Product SiteDocumentation Site

Альт Домен

Руководство администратора

Редакция январь, 2025

Аннотация

«Альт Домен» — служба каталогов (доменная служба), позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети с операционными системами (ОС) на ядре Linux и Windows по единым правилам из единого центра. В системе реализовано хранение данных о пользователях, компьютерах (рабочих станциях) и других объектах корпоративной сети, а также управление профилями пользователей и компьютеров с помощью групповых политик в доменах MS Active Directory / Samba DC.
Данное руководство соответствует текущему состоянию сведений, но какие-либо окончательные правки могли не попасть в него. В случае обнаружения ошибок и неточностей в руководство вносятся изменения.
I. Введение
1. Основные сведения о логической модели Альт Домен
2. Схема стенда
II. Разворачивание домена
3. Системные требования к серверу (контроллеру домена)
3.1. RAM
3.2. Размеры хранилища
3.3. CPU
3.4. DNS
3.5. Синхронизация времени
3.6. Требования к портам
4. Создание первого контроллера домена
4.1. Выбор DNS-бэкенда
4.2. Установка имени контроллера домена
4.3. Установка пакетов
4.4. Остановка конфликтующих служб
4.5. Настройка NTP-сервера
4.6. Параметры команды разворачивания домена
4.7. Внутренний DNS-сервер Samba (SAMBA_INTERNAL)
4.7.1. Настройка файла /etc/resolvconf.conf
4.7.2. Восстановление к начальному состоянию Samba
4.7.3. Создание домена
4.7.4. Запуск службы каталогов
4.8. Домен с BIND9_DLZ
4.8.1. Настройка DNS-сервера BIND
4.8.2. Восстановление к начальному состоянию Samba
4.8.3. Создание домена
4.8.4. Запуск служб samba и bind
4.8.5. Проверка зон
4.9. Настройка Kerberos
4.10. Проверка работоспособности домена
5. Присоединение к домену в роли контроллера домена
5.1. Заведение дополнительного контроллера домена c бэкендом SAMBA_INTERNAL
5.2. Заведение дополнительного контроллера домена c бэкендом BIND9_DLZ
5.3. Проверка результатов присоединения
5.4. Настройка NTP-сервера
6. Контроллер домена на чтение (RODC)
6.1. Установка и настройка RODC
6.2. Политики репликации и кеширования паролей на RODC
6.3. Проверка репликации пароля пользователя на сервере RODC
7. Редактирование существующего домена
7.1. Повышение уровня схемы, функционального уровня домена
7.2. Включение RFC2307 после разворачивания домена
7.3. Изменение DNS бэкенда контроллера домена
7.3.1. Миграция с SAMBA_INTERNAL на BIND9_DLZ
7.3.2. Миграция с BIND9_DLZ на SAMBA_INTERNAL
8. Отладочная информация
8.1. Настройка уровня журналирования Samba
8.2. Управление процессами
8.3. DNS
8.3.1. Устранение неполадок, связанных с серверной частью DNS
9. Удаление контроллера домена
9.1. Понижение роли онлайн-контроллера домена
9.2. Понижение автономного контроллера домена
9.3. Проверка
III. Репликация
10. Настройка репликации
11. Проверка статуса репликации
11.1. Отображение статуса репликации на контроллере домена Samba
11.2. Отображение статусов репликации на контроллере домена Windows
12. Двунаправленная репликация SysVol
12.1. Настройка двунаправленной репликации SysVol на базе Rsync/Unison
12.2. Настройка двунаправленной репликации SysVol на базе Rsync/osync
12.3. Сопоставление встроенных идентификаторов пользователей и групп
IV. Клиенты Альт Домен
13. SSSD и Winbind
14. Подготовка системы к вводу в домен
14.1. Синхронизация времени
14.2. Настройка DNS
14.2.1. Настройка клиентов для использования DNS-серверов вручную
14.2.2. Проверка разрешения DNS
15. Присоединение к домену в роли участника
15.1. Команда system-auth
15.2. Подключение к домену с использованием SSSD
15.2.1. Установка пакетов
15.2.2. Ввод в домен в командной строке
15.2.3. Ввод в домен в Центре управления системой
15.2.4. Проверка результатов присоединения
15.3. Подключение к домену с использованием Winbind
15.3.1. Установка пакетов
15.3.2. Ввод в домен в командной строке
15.3.3. Ввод в домен в Центре управления системой
15.3.4. Проверка результатов присоединения
16. Вход пользователя
17. Отображение глобальных групп на локальные
18. Отладочная информация
18.1. Настройка уровня журналирования Samba
18.2. Ошибка при подключении к IP-адресу 127.0.0.1
18.3. getent не показывает доменных пользователей и группы
19. Удаление клиента домена
20. Повторная регистрация клиента
21. Настройка аутентификации доменных пользователей на контроллере домена
21.1. Winbind
21.1.1. Установка пакетов
21.1.2. Изменение файлов конфигурации
21.1.3. Настройка аутентификации
21.2. SSSD
21.2.1. Установка пакетов
21.2.2. Изменение файлов конфигурации
21.2.3. Настройка аутентификации
21.3. Генерация keytab-файла
21.4. Службы
21.5. Настройка ролей
21.6. Групповые политики
21.7. Настройка SSH
22. Настройка обновления паролей аккаунтов машин
22.1. Локальная политика смены пароля
22.2. Включение обновления пароля
22.2.1. ОС Windows
22.2.2. ОС «Альт»
22.3. Отключение обновления пароля
22.3.1. ОС Windows
22.3.2. ОС «Альт»
22.4. Диагностика
22.4.1. Дата последней смены пароля
22.4.2. Потеря доверия между машиной и доменом
22.5. Восстановление работоспособности
V. Инструменты управления объектами домена и групповыми политиками
23. Групповые политики в Альт Домен
24. Установка административных шаблонов и административных инструментов
24.1. Установка административных шаблонов
24.2. Установка административных инструментов
24.2.1. ADMC
24.2.2. GPUI
24.3. Установка административных инструментов (машина Windows)
24.3.1. Windows Server
24.3.2. Windows 10 (1809 и более поздних версиях)
24.3.3. Windows Vista и 7
25. Включение механизма применения конфигурации на клиентских машинах
26. Модуль клиентской машины для применения конфигурации
26.1. Утилиты модуля gpupdate
26.2. Локальная политика
26.3. Ключи реестра
26.4. Модули клиентской стороны (Applier)
26.5. Периодичность запуска групповых политик
26.6. Утилита gpresult
27. Модуль удаленного управления базой данных конфигурации (ADMC)
27.1. Запуск ADMC
27.2. Интерфейс ADMC
27.3. Свойства объектов
27.4. Выбор контейнера
27.5. Управление пользователями
27.5.1. Создание учётной записи пользователя
27.5.2. Изменение учётной записи пользователя
27.6. Управление контактами
27.6.1. Создание контакта
27.6.2. Изменение свойств контакта
27.7. Управление группами
27.7.1. Создание группы
27.7.2. Изменение группы
27.8. Управление компьютерами
27.8.1. Создание учётной записи компьютера
27.8.2. Изменение учётной записи компьютера
27.9. Управление подразделениями
27.9.1. Создание подразделения
27.9.2. Изменение подразделения
27.10. Делегирование административных полномочий
27.10.1. Управление разрешениями
27.10.2. Настройка разрешений, необходимых для перемещения объектов между OU
27.10.3. Делегация полномочий на управление учетными записями пользователей
27.10.4. Делегация полномочий на присоединение компьютеров в домен
27.11. Управление объектами парольных настроек
27.11.1. Создание объекта парольных настроек
27.11.2. Просмотр и изменение объекта парольных настроек
27.11.3. Удаление объекта парольных настроек
27.12. Управление общими папками
27.13. Управление объектами групповых политик
27.13.1. Создание объекта групповой политики
27.13.2. Изменение объекта групповой политики
27.13.3. Блокирование наследования
27.13.4. Фильтрация безопасности ГП
27.14. Добавление/Удаление UPN суффиксов
27.15. Прсмотр и передача ролей FSMO
27.16. Выбор объектов
27.17. Поиск объектов
27.17.1. Простой поиск
27.17.2. Обычный поиск
27.17.3. Продвинутый поиск
27.18. Использование сохранённых результатов поиска
28. Модуль редактирования настроек клиентской конфигурации (GPUI)
28.1. Команда gpui-main
28.2. Запуск GPUI для редактирования доменных политик
28.3. Выбор набора шаблонов групповых политик
28.4. Интерфейс
28.4.1. Редактирование параметров в разделе Административные шаблоны
28.4.2. Фильтрация административных шаблонов
28.4.3. Работа с предпочтениями групповых политик
28.4.4. Работа со скриптами
28.4.5. Смена языка
28.5. Редактирование групповых политик
28.5.1. Включение или выключение различных служб (сервисов systemd)
28.5.2. Управление control framework
28.5.3. Управление настройками службы Polkit
28.5.4. Политика доступа к съемным носителям
