Product SiteDocumentation Site

Альт Домен

Руководство администратора

Редакция апрель, 2025

Аннотация

«Альт Домен» — служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory / Samba DC.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Введение
1. Основные сведения о логической модели Альт Домен
2. Схема стенда
3. Максимальные ограничения и параметры масштабирования
3.1. Общее ограничение по количеству объектов
3.2. Расчёт объема базы данных
3.3. Требования к дисковому хранилищу
3.4. Расчёт нагрузки на CPU (по сайтам)
II. Разворачивание домена
4. Системные требования к серверу (контроллеру домена)
4.1. RAM
4.2. Размеры хранилища
4.3. CPU
4.4. DNS
4.5. Синхронизация времени
4.6. Требования к портам
5. Создание первого контроллера домена
5.1. Выбор DNS-бэкенда
5.2. Установка имени контроллера домена
5.3. Установка пакетов
5.4. Остановка конфликтующих служб
5.5. Настройка NTP-сервера
5.6. Параметры команды разворачивания домена
5.7. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
5.7.1. Настройка файла /etc/resolvconf.conf
5.7.2. Восстановление к начальному состоянию Samba
5.7.3. Создание домена
5.7.4. Запуск службы каталогов
5.8. Домен с BIND9_DLZ
5.8.1. Настройка DNS-сервера BIND
5.8.2. Восстановление к начальному состоянию Samba
5.8.3. Создание домена
5.8.4. Запуск служб samba и bind
5.8.5. Проверка зон
5.9. Настройка Kerberos
5.10. Проверка работоспособности домена
6. Присоединение к домену в роли контроллера домена
6.1. Заведение дополнительного контроллера домена c бэкендом SAMBA_INTERNAL
6.2. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ
6.3. Проверка результатов присоединения
6.4. Настройка NTP-сервера
7. Контроллер домена на чтение (RODC)
7.1. Установка и настройка RODC
7.2. Политики репликации и кеширования паролей на RODC
7.3. Проверка репликации пароля пользователя на сервере RODC
8. Редактирование существующего домена
8.1. Повышение уровня схемы, функционального уровня домена
8.2. Включение RFC2307 после разворачивания домена
8.3. Изменение DNS бэкенда контроллера домена
8.3.1. Миграция с SAMBA_INTERNAL на BIND9_DLZ
8.3.2. Миграция с BIND9_DLZ на SAMBA_INTERNAL
9. Отладочная информация
9.1. Настройка уровня журналирования Samba
9.2. Управление процессами
9.3. DNS
9.3.1. Устранение неполадок, связанных с серверной частью DNS
10. Удаление контроллера домена
10.1. Понижение роли онлайн-контроллера домена
10.2. Понижение автономного контроллера домена
10.3. Проверка
III. Репликация
11. Настройка репликации
12. Проверка статуса репликации
12.1. Отображение статуса репликации на контроллере домена Samba
12.2. Отображение статусов репликации на контроллере домена Windows
13. Двунаправленная репликация SysVol
13.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
13.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
13.3. Сопоставление встроенных идентификаторов пользователей и групп
IV. Клиенты Альт Домен
14. SSSD и Winbind
14.1. Аутентификация (PAM)
14.1.1. SSSD
14.1.2. Winbind
14.2. Авторизация (NSS)
14.2.1. SSSD
14.2.2. Winbind
14.3. Кеширование и управление сессией
14.3.1. SSSD
14.3.2. Winbind
14.4. Групповые политики
14.4.1. Поддержка групповых политик ALT Linux
14.4.2. Интеграция с GPO-Based Access Control для входа в систему
14.5. Обновление DNS
14.5.1. SSSD
14.5.2. Winbind
14.6. Поддержка работы с несколькими доменами и доверительные отношения
14.6.1. SSSD
14.6.2. Winbind
15. Подготовка системы к вводу в домен
15.1. Синхронизация времени
15.2. Настройка DNS
15.2.1. Настройка клиентов для использования DNS-серверов вручную
15.2.2. Проверка разрешения DNS
16. Присоединение к домену в роли участника
16.1. Команда system-auth
16.2. Подключение к домену с использованием SSSD
16.2.1. Установка пакетов
16.2.2. Ввод в домен в командной строке
16.2.3. Ввод в домен в Центре управления системой
16.2.4. Проверка результатов присоединения
16.3. Подключение к домену с использованием Winbind
16.3.1. Установка пакетов
16.3.2. Ввод в домен в командной строке
16.3.3. Ввод в домен в Центре управления системой
16.3.4. Проверка результатов присоединения
17. Вход пользователя
18. Отображение глобальных групп на локальные
19. Отладочная информация
19.1. Настройка уровня журналирования Samba
19.2. Ошибка при подключении к IP-адресу 127.0.0.1
19.3. getent не показывает доменных пользователей и группы
20. Удаление клиента домена
21. Повторная регистрация клиента
22. Настройка аутентификации доменных пользователей на контроллере домена
22.1. Установка пакетов
22.2. Изменение файлов конфигурации
22.2.1. Настройка Kerberos (krb5.conf)
22.2.2. Настройка Samba (smb.conf)
22.2.3. Настройка NSS (nsswitch.conf)
22.2.4. Настройка аутентификации
22.3. Генерация keytab-файла
22.4. Службы
22.5. Настройка ролей
22.6. Групповые политики
22.7. Настройка SSH
22.8. Проверка результатов присоединения
23. Настройка обновления паролей аккаунтов машин
23.1. Локальная политика смены пароля
23.2. Включение обновления пароля
23.2.1. ОС Windows
23.2.2. ОС «Альт»
23.3. Отключение обновления пароля
23.3.1. ОС Windows
23.3.2. ОС «Альт»
23.4. Диагностика
23.4.1. Дата последней смены пароля
23.4.2. Потеря доверия между машиной и доменом
23.5. Восстановление работоспособности
V. Инструменты управления объектами домена и групповыми политиками
24. Групповые политики в Альт Домен
25. Установка административных шаблонов и административных инструментов
25.1. Установка административных шаблонов
25.2. Установка административных инструментов
25.2.1. ADMC
25.2.2. GPUI
25.3. Установка административных инструментов (машина Windows)
25.3.1. Windows Server
25.3.2. Windows 10 (1809 и более поздних версиях)
25.3.3. Windows Vista и 7
26. Включение механизма применения конфигурации на клиентских машинах
27. Модуль клиентской машины для применения конфигурации
27.1. Утилиты модуля gpupdate
27.2. Локальная политика
27.3. Ключи реестра
27.4. Модули клиентской стороны (Applier)
27.5. Периодичность запуска групповых политик
27.6. Утилита gpresult
28. Модуль удаленного управления базой данных конфигурации (ADMC)
28.1. Запуск ADMC
28.2. Интерфейс ADMC
28.3. Свойства объектов
28.4. Выбор контейнера
28.5. Управление пользователями
28.5.1. Создание учётной записи пользователя
28.5.2. Изменение учётной записи пользователя
28.6. Управление контактами
28.6.1. Создание контакта
28.6.2. Изменение свойств контакта
28.7. Управление группами
28.7.1. Создание группы
28.7.2. Изменение группы
28.8. Управление компьютерами
28.8.1. Создание учётной записи компьютера
28.8.2. Изменение учётной записи компьютера
28.9. Управление подразделениями
28.9.1. Создание подразделения
28.9.2. Изменение подразделения
28.10. Делегирование административных полномочий
28.10.1. Управление разрешениями
28.10.2. Настройка разрешений, необходимых для перемещения объектов между OU
28.10.3. Делегация полномочий на управление учетными записями пользователей
28.10.4. Делегация полномочий на присоединение компьютеров в домен
28.11. Управление объектами парольных настроек
28.11.1. Создание объекта парольных настроек
28.11.2. Просмотр и изменение объекта парольных настроек
28.11.3. Удаление объекта парольных настроек
28.12. Управление общими папками
28.13. Управление объектами групповых политик
28.13.1. Создание объекта групповой политики
28.13.2. Изменение объекта групповой политики
28.13.3. Блокирование наследования
28.13.4. Фильтрация безопасности ГП
28.14. Добавление/Удаление UPN суффиксов
28.15. Прсмотр и передача ролей FSMO
28.16. Выбор объектов
28.17. Поиск объектов
28.17.1. Простой поиск
28.17.2. Обычный поиск
28.17.3. Продвинутый поиск
28.18. Использование сохранённых результатов поиска
29. Модуль редактирования настроек клиентской конфигурации (GPUI)
29.1. Команда gpui-main
29.2. Запуск GPUI для редактирования доменных политик
29.3. Выбор набора шаблонов групповых политик
29.4. Интерфейс
29.4.1. Редактирование параметров в разделе Административные шаблоны
29.4.2. Фильтрация административных шаблонов
29.4.3. Работа с предпочтениями групповых политик
29.4.4. Работа со скриптами
29.4.5. Смена языка
29.5. Редактирование групповых политик
29.5.1. Включение или выключение различных служб (сервисов systemd)
29.5.2. Управление control framework
29.5.3. Управление настройками службы Polkit
29.5.4. Политика доступа к съемным носителям
29.5.5. Управление gsettings
29.5.6. Управление настройками среды рабочего стола KDE
29.5.7. Управление пакетами
29.5.8. Экспериментальные групповые политики
29.5.9. Механизмы GPUpdate
29.5.10. Управление политиками браузера Chromium
29.5.11. Управление политиками браузера Firefox
29.5.12. Управление политиками «Яндекс.Браузера»
29.5.13. Управление политиками почтового клиента Thunderbird
29.5.14. Политика замыкания
29.6. Редактирование предпочтений
29.6.1. Управление ярлыками
29.6.2. Управление каталогами
29.6.3. Управление INI-файлами
29.6.4. Управление переменными среды
29.6.5. Управление файлами
29.6.6. Управление общими каталогами
29.6.7. Подключение сетевых дисков
29.6.8. Настройка реестра
29.6.9. Указание прокси-сервера
29.6.10. Настройка периодичности запроса конфигураций
29.7. Управление logon-скриптами
29.7.1. Сценарии для входа/выхода пользователя
29.7.2. Сценарии для автозагрузки или завершения работы компьютера
29.7.3. Включение экспериментальных групповых политик
29.7.4. Файлы настроек политики
29.7.5. Диагностика проблем
30. Расширение возможностей ГП
30.1. Схема административных шаблонов (ADMX)
30.1.1. Структура ADMX-файла
30.1.2. Структура ADML-файла
30.1.3. Связывание информации из ADMX и ADML-файлов
30.1.4. Рекомендации для создания ADMX-файлов
30.2. Разработка новой политики
30.2.1. Пример для механизма Systemd
30.2.2. Пример для механизма Control
30.2.3. Пример для механизма Gsetting
30.2.4. Пример для механизма Polkit
31. Решение проблем
31.1. Область действия и статус групповой политики
31.2. Наследование групповых политик
31.3. Порядок применения групповых политик
31.4. Замыкание групповой политики
31.5. Диагностика применения GPO на стороне клиента
31.5.1. Коды ошибок
31.6. Диагностика проблем при работе с политикой скриптов
VI. Доверительные отношения (Трасты)
32. Настройка доверия
32.1. Общие сведения
32.2. Особенности доверительных отношений в Samba
33. Настройка DNS
33.1. Два домена Samba
33.1.1. Настройка переадресации DNS на DC с BIND9_DLZ
33.1.2. Настройка переадресации DNS на DC с SAMBA_INTERNAL
33.1.3. Проверка конфигурации DNS
33.2. Samba DC и Windows Server с AD
33.2.1. Windows Server с AD
33.2.2. Samba DC с BIND9_DLZ
33.2.3. Samba DC с SAMBA_INTERNAL
33.2.4. Проверка конфигурации DNS
34. Создание доверительного отношения
34.1. Два домена Samba
34.2. Samba AD и Windows Server с AD
35. Управление пользователями и группами
35.1. Список пользователей и групп
35.2. Тестирование аутентификации
35.3. Просмотр доверия в Windows
36. Использование трастов на LINUX-клиентах
36.1. Настройка Winbind
36.2. Настройка SSSD
37. Удаление доверия
37.1. На стороне Samba
37.2. На стороне Windows Server с AD
VII. Администрирование домена
38. Управление пользователями и группами
38.1. В ADMC
38.2. С помощью утилиты samba-tool
39. Администрирование DNS
39.1. DNS-записи при вводе машины в домен
39.2. Утилита samba-tool
39.2.1. Работа с DNS-записями
39.2.2. Работа с DNS-зонами
39.2.3. Получение информации о DNS-серверах
39.3. Утилита nsupdate
39.4. Oснастка DNS в RSAT
39.4.1. Работа с DNS-записями
39.4.2. Работа с DNS-зонами
39.5. Динамическое обновление DNS-записей
39.5.1. На стороне клиента
39.6. Обновление IP-адресов вручную
39.7. Известные проблемы
39.7.1. Неверные права DNS-записей машины в домене
40. Администрирование сайтов и подсетей
40.1. Утилита samba-tool
41. Управление парольными политиками
41.1. Глобальные парольные политики
41.2. Объекты настроек паролей (PSO)
41.2.1. В ADMC
41.2.2. С помощью samba-tool
42. Резервное копирование и восстановление домена
42.1. Резервное копирование и восстановление из резервной копии
42.1.1. Создание резервной копии в онлайн/офлайн режимах
42.1.2. Переименованная резервная копия
42.1.3. Рекомендуемая стратегия
42.1.4. Отладочная информация
42.2. Восстановление произвольного контроллера домена после фатального сбоя
43. Роли FSMO
43.1. Семь ролей FSMO
43.1.1. Эмулятор PDC
43.1.2. Хозяин RID
43.1.3. Хозяин схемы
43.1.4. Хозяин именования доменов
43.1.5. Хозяин инфраструктуры
43.1.6. Хозяин зоны DNS домена
43.1.7. Хозяин зоны DNS леса
43.2. Просмотр и передача ролей FSMO
43.2.1. ADMC
43.2.2. Инструмент samba-tool
44. Настройка Samba для привязки к определённым интерфейсам
45. Создание keytab-файла
45.1. Назначение и формат SPN
45.2. Создание SPN и генерация keytab с помощью samba-tool
46. Настройка DHCP-сервера для обновления DNS-записей
46.1. Настройка DHCP-сервера
46.2. Настройка переключения DHCP
47. Настройка LDAP через SSL (LDAPS)
47.1. Параметры smb.conf для LDAPS
47.2. Ограничение шифров TLS
47.3. Использование автоматически сгенерированного самоподписанного сертификата Samba
47.4. Использование пользовательского самоподписанного сертификата
47.5. Использование доверенного сертификата
47.6. Проверка сертификата
48. Аутентификация других сервисов в домене
48.1. Настройка аутентификации Kerberos для веб-сервера Apache
48.1.1. Создание keytab-файла
48.1.2. Настройка Apache2
48.1.3. Проверка аутентификации
48.2. Настройка аутентификации Kerberos для веб-сервера Nginx
48.2.1. Создание keytab-файла
48.2.2. Настройка Nginx
48.2.3. Проверка аутентификации
48.3. Настройка браузеров для SSO
48.3.1. Настройка Mozilla Firefox
48.3.2. Настройка Chromium
48.3.3. Настройка «Яндекс.Браузера»
49. Распределенная файловая система (DFS)
49.1. Пространство DFS-имен
49.2. Настройка DFS на сервере Samba
50. Настройка SSSD
50.1. Журналирование SSSD
50.1.1. Файлы журналов SSSD
50.1.2. Уровни журналирования SSSD
50.1.3. Настройка уровня журналирования для SSSD в файле sssd.conf
50.1.4. Настройка уровня журналирования для SSSD с помощью команды sssctl
50.2. Настройки SSSD в ЦУС
50.3. Включение автономной аутентификации
51. Samba в режиме файлового сервера
52. Монтирование общих ресурсов samba
52.1. Подключение с использованием gio
52.2. Подключение с использованием pam_mount
52.3. Подключение с использованием Autofs
53. Журналирование в Samba
53.1. Настройка бэкендов
53.2. Настройка файлов журнала
53.3. Уровни журналирования
53.3.1. Установка уровня журналирования в файле smb.conf
53.3.2. Установка уровня журналирования при выполнении команд
53.4. Настройка ведения журнала аудита
53.4.1. Регистрация событий аутентификации и авторизации
53.4.2. Регистрация изменений в базе данных
53.5. Интерпретация журналов аудита JSON
53.5.1. Общие атрибуты
53.5.2. Атрибуты событий аутентификации (Authentication)
53.5.3. Атрибуты событий авторизации (Authorization)
53.5.4. Атрибуты событий, связанных с изменениями в базе данных (dsdbChange)
53.5.5. Атрибуты событий, связанных с транзакциями (dsdbTransaction)
53.5.6. Атрибуты событий, связанных с изменением пароля (passwordChange)
53.5.7. Атрибуты событий, связанных с изменением группы (groupChange)
54. Усиление безопасности DC
54.1. Возможность анонимного получения списка пользователей, групп
54.2. Отключение Netbios
54.3. Отключение роли сервера печати
54.4. Отключение NTLMv1
54.5. Генерация дополнительных хешей паролей
54.6. Защита DNS-записей wpad и isatap
54.7. Ограничение диапазона динамических портов
54.8. Аудит запросов к каталогам SYSVOL и NetLogon
54.9. Отправка логов аудита в rsyslog
54.9.1. Настройка rsyslog
54.9.2. rsyslog на том же узле
54.9.3. rsyslog на вышестоящем узле
55. Планирование и настройка диапазонов идентификаторов UID и GID (Winbind/IDMapping)
55.1. Планирование диапазонов идентификаторов
55.2. Домен * по умолчанию
55.3. Использование tdb
55.4. Использование ad
55.5. Использование rid
55.6. Использование autorid
56. Инструменты командной строки
56.1. samba-tool
56.2. wbinfo
56.3. net
56.4. adcli
56.5. ldapsearch
56.5.1. Фильтр
56.5.2. Формат вывода
56.5.3. Примеры
56.6. sssctl
56.7. testparm
57. Конфигурационные файлы
57.1. smb.conf
57.2. krb5.conf
57.3. sssd.conf
57.4. resolv.conf
57.5. Bind
VIII. Решение проблем
58. Диагностика
58.1. Инструмент диагностики состояния контроллера домена
58.2. Инструмент диагностики клиента домена
58.3. ALT Diagnostic Tool
58.3.1. Установка
58.3.2. Работа с ADT
58.3.3. Руководство администратора
58.3.4. Ошибки и нестандартные случаи
IX. Примечания
59. Настройка беспарольного доступа по ssh
60. Центр управления системой