Product SiteDocumentation Site

Альт Домен 11.1

Руководство администратора

Редакция март, 2026

Аннотация

«Альт Домен» — служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory / Samba DC.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Введение
1. Основные сведения о логической модели Альт Домен
2. Схема стенда
3. Максимальные ограничения и параметры масштабирования
3.1. Общее ограничение по количеству объектов
3.2. Расчёт объема базы данных
3.3. Требования к дисковому хранилищу
3.4. Расчёт нагрузки на CPU (по сайтам)
II. Установка ОС Альт Сервер
4. Запись установочного образа на USB Flash
4.1. В операционной системе Windows
4.2. В операционной системе Linux
4.3. В операционной системе OS X
4.4. Проверка целостности записанного образа
5. Установка дистрибутива
5.1. Начало установки: загрузка системы
5.2. Последовательность установки
5.3. Язык
5.4. Выбор редакции
5.5. Лицензионное соглашение
5.6. Дата и время
5.7. Подготовка диска
5.8. Установка системы
5.9. Сохранение настроек
5.10. Установка загрузчика
5.11. Настройка сети
5.12. Администратор системы
5.13. Системный пользователь
5.14. Установка пароля на шифрованные разделы
5.15. Завершение установки
6. Обновление системы до актуального состояния
7. Смена редакции после установки
III. Разворачивание домена
8. Системные требования к серверу (контроллеру домена)
8.1. Оперативная память (RAM)
8.2. Размеры хранилища
8.3. Центральный процессор (СPU)
8.4. DNS
8.5. Синхронизация времени
8.6. Требования к портам
9. Выбор DNS-бэкенда
10. Создание первого контроллера домена
10.1. Настройка NTP-сервера
10.2. Установка имени контроллера домена
10.3. Сетевые настройки
10.4. Настройка resolvconf
10.5. Использование модуля управления сервисами
10.5.1. Установка пакетов
10.5.2. Параметры команды разворачивания домена
10.5.3. Создание нового домена
10.6. С помощью samba-tool
10.6.1. Установка пакетов
10.6.2. Остановка конфликтующих служб
10.6.3. Параметры команды разворачивания домена
10.6.4. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
10.6.5. Домен с BIND9_DLZ
10.6.6. Настройка Kerberos
10.6.7. Проверка работоспособности домена
11. Присоединение к домену в роли контроллера домена
11.1. Присоединение к домену с помощью модуля управления сервисами
11.1.1. В командной строке (alteratorctl)
11.1.2. В приложении Альт Сервисы
11.2. Присоединение к домену с помощью samba-tool domain join
11.2.1. Добавление DC с бэкендом SAMBA_INTERNAL
11.2.2. Добавление DC c бэкендом BIND9_DLZ
11.3. Проверка результатов присоединения
12. Контроллер домена, доступный только для чтения (RODC)
12.1. Установка и настройка RODC
12.1.1. Присоединение сервера к домену в роли RODC с помощью модуля управления сервисами
12.1.2. Присоединение сервера к домену в роли RODC с помощью samba-tool domain join
12.2. Политики репликации и кеширования паролей на RODC
12.3. Проверка репликации паролей на сервере RODC
13. Редактирование существующего домена
13.1. Повышение уровня схемы и функционального уровня домена
13.2. Включение RFC2307 после разворачивания домена
13.3. Изменение DNS-бэкенда контроллера домена
13.3.1. Миграция с SAMBA_INTERNAL на BIND9_DLZ
13.3.2. Миграция с BIND9_DLZ на SAMBA_INTERNAL
14. Отладочная информация
14.1. Настройка уровня журналирования Samba
14.2. Управление процессами Samba
14.3. Диагностика DNS
14.3.1. Устранение неполадок, связанных с серверной частью DNS
15. Удаление контроллера домена
15.1. Понижение роли онлайн-контроллера домена
15.2. Понижение автономного (недоступного) контроллера домена
15.3. Проверка после понижения
IV. Репликация
16. Настройка репликации
17. Проверка статуса репликации
17.1. Отображение статуса репликации на контроллере домена Samba
17.2. Отображение статусов репликации на контроллере домена Windows
18. Двунаправленная репликация SysVol
18.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
18.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
18.3. Синхронизация idmap.ldb
V. Клиенты Альт Домен
19. SSSD и Winbind
19.1. Аутентификация (PAM)
19.1.1. SSSD
19.1.2. Winbind
19.2. Авторизация (NSS)
19.2.1. SSSD
19.2.2. Winbind
19.3. Кеширование и управление сессией
19.3.1. SSSD
19.3.2. Winbind
19.4. Групповые политики
19.4.1. Поддержка групповых политик ALT Linux
19.4.2. Интеграция с GPO-Based Access Control для входа в систему
19.5. Обновление DNS
19.5.1. SSSD
19.5.2. Winbind
19.6. Поддержка работы с несколькими доменами и доверительные отношения
19.6.1. SSSD
19.6.2. Winbind
20. Подготовка системы к вводу в домен
20.1. Синхронизация времени
20.2. Настройка DNS
20.2.1. Настройка клиентов для использования DNS-серверов вручную
20.2.2. Проверка разрешения DNS
21. Присоединение к домену в роли участника
21.1. Команда system-auth
21.2. Подключение к домену с использованием SSSD
21.2.1. Установка пакетов
21.2.2. Ввод в домен в командной строке
21.2.3. Ввод в домен в Центре управления системой
21.2.4. Проверка результатов присоединения
21.3. Подключение к домену с использованием Winbind
21.3.1. Установка пакетов
21.3.2. Ввод в домен в командной строке
21.3.3. Ввод в домен в Центре управления системой
21.3.4. Проверка результатов присоединения
22. Вход пользователя в систему
23. Отображение глобальных групп на локальные
24. Отладочная информация
24.1. Настройка уровня журналирования Samba
24.2. Ошибка при подключении к IP-адресу 127.0.0.1
24.3. Команда getent не показывает доменных пользователей и группы
25. Удаление клиента из домена
26. Повторная регистрация клиента в домене
27. Настройка аутентификации доменных пользователей на контроллере домена
27.1. Установка пакетов
27.2. Настройка конфигурационных файлов
27.2.1. Настройка Kerberos (krb5.conf)
27.2.2. Настройка Samba (smb.conf)
27.2.3. Настройка NSS (nsswitch.conf)
27.2.4. Настройка аутентификации
27.3. Генерация keytab-файла
27.4. Управление службами
27.5. Настройка ролей
27.6. Групповые политики
27.7. Настройка SSH
27.8. Проверка настройки
28. Настройка обновления паролей аккаунтов машин
28.1. Локальная политика смены пароля
28.2. Включение обновления пароля
28.2.1. ОС Windows
28.2.2. ОС «Альт»
28.3. Отключение обновления пароля
28.3.1. ОС Windows
28.3.2. ОС «Альт»
28.4. Диагностика
28.4.1. Дата последней смены пароля
28.4.2. Проверка доверия между машиной и доменом
28.5. Восстановление работоспособности
VI. Инструменты управления объектами домена и групповыми политиками
29. Групповые политики в Альт Домен
30. Установка административных шаблонов и административных инструментов
30.1. Установка административных шаблонов
30.2. Установка административных инструментов
30.2.1. ADMC
30.2.2. GPUI
30.3. Установка административных инструментов (машина Windows)
30.3.1. Windows Server
30.3.2. Windows 10 (1809 и более поздних версиях)
30.3.3. Windows Vista и 7
31. Включение механизма применения конфигурации на клиентских машинах
32. Модуль клиентской машины для применения конфигурации
32.1. Утилиты модуля gpupdate
32.2. Локальная политика
32.3. Ключи реестра
32.4. Модули клиентской стороны (Applier)
32.5. Периодичность запуска групповых политик
32.6. Утилита gpresult
33. Модуль удаленного управления базой данных конфигурации (ADMC)
33.1. Запуск ADMC
33.2. Смена пользователя
33.3. Интерфейс ADMC
33.4. Свойства объектов
33.5. Выбор контейнера
33.6. Управление пользователями
33.6.1. Создание учётной записи пользователя
33.6.2. Изменение учётной записи пользователя
33.7. Управление контактами
33.7.1. Создание контакта
33.7.2. Изменение свойств контакта
33.8. Управление группами
33.8.1. Создание группы
33.8.2. Изменение группы
33.9. Управление компьютерами
33.9.1. Создание учётной записи компьютера
33.9.2. Изменение учётной записи компьютера
33.9.3. Использование LAPS для просмотра пароля администратора
33.10. Управление подразделениями
33.10.1. Создание подразделения
33.10.2. Изменение подразделения
33.11. Делегирование административных полномочий
33.11.1. Управление разрешениями
33.11.2. Просмотр дескриптора безопасности в формате SDDL
33.11.3. Настройка разрешений для перемещения объектов между OU
33.11.4. Делегирование полномочий на управление учётными записями пользователей
33.11.5. Делегирование полномочий на присоединение компьютеров к домену
33.12. Управление объектами парольных настроек
33.12.1. Создание объекта парольных настроек
33.12.2. Просмотр и изменение объекта парольных настроек
33.12.3. Удаление объекта парольных настроек
33.13. Управление общими папками
33.14. Управление объектами групповых политик
33.14.1. Создание объекта групповой политики
33.14.2. Изменение объекта групповой политики
33.14.3. Блокирование наследования
33.14.4. Фильтрация безопасности групповых политик
33.15. Добавление/Удаление UPN суффиксов
33.16. Просмотр и передача ролей FSMO
33.17. Выбор объектов
33.18. Поиск объектов
33.18.1. Простой поиск
33.18.2. Обычный поиск
33.18.3. Продвинутый поиск
33.19. Использование сохранённых результатов поиска
34. Модуль редактирования настроек клиентской конфигурации (GPUI)
34.1. Команда gpui-main
34.2. Запуск GPUI для редактирования доменных политик
34.3. Выбор набора шаблонов групповых политик
34.4. Интерфейс
34.4.1. Редактирование параметров в разделе Административные шаблоны
34.4.2. Фильтрация административных шаблонов
34.4.3. Работа с предпочтениями групповых политик
34.4.4. Работа со скриптами
34.4.5. Смена языка
34.5. Редактирование групповых политик
34.5.1. Включение или выключение различных служб (сервисов systemd)
34.5.2. Управление control framework
34.5.3. Управление настройками службы Polkit
34.5.4. Политика доступа к съемным носителям
34.5.5. Управление gsettings
34.5.6. Управление настройками среды рабочего стола KDE
34.5.7. Управление пакетами
34.5.8. Экспериментальные групповые политики
34.5.9. Механизмы GPUpdate
34.5.10. Установка пароля для локального пользователя root (LAPS)
34.5.11. Управление политиками браузера Chromium
34.5.12. Управление политиками браузера Firefox
34.5.13. Управление политиками «Яндекс.Браузера»
34.5.14. Управление политиками почтового клиента Thunderbird
34.5.15. Политика замыкания
34.5.16. Групповые политики для пользователей из доверенного домена
34.6. Редактирование предпочтений
34.6.1. Управление ярлыками
34.6.2. Управление каталогами
34.6.3. Управление INI-файлами
34.6.4. Управление переменными среды
34.6.5. Управление файлами
34.6.6. Управление общими каталогами
34.6.7. Подключение сетевых дисков
34.6.8. Настройка реестра
34.6.9. Указание прокси-сервера
34.6.10. Настройка периодичности запроса конфигураций
34.7. Управление logon-скриптами
34.7.1. Сценарии для входа/выхода пользователя
34.7.2. Сценарии для автозагрузки или завершения работы компьютера
34.7.3. Включение политик
34.7.4. Файлы настроек политики
34.7.5. Диагностика проблем
35. Расширение возможностей ГП
35.1. Схема административных шаблонов (ADMX)
35.1.1. Структура ADMX-файла
35.1.2. Структура ADML-файла
35.1.3. Связывание информации из ADMX и ADML-файлов
35.1.4. Рекомендации для создания ADMX-файлов
35.2. Разработка новой политики
35.2.1. Пример для механизма Systemd
35.2.2. Пример для механизма Control
35.2.3. Пример для механизма Gsetting
35.2.4. Пример для механизма Polkit
36. Решение проблем
36.1. Область действия и статус групповой политики
36.2. Наследование групповых политик
36.3. Порядок применения групповых политик
36.4. Замыкание групповой политики
36.5. Диагностика применения GPO на стороне клиента
36.5.1. Коды ошибок
36.6. Диагностика проблем при работе с политикой скриптов
36.7. Диагностика проблем при подключении сетевых ресурсов
VII. Доверительные отношения (Трасты)
37. Настройка доверия
37.1. Общие сведения
37.2. Особенности доверительных отношений в Samba
38. Настройка DNS
38.1. Два домена Samba
38.1.1. Настройка переадресации DNS на DC с BIND9_DLZ
38.1.2. Настройка переадресации DNS на DC с SAMBA_INTERNAL
38.1.3. Проверка конфигурации DNS
38.2. Samba DC и Windows Server с AD
38.2.1. Windows Server с AD
38.2.2. Samba DC с BIND9_DLZ
38.2.3. Samba DC с SAMBA_INTERNAL
38.2.4. Проверка конфигурации DNS
39. Создание доверительного отношения
39.1. Два домена Samba
39.2. Samba AD и Windows Server с AD
39.2.1. Настройка на стороне Windows
39.2.2. Настройка на стороне Samba AD
39.2.3. Проверка доверия
40. Управление пользователями и группами
40.1. Список пользователей и групп
40.2. Тестирование аутентификации
40.3. Просмотр доверия в Windows
41. Использование доверительных отношений на LINUX-клиентах
41.1. Настройка Winbind
41.2. Настройка SSSD
41.2.1. Особенности одностороннего доверия
41.2.2. Очистка кеша SSSD при возникновении проблем
41.3. Назначение ролей для пользователей трастового домена
42. Удаление доверия
42.1. На стороне Samba
42.2. На стороне Windows Server с AD
VIII. Администрирование домена
43. Управление пользователями и группами
43.1. В ADMC
43.2. С помощью утилиты samba-tool
44. Администрирование DNS
44.1. DNS-записи при вводе машины в домен
44.2. Утилита samba-tool
44.2.1. Работа с DNS-записями
44.2.2. Работа с DNS-зонами
44.2.3. Получение информации о DNS-серверах
44.3. Утилита nsupdate
44.4. Oснастка DNS в RSAT
44.4.1. Работа с DNS-записями
44.4.2. Работа с DNS-зонами
44.5. Динамическое обновление DNS-записей
44.5.1. На стороне клиента
44.6. Обновление IP-адресов вручную
44.7. Известные проблемы
44.7.1. Неверные права DNS-записей машины в домене
45. Администрирование сайтов и подсетей
45.1. Утилита samba-tool
46. Групповые управляемые учётные записи служб (gMSA)
46.1. Команды для работы с корневыми ключами gMSA (KDS)
46.2. Операции с учетными записями gMSA
46.3. Пример настройки
47. Управление парольными политиками
47.1. Глобальные парольные политики
47.2. Объекты настроек паролей (PSO)
47.2.1. В ADMC
47.2.2. С помощью samba-tool
48. Резервное копирование и восстановление домена
48.1. Резервное копирование и восстановление из резервной копии
48.1.1. Создание резервной копии в онлайн и офлайн режимах
48.1.2. Переименованная резервная копия
48.1.3. Рекомендуемая стратегия восстановления домена
48.1.4. Отладочная информация
48.2. Восстановление произвольного контроллера домена после фатального сбоя
49. Роли FSMO
49.1. Семь ролей FSMO
49.1.1. Эмулятор PDC
49.1.2. Хозяин RID
49.1.3. Хозяин схемы
49.1.4. Хозяин именования доменов
49.1.5. Хозяин инфраструктуры
49.1.6. Хозяин зоны DNS домена
49.1.7. Хозяин зоны DNS леса
49.2. Просмотр и передача ролей FSMO
49.2.1. ADMC
49.2.2. Инструмент samba-tool
50. Функциональные уровни и схема каталога
51. Настройка Samba для привязки к определённым интерфейсам
52. Создание keytab-файла
52.1. Назначение и формат SPN
52.2. Создание SPN и генерация keytab с помощью samba-tool
53. Настройка DHCP-сервера для обновления DNS-записей
53.1. Настройка DHCP-сервера
53.2. Настройка переключения DHCP
54. Настройка LDAP через SSL (LDAPS)
54.1. Параметры smb.conf для LDAPS
54.2. Ограничение шифров TLS
54.3. Использование автоматически сгенерированного самоподписанного сертификата Samba
54.4. Использование пользовательского самоподписанного сертификата
54.5. Использование доверенного сертификата
54.6. Проверка сертификата
55. Управление паролями локальных администраторов в инфраструктуре службы каталогов
55.1. Настройка
55.1.1. LAPS в домене на контроллерах ALT (Samba AD)
55.1.2. Настройка Windows LAPS
55.1.3. Настройка клиентских машин с ОС «Альт»
55.2. Проверка применения групповых политик
56. Аутентификация других сервисов в домене
56.1. Настройка аутентификации Kerberos для веб-сервера Apache
56.1.1. Создание keytab-файла
56.1.2. Настройка Apache2
56.1.3. Проверка аутентификации
56.2. Настройка аутентификации Kerberos для веб-сервера Nginx
56.2.1. Создание keytab-файла
56.2.2. Настройка Nginx
56.2.3. Проверка аутентификации
56.3. Настройка браузеров для SSO
56.3.1. Настройка Mozilla Firefox
56.3.2. Настройка Chromium
56.3.3. Настройка «Яндекс.Браузера»
57. Настройка NTP-сервера
57.1. Управление сервисами. Настройка NTP-сервера
57.1.1. Установка пакетов
57.1.2. Параметры команды разворачивания NTP-сервера
57.1.3. Разворачивание NTP-сервера
57.2. Настройка NTP-сервера в ЦУС
58. FAST в Kerberos
58.1. Что такое FAST
58.2. Принцип работы FAST
58.3. Armoring (бронирование)
58.3.1. Источники брони (armor)
58.3.2. Источники TGT для брони
58.3.3. FAST Request
58.3.4. FAST Response
58.4. Конфигурация клиентских машин
58.4.1. Winbind
58.4.2. SSSD
58.4.3. Windows
59. Централизованная настройка политик Kerberos
60. Распределенная файловая система (DFS)
60.1. Пространство DFS-имен
60.2. Настройка DFS на сервере Samba
61. Настройка SSSD
61.1. Журналирование SSSD
61.1.1. Файлы журналов SSSD
61.1.2. Уровни журналирования SSSD
61.1.3. Настройка уровня журналирования для SSSD в файле sssd.conf
61.1.4. Настройка уровня журналирования для SSSD с помощью команды sssctl
61.2. Настройки SSSD в ЦУС
61.3. Включение автономной аутентификации
62. Samba в режиме файлового сервера
63. Пользовательские общие ресурсы в Samba (Usershares)
63.1. Управление настройками через control
63.2. Настройка общего доступа
63.2.1. В файловом менеджере
63.2.2. В консоли
63.3. Просмотр публичных ресурсов
63.3.1. В файловом менеджере
63.3.2. В консоли
64. Монтирование общих ресурсов samba
64.1. Подключение с использованием gio
64.2. Подключение с использованием pam_mount
64.3. Подключение с использованием Autofs
65. Журналирование в Samba
65.1. Настройка бэкендов
65.2. Настройка файлов журнала
65.3. Уровни журналирования
65.3.1. Установка уровня журналирования в файле smb.conf
65.3.2. Установка уровня журналирования при выполнении команд
65.4. Настройка ведения журнала аудита
65.4.1. Регистрация событий аутентификации и авторизации
65.4.2. Регистрация изменений в базе данных
65.5. Интерпретация журналов аудита JSON
65.5.1. Общие атрибуты
65.5.2. Атрибуты событий аутентификации (Authentication)
65.5.3. Атрибуты событий авторизации (Authorization)
65.5.4. Атрибуты событий, связанных с изменениями в базе данных (dsdbChange)
65.5.5. Атрибуты событий, связанных с транзакциями (dsdbTransaction)
65.5.6. Атрибуты событий, связанных с изменением пароля (passwordChange)
65.5.7. Атрибуты событий, связанных с изменением группы (groupChange)
66. Усиление безопасности DC
66.1. Возможность анонимного получения списка пользователей, групп
66.2. Отключение Netbios
66.3. Отключение роли сервера печати
66.4. Отключение NTLMv1
66.5. Генерация дополнительных хешей паролей
66.6. Защита DNS-записей wpad и isatap
66.7. Ограничение диапазона динамических портов
66.8. Аудит запросов к каталогам SYSVOL и NetLogon
66.9. Отправка логов аудита в rsyslog
66.9.1. Настройка rsyslog
66.9.2. rsyslog на том же узле
66.9.3. rsyslog на вышестоящем узле
67. Планирование и настройка диапазонов идентификаторов UID и GID (Winbind/IDMapping)
67.1. Планирование диапазонов идентификаторов
67.2. Домен * по умолчанию
67.3. Использование tdb
67.4. Использование ad
67.5. Использование rid
67.6. Использование autorid
68. Инструменты командной строки
68.1. samba-tool
68.2. wbinfo
68.3. net
68.4. adcli
68.5. ldapsearch
68.5.1. Фильтр
68.5.2. Формат вывода
68.5.3. Примеры
68.6. sssctl
68.7. testparm
69. Конфигурационные файлы
69.1. smb.conf
69.2. krb5.conf
69.3. sssd.conf
69.4. resolv.conf
69.5. Bind
IX. Решение проблем
70. Отладочная информация
70.1. Проблемы службы samba.service
70.1.1. Проблемы с запуском службы samba.service
70.1.2. Настройка уровня журналирования Samba
70.1.3. Управление процессами Samba
70.2. Диагностика DNS
70.2.1. Устранение неполадок, связанных с серверной частью DNS
70.2.2. Проверка корректности DNS-записей
70.3. Ошибки аутентификации
70.4. Проблемы на стороне клиента
70.4.1. Ошибка при вводе в домен
70.4.2. Ошибка при подключении к IP-адресу 127.0.0.1
70.4.3. Команда getent не показывает доменных пользователей и группы
70.5. Проблемы с присоединением к домену в роли контроллера домена
70.5.1. Рост базы данных при первичной репликации сложной инфраструктуры
70.6. Проблемы с репликацией
70.7. Сетевые проблемы
70.8. Работа доверительных отношений
70.9. Групповые политики
71. Инструменты диагностики
71.1. Модуль diag
71.1.1. Диагностика состояния контроллера домена
71.1.2. Инструмент диагностики клиента домена
71.2. Альт Диагностические инструменты (ADT)
71.2.1. Установка и запуск
71.2.2. Работа с диагностическими инструментами
X. Примечания
72. Настройка беспарольного доступа по SSH
73. Центр управления системой
74. Альт Сервисы
74.1. Установка и запуск
74.2. Интерфейс модуля
74.3. Диагностика
74.4. Развертывание сервиса
74.5. Деактивация сервиса
74.6. Запуск и остановка сервиса
74.7. Настройка сервиса
74.8. Резервное копирование и восстановление
74.9. Экспорт параметров
74.10. Импорт параметров