ALT Domain: различия между версиями
Vitty (обсуждение | вклад) |
мНет описания правки |
||
(не показано 7 промежуточных версий 2 участников) | |||
Строка 1: | Строка 1: | ||
{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].<br> | |||
30 мая 2023<br> | |||
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт». | |||
[https://www.basealt.ru/about/news/archive/view/gruppovye-politiki-v-linux-kak-v-windows-s-bazalt-spo-ehto-vozmozhno Новое решение «Альт Домен»] позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством. | |||
}} | |||
== Важно == | |||
'''ALT Domain != Альт Домен''' | |||
== Что это такое== | == Что это такое== | ||
Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты) | Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты) | ||
Строка 4: | Строка 12: | ||
== Из чего состоит == | == Из чего состоит == | ||
ALT Domain состоит из следующих сервисов: | |||
*DDNS (bind),обслуживающий домен example.com | |||
*DHCP, обслуживающий локальную сеть | |||
*LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com) | |||
*Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP. | |||
*SAMBA (раздающая единый для всех каталог share) | |||
На клиенте настраиваются следующие службы: | |||
*nss-ldap | |||
*pam-krb5 | |||
*pam-mount + avahi (для автомонтирования /share при входе по krb-тикету) | |||
== Как присоединить клиента (ALT) == | == Как присоединить клиента (ALT) == | ||
Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5) | |||
== Как присоединить клиента (другие ОС) == | == Как присоединить клиента (другие ОС) == | ||
=== Ubuntu === | === Ubuntu === | ||
Настройка выполнялась для Ubuntu-11.04 | |||
*Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user | |||
*В процессе debconf спросит нас параметры ldap. Задаём: | |||
**ldaps://ldap.example.com | |||
**dc=example,dc=com | |||
*убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf | |||
*sudo auth-client-config -t nss -p lac_ldap | |||
*проверяем работу nss (id <domain_user>) | |||
*добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session | |||
*можем выполнять вход в систему под <domain_user> | |||
Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений: | |||
*apt-get install cifs-utils | |||
*заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0" | |||
*монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль. |
Текущая версия от 11:27, 30 мая 2024
30 мая 2023
ООО «Базальт СПО» успешно завершило проект, реализованный при грантовой поддержке РФРИТ1 на разработку аналога групповых политик Microsoft AD для компьютеров и пользователей ОС «Альт».
Новое решение «Альт Домен» позволяет интегрировать в ИТ-инфраструктуру, построенную на ОС Windows американской компании Microsoft, рабочие места и серверы с установленными российскими ОС «Альт», сохраняя при этом как саму инфраструктуру, так и единообразие способа управления ею. Применение групповых политик от «Базальт СПО» существенно сокращает затраты компаний на пути к решению задачи обеспечения технологического суверенитета, поставленной Правительством.
Важно
ALT Domain != Альт Домен
Что это такое
Начиная с дистрибутивов Пятая_платформа существует решение для развёртывания инфраструктуры (сервер-клиенты) "из коробки". Это решение называется "ALT Domain"
Из чего состоит
ALT Domain состоит из следующих сервисов:
- DDNS (bind),обслуживающий домен example.com
- DHCP, обслуживающий локальную сеть
- LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
- Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
- SAMBA (раздающая единый для всех каталог share)
На клиенте настраиваются следующие службы:
- nss-ldap
- pam-krb5
- pam-mount + avahi (для автомонтирования /share при входе по krb-тикету)
Как присоединить клиента (ALT)
Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)
Как присоединить клиента (другие ОС)
Ubuntu
Настройка выполнялась для Ubuntu-11.04
- Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
- В процессе debconf спросит нас параметры ldap. Задаём:
- ldaps://ldap.example.com
- dc=example,dc=com
- убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
- sudo auth-client-config -t nss -p lac_ldap
- проверяем работу nss (id <domain_user>)
- добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
- можем выполнять вход в систему под <domain_user>
Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:
- apt-get install cifs-utils
- заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
- монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.