28.5.5. Управление gsettings
28.5.6. Управление настройками среды рабочего стола KDE
28.5.7. Управление пакетами
28.5.8. Экспериментальные групповые политики
28.5.9. Механизмы GPUpdate
28.5.10. Управление политиками браузера Chromium
28.5.11. Управление политиками браузера Firefox
28.5.12. Управление политиками «Яндекс.Браузера»
28.5.13. Управление политиками почтового клиента Thunderbird
28.5.14. Политика замыкания
28.6. Редактирование предпочтений
28.6.1. Управление ярлыками
28.6.2. Управление каталогами
28.6.3. Управление INI-файлами
28.6.4. Управление переменными среды
28.6.5. Управление файлами
28.6.6. Управление общими каталогами
28.6.7. Подключение сетевых дисков
28.6.8. Настройка реестра
28.6.9. Указание прокси-сервера
28.6.10. Настройка периодичности запроса конфигураций
28.7. Управление logon-скриптами
28.7.1. Сценарии для входа/выхода пользователя
28.7.2. Сценарии для автозагрузки или завершения работы компьютера
28.7.3. Включение экспериментальных групповых политик
28.7.4. Файлы настроек политики
28.7.5. Диагностика проблем
29. Расширение возможностей ГП
29.1. Схема административных шаблонов (ADMX)
29.1.1. Структура ADMX-файла
29.1.2. Структура ADML-файла
29.1.3. Связывание информации из ADMX и ADML-файлов
29.1.4. Рекомендации для создания ADMX-файлов
29.2. Разработка новой политики
29.2.1. Пример для механизма Systemd
29.2.2. Пример для механизма Control
29.2.3. Пример для механизма Gsetting
29.2.4. Пример для механизма Polkit
30. Решение проблем
30.1. Область действия и статус групповой политики
30.2. Наследование групповых политик
30.3. Порядок применения групповых политик
30.4. Замыкание групповой политики
30.5. Диагностика применения GPO на стороне клиента
30.5.1. Коды ошибок
30.6. Диагностика проблем при работе с политикой скриптов
VI. Доверительные отношения (Трасты)
31. Настройка доверия
31.1. Общие сведения
31.2. Особенности доверительных отношений в Samba
32. Настройка DNS
32.1. Два домена Samba
32.1.1. Настройка переадресации DNS на DC с BIND9_DLZ
32.1.2. Настройка переадресации DNS на DC с SAMBA_INTERNAL
32.1.3. Проверка конфигурации DNS
32.2. Samba DC и Windows Server с AD
32.2.1. Windows Server с AD
32.2.2. Samba DC с BIND9_DLZ
32.2.3. Samba DC с SAMBA_INTERNAL
32.2.4. Проверка конфигурации DNS
33. Создание доверительного отношения
33.1. Два домена Samba
33.2. Samba AD и Windows Server с AD
34. Управление пользователями и группами
34.1. Список пользователей и групп
34.2. Тестирование аутентификации
34.3. Просмотр доверия в Windows
35. Использование трастов на LINUX-клиентах
35.1. Настройка Winbind
35.2. Настройка SSSD
36. Удаление доверия
36.1. На стороне Samba
36.2. На стороне Windows Server с AD
VII. Администрирование домена
37. Управление пользователями и группами
37.1. В ADMC
37.2. С помощью утилиты samba-tool
38. Администрирование DNS
38.1. DNS-записи при вводе машины в домен
38.2. Утилита samba-tool
38.2.1. Работа с DNS-записями
38.2.2. Работа с DNS-зонами
38.2.3. Получение информации о DNS-серверах
38.3. Утилита nsupdate
38.4. Oснастка DNS в RSAT
38.4.1. Работа с DNS-записями
38.4.2. Работа с DNS-зонами
38.5. Динамическое обновление DNS-записей
38.5.1. На стороне клиента
38.6. Обновление IP-адресов вручную
38.7. Известные проблемы
38.7.1. Неверные права DNS-записей машины в домене
39. Администрирование сайтов и подсетей
39.1. Утилита samba-tool
40. Управление парольными политиками
40.1. Глобальные парольные политики
40.2. Объекты настроек паролей (PSO)
40.2.1. В ADMC
40.2.2. С помощью samba-tool
41. Резервное копирование и восстановление домена
41.1. Резервное копирование и восстановление из резервной копии
41.1.1. Создание резервной копии в онлайн/офлайн режимах
41.1.2. Переименованная резервная копия
41.1.3. Рекомендуемая стратегия
41.1.4. Отладочная информация
41.2. Восстановление произвольного контроллера домена после фатального сбоя
42. Роли FSMO
42.1. Семь ролей FSMO
42.1.1. Эмулятор PDC
42.1.2. Хозяин RID
42.1.3. Хозяин схемы
42.1.4. Хозяин именования доменов
42.1.5. Хозяин инфраструктуры
42.1.6. Хозяин зоны DNS домена
42.1.7. Хозяин зоны DNS леса
42.2. Просмотр и передача ролей FSMO
42.2.1. ADMC
42.2.2. Инструмент samba-tool
43. Настройка Samba для привязки к определённым интерфейсам
44. Создание keytab-файла
44.1. Назначение и формат SPN
44.2. Создание SPN и генерация keytab с помощью samba-tool
45. Настройка DHCP-сервера для обновления DNS-записей
45.1. Настройка DHCP-сервера
45.2. Настройка переключения DHCP
46. Настройка LDAP через SSL (LDAPS)
46.1. Параметры smb.conf для LDAPS
46.2. Ограничение шифров TLS
46.3. Использование автоматически сгенерированного самоподписанного сертификата Samba
46.4. Использование пользовательского самоподписанного сертификата
46.5. Использование доверенного сертификата
46.6. Проверка сертификата
47. Аутентификация других сервисов в домене
47.1. Настройка аутентификации Kerberos для веб-сервера Apache
47.1.1. Создание keytab-файла
47.1.2. Настройка Apache2
47.1.3. Проверка аутентификации
47.2. Настройка аутентификации Kerberos для веб-сервера Nginx
47.2.1. Создание keytab-файла
47.2.2. Настройка Nginx
47.2.3. Проверка аутентификации
47.3. Настройка браузеров для SSO
47.3.1. Настройка Mozilla Firefox
47.3.2. Настройка Chromium
47.3.3. Настройка «Яндекс.Браузера»
48. Распределенная файловая система (DFS)
48.1. Пространство DFS-имен
48.2. Настройка DFS на сервере Samba
49. Настройка SSSD
49.1. Журналирование SSSD
49.1.1. Файлы журналов SSSD
49.1.2. Уровни журналирования SSSD
49.1.3. Настройка уровня журналирования для SSSD в файле sssd.conf
49.1.4. Настройка уровня журналирования для SSSD с помощью команды sssctl
49.2. Настройки SSSD в ЦУС
49.3. Включение автономной аутентификации
50. Монтирование общих ресурсов samba
50.1. Подключение с использованием gio
50.2. Подключение с использованием pam_mount
50.3. Подключение с использованием Autofs
51. Журналирование в Samba
51.1. Настройка бэкендов
51.2. Настройка файлов журнала
51.3. Уровни журналирования
51.3.1. Установка уровня журналирования в файле smb.conf
51.3.2. Установка уровня журналирования при выполнении команд
51.4. Настройка ведения журнала аудита
51.4.1. Регистрация событий аутентификации и авторизации
51.4.2. Регистрация изменений в базе данных
51.5. Интерпретация журналов аудита JSON
51.5.1. Общие атрибуты
51.5.2. Атрибуты событий аутентификации (Authentication)
51.5.3. Атрибуты событий авторизации (Authorization)
51.5.4. Атрибуты событий, связанных с изменениями в базе данных (dsdbChange)
51.5.5. Атрибуты событий, связанных с транзакциями (dsdbTransaction)
51.5.6. Атрибуты событий, связанных с изменением пароля (passwordChange)
51.5.7. Атрибуты событий, связанных с изменением группы (groupChange)
52. Усиление безопасности DC
52.1. Возможность анонимного получения списка пользователей, групп
52.2. Отключение Netbios
52.3. Отключение роли сервера печати
52.4. Отключение NTLMv1
52.5. Генерация дополнительных хешей паролей
52.6. Защита DNS-записей wpad и isatap
52.7. Ограничение диапазона динамических портов
52.8. Аудит запросов к каталогам SYSVOL и NetLogon
52.9. Отправка логов аудита в rsyslog
52.9.1. Настройка rsyslog
52.9.2. rsyslog на том же хосте
52.9.3. rsyslog на вышестоящем хосте
53. Планирование и настройка диапазонов идентификаторов UID и GID (Winbind/IDMapping)
53.1. Планирование диапазонов идентификаторов
53.2. Домен * по умолчанию
53.3. Использование tdb
53.4. Использование ad
53.5. Использование rid
53.6. Использование autorid
54. Инструменты командной строки
54.1. samba-tool
54.2. wbinfo
54.3. net
54.4. adcli
54.5. ldapsearch
54.5.1. Фильтр
54.5.2. Формат вывода
54.5.3. Примеры
54.6. sssctl
54.7. testparm
55. Конфигурационные файлы
55.1. smb.conf
55.2. krb5.conf
55.3. sssd.conf
55.4. resolv.conf
55.5. Bind
VIII. Решение проблем
56. Диагностика
56.1. Инструмент диагностики состояния контроллера домена
56.2. Инструмент диагностики клиента домена
56.3. ALT Diagnostic Tool
56.3.1. Установка
56.3.2. Работа с ADT
56.3.3. Руководство администратора
56.3.4. Ошибки и нестандартные случаи
IX. Примечания
57. Настройка беспарольного доступа по ssh
58. Центр управления системой