Alterator-net-domain: различия между версиями

Материал из ALT Linux Wiki
 
(не показано 6 промежуточных версий этого же участника)
Строка 1: Строка 1:
{{Stub}}
== Название пакета ==
 
{{pkg|alterator-net-domain}}


== Назначение ==
== Назначение ==


Модуль {{pkg|alterator-net-domain}} предназначен для развертывания доменной структуры.
Модуль '''Домен''' предназначен для развертывания доменной структуры.


Поддерживает следующие виды доменов:   
Поддерживает следующие виды доменов:   
* ALT - домен. Домен, основанный на OpenLDAP и MIT Kerberos. Рекомендуется для аутентификации рабочих станций под управлением ALT Linux.
* ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos.
* Active Directory. Домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.  
* Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.  
* DNS. Обслуживание только запросов DNS указанного домена сервисом BIND.
* FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.  
* DNS — обслуживание только запросов DNS указанного домена сервисом BIND.


== Запуск ==
== Запуск ==


Модуль {{pkg|alterator-net-domain}} доступен в веб-интерфейсе (https://ip-address:8080 (группа Система, пункт Домен)):
Модуль {{pkg|alterator-net-domain}} доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел {{path|Система Домен}}):


[[Файл:Alterator-net-domain.png|Веб-интерфейс модуля alterator-net-domain]]
[[Файл:Alterator-net-domain.png|Веб-интерфейс модуля alterator-net-domain]]
''Домен'' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб.


== Использование модуля ==
== Использование модуля ==


=== ALT-домен ===
Имя домена должно соответствовать [http://tools.ietf.org/html/rfc1035 RFC 1035] и удовлетворять следующим правилам:


В этой группе настрaивается домен LDAP/Kerberos, который позволит:
# Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
* вести централизованную базу пользователей и групп
# Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
# Компонент имени домена не должен превышать 63 символов.
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
# Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.
* автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows


Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен
Примеры: ''domain'', ''school-33'', ''department.company''


{{Attention|Домен нужно устанавливать '''только''' после настройки сервера DHCP ([[Alterator-dhcp|Модуль DHCP]]). В противном случае придётся выбирать другое имя домена.}}
=== ALT-домен ===


[[Файл:Alterator-net-domain_alt.png|ALT-домен]]
В этой группе настраивается домен LDAP/Kerberos, который позволяет:
* вести централизованную базу пользователей и групп;
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля;
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki);
* автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf;
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги;
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows.


Имя домена должно соответствовать [http://tools.ietf.org/html/rfc1035 RFC 1035] и удовлетворять следующим правилам:
Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен


# Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
{{Attention|Домен нужно устанавливать '''только''' после настройки сервера DHCP (см. [[Alterator-dhcp|Модуль DHCP]]). В противном случае придётся выбирать другое имя домена.}}
# Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
# Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.


Примеры: ''domain'', ''school-33'', ''department.company''
==== Создание домена ====


Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».
Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».


{{note|Обратите внимание на успешную диагностику работы всех необходимых служб.}}
{{note|Обратите внимание на успешную диагностику работы всех необходимых служб:
 
[[Файл:Alterator-net-domain_alt.png|ALT-домен]]}}


После этого необходимо перезагрузить компьютер.
После успешного создания домена необходимо перезагрузить компьютер.


Управлять учётными записями пользователей, централизованно хранящимися в LDAP можно в модуле [[Alterator-ldap-users|Пользователи]], настраивать группы в модуле [[Alterator-ldap-groups|Группы]].
Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле [[Alterator-ldap-users|Пользователи]], настраивать группы в модуле [[Alterator-ldap-groups|Группы]].


==== Настройка рабочих станций ====
==== Настройка рабочих станций ====
Строка 64: Строка 68:
Подробное описание технологии https://www.altlinux.org/AD
Подробное описание технологии https://www.altlinux.org/AD


При инициализации через ЦУС на данный момент уместна следующая последовательность действий:
==== Инициализация домена ====
# Через [[Alterator-net-eth|модуль Ethernet-интерфейсы]] -> Указать желаемое имя компьютера и DNS 127.0.0.1  
При инициализации домена в веб-интерфейсе [[ЦУС|ЦУС]] следует выполнить следующие действия:
# Перейти в [[Alterator-net-domain|модуль Домен]] -> Указать имя домена -> выбрать Active Directory -> Применить
# В [[Alterator-net-eth|модуле Ethernet-интерфейсы]] указать желаемое имя компьютера и DNS 127.0.0.1:
# В файле /etc/samba/smb.conf, отредактировать директиву dns forwarder - которая указывает какому серверу DNS передавать запросы от SAMBA.
#: [[Файл:Alterator-net-eth0-ad2.png|Ethernet-интерфейсы]]
<code>
# В модуле [[Alterator-net-domain|Домен]] указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»:
dns forwarder = 8.8.4.4
#: [[Файл:Alterator-net-domain-ad.png|Создание домена в ЦУС]]
</code>
# После успешного создания домена, будет выведена информация о домене:
#: [[Файл:Alterator-net-domain-ad2.png|Создание домена в ЦУС]]
# Перегрузить сервер.


Задать через консоль на сервере пароль администратора домена (модуль при установке домена генерирует случайный пароль)
{{Attention|Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой. }}


<code>
==== Настройка рабочих станций ====
samba-tool user setpassword administrator --newpassword=Passw0rd
</code>


Перегрузить сервер.
{{Note|Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.}}
 
Предварительно в [[Alterator-net-eth|модуле Ethernet-интерфейсы]] необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска:
 
[[Файл:Alterator-net-eth0-ad.png|Настройка сети]]
 
{{Note| После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему. }}
 
Ввод в домен можно осуществить в разделе [[Alterator-auth|Аутентификация]]:
# Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»:
#:[[Файл:Alterator-auth-ad.png|Ввод рабочей станции в домен Active Directory]]
# В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
#:[[Файл:Alterator-auth-pass.png|Запрос пароля администратора Active Directory]]
# При успешном подключении к домену, отобразится соответствующая информация:
#:[[Файл:Alterator-auth-ok.png|Успешное подключение к Active Directory]]
# Перезагрузить рабочую станцию.
 
=== FreeIPA ===
 
Подробное описание технологии https://www.altlinux.org/FreeIPA
 
==== Инициализация домена ====
При инициализации домена в веб-интерфейсе [[ЦУС|ЦУС]] следует выполнить следующие действия:
# В [[Alterator-net-eth|модуле Ethernet-интерфейсы]] указать желаемое имя компьютера:
#: [[Файл:Alterator-net-eth0-freeipa.png|Ethernet-интерфейсы]]
# В модуле [[Alterator-net-domain|Домен]] указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»:
#: [[Файл:Alterator-net-domain-freeipa.png|Создание домена FreeIPA в ЦУС]]
# Дождаться создания домена.
# Перегрузить сервер.
 
{{Attention|Пароли должны быть не менее 8 символов }}
 
Веб-интерфейс будет доступен по адресу https://ipa.example.test/ipa/ui/.
 
==== Настройка рабочих станций ====
 
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в [[Alterator-net-eth|модуле Ethernet-интерфейсы]]: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска
 
[[Файл:Alterator-net-eth0-freeipa2.png|Настройка на использование DNS-сервера FreeIPA]]
 
{{Note| После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.}}
 
Ввод в домен можно осуществить в разделе [[Alterator-auth|Аутентификация]]:
# Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»:
#: [[Файл:Alterator-auth-freeipa.png|Ввод рабочей станции в домен FreeIPA]]
# В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
#:[[Файл:Alterator-auth-pass-freeipa.png|Запрос пароля администратора FreeIPA]]
# При успешном подключении к домену, отобразится соответствующая информация:
#:[[Файл:Alterator-auth-ok-freeipa.png|Успешное подключение к FreeIPA]]
# Перезагрузить рабочую станцию.  


=== Только DNS ===
=== Только DNS ===
Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS.


{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
[[Категория:Модули Alterator]]

Текущая версия от 11:42, 20 июня 2022

Название пакета

alterator-net-domain

Назначение

Модуль Домен предназначен для развертывания доменной структуры.

Поддерживает следующие виды доменов:

  • ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos.
  • Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.
  • FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.
  • DNS — обслуживание только запросов DNS указанного домена сервисом BIND.

Запуск

Модуль alterator-net-domain доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система → Домен):

Веб-интерфейс модуля alterator-net-domain

Использование модуля

Имя домена должно соответствовать RFC 1035 и удовлетворять следующим правилам:

  1. Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
  2. Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
  3. Компонент имени домена не должен превышать 63 символов.
  4. Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.

Примеры: domain, school-33, department.company

ALT-домен

В этой группе настраивается домен LDAP/Kerberos, который позволяет:

  • вести централизованную базу пользователей и групп;
  • аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля;
  • использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki);
  • автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf;
  • использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги;
  • аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows.

Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен

Внимание! Домен нужно устанавливать только после настройки сервера DHCP (см. Модуль DHCP). В противном случае придётся выбирать другое имя домена.


Создание домена

Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».

Примечание: Обратите внимание на успешную диагностику работы всех необходимых служб: ALT-домен


После успешного создания домена необходимо перезагрузить компьютер.

Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле Пользователи, настраивать группы в модуле Группы.

Настройка рабочих станций

Настройка рабочих станций для использования централизованной аутентификации производится в центре управления системы в разделе Аутентификация:

Настройка рабочих станций для использования централизованной аутентификации

При установке по сети с настроенного сервера домена, централизованная аутентификация настраивается автоматически.

Active Directory

Подробное описание технологии https://www.altlinux.org/AD

Инициализация домена

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

  1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера и DNS 127.0.0.1:
    Ethernet-интерфейсы
  2. В модуле Домен указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»:
    Создание домена в ЦУС
  3. После успешного создания домена, будет выведена информация о домене:
    Создание домена в ЦУС
  4. Перегрузить сервер.
Внимание! Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой.


Настройка рабочих станций

Примечание: Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.


Предварительно в модуле Ethernet-интерфейсы необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска:

Настройка сети

Примечание: После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.


Ввод в домен можно осуществить в разделе Аутентификация:

  1. Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»:
    Ввод рабочей станции в домен Active Directory
  2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
    Запрос пароля администратора Active Directory
  3. При успешном подключении к домену, отобразится соответствующая информация:
    Успешное подключение к Active Directory
  4. Перезагрузить рабочую станцию.

FreeIPA

Подробное описание технологии https://www.altlinux.org/FreeIPA

Инициализация домена

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

  1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера:
    Ethernet-интерфейсы
  2. В модуле Домен указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»:
    Создание домена FreeIPA в ЦУС
  3. Дождаться создания домена.
  4. Перегрузить сервер.
Внимание! Пароли должны быть не менее 8 символов


Веб-интерфейс будет доступен по адресу https://ipa.example.test/ipa/ui/.

Настройка рабочих станций

Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в модуле Ethernet-интерфейсы: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска

Настройка на использование DNS-сервера FreeIPA

Примечание: После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.


Ввод в домен можно осуществить в разделе Аутентификация:

  1. Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»:
    Ввод рабочей станции в домен FreeIPA
  2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
    Запрос пароля администратора FreeIPA
  3. При успешном подключении к домену, отобразится соответствующая информация:
    Успешное подключение к FreeIPA
  4. Перезагрузить рабочую станцию.

Только DNS

Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS.