверка статуса поднятия домена
sudo aldproctl status
sudo ipactl status
Отключение DNSSEC
sudo sed -i 's/dnssec-validation yes/dnssec-validation no/g' /etc/bind/ipa-options-ext.conf
sudo systemctl restart bind9-pkcs11.service
sudo tee -a /etc/bind/ipa-options-ext.conf << EOF
allow-recursion { any; };
allow-query-cache { any; };
EOF
Настройка глобального перенаправления DNS
* Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS
* Указать IP-адрес внешнего резолвера
Добавить права для УЗ admin
kinit
ipa group-add-member 'ald trust admin' --user admin
===== aldppc01 =====
Настроить имя хоста
sudo hostnamectl set-hostname aldppc01.ald.company.lan
sudo tee /etc/hosts << EOF
127.0.0.1 localhost.localdomain localhost
10.2.0.101 aldppc01.ald.company.lan aldppc01
EOF
sudo tee -a /etc/apt/sources.list << EOF
deb https://dl.astralinux.ru/astra/frozen/1.8_x86-64/1.8.1/repository-main/ 1.8_x86-64 main contrib non-free non-free-firmware
EOF
sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
deb https://dl.astralinux.ru/aldpro/frozen/01/2.4.1 1.8_x86-64 main base
EOF
sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
Установка пакетов ALDPro
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
Ввод в домен
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldppc01 --gui --force
# --organizational-unit "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"
===== Реплика aldpdc02 =====
Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
cat /etc/astra/build_version
sudo astra-modeswitch getname
#sudo astra-modeswitch set 2
При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
#timestamp_timeout
sudo nano /etc/sudoers
Вырезать networkmanager (в случае инсталляции fly-dm)
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Установить статический IP
sudo tee /etc/network/interfaces << EOF
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.2.0.11
netmask 255.255.255.0
gateway 10.2.0.1
EOF
sudo tee /etc/resolv.conf << EOF
nameserver 10.2.0.10
nameserver 10.2.0.11
search ald.company.lan
EOF
sudo systemctl restart networking
Настроить имя хоста
sudo hostnamectl set-hostname aldpdc02.ald.company.lan
sudo tee /etc/hosts << EOF
127.0.0.1 localhost.localdomain localhost
10.2.0.11 aldpdc02.ald.company.lan aldpdc02
EOF
Добавить интернет репозитории
sudo tee /etc/apt/sources.list << EOF
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
EOF
Добавить репозиторий ALDPro
sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
EOF
sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
Установка пакетов ALDPro
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
На этапе ввода в домен
sudo tee /etc/resolv.conf << EOF
search ald.company.lan
nameserver 10.2.0.10
EOF
Заблокировать изменение файла
sudo chattr +i /etc/resolv.conf
После ввода в домен
sudo chattr -i /etc/resolv.conf
sudo tee /etc/resolv.conf << EOF
nameserver 127.0.0.1
search ald.company.lan
EOF
Ввод в домен
set +o history
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldpdc02 --gui --force
Выполнить перезагрузку
sudo reboot
Отключение DNSSEC
sudo sed -i 's/dnssec-validation yes/dnssec-validation no/g' /etc/bind/ipa-options-ext.conf
sudo systemctl restart bind9-pkcs11.service
Настройка глобального перенаправления DNS
* Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS
* Указать IP-адрес внешнего резолвера
==== Поднять роль до резервного КД ====
Продвижение резервного Контроллера Домена осуществляется с Портала Управления на странице Управление доменом > Сайты и службы > Контроллеры домена. \\
* Нажать кнопку [Новый контроллер домена],
* выбрать из списка сервер dc-2.ald.company.lan и
* остальные параметры, как показано на Добавление нового контроллера домена.
{{ :russianway:astra_praktikum:pasted:20250402-171417.png }}
Форсировать продвижение:
sudo aldpro-roles --iud --action install
===== Репозиторий Aldprepo01 =====
Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
cat /etc/astra/build_version
sudo astra-modeswitch getname
#sudo astra-modeswitch set 2
При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
#timestamp_timeout
sudo nano /etc/sudoers
Вырезать networkmanager (в случае инсталляции fly-dm)
sudo systemctl stop NetworkManager && \
sudo systemctl disable NetworkManager && \
sudo systemctl mask NetworkManager && \
sudo systemctl status NetworkManager
Установить статический IP
sudo tee /etc/network/interfaces << EOF
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.2.0.12
netmask 255.255.255.0
gateway 10.2.0.1
EOF
sudo tee /etc/resolv.conf << EOF
nameserver 10.2.0.10
nameserver 10.2.0.11
search ald.company.lan
EOF
sudo systemctl restart networking
Настроить имя хоста
sudo hostnamectl set-hostname aldprepo01.ald.company.lan
sudo tee /etc/hosts << EOF
127.0.0.1 localhost.localdomain localhost
10.2.0.12 aldprepo01.ald.company.lan aldprepo01
EOF
Добавить интернет репозитории
sudo tee /etc/apt/sources.list << EOF
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
EOF
Добавить репозиторий ALDPro
sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
EOF
sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
Установка пакетов ALDPro
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
===Ввод в домен===
set +o history
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'P@ssw0rd' --host aldprepo01 --gui --force
Выполнить перезагрузку
sudo reboot
===== Трасты с доменом AD=====
Conditional forwarder
ipa dnsforwardzone-add win.ad --forwarder=10.2.0.21 --forward-policy=only --skip-overlap-check
#test
ipa dnsforwardzone-show win.ad
ping windc.win.ad
dig SRV _ldap._tcp.win.ad
dig SRV _kerberos._tcp.win.ad
TimeSync
w32tm /config /reliable:yes /syncfromflags:manual /manualpeerlist:"ntp.msk-ix.ru" /update
net stop w32time
net start w32time
w32tm /resync
w32tm /monitor /computers:"ntp.msk-ix.ru"
w32tm /stripchart /computer:ntp.msk-ix.ru
Подготовка к "доверительным отношениям", если вы понимаете о чем я...
#sudo ipa-adtrust-install
ipa trustconfig-show
ipa -d -v trust-add --type=ad win.ad --admin intern --password --two-way=true
===== Помогашки =====
* sudo aldpro-gpupdate --swp [--gp] - толкнуть групповые политики
* sudo aldpro-roles --iud --action install - толкнуть установку ролей