Product SiteDocumentation Site

Альт Домен 11.0

Руководство администратора

Редакция ноябрь, 2025

Аннотация

«Альт Домен» — служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory / Samba DC.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Введение
1. Основные сведения о логической модели Альт Домен
2. Схема стенда
3. Максимальные ограничения и параметры масштабирования
3.1. Общее ограничение по количеству объектов
3.2. Расчёт объема базы данных
3.3. Требования к дисковому хранилищу
3.4. Расчёт нагрузки на CPU (по сайтам)
II. Установка ОС Альт Сервер
4. Запись установочного образа на USB Flash
4.1. В операционной системе Windows
4.2. В операционной системе Linux
4.3. В операционной системе OS X
4.4. Проверка целостности записанного образа
5. Установка дистрибутива
5.1. Начало установки: загрузка системы
5.2. Последовательность установки
5.3. Язык
5.4. Выбор редакции
5.5. Лицензионное соглашение
5.6. Дата и время
5.7. Подготовка диска
5.8. Установка системы
5.9. Сохранение настроек
5.10. Установка загрузчика
5.11. Настройка сети
5.12. Администратор системы
5.13. Системный пользователь
5.14. Установка пароля на шифрованные разделы
5.15. Завершение установки
6. Обновление системы до актуального состояния
7. Смена редакции после установки
III. Разворачивание домена
8. Системные требования к серверу (контроллеру домена)
8.1. Оперативная память (RAM)
8.2. Размеры хранилища
8.3. Центральный процессор (СPU)
8.4. DNS
8.5. Синхронизация времени
8.6. Требования к портам
9. Выбор DNS-бэкенда
10. Создание первого контроллера домена
10.1. Настройка NTP-сервера
10.2. Установка пакетов
10.3. Остановка конфликтующих служб
10.4. Установка имени контроллера домена
10.5. Сетевые настройки
10.6. Настройка resolvconf
10.7. Параметры команды разворачивания домена
10.8. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
10.8.1. Восстановление к начальному состоянию Samba
10.8.2. Создание домена
10.8.3. Запуск службы каталогов
10.9. Домен с BIND9_DLZ
10.9.1. Настройка DNS-сервера BIND
10.9.2. Восстановление к начальному состоянию Samba
10.9.3. Создание домена
10.9.4. Запуск служб samba и bind
10.9.5. Проверка зон
10.10. Настройка Kerberos
10.11. Проверка работоспособности домена
11. Присоединение к домену в роли контроллера домена
11.1. Добавление DC с бэкендом SAMBA_INTERNAL
11.2. Добавление DC c бэкендом BIND9_DLZ
11.3. Проверка результатов присоединения
12. Контроллер домена, доступный только для чтения (RODC)
12.1. Установка и настройка RODC
12.2. Политики репликации и кеширования паролей на RODC
12.3. Проверка репликации паролей на сервере RODC
13. Редактирование существующего домена
13.1. Повышение уровня схемы и функционального уровня домена
13.2. Включение RFC2307 после разворачивания домена
13.3. Изменение DNS-бэкенда контроллера домена
13.3.1. Миграция с SAMBA_INTERNAL на BIND9_DLZ
13.3.2. Миграция с BIND9_DLZ на SAMBA_INTERNAL
14. Отладочная информация
14.1. Настройка уровня журналирования Samba
14.2. Управление процессами Samba
14.3. Диагностика DNS
14.3.1. Устранение неполадок, связанных с серверной частью DNS
15. Удаление контроллера домена
15.1. Понижение роли онлайн-контроллера домена
15.2. Понижение автономного (недоступного) контроллера домена
15.3. Проверка после понижения
IV. Репликация
16. Настройка репликации
17. Проверка статуса репликации
17.1. Отображение статуса репликации на контроллере домена Samba
17.2. Отображение статусов репликации на контроллере домена Windows
18. Двунаправленная репликация SysVol
18.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
18.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
18.3. Синхронизация idmap.ldb
V. Клиенты Альт Домен
19. SSSD и Winbind
19.1. Аутентификация (PAM)
19.1.1. SSSD
19.1.2. Winbind
19.2. Авторизация (NSS)
19.2.1. SSSD
19.2.2. Winbind
19.3. Кеширование и управление сессией
19.3.1. SSSD
19.3.2. Winbind
19.4. Групповые политики
19.4.1. Поддержка групповых политик ALT Linux
19.4.2. Интеграция с GPO-Based Access Control для входа в систему
19.5. Обновление DNS
19.5.1. SSSD
19.5.2. Winbind
19.6. Поддержка работы с несколькими доменами и доверительные отношения
19.6.1. SSSD
19.6.2. Winbind
20. Подготовка системы к вводу в домен
20.1. Синхронизация времени
20.2. Настройка DNS
20.2.1. Настройка клиентов для использования DNS-серверов вручную
20.2.2. Проверка разрешения DNS
21. Присоединение к домену в роли участника
21.1. Команда system-auth
21.2. Подключение к домену с использованием SSSD
21.2.1. Установка пакетов
21.2.2. Ввод в домен в командной строке
21.2.3. Ввод в домен в Центре управления системой
21.2.4. Проверка результатов присоединения
21.3. Подключение к домену с использованием Winbind
21.3.1. Установка пакетов
21.3.2. Ввод в домен в командной строке
21.3.3. Ввод в домен в Центре управления системой
21.3.4. Проверка результатов присоединения
22. Вход пользователя в систему
23. Отображение глобальных групп на локальные
24. Отладочная информация
24.1. Настройка уровня журналирования Samba
24.2. Ошибка при подключении к IP-адресу 127.0.0.1
24.3. Команда getent не показывает доменных пользователей и группы
25. Удаление клиента из домена
26. Повторная регистрация клиента в домене
27. Настройка аутентификации доменных пользователей на контроллере домена
27.1. Установка пакетов
27.2. Настройка конфигурационных файлов
27.2.1. Настройка Kerberos (krb5.conf)
27.2.2. Настройка Samba (smb.conf)
27.2.3. Настройка NSS (nsswitch.conf)
27.2.4. Настройка аутентификации
27.3. Генерация keytab-файла
27.4. Управление службами
27.5. Настройка ролей
27.6. Групповые политики
27.7. Настройка SSH
27.8. Проверка настройки
28. Настройка обновления паролей аккаунтов машин
28.1. Локальная политика смены пароля
28.2. Включение обновления пароля
28.2.1. ОС Windows
28.2.2. ОС «Альт»
28.3. Отключение обновления пароля
28.3.1. ОС Windows
28.3.2. ОС «Альт»
28.4. Диагностика
28.4.1. Дата последней смены пароля
28.4.2. Проверка доверия между машиной и доменом
28.5. Восстановление работоспособности
VI. Инструменты управления объектами домена и групповыми политиками
29. Групповые политики в Альт Домен
30. Установка административных шаблонов и административных инструментов
30.1. Установка административных шаблонов
30.2. Установка административных инструментов
30.2.1. ADMC
30.2.2. GPUI
30.3. Установка административных инструментов (машина Windows)
30.3.1. Windows Server
30.3.2. Windows 10 (1809 и более поздних версиях)
30.3.3. Windows Vista и 7
31. Включение механизма применения конфигурации на клиентских машинах
32. Модуль клиентской машины для применения конфигурации
32.1. Утилиты модуля gpupdate
32.2. Локальная политика
32.3. Ключи реестра
32.4. Модули клиентской стороны (Applier)
32.5. Периодичность запуска групповых политик
32.6. Утилита gpresult
33. Модуль удаленного управления базой данных конфигурации (ADMC)
33.1. Запуск ADMC
33.2. Смена пользователя
33.3. Интерфейс ADMC
33.4. Свойства объектов
33.5. Выбор контейнера
33.6. Управление пользователями
33.6.1. Создание учётной записи пользователя
33.6.2. Изменение учётной записи пользователя
33.7. Управление контактами
33.7.1. Создание контакта
33.7.2. Изменение свойств контакта
33.8. Управление группами
33.8.1. Создание группы
33.8.2. Изменение группы
33.9. Управление компьютерами
33.9.1. Создание учётной записи компьютера
33.9.2. Изменение учётной записи компьютера
33.9.3. Использование LAPS для просмотра пароля администратора
33.10. Управление подразделениями
33.10.1. Создание подразделения
33.10.2. Изменение подразделения
33.11. Делегирование административных полномочий
33.11.1. Управление разрешениями
33.11.2. Просмотр дескриптора безопасности в формате SDDL
33.11.3. Настройка разрешений для перемещения объектов между OU
33.11.4. Делегирование полномочий на управление учётными записями пользователей
33.11.5. Делегирование полномочий на присоединение компьютеров к домену
33.12. Управление объектами парольных настроек
33.12.1. Создание объекта парольных настроек
33.12.2. Просмотр и изменение объекта парольных настроек
33.12.3. Удаление объекта парольных настроек
33.13. Управление общими папками
33.14. Управление объектами групповых политик
33.14.1. Создание объекта групповой политики
33.14.2. Изменение объекта групповой политики
33.14.3. Блокирование наследования
33.14.4. Фильтрация безопасности групповых политик
33.15. Добавление/Удаление UPN суффиксов
33.16. Просмотр и передача ролей FSMO
33.17. Выбор объектов
33.18. Поиск объектов
33.18.1. Простой поиск
33.18.2. Обычный поиск
33.18.3. Продвинутый поиск
33.19. Использование сохранённых результатов поиска
34. Модуль редактирования настроек клиентской конфигурации (GPUI)
34.1. Команда gpui-main
34.2. Запуск GPUI для редактирования доменных политик
34.3. Выбор набора шаблонов групповых политик
34.4. Интерфейс
34.4.1. Редактирование параметров в разделе Административные шаблоны
34.4.2. Фильтрация административных шаблонов
34.4.3. Работа с предпочтениями групповых политик
34.4.4. Работа со скриптами
34.4.5. Смена языка
34.5. Редактирование групповых политик
34.5.1. Включение или выключение различных служб (сервисов systemd)
34.5.2. Управление control framework
34.5.3. Управление настройками службы Polkit
34.5.4. Политика доступа к съемным носителям
34.5.5. Управление gsettings
34.5.6. Управление настройками среды рабочего стола KDE
34.5.7. Управление пакетами
34.5.8. Экспериментальные групповые политики
34.5.9. Механизмы GPUpdate
34.5.10. Установка пароля для локального пользователя root (LAPS)
34.5.11. Управление политиками браузера Chromium
34.5.12. Управление политиками браузера Firefox
34.5.13. Управление политиками «Яндекс.Браузера»
34.5.14. Управление политиками почтового клиента Thunderbird
34.5.15. Политика замыкания
34.6. Редактирование предпочтений
34.6.1. Управление ярлыками
34.6.2. Управление каталогами
34.6.3. Управление INI-файлами
34.6.4. Управление переменными среды
34.6.5. Управление файлами
34.6.6. Управление общими каталогами
34.6.7. Подключение сетевых дисков
34.6.8. Настройка реестра
34.6.9. Указание прокси-сервера
34.6.10. Настройка периодичности запроса конфигураций
34.7. Управление logon-скриптами
34.7.1. Сценарии для входа/выхода пользователя
34.7.2. Сценарии для автозагрузки или завершения работы компьютера
34.7.3. Включение экспериментальных групповых политик
34.7.4. Файлы настроек политики
34.7.5. Диагностика проблем
35. Расширение возможностей ГП
35.1. Схема административных шаблонов (ADMX)
35.1.1. Структура ADMX-файла
35.1.2. Структура ADML-файла
35.1.3. Связывание информации из ADMX и ADML-файлов
35.1.4. Рекомендации для создания ADMX-файлов
35.2. Разработка новой политики
35.2.1. Пример для механизма Systemd
35.2.2. Пример для механизма Control
35.2.3. Пример для механизма Gsetting
35.2.4. Пример для механизма Polkit
36. Решение проблем
36.1. Область действия и статус групповой политики
36.2. Наследование групповых политик
36.3. Порядок применения групповых политик
36.4. Замыкание групповой политики
36.5. Диагностика применения GPO на стороне клиента
36.5.1. Коды ошибок
36.6. Диагностика проблем при работе с политикой скриптов
36.7. Диагностика проблем при подключении сетевых ресурсов
VII. Доверительные отношения (Трасты)
37. Настройка доверия
37.1. Общие сведения
37.2. Особенности доверительных отношений в Samba
38. Настройка DNS
38.1. Два домена Samba
38.1.1. Настройка переадресации DNS на DC с BIND9_DLZ
38.1.2. Настройка переадресации DNS на DC с SAMBA_INTERNAL
38.1.3. Проверка конфигурации DNS
38.2. Samba DC и Windows Server с AD
38.2.1. Windows Server с AD
38.2.2. Samba DC с BIND9_DLZ
38.2.3. Samba DC с SAMBA_INTERNAL
38.2.4. Проверка конфигурации DNS
39. Создание доверительного отношения
39.1. Два домена Samba
39.2. Samba AD и Windows Server с AD
39.2.1. Настройка на стороне Windows
39.2.2. Настройка на стороне Samba AD
39.2.3. Проверка доверия
40. Управление пользователями и группами
40.1. Список пользователей и групп
40.2. Тестирование аутентификации
40.3. Просмотр доверия в Windows
41. Использование доверительных отношений на LINUX-клиентах
41.1. Настройка Winbind
41.2. Настройка SSSD
41.2.1. Особенности одностороннего доверия
41.2.2. Очистка кеша SSSD при возникновении проблем
42. Удаление доверия
42.1. На стороне Samba
42.2. На стороне Windows Server с AD
VIII. Администрирование домена
43. Управление пользователями и группами
43.1. В ADMC
43.2. С помощью утилиты samba-tool
44. Администрирование DNS
44.1. DNS-записи при вводе машины в домен
44.2. Утилита samba-tool
44.2.1. Работа с DNS-записями
44.2.2. Работа с DNS-зонами
44.2.3. Получение информации о DNS-серверах
44.3. Утилита nsupdate
44.4. Oснастка DNS в RSAT
44.4.1. Работа с DNS-записями
44.4.2. Работа с DNS-зонами
44.5. Динамическое обновление DNS-записей
44.5.1. На стороне клиента
44.6. Обновление IP-адресов вручную
44.7. Известные проблемы
44.7.1. Неверные права DNS-записей машины в домене
45. Администрирование сайтов и подсетей
45.1. Утилита samba-tool
46. Групповые управляемые учётные записи служб (gMSA)
46.1. Команды для работы с корневыми ключами gMSA (KDS)
46.2. Операции с учетными записями gMSA
46.3. Пример настройки
47. Управление парольными политиками
47.1. Глобальные парольные политики
47.2. Объекты настроек паролей (PSO)
47.2.1. В ADMC
47.2.2. С помощью samba-tool
48. Резервное копирование и восстановление домена
48.1. Резервное копирование и восстановление из резервной копии
48.1.1. Создание резервной копии в онлайн и офлайн режимах
48.1.2. Переименованная резервная копия
48.1.3. Рекомендуемая стратегия восстановления домена
48.1.4. Отладочная информация
48.2. Восстановление произвольного контроллера домена после фатального сбоя
49. Роли FSMO
49.1. Семь ролей FSMO
49.1.1. Эмулятор PDC
49.1.2. Хозяин RID
49.1.3. Хозяин схемы
49.1.4. Хозяин именования доменов
49.1.5. Хозяин инфраструктуры
49.1.6. Хозяин зоны DNS домена
49.1.7. Хозяин зоны DNS леса
49.2. Просмотр и передача ролей FSMO
49.2.1. ADMC
49.2.2. Инструмент samba-tool
50. Функциональные уровни и схема каталога
51. Настройка Samba для привязки к определённым интерфейсам
52. Создание keytab-файла
52.1. Назначение и формат SPN
52.2. Создание SPN и генерация keytab с помощью samba-tool
53. Настройка DHCP-сервера для обновления DNS-записей
53.1. Настройка DHCP-сервера
53.2. Настройка переключения DHCP
54. Настройка LDAP через SSL (LDAPS)
54.1. Параметры smb.conf для LDAPS
54.2. Ограничение шифров TLS
54.3. Использование автоматически сгенерированного самоподписанного сертификата Samba
54.4. Использование пользовательского самоподписанного сертификата
54.5. Использование доверенного сертификата
54.6. Проверка сертификата
55. Управление паролями локальных администраторов в инфраструктуре службы каталогов
55.1. Настройка
55.1.1. Настройка Windows LAPS
55.1.2. Настройка клиентских машин c ОС «Альт»
55.2. Проверка применения групповых политик
56. Аутентификация других сервисов в домене
56.1. Настройка аутентификации Kerberos для веб-сервера Apache
56.1.1. Создание keytab-файла
56.1.2. Настройка Apache2
56.1.3. Проверка аутентификации
56.2. Настройка аутентификации Kerberos для веб-сервера Nginx
56.2.1. Создание keytab-файла
56.2.2. Настройка Nginx
56.2.3. Проверка аутентификации
56.3. Настройка браузеров для SSO
56.3.1. Настройка Mozilla Firefox
56.3.2. Настройка Chromium
56.3.3. Настройка «Яндекс.Браузера»
57. FAST в Kerberos
57.1. Что такое FAST
57.2. Принцип работы FAST
57.3. Armoring (бронирование)
57.3.1. Источники брони (armor)
57.3.2. Источники TGT для брони
57.3.3. FAST Request
57.3.4. FAST Response
57.4. Конфигурация клиентских машин
57.4.1. Winbind
57.4.2. SSSD
57.4.3. Windows
58. Централизованная настройка политик Kerberos
59. Распределенная файловая система (DFS)
59.1. Пространство DFS-имен
59.2. Настройка DFS на сервере Samba
60. Настройка SSSD
60.1. Журналирование SSSD
60.1.1. Файлы журналов SSSD
60.1.2. Уровни журналирования SSSD
60.1.3. Настройка уровня журналирования для SSSD в файле sssd.conf
60.1.4. Настройка уровня журналирования для SSSD с помощью команды sssctl
60.2. Настройки SSSD в ЦУС
60.3. Включение автономной аутентификации
61. Samba в режиме файлового сервера
62. Пользовательские общие ресурсы в Samba (Usershares)
62.1. Управление настройками через control
62.2. Настройка общего доступа
62.2.1. В файловом менеджере
62.2.2. В консоли
62.3. Просмотр публичных ресурсов
62.3.1. В файловом менеджере
62.3.2. В консоли
63. Монтирование общих ресурсов samba
63.1. Подключение с использованием gio
63.2. Подключение с использованием pam_mount
63.3. Подключение с использованием Autofs
64. Журналирование в Samba
64.1. Настройка бэкендов
64.2. Настройка файлов журнала
64.3. Уровни журналирования
64.3.1. Установка уровня журналирования в файле smb.conf
64.3.2. Установка уровня журналирования при выполнении команд
64.4. Настройка ведения журнала аудита
64.4.1. Регистрация событий аутентификации и авторизации
64.4.2. Регистрация изменений в базе данных
64.5. Интерпретация журналов аудита JSON
64.5.1. Общие атрибуты
64.5.2. Атрибуты событий аутентификации (Authentication)
64.5.3. Атрибуты событий авторизации (Authorization)
64.5.4. Атрибуты событий, связанных с изменениями в базе данных (dsdbChange)
64.5.5. Атрибуты событий, связанных с транзакциями (dsdbTransaction)
64.5.6. Атрибуты событий, связанных с изменением пароля (passwordChange)
64.5.7. Атрибуты событий, связанных с изменением группы (groupChange)
65. Усиление безопасности DC
65.1. Возможность анонимного получения списка пользователей, групп
65.2. Отключение Netbios
65.3. Отключение роли сервера печати
65.4. Отключение NTLMv1
65.5. Генерация дополнительных хешей паролей
65.6. Защита DNS-записей wpad и isatap
65.7. Ограничение диапазона динамических портов
65.8. Аудит запросов к каталогам SYSVOL и NetLogon
65.9. Отправка логов аудита в rsyslog
65.9.1. Настройка rsyslog
65.9.2. rsyslog на том же узле
65.9.3. rsyslog на вышестоящем узле
66. Планирование и настройка диапазонов идентификаторов UID и GID (Winbind/IDMapping)
66.1. Планирование диапазонов идентификаторов
66.2. Домен * по умолчанию
66.3. Использование tdb
66.4. Использование ad
66.5. Использование rid
66.6. Использование autorid
67. Инструменты командной строки
67.1. samba-tool
67.2. wbinfo
67.3. net
67.4. adcli
67.5. ldapsearch
67.5.1. Фильтр
67.5.2. Формат вывода
67.5.3. Примеры
67.6. sssctl
67.7. testparm
68. Конфигурационные файлы
68.1. smb.conf
68.2. krb5.conf
68.3. sssd.conf
68.4. resolv.conf
68.5. Bind
IX. Решение проблем
69. Отладочная информация
69.1. Проблемы службы samba.service
69.1.1. Проблемы с запуском службы samba.service
69.1.2. Настройка уровня журналирования Samba
69.1.3. Управление процессами Samba
69.2. Диагностика DNS
69.2.1. Устранение неполадок, связанных с серверной частью DNS
69.2.2. Проверка корректности DNS-записей
69.3. Ошибки аутентификации
69.4. Проблемы на стороне клиента
69.4.1. Ошибка при вводе в домен
69.4.2. Ошибка при подключении к IP-адресу 127.0.0.1
69.4.3. Команда getent не показывает доменных пользователей и группы
69.5. Проблемы с репликацией
69.6. Сетевые проблемы
69.7. Работа доверительных отношений
69.8. Групповые политики
70. Инструменты диагностики
70.1. Инструмент диагностики состояния контроллера домена
70.2. Инструмент диагностики клиента домена
70.3. ALT Diagnostic Tool
70.3.1. Установка
70.3.2. Работа с ADT
70.3.3. Руководство администратора
70.3.4. Ошибки и нестандартные случаи
X. Примечания
71. Настройка беспарольного доступа по SSH
72. Центр управления системой