Alterator-net-domain: различия между версиями
(не показано 5 промежуточных версий этого же участника) | |||
Строка 1: | Строка 1: | ||
{{ | == Название пакета == | ||
{{pkg|alterator-net-domain}} | |||
== Назначение == | == Назначение == | ||
Модуль | Модуль '''Домен''' предназначен для развертывания доменной структуры. | ||
Поддерживает следующие виды доменов: | Поддерживает следующие виды доменов: | ||
* ALT - | * ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos. | ||
* | * Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux. | ||
* | * FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux. | ||
* DNS — обслуживание только запросов DNS указанного домена сервисом BIND. | |||
== Запуск == | == Запуск == | ||
Модуль {{pkg|alterator-net-domain}} доступен в веб-интерфейсе | Модуль {{pkg|alterator-net-domain}} доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел {{path|Система → Домен}}): | ||
[[Файл:Alterator-net-domain.png|Веб-интерфейс модуля alterator-net-domain]] | [[Файл:Alterator-net-domain.png|Веб-интерфейс модуля alterator-net-domain]] | ||
== Использование модуля == | == Использование модуля == | ||
Имя домена должно соответствовать [http://tools.ietf.org/html/rfc1035 RFC 1035] и удовлетворять следующим правилам: | |||
# Имя домена должно состоять из одного или нескольких компонентов, разделённых точками. | |||
# Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-». | |||
# Компонент имени домена не должен превышать 63 символов. | |||
# Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей. | |||
Примеры: ''domain'', ''school-33'', ''department.company'' | |||
=== ALT-домен === | |||
В этой группе настраивается домен LDAP/Kerberos, который позволяет: | |||
* вести централизованную базу пользователей и групп; | |||
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля; | |||
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki); | |||
* автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf; | |||
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги; | |||
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows. | |||
Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен | |||
{{Attention|Домен нужно устанавливать '''только''' после настройки сервера DHCP (см. [[Alterator-dhcp|Модуль DHCP]]). В противном случае придётся выбирать другое имя домена.}} | |||
==== Создание домена ==== | |||
Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить». | Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить». | ||
{{note|Обратите внимание на успешную диагностику работы всех необходимых служб.}} | {{note|Обратите внимание на успешную диагностику работы всех необходимых служб: | ||
[[Файл:Alterator-net-domain_alt.png|ALT-домен]]}} | |||
После | После успешного создания домена необходимо перезагрузить компьютер. | ||
Управлять учётными записями пользователей, централизованно хранящимися в LDAP можно в модуле [[Alterator-ldap-users|Пользователи]], настраивать группы в модуле [[Alterator-ldap-groups|Группы]]. | Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле [[Alterator-ldap-users|Пользователи]], настраивать группы в модуле [[Alterator-ldap-groups|Группы]]. | ||
==== Настройка рабочих станций ==== | ==== Настройка рабочих станций ==== | ||
Строка 64: | Строка 68: | ||
Подробное описание технологии https://www.altlinux.org/AD | Подробное описание технологии https://www.altlinux.org/AD | ||
При инициализации | ==== Инициализация домена ==== | ||
# | При инициализации домена в веб-интерфейсе [[ЦУС|ЦУС]] следует выполнить следующие действия: | ||
# | # В [[Alterator-net-eth|модуле Ethernet-интерфейсы]] указать желаемое имя компьютера и DNS 127.0.0.1: | ||
# | #: [[Файл:Alterator-net-eth0-ad2.png|Ethernet-интерфейсы]] | ||
# В модуле [[Alterator-net-domain|Домен]] указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»: | |||
#: [[Файл:Alterator-net-domain-ad.png|Создание домена в ЦУС]] | |||
# После успешного создания домена, будет выведена информация о домене: | |||
#: [[Файл:Alterator-net-domain-ad2.png|Создание домена в ЦУС]] | |||
# Перегрузить сервер. | |||
{{Attention|Пароль администратора должен быть не менее 7 символов и содержать символы как минимум трёх групп из четырёх возможных: латинских букв в верхнем и нижнем регистрах, чисел и других небуквенно-цифровых символов. Пароль не полностью соответствующий требованиям это одна из причин завершения развертывания домена ошибкой. }} | |||
==== Настройка рабочих станций ==== | |||
Перегрузить сервер. | {{Note|Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.}} | ||
Предварительно в [[Alterator-net-eth|модуле Ethernet-интерфейсы]] необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска: | |||
[[Файл:Alterator-net-eth0-ad.png|Настройка сети]] | |||
{{Note| После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему. }} | |||
Ввод в домен можно осуществить в разделе [[Alterator-auth|Аутентификация]]: | |||
# Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»: | |||
#:[[Файл:Alterator-auth-ad.png|Ввод рабочей станции в домен Active Directory]] | |||
# В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»: | |||
#:[[Файл:Alterator-auth-pass.png|Запрос пароля администратора Active Directory]] | |||
# При успешном подключении к домену, отобразится соответствующая информация: | |||
#:[[Файл:Alterator-auth-ok.png|Успешное подключение к Active Directory]] | |||
# Перезагрузить рабочую станцию. | |||
=== FreeIPA === | |||
Подробное описание технологии https://www.altlinux.org/FreeIPA | |||
==== Инициализация домена ==== | |||
