ALT Domain: различия между версиями

Версия от 15:42, 30 мая 2023

Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.

Что это такое

Начиная с дистрибутивов Пятая_платформа существует решение для развёртывания инфраструктуры (сервер-клиенты) "из коробки". Это решение называется "ALT Domain"

Из чего состоит

ALT Domain состоит из следующих сервисов:

DDNS (bind),обслуживающий домен example.com
DHCP, обслуживающий локальную сеть
LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
SAMBA (раздающая единый для всех каталог share)

На клиенте настраиваются следующие службы:

nss-ldap
pam-krb5
pam-mount + avahi (для автомонтирования /share при входе по krb-тикету)

Как присоединить клиента (ALT)

Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)

Как присоединить клиента (другие ОС)

Ubuntu

Настройка выполнялась для Ubuntu-11.04

Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
В процессе debconf спросит нас параметры ldap. Задаём:
- ldaps://ldap.example.com
- dc=example,dc=com
убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
sudo auth-client-config -t nss -p lac_ldap
проверяем работу nss (id <domain_user>)
добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
можем выполнять вход в систему под <domain_user>

Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:

apt-get install cifs-utils
заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.

@@ Строка 1: / Строка 1: @@
-{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].}}
+{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].<br>
+мая 2023<br>
+ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт».
+[https://www.basealt.ru/about/news/archive/view/gruppovye-politiki-v-linux-kak-v-windows-s-bazalt-spo-ehto-vozmozhno Новое решение «Альт Домен»] позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.
+}}
 == Что это такое==
 Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты)