Участник:Petr-akhlamov/Советы ГИТам/Сервер-GUI: различия между версиями

Сервер на предприятии

По лицензионным соображениям Альт Сервер можно использовать на предприятии только купив лицензию. Поэтому мы воспользуемся стартовым Mate набором на базе P9, чтобы был сервер с GUI.

https://mirror.yandex.ru/altlinux-starterkits/release/

alt-p9-server-systemd-20210312-x86_64.iso

RoadMap

• Веб-сервер
• Почтовый сервер
• Терминальный сервер
• Консультант
• Сервер бэкапов
• Wiki
• request-traker
• TrueConf

Оформление

Alterator-Web

• Ставим пакеты:

# apt-get install apache2-full alterator-fbi

• Устанавливаем и запускаем серсисы апач и альтератор:

# service ahttpd start
# service ahttpd enable

• Правим файл ahttpd

# pluma /etc/ahttpd/ahttpd.conf

К строчке server-port 80 добавляем строку server-port 8080.

Заходим по адресу: http://localhost:8080

Стиль-сервер

Ставим пакеты

• branding-alt-server-*
  • alterator
  • bootloader
  • bootsplash
  • graphics
  • indexhtml

Обновляем тему grub

# update-grub

Отключение автозапуска графики

# systemctl set-default multi-user.target

Для включения обратно:

# systemctl set-default graphical.target

Запуск в tty1

# nano /etc/systemd/logind.conf

ReserveVT = 1

Запуск графики вручную

$ startx

Выход в консоль - завершение сеанса.

Настройка сети

• через Synaptic ставим пакет etcnet-full
• через Synaptic ставим пакеты wicd-gtk wicd
• через Synaptic удаляем все пакеты NetworkManager

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/eth0

Правим настройки

nano options

Для DHCP:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
BOOTPROTO=dhcp

---

Для Static:

TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address

192.168.0.5/24

Правим настройки шлюза:

nano ipv4route

default via 192.168.0.15

Домены по-умолчанию и DNS-сервера:

nano resolv.conf

search mydom1.local domain2.ru
nameserver 8.8.8.8 192.168.0.5

Перезапускаем сеть:

service network restart

Правим

# nano /etc/sudoers :

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL

user ALL=(ALL:ALL)ALL

Сервера

После установки серверов перезапускаем веб-интерфейс:

# service ahttpd restart

DHCP

# apt-get install alterator-dhcp

См. Alterator-dhcp

DNS

LDAP/Samba

или

LDAP

Установка

# apt-get install alt-domain-server alterator-openldap

Останавливаем Bind:

# service bind stop
# service bind disable

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Ставим Самбу:

# apt-get install samba
# service samba start
# service samba enable

Запускаем службу OpenLDAP:

# service slapd start
# service slapd enable

В Альтератор-Сеть-Ethernet интерфейсы меняем имя сервера:

dc1

Идем в веб-альтератор:

• Колонка слева Система - Домен
• Тип домена - ALT-домен
• вводим имя домена, например, petr.ru
• Применить

Перезагружаем веб-сервер:

# reboot

Добавление пользователей

Идем в веб-альтератор:

• Колонка слева Пользователи - Пользователи
• Выбор источника - База LDAP на этом сервере
• Создаем пользователей

Подключение компьютера

Ставим пакеты:

apt-get install sssd-ldap sssd-krb5

• Открываем ЦУС
• Домен ALT Linux
• вводим домен
• ставим галочку "кэшировать аутентификацию при недоступности сервера"

Samba

Установка

Ставим SambaDC:

# apt-get install task-samba-dc

Очищаем конфигурацию:

# rm -f /etc/samba/smb.conf
# rm -rf /var/lib/samba
# rm -rf /var/cache/samba
# mkdir -p /var/lib/samba/sysvol

Вводим имя компьютера и домена:

# nano /etc/sysconfig/network

hostname dc.petr.ru
domainname petr.ru

Вводим команды:

# hostname dc.petr.ru
# domainname petr.ru

Создаем домен:

samba-tool domain provision

Realm [PETR.RU]: //жмем Enter
Domain [PETR]: //жмем Enter
Server Role (dc, member, standalone) [dc]: //жмем Enter
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: //жмем Enter
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: //тут надо выставить внешний DNS, если он не прописался по-умолчанию, чтобы домен мог разрешать внешние адреса. Например 8.8.8.8.
Administrator password: //Вводим пароль администратора
Retype password: //Повторяем пароль администратора

Запускаем службу:

service samba enable
service samba start

Перезагружаем сервер.

Копируем файл настроек krb5:

cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

Правим файл:

nano /etc/net/ifaces/eth0/resolv.conf

В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.

Т.к. Samba использует свой DNS-сервер удаляем bind:

# apt-get remove bind

Выполняем:

service network restart

Проверка работоспособности:

1)

# samba-tool domain info 127.0.0.1

2)

# smbclient -L localhost -U administrator

3)

host petr.ru

(адрес должен иметь адрес 127.0.0.1)
4)Проверяем имена хостов:

адрес _kerberos._udp.*адрес домена с точкой

# host -t SRV _kerberos._udp.petr.ru.
_kerberos._udp.petr.ru has SRV record 0 100 88 dc.petr.ru.

адрес _ldap._tcp.*адрес домена с точкой

# host -t SRV _ldap._tcp.petr.ru.
_ldap._tcp.petr.ru has SRV record 0 100 389 dc.petr.ru.

адрес хоста.*адрес домена с точкой

# host -t A dc.petr.ru.
dc.petr.ru has address 10.0.2.5

5)Проверяем Kerberos

# kinit administrator

Password for administrator@PETR.RU: Warning: Your password will expire in 41 days on Чт 29 апр 2021 18:25:49

6)Просмотр полученного билета:

# klist

Управление пользователями

Создать пользователя с паролем[1], :

samba-tool user create <имя пользователя>
samba-tool user setexpiry <имя пользователя>

Например,

samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@stand.alt'

Просмотреть доступных пользователей:

samba-tool user list

Удалить пользователя:

samba-tool user delete <имя пользователя>

Отключить пользователя:

samba-tool user disable <имя пользователя>

Включить пользователя:

samba-tool user enable <имя пользователя>

Изменить пароль пользователя:

samba-tool user setpassword <имя пользователя>

Не забудьте разблокировать пользователя:

samba-tool user setexpiry <имя пользователя> --noexpiry

Если компьютер с таким именем заведён, удалить его можно командой:

pdbedit -x -m <имя>

Добавить группу:

samba-tool group add groupname

Добавить UNIX-группу:

samba-tool group add groupname --nis-domain=samdom --gid-number=<next available GID>

Удалить группу:

samba-tool group delete groupname

Добавить пользователя в группу:

samba-tool group addmembers "Domain Users" user
samba-tool group addmembers "Domain Users" user,user1,user2

Удалить пользователя из группы:

samba-tool group removemembers "Domain Users" user
samba-tool group removemembers "Domain Users" user,user1,user2

Пользователи группы:

samba-tool group listmembers "Domain Users" | grep username

Группы пользователя:

samba-tool user show username

Смотрим значение memberOf

Подключение компьютера

Настраиваем сеть:

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/
mkdir eth0
cd eth0

Правим настройки

nano options

BOOTPROTO=static
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address

10.0.2.10/24

Правим настройки шлюза:

nano ipv4route

default via 10.0.2.1

Домены по-умолчанию и DNS-сервера:

nano resolv.conf

search petr.ru
nameserver 10.0.2.5 //адрес Samba-сервера

Т.к. Samba использует свой DNS-сервер удаляем bind:

# apt-get remove bind

Перезапускаем сеть:

service network restart

Применяем настройки DNS:

# /etc/chroot.d/resolv.all

Проверяем, пингуется ли домен:

$ ping petr.ru
PING petr.ru (10.0.2.5) 56(84) bytes of data.
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms

Если не пингуется, проверяйте настройки сети и DNS и перезапускайте еще раз их.

Правим:

# nano /etc/sudoers

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL

user ALL=(ALL:ALL)ALL

Синхронизируем время:

# net time set -S petr.ru

Ставим пакет:

# apt-get install task-auth-ad-sssd

# apt-get install etcnet-full

# apt-get install wicd wicd-gtk

Запускаем службы wicd:

# service wicd enable
# service wicd start

Удаляем Network Manager:

# apt-get remove NetworkManager*

• ЦУС-Пользователи-Аутентификация
  • Домен AD:
  • домен petr.ru
  • рабочая группа: PETR
  • имя компьютера: вводим свое
  • Вводим пароль доменного администратора
  • Перезагружаемся

Поэтому мы делаем небольшой хак, делаем скрипт, который при запуксе системы будет перезапускать службу сети.

# cd /etc/systemd/system

# nano network-restart.service

Вводим в текстовом редакторе:

[Unit]
Description=Restart Network
After=default.target

[Service]
ExecStart=service network restart

[Install]
WantedBy=default.target

# systemctl daemon-reload

# systemctl enable network-restart

Файловый сервер

Если OpenLDAP/WORKGROUP

См. Общие папки

Если домен Samba

1.Вводим сервер в домен

2.Создаем папку

#mkdir /samba/;chmod 777 /samba
chown  :"PETR\domain users" /samba

3. Отрываем от суперпользователя файл smb.conf:

#pluma /etc/samba/smb.conf

В конец файла добавляем:

[Public] //имя ресурса
comment = //ваш комментарий
path = /home/samba //путь к папке
public=yes
writable = yes
readonly = no
browseable = yes

Если папка должна быть доступна конкретной группе, добавляем строку типа:

valid users = "@PETR\Kadry"

или

valid users = "@PETR\Domain Users"

4. Перезапускаем сервер Samba:

# service smb restart

Подключение

1. Пользователь домена открывает в ФМ Mate сервер

smb://10.0.2.7/

2.Открывает папку
3.Вводит свой доменный пароль:

• ДОМЕН
• имя пользователя
• пароль

4.ставит галочку запомнить пароль
5.в связке паролей осталяет пароль пустой, жмет ОК и соглашается
6.в автозапуск пользователю (Система-Параметры-Личные-Запускаемые приложения) добавляем программу:

• имя: произвольное
• команда:

gio mount smb://10.0.2.7/Public

7.Т.к. пароль сохранился он не будет спрашиваться, папка будет подключаться автоматически и отбражаться справа в закладках ФМ, а точка монтирования будет доступна в /var/run/<uid_пользователя>/gvfs.

Libvirt

См. здесь.

Прозрачной сети не получится, только NAT.

Веб-сервер

См. Веб-сервер