При инициализации домена в веб-интерфейсе [[ЦУС|ЦУС]] следует выполнить следующие действия: | |||
# В [[Alterator-net-eth|модуле Ethernet-интерфейсы]] указать желаемое имя компьютера: | |||
#: [[Файл:Alterator-net-eth0-freeipa.png|Ethernet-интерфейсы]] | |||
# В модуле [[Alterator-net-domain|Домен]] указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»: | |||
#: [[Файл:Alterator-net-domain-freeipa.png|Создание домена FreeIPA в ЦУС]] | |||
# Дождаться создания домена. | |||
# Перегрузить сервер. | |||
{{Attention|Пароли должны быть не менее 8 символов }} | |||
Веб-интерфейс будет доступен по адресу https://ipa.example.test/ipa/ui/. | |||
==== Настройка рабочих станций ==== | |||
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в [[Alterator-net-eth|модуле Ethernet-интерфейсы]]: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска | |||
[[Файл:Alterator-net-eth0-freeipa2.png|Настройка на использование DNS-сервера FreeIPA]] | |||
{{Note| После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.}} | |||
Ввод в домен можно осуществить в разделе [[Alterator-auth|Аутентификация]]: | |||
# Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»: | |||
#: [[Файл:Alterator-auth-freeipa.png|Ввод рабочей станции в домен FreeIPA]] | |||
# В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»: | |||
#:[[Файл:Alterator-auth-pass-freeipa.png|Запрос пароля администратора FreeIPA]] | |||
# При успешном подключении к домену, отобразится соответствующая информация: | |||
#:[[Файл:Alterator-auth-ok-freeipa.png|Успешное подключение к FreeIPA]] | |||
# Перезагрузить рабочую станцию. | |||
=== Только DNS === | === Только DNS === | ||
Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS. | |||
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} | {{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}} | ||
[[Категория:Модули Alterator]] |
Текущая версия от 11:42, 20 июня 2022
Название пакета
alterator-net-domain
Назначение
Модуль Домен предназначен для развертывания доменной структуры.
Поддерживает следующие виды доменов:
- ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos.
- Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.
- FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.
- DNS — обслуживание только запросов DNS указанного домена сервисом BIND.
Запуск
Модуль alterator-net-domain доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система → Домен):
Использование модуля
Имя домена должно соответствовать RFC 1035 и удовлетворять следующим правилам:
- Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
- Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
- Компонент имени домена не должен превышать 63 символов.
- Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.
Примеры: domain, school-33, department.company
ALT-домен
В этой группе настраивается домен LDAP/Kerberos, который позволяет:
- вести централизованную базу пользователей и групп;
- аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля;
- использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki);
- автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf;
- использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги;
- аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows.
Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен
Создание домена
Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».
После успешного создания домена необходимо перезагрузить компьютер.
Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле Пользователи, настраивать группы в модуле Группы.
Настройка рабочих станций
Настройка рабочих станций для использования централизованной аутентификации производится в центре управления системы в разделе Аутентификация:
При установке по сети с настроенного сервера домена, централизованная аутентификация настраивается автоматически.
Active Directory
Подробное описание технологии https://www.altlinux.org/AD
Инициализация домена
При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:
- В модуле Ethernet-интерфейсы указать желаемое имя компьютера и DNS 127.0.0.1:
- В модуле Домен указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»:
- После успешного создания домена, будет выведена информация о домене:
- Перегрузить сервер.
Настройка рабочих станций
Предварительно в модуле Ethernet-интерфейсы необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска:
Ввод в домен можно осуществить в разделе Аутентификация:
- Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»:
- В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
- При успешном подключении к домену, отобразится соответствующая информация:
- Перезагрузить рабочую станцию.
FreeIPA
Подробное описание технологии https://www.altlinux.org/FreeIPA
Инициализация домена
При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:
- В модуле Ethernet-интерфейсы указать желаемое имя компьютера:
- В модуле Домен указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»:
- Дождаться создания домена.
- Перегрузить сервер.
Веб-интерфейс будет доступен по адресу https://ipa.example.test/ipa/ui/.
Настройка рабочих станций
Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в модуле Ethernet-интерфейсы: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска
Ввод в домен можно осуществить в разделе Аутентификация:
- Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»:
- В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
- При успешном подключении к домену, отобразится соответствующая информация:
- Перезагрузить рабочую станцию.
Только DNS
Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS.