Инструменты пользователя

Инструменты сайта

Вы посетили:
russianway:astra_praktikum:aldpro

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
russianway:astra_praktikum:aldpro [2025/04/01 18:48] rootrussianway:astra_praktikum:aldpro [2025/04/06 16:24] (текущий) – [Помогашки] root
Строка 1: Строка 1:
 ====== ALDPro ====== ====== ALDPro ======
- +===== aldpdc01 =====
-====== aldpdc01 =====+
 Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск. Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
 <code bash> <code bash>
Строка 33: Строка 31:
   netmask 255.255.255.0   netmask 255.255.255.0
   gateway 10.2.0.1   gateway 10.2.0.1
-  dns-search ald.company.lan 
-  dns-nameserver 77.88.8.8 
 EOF EOF
 </code> </code>
 +<code bash>
 +sudo tee /etc/resolv.conf << EOF
 +nameserver 10.2.0.10
 +nameserver 10.2.0.11
 +search ald.company.lan
 +EOF
 +</code>
 +
 <code bash> <code bash>
 sudo systemctl restart networking sudo systemctl restart networking
Строка 95: Строка 99:
 sudo systemctl restart bind9-pkcs11.service sudo systemctl restart bind9-pkcs11.service
 </code> </code>
 +<code bash> 
 +sudo tee -a /etc/bind/ipa-options-ext.conf << EOF 
 +allow-recursion { any; }; 
 +allow-query-cache { any; }; 
 +EOF 
 +</code>
 Настройка глобального перенаправления DNS Настройка глобального перенаправления DNS
     * Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS     * Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS
Строка 101: Строка 110:
  
  
- +Добавить права для УЗ admin 
- +<code bash> 
-====== aldppc01 =====+kinit 
- +ipa group-add-member 'ald trust admin' --user admin 
 +</code> 
 +===== aldppc01 =====
 Настроить имя хоста Настроить имя хоста
 <code bash> <code bash>
Строка 140: Строка 150:
 Ввод в домен Ввод в домен
 <code bash> <code bash>
-sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'P@ssw0rd' --host aldppc01 --gui --force --organizational-unit +sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldppc01 --gui --force 
-"ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"+--organizational-unit "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"
 </code> </code>
 +
 +
 +===== Реплика aldpdc02 =====
 +
 +Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
 +<code bash>
 +cat /etc/astra/build_version
 +sudo astra-modeswitch getname
 +#sudo astra-modeswitch set 2
 +</code>
 +При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
 +<code bash>
 +#timestamp_timeout
 +sudo nano /etc/sudoers
 +</code>
 +Вырезать networkmanager (в случае инсталляции fly-dm)
 +<code bash>
 +sudo systemctl stop NetworkManager
 +sudo systemctl disable NetworkManager
 +sudo systemctl mask NetworkManager
 +sudo systemctl status NetworkManager
 +</code>
 +
 +Установить статический IP
 +<code bash>
 +sudo tee /etc/network/interfaces << EOF
 +auto lo
 +iface lo inet loopback
 +
 +auto eth0
 +iface eth0 inet static
 +  address 10.2.0.11
 +  netmask 255.255.255.0
 +  gateway 10.2.0.1
 +EOF
 +</code>
 +<code bash>
 +sudo tee /etc/resolv.conf << EOF
 +nameserver 10.2.0.10
 +nameserver 10.2.0.11
 +search ald.company.lan
 +EOF
 +</code>
 +<code bash>
 +sudo systemctl restart networking
 +</code>
 +Настроить имя хоста
 +<code bash>
 +sudo hostnamectl set-hostname aldpdc02.ald.company.lan
 +</code>
 +<code bash>
 +sudo tee /etc/hosts << EOF
 +127.0.0.1 localhost.localdomain localhost
 +10.2.0.11 aldpdc02.ald.company.lan aldpdc02
 +EOF
 +</code>
 +
 +Добавить интернет репозитории
 +<code bash>
 +sudo tee /etc/apt/sources.list << EOF
 +deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
 +deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
 +EOF
 +</code>
 +
 +Добавить репозиторий ALDPro
 +<code  bash>
 +sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
 +deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
 +EOF
 +</code>
 +
 +<code bash>
 +sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
 +</code>
 +
 +Установка пакетов ALDPro
 +<code bash>
 +sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
 +</code>
 +
 +На этапе ввода в домен
 +<code bash>
 +sudo tee /etc/resolv.conf << EOF
 +search ald.company.lan
 +nameserver 10.2.0.10
 +EOF
 +</code>
 +Заблокировать изменение файла
 +<code bash>
 +sudo chattr +i /etc/resolv.conf
 +</code>
 +
 +
 +
 +
 +После ввода в домен
 +<code bash>
 +sudo chattr -i /etc/resolv.conf
 +</code>
 +<code bash>
 +sudo tee /etc/resolv.conf << EOF
 +nameserver 127.0.0.1
 +search ald.company.lan
 +EOF
 +</code>
 +
 +
 +
 +
 +
 +Ввод в домен
 +<code bash>
 +set +o history
 +sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password '1qaz@WSX' --host aldpdc02 --gui --force
 +</code>
 +
 +Выполнить перезагрузку
 +<code bash>
 +sudo reboot
 +</code>
 +
 +
 +Отключение DNSSEC
 +<code bash>
 +sudo sed -i 's/dnssec-validation yes/dnssec-validation no/g' /etc/bind/ipa-options-ext.conf
 +</code>
 +<code bash>
 +sudo systemctl restart bind9-pkcs11.service
 +</code>
 +
 +Настройка глобального перенаправления DNS
 +    * Роли и службы сайта -> Служба разрешения имён -> Глобальная конфигурация DNS
 +    * Указать IP-адрес внешнего резолвера
 +
 +
 +==== Поднять роль до резервного КД ====
 +
 +Продвижение резервного Контроллера Домена осуществляется с Портала Управления на странице Управление доменом > Сайты и службы > Контроллеры домена. \\ 
 +  * Нажать кнопку [Новый контроллер домена],
 +  * выбрать из списка сервер dc-2.ald.company.lan и
 +  * остальные параметры, как показано на Добавление нового контроллера домена.
 +{{ :russianway:astra_praktikum:pasted:20250402-171417.png }}
 +Форсировать продвижение:
 +<code bash>
 +sudo aldpro-roles --iud --action install
 +</code>
 +===== Репозиторий Aldprepo01 =====
 +
 +Убедиться, что установлена Астра 1.7.6uu2 в режиме Смоленск.
 +<code bash>
 +cat /etc/astra/build_version
 +sudo astra-modeswitch getname
 +#sudo astra-modeswitch set 2
 +</code>
 +При необходимости увеличить таймайт запроса проля sudo c 15 минут до ...
 +<code bash>
 +#timestamp_timeout
 +sudo nano /etc/sudoers
 +</code>
 +Вырезать networkmanager (в случае инсталляции fly-dm)
 +<code bash>
 +sudo systemctl stop NetworkManager && \
 +sudo systemctl disable NetworkManager && \
 +sudo systemctl mask NetworkManager && \
 +sudo systemctl status NetworkManager
 +</code>
 +
 +Установить статический IP
 +<code bash>
 +sudo tee /etc/network/interfaces << EOF
 +auto lo
 +iface lo inet loopback
 +
 +auto eth0
 +iface eth0 inet static
 +  address 10.2.0.12
 +  netmask 255.255.255.0
 +  gateway 10.2.0.1
 +EOF
 +</code>
 +<code bash>
 +sudo tee /etc/resolv.conf << EOF
 +nameserver 10.2.0.10
 +nameserver 10.2.0.11
 +search ald.company.lan
 +EOF
 +</code>
 +<code bash>
 +sudo systemctl restart networking
 +</code>
 +Настроить имя хоста
 +<code bash>
 +sudo hostnamectl set-hostname aldprepo01.ald.company.lan
 +</code>
 +<code bash>
 +sudo tee /etc/hosts << EOF
 +127.0.0.1 localhost.localdomain localhost
 +10.2.0.12 aldprepo01.ald.company.lan aldprepo01
 +EOF
 +</code>
 +
 +Добавить интернет репозитории
 +<code bash>
 +sudo tee /etc/apt/sources.list << EOF
 +deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-main/ 1.7_x86-64 main contrib non-free
 +deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.6/uu/2/repository-base/ 1.7_x86-64 main contrib non-free
 +EOF
 +</code>
 +
 +Добавить репозиторий ALDPro
 +<code  bash>
 +sudo tee /etc/apt/sources.list.d/aldpro.list << EOF
 +deb [trusted=yes] https://dl.astralinux.ru/aldpro/frozen/01/2.4.1/ 1.7_x86-64 main base
 +EOF
 +</code>
 +
 +<code bash>
 +sudo apt update && sudo apt list --upgradable && sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
 +</code>
 +
 +Установка пакетов ALDPro
 +<code bash>
 +sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
 +</code>
 +
 +===Ввод в домен===
 +<code bash>
 +set +o history
 +sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'P@ssw0rd' --host aldprepo01 --gui --force
 +</code>
 +
 +Выполнить перезагрузку
 +<code bash>
 +sudo reboot
 +</code>
 +===== Трасты с доменом AD=====
 +Conditional forwarder
 +<code bash>
 +ipa dnsforwardzone-add win.ad --forwarder=10.2.0.21 --forward-policy=only --skip-overlap-check
 +#test
 +ipa dnsforwardzone-show win.ad
 +ping windc.win.ad
 +dig SRV _ldap._tcp.win.ad
 +dig SRV _kerberos._tcp.win.ad
 +</code>
 +TimeSync
 +<code bash>
 +w32tm /config /reliable:yes /syncfromflags:manual /manualpeerlist:"ntp.msk-ix.ru" /update
 +net stop w32time
 +net start w32time
 +w32tm /resync
 +w32tm /monitor /computers:"ntp.msk-ix.ru"
 +w32tm /stripchart /computer:ntp.msk-ix.ru
 +</code>
 +
 +Подготовка к "доверительным отношениям", если вы понимаете о чем я...
 +<code bash>
 +#sudo ipa-adtrust-install
 +ipa trustconfig-show
 +</code>
 +<code bash>
 +ipa -d -v trust-add --type=ad win.ad --admin intern --password --two-way=true
 +</code>
 +
 +===== Помогашки =====
 +  * sudo aldpro-gpupdate --swp [--gp] - толкнуть групповые политики
 +  * sudo aldpro-roles --iud --action install - толкнуть установку ролей
 +
russianway/astra_praktikum/aldpro.1743522525.txt.gz · Последнее изменение: 2025/04/01 18:48 — root