Настройка гостевой ОС Astra Linux

Настройка гостевой ОС Astra Linux сводится к выполнению следующих действий:


  • для возможности подключения к ВРМ по протоколу SPICE:
    • установить пакеты qemu-guest-agent, spice-vdagent, xserver-xorg-video-qxl:
sudo apt install -y qemu-guest-agent spice-vdagent xserver-xorg-video-qxl

где:

-y  - ключ для пропуска подтверждения установки;

    • установить пакеты spice-webdavd и davfs2 для включения возможности перенаправления каталога из пользовательской рабочей станции в ВРМ по протоколу SPICE:
sudo apt install -y spice-webdavd davfs2

Для предоставления пользователям возможности перенаправления каталога в ВРМ необходимо также выполнить настройки, указанные в подразделе Настройка перенаправления каталога из пользовательской рабочей станции в ВРМ.

  • для возможности подключения к ВРМ по протоколу RDP:
    • установить пакет xrdp и выполнить команды:
sudo apt install -y xrdp
sudo adduser xrdp ssl-cert
sudo systemctl restart xrdp

    • для работы звука при подключении к ВРМ по протоколу RDP установить пакет pulseaudio-module-xrdp:

sudo apt install pulseaudio-module-xrdp

    • если используется гостевая ОС Astra Linux Special Edition 1.8, то для корректного отображения размера шрифтов при подключении по протоколу RDP нужно изменить файл /etc/xdg/kdeglobals, добавив строку:

[KScreen]
ScreenScaleFactors=rdp0=1;
  • для возможности подключения к ВРМ по протоколу TERA нужно:

Перед установкой TERA нужно удалить пакет spice-vdagent, если он ранее был установлен: 

sudo aptitude purge -y spice-vdagent

После установки указанных пакетов TERA графический интерфейс гостевой ОС будет недоступен при подключении к ней через платформу виртуализации напрямую. Управление будет доступно только по протоколу SSH.

    • установить пакет qemu-guest-agent:
sudo apt install -y qemu-guest-agent

Пакет qemu-guest-agent не нужно устанавливать, если РМ - автономная физическая машина (не ВМ).

sudo apt install -y termidesk-tera
    • убедиться, что пользователь fly-dm добавлен в группу sasl. Если пользователя в группе нет, то добавить его:
sudo usermod -a -G sasl fly-dm
    • активировать службу saslauthd:
sudo systemctl enable saslauthd

    • убедиться, что в файле /etc/default/saslauthd параметру START присвоено значение yes. Если это не так, то изменить значение и перезапустить службу saslauthd:

sudo systemctl restart saslauthd


При установке пакета termidesk-tera также будут установлены:

  • tera-server - зависимая библиотека, необходимая для корректной работы протокола TERA;
  • tera-vdagent - пакет поддержки динамического изменения разрешения экрана в зависимости от разрешения монитора пользователя;
  • tera-certificates - пакет, содержащий сертификаты для работы аутентификации SASL для протокола TERA; 
  • tera-xf86-video-qxl - драйвер виртуальной видеокарты;
  • tera-audio-service - пакет поддержки вывода звука через динамики; 
  • tera-record-service - пакет поддержки захвата звука с микрофона.

После установки будет запущена служба tera-vdagentd. Проверка состояния службы выполняется командой:

systemctl status tera-vdagentd

При необходимости удаления TERA нужно выполнить:

sudo aptitude purge -y termidesk-tera
sudo apt autoremove

Работа протокола доставки TERA в ОС Astra Linux Special Edition гарантирована только при установке в ОС уровня защищенности «Орел».

  • привести файл /etc/acpi/events/powerbtn-acpi-support к виду:
event=button/power
action=/sbin/poweroff
  • для возможности ввода ВРМ с ОС Astra Linux в домен MS AD установить пакет astra-ad-sssd-client:
sudo apt install -y astra-ad-sssd-client
  • для возможности ввода ВРМ с ОС Astra Linux в домен FreeIPA установить пакет astra-freeipa-client:
sudo apt install -y astra-freeipa-client
  • для возможности ввода ВРМ с ОС Astra Linux в домен ALD Pro нужно:
    • подключить необходимый репозиторий согласно документации на программный комплекс ALD Pro;
    • установить пакеты astra-freeipa-client и aldpro-client:
sudo apt install -y astra-freeipa-client aldpro-client
    • если используется гостевая ОС Astra Linux Special Edition 1.8 нужно:
      • создать файл /etc/sssd/conf.d/10_short_names.conf со следующим содержимым (в примере astra.domain - наименование домена):
[domain/astra.domain]
use_fully_qualified_names = False
      • задать права созданному файлу:
chown root:root /etc/sssd/conf.d/10_short_names.conf
chmod 600 /etc/sssd/conf.d/10_short_names.conf

При необходимости работы с vGPU по протоколу доставки Loudplay в гостевой ОС дополнительно должны быть установлены серверные драйверы NVIDIA и сервер Loudplay.

Для гостевой ОС Astra Linux Special Edition 1.7 необходимо также изменить способ назначения сетевых настроек:

  • отключить (systemctl --now mask) и удалить (apt remove) встроенную программу для управления сетевыми соединениями NetworkManager: 
sudo systemctl --now mask NetworkManager && sudo apt remove network-manager
  • выполнить настройку сетевых интерфейсов при помощи конфигурационных файлов /etc/network/interfaces.d/<имя интерфейса>.conf. Необходимо создать конфигурационные файлы и описать их, воспользовавшись справочным центром Astra Linux: https://wiki.astralinux.ru/pages/viewpage.action?pageId=3277370;

Настройка должна быть выполнена для имен сетевых интерфейсов, а не их псевдонимов.

  • отредактировать файл /etc/network/interfaces, добавив в него следующую строку, если ее нет:
source /etc/network/interfaces.d/*
  • после изменения настроек выполнить перезапуск службы сети:
sudo systemctl restart networking

При стандартной настройке сетевой инфраструктуры предполагается, что IP-адрес DNS-сервера определяется DHCP-сервером. Однако если это не так, необходимо скорректировать файл /etc/resolv.conf в гостевой ОС Astra Linux:

  • указать имя домена и IP-адрес DNS-сервера:
echo -e 'domain <имя_домена>\nsearch <имя_домена>\nnameserver <IP-адрес_DNS-сервера>' | sudo tee /etc/resolv.conf
  • для защиты файла /etc/resolv.conf от перезаписи нужно создать файл /etc/dhcp/dhclient-enter-hooks.d/nodnsupdate:
sudo touch /etc/dhcp/dhclient-enter-hooks.d/nodnsupdate
  • отредактировать его содержимое, приведя к виду:
#!/bin/bash
make_resolv_conf() {
        :
}
  • сохранить файл и закрыть.

Вернуть возможность перезаписи файла /etc/resolv.conf можно, удалив ранее созданный файл /etc/dhcp/dhclient-enter-hooks.d/nodnsupdate и выполнив перезапуск сетевой службы:

sudo systemctl restart networking