Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Условия для ввода клиентского компьютера в домен

Для ввода клиентского компьютера (далее - клиент) в домен FreeIPA должны быть выполнены следующие условия:

  • Клиент и контроллер домена FreeIPA (далее - КД) должны находиться в одной широковещательной сети и иметь доступ друг к другу. Для проверки доступности можно использовать команду на клиенте и на КД:

    Command
    ping <IP-адрес_другого_компьютера>


  • Клиент не должен быть уже введен в другой домен (в частности, в домен ALD).
  • До ввода клиентского компьютера в домен на клиентском компьютере должны быть настроены:
    • Служба синхронизации времени. Показания системных часов клиента и КД должны совпадать. В качестве источника точного времени для клиента можно использовать КД. Подробнее про настройку служб времени см. Службы синхронизации времени в Astra Linux.
    • Разрешение имени КД с помощью доменной службы DNS, т.е. в качестве IP-адреса сервера DNS (одного из серверов DNS) должен быть указан IP-адрес КД. Далее приведен пример настройки, подробную информацию см. в статье Настройка сетевых подключений в Astra Linux.
    • Имя компьютера (имя, под которым он будет зарегистрирован в домене). Указать (изменить) имя компьютера можно выполнив на этом компьютере команду:

      Command
      sudo hostnamectl set-hostname <имя_компьютера>

      При этом указывать полное доменное имя не обязательно, достаточно указать короткое имя, например, имя ws12345:

      Command
      sudo hostnamectl set-hostname ws12345


    • Разрешение имени клиента с помощью файла /etc/hosts. В этом файле должен быть указан внешний IP-адрес клиента и его имя, указанное на предыдущем шаге. Например, для использованного выше имени ws12345 и условного IP-адреса 1.2.3.4:

      Блок кода
      1.2.3.4 ws12345

       При этом не допускаются строки связывающие имя компьютера с IP-адресами локальной петли, т.е. строки вида:

      Блок кода
      127.0.1.1 ws12345

      Строка, определяющая локальный интерфейс локальной петли, является корректной и должна быть сохранена (используется зарезервированное имя localhost, а не заданное имя хоста):

      Блок кода
      127.0.0.1 localhost


Настройка разрешения имени КД с помощью службы DNS

  1. При использовании службы NetworkManager:
    1. Использовать для настройки графический интерфейс службы NetworkManager. После внесения изменений - перезапустить настраиваемое сетевое подключение, чтобы изменения вступили в силу.
    2. Использовать инструменты командной строки NetworkManager (инструмент nmcli):
      1. Получить список сетевых подключений командой:

        Command
        nmcli con show

        По умолчанию в Astra Linux используется имя сетевого подключения "Проводное соединение 1" (далее используется в примерах). Пример вывода команды:

        Блок кода
        NAME                    UUID                                  TYPE      DEVICE 
        Проводное соединение 1  7cdd188d-875e-3b26-8b51-4a30b80cc37f  ethernet  eth0   
        


      2. Для найденного сетевого подключения задать необходимые параметры. Примеры команд:

        1. Назначить сетевому подключению сетевую карту (по умолчанию используется сетевая карта eth0):

          Command

          sudo nmcli con mod "Проводное соединение 1" connection.interface-name eth0


        2. Настроить IP-адрес сервера DNS. IP-адрес сервера DNS может предоставляться DHCP-сервером (см. статью DHCP). Если DHCP-сервер не используется или предоставляет неверный IP-адрес, то:


          1. Запретить использовать IP-адреса серверов DNS, предоставляемые DHCP-сервером:

            Command

            sudo nmcli con mod "Проводное соединение 1" ipv4.ignore-auto-dns yes


          2. Указать IP-адрес (IP-адреса) КД, и, опционально, отделенный пробелом IP-адрес внешнего сервера DNS (требуется если клиенту необходим доступ в Интернет, а перенаправление запросов DNS не включено на КД). Для примера в качестве внешнего DNS указан DNS Яндекс (IP-адрес 77.88.8.8):

            Command

            sudo nmcli con mod "Проводное соединение 1" ipv4.dns "<IP-адрес КД> 77.88.8.8"


          3. Перезапустить (выключить и включить) сетевое подключение. Это лучше всегда делать одной командой, чтобы не потерять связь с настраиваемым компьютером при работе через удаленное подключение (например, через SSH или при настройке с помощью сценариев Puppet/Ansible):

            Command

            sudo nmcli con down "Проводное соединение 1" ; sudo nmcli con up "Проводное соединение 1"


  2. Если используется не служба NetworkManager, а служба Networking, то IP-адрес (IP-адреса) серверов DNS можно указать непосредственно в конфигурационном файле /etc/resolv.conf, например:

    Блок кода
    search ipadomain0.ru
    nameserver <IP-адрес КД> 
    nameserver 77.88.8.8

    после чего перезапустить службу:

    Command
    sudo systemctl restart networking


Установка пакетов

При наличии подключенного репозитория пакетов все необходимые для установки пакеты можно установить командой apt или из графического менеджера пакетов synaptic (см. Графический менеджер пакетов synaptic). При установке инструментов Astra Linux все необходимые пакеты устанавливаются автоматически.

Графический инструмент fly-admin-freeipa-client

Графический инструмент для ввода в домен представлен в пакете fly-admin-freeipa-client. Для его установки можно использовать команду:

Command
sudo apt install fly-admin-freeipa-client

Инструмент командной строки astra-freeipa-client

Для установки инструмента командной строки можно использовать команду:

Command
sudo apt install astra-freeipa-client

Ввод компьютера в домен

Графический инструмент

После установки графический инструмент fly-admin-freeipa-client доступен для запуска из командной строки или через систему меню:

"Пуск" - "Панель управления" - Сеть"  - "Настройка FreeIPA клиент Fly"

Для ввода компьютера в домен нужно:

  • Выполнить предварительную настройку DNS, как описано выше;
  • Запустить графический инструмент fly-admin-freeipa-client и в открывшемся окне ввести 
    • Имя домена;
    • Имя администратора домена;
    • Пароль администратора домена;


После ввода данных нажать кнопку "Подключиться"

Командная строка

Выполнить предварительную настройку DNS, как описано выше, после чего ввод компьютера в домен FreeIPA выполняется командой:

Command
sudo astra-freeipa-client 

в качестве имени домена будет автоматически использовано доменное имя сервера DNS.

Или указать имя домена с помощью опции " -d " :

Command
sudo astra-freeipa-client -d ipadomain.ru

При этом можно указать дополнительные опции:

  • -p для ввода пароля (небезопасно);
  • -y для автоматического ответа "да" на все вопросы;
Предупреждение
После ввода машины в домен выполнить перезагрузку.


Вывод клиентской машины из домена

Для вывода клиентской машины из домена рекомендуется использовать на выводимой машине :

  1. На контроллере домена:
    1. Удалить клиентскую машину из списка  хостов домена. Для этого можно использовать web-интерфейс FreeIPA или командную строку:

      Command
      ipa host-del <имя_машины> --update-dns

      При использовании web-интерфейса отметить check-box для удаления записей DNS.

  2. На выводимой машине:

    1. Выполнить команду:

      Command
      sudo astra-freeipa-client -U


    2. Подтвердить выполнение команды.
    3. Удалить неиспользуемые пакеты, например:

      Command
      sudo apt purge astra-freeipa-client sssd krb5-user  --autoremove