Участник:Petr-akhlamov/Советы ГИТам/Сервер-GUI
Сервер на предприятии
По лицензионным соображениям Альт Сервер можно использовать на предприятии только купив лицензию. Поэтому мы воспользуемся стартовым Mate набором на базе P9, чтобы был сервер с GUI.
https://mirror.yandex.ru/altlinux-starterkits/release/
alt-p9-server-systemd-20210312-x86_64.iso
Оформление
Alterator-Web
- Ставим пакеты:
# apt-get install apache2-full alterator-fbi
- Устанавливаем и запускаем серсисы апач и альтератор:
# service ahttpd start # service ahttpd enable
- Правим файл ahttpd
# pluma /etc/ahttpd/ahttpd.conf
К строчке server-port 80 добавляем строку server-port 8080.
Заходим по адресу: http://localhost:8080
Стиль-сервер
Ставим пакеты
- branding-alt-server-*
- alterator
- bootloader
- bootsplash
- graphics
- indexhtml
Обновляем тему grub
# update-grub
Отключение автозапуска графики
# systemctl set-default multi-user.target
Для включения обратно:
# systemctl set-default graphical.target
Запуск в tty1
# nano /etc/systemd/logind.conf
ReserveVT = 1
Запуск графики вручную
$ startx
Выход в консоль - завершение сеанса.
Настройка сети
- через Synaptic ставим пакет etcnet-full
- через Synaptic ставим пакеты wicd-gtk wicd
- через Synaptic удаляем все пакеты NetworkManager
Идем в /etc/net/ifaces/eth0
cd /etc/net/ifaces/eth0
Правим настройки
nano options
Для DHCP:
TYPE=eth DISABLED=no NM_CONTROLLED=no BOOTPROTO=dhcp
Для Static:
TYPE=eth DISABLED=no NM_CONTROLLED=no CONFIG_IPV4=YES
Правим настройки IPv4:
nano ipv4address
192.168.0.5/24
Правим настройки шлюза:
nano ipv4route
default via 192.168.0.15
Домены по-умолчанию и DNS-сервера:
nano resolv.conf
search mydom1.local domain2.ru nameserver 8.8.8.8 192.168.0.5
Перезапускаем сеть:
service network restart
Правим
# nano /etc/sudoers :
Расскомментируем:
User_Alias SUDO_USERS = %sudo
И дописываем после:
# root ALL=(ALL)ALL
user ALL=(ALL:ALL)ALL
Сервера
После установки серверов перезапускаем веб-интерфейс:
# service ahttpd restart
DHCP
# apt-get install alterator-dhcp
См. Alterator-dhcp
DNS
LDAP/Samba
или
LDAP
Установка
# apt-get install alt-domain-server alterator-openldap
Останавливаем Bind:
# service bind stop # service bind disable
Правим файл:
nano /etc/net/ifaces/eth0/resolv.conf
В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.
Ставим Самбу:
# apt-get install samba # service samba start # service samba enable
Запускаем службу OpenLDAP:
# service slapd start # service slapd enable
В Альтератор-Сеть-Ethernet интерфейсы меняем имя сервера:
dc1
Идем в веб-альтератор:
- Колонка слева Система - Домен
- Тип домена - ALT-домен
- вводим имя домена, например, petr.ru
- Применить
Перезагружаем веб-сервер:
# reboot
Добавление пользователей
Идем в веб-альтератор:
- Колонка слева Пользователи - Пользователи
- Выбор источника - База LDAP на этом сервере
- Создаем пользователей
Подключение компьютера
Ставим пакеты:
apt-get install sssd-ldap sssd-krb5
- Открываем ЦУС
- Домен ALT Linux
- вводим домен
- ставим галочку "кэшировать аутентификацию при недоступности сервера"
Samba
Установка
Ставим SambaDC:
# apt-get install task-samba-dc
Очищаем конфигурацию:
# rm -f /etc/samba/smb.conf # rm -rf /var/lib/samba # rm -rf /var/cache/samba # mkdir -p /var/lib/samba/sysvol
Вводим имя компьютера и домена:
# nano /etc/sysconfig/network
hostname dc.petr.ru domainname petr.ru
Вводим команды:
# hostname dc.petr.ru # domainname petr.ru
Создаем домен:
samba-tool domain provision
Realm [PETR.RU]: //жмем Enter Domain [PETR]: //жмем Enter Server Role (dc, member, standalone) [dc]: //жмем Enter DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: //жмем Enter DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: //тут надо выставить внешний DNS, если он не прописался по-умолчанию, чтобы домен мог разрешать внешние адреса. Например 8.8.8.8. Administrator password: //Вводим пароль администратора Retype password: //Повторяем пароль администратора
Запускаем службу:
service samba enable service samba start
Перезагружаем сервер.
Копируем файл настроек krb5:
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Правим файл:
nano /etc/net/ifaces/eth0/resolv.conf
В строчку nameserver добавляем адрес 127.0.0.1, первым по очередности.
Выполняем:
service network restart
Проверка работоспособности:
1)
# samba-tool domain info 127.0.0.1
2)
# smbclient -L localhost -U administrator
3)
host petr.ru
(адрес должен иметь адрес 127.0.0.1)
4)Проверяем имена хостов:
адрес _kerberos._udp.*адрес домена с точкой
# host -t SRV _kerberos._udp.petr.ru. _kerberos._udp.petr.ru has SRV record 0 100 88 dc.petr.ru.
адрес _ldap._tcp.*адрес домена с точкой
# host -t SRV _ldap._tcp.petr.ru. _ldap._tcp.petr.ru has SRV record 0 100 389 dc.petr.ru.
адрес хоста.*адрес домена с точкой
# host -t A dc.petr.ru. dc.petr.ru has address 10.0.2.5
5)Проверяем Kerberos
# kinit administrator
Password for administrator@PETR.RU: Warning: Your password will expire in 41 days on Чт 29 апр 2021 18:25:49
6)Просмотр полученного билета:
# klist
Управление пользователями
Создать пользователя с паролем[1], :
samba-tool user create <имя пользователя> samba-tool user setexpiry <имя пользователя>
Например,
samba-tool user create ivanov --given-name='Иван Иванов' --mail-address='ivanov@stand.alt'
Просмотреть доступных пользователей:
samba-tool user list
Удалить пользователя:
samba-tool user delete <имя пользователя>
Отключить пользователя:
samba-tool user disable <имя пользователя>
Включить пользователя:
samba-tool user enable <имя пользователя>
Изменить пароль пользователя:
samba-tool user setpassword <имя пользователя>
Не забудьте разблокировать пользователя:
samba-tool user setexpiry <имя пользователя> --noexpiry
Если компьютер с таким именем заведён, удалить его можно командой:
pdbedit -x -m <имя>
Подключение компьютера
Ставим пакет:
apt-get install task-auth-ad-sssd
- через Synaptic ставим пакет etcnet-full
- через Synaptic ставим пакет wicd-gtk
- через Synaptic удаляем все пакеты NetworkManager
Настраиваем сеть:
Идем в /etc/net/ifaces/eth0
cd /etc/net/ifaces/eth0
Правим настройки
nano options
BOOTPROTO=static TYPE=eth DISABLED=no NM_CONTROLLED=no CONFIG_IPV4=YES
Правим настройки IPv4:
nano ipv4address
10.0.2.10/24
Правим настройки шлюза:
nano ipv4route
default via 10.0.2.1
Домены по-умолчанию и DNS-сервера:
nano resolv.conf
search petr.ru nameserver 10.0.2.5 //адрес Samba-сервера
Перезапускаем сеть:
service network restart
Правим:
# nano /etc/sudoers
Расскомментируем:
User_Alias SUDO_USERS = %sudo
И дописываем после:
# root ALL=(ALL)ALL
user ALL=(ALL:ALL)ALL
Синхронизируем время:
net time set -S petr.ru
- ЦУС-Пользователи-Аутентификация
- Домен AD:
- домен petr.ru
- рабочая группа: PETR
- имя компьютера: вводим свое
- Вводим пароль доменного администратора
- Перезагружаемся
Поэтому мы делаем небольшой хак, делаем скрипт, который при запуксе системы будет перезапускать службу сети.
# cd /etc/systemd/system
# nano network-restart.service
Вводим в текстовом редакторе:
[Unit] Description=Restart Network After=default.target [Service] ExecStart=service network restart [Install] WantedBy=default.target
# systemctl daemon-reload
# systemctl enable network-restart
Libvirt
См. здесь.
Прозрачной сети не получится, только NAT.