Практическая работа: Модуль 8. Управление топологией в домене

См. также Требования, правила и цели выполнения практической работы

Практические задания

Развернуть резервный контроллер домена «Стенд ALD Pro — dc-2.ald.company.lan»:

  1. Убедитесь, что уровень защищенности максимальный, а целостность текущего пользователя 63.

  2. Отключите службу NetworkManager.

  3. Настройте сетевой интерфейс и разрешение имен через файлы /etc/network/interfaces и /etc/resolvconf:

    • IP-адрес: 10.0.1.12/24

    • Шлюз: 10.0.1.1

    • Сервер DNS: 10.0.1.11

    • Поисковый домен: ald.company.lan

  4. Убедитесь, что имя сайта dl.astralinux.ru и имя контроллера домена dc-1 и dc-1.ald.company.lan разрешаются и пингуются.

  5. Запретите любые изменения файла /etc/resolv.conf.

  6. Настройте имя машины и файл /etc/hosts в соответствии с рекомендациями.

  7. Убедитесь, что в системе заданы корректные репозитории.

  8. Убедитесь, что приоритеты пакетов настроены корректно.

  9. Установите пакеты ALD Pro для клиентской машины.

  10. Выполните ввод машины в домен со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):

    • Имя домена: ald.company.lan

    • Имя машины: dc-2

    • Имя учетной записи: admin

    • Пароль: AstraLinux_174

    • --gui

    • --force

  11. Перезагрузите компьютер и войдите под доменной записью admin.

  12. Убедитесь, что учетная запись доменного администратора admin состоит в группе «ald rust admin».

  13. Выполните повышение роли сервера до контроллера домена через портал управления ALD Pro на странице Управление доменом ‣ Сайты и службы ‣ Контроллеры домена.

  14. Проверьте состояние доменных служб.

  15. Снимите блокировку с файла /etc/resolv.conf и установите DNS-сервер 127.0.0.1.

  16. Отключите DNSSEC.

  17. Разрешите выполнение рекурсивных запросов и кэширование.

  18. Войдите в портал управления dc-2, используя Kerberos-аутентификацию.

  19. Проверьте соглашение о репликации на странице Управление доменом ‣ Сайты и службы ‣ Соглашения о репликации.

  20. Проверьте статус репликации утилитами dsconf и скриптами проекта checkipaconsistency.

Практическая работа (с ответами)

Развернуть резервный контроллер домена «Стенд ALD Pro — dc-2.ald.company.lan»:

  1. Убедитесь, что уровень защищенности максимальный, а целостность текущего пользователя 63:

cat /etc/astra/build_version
sudo astra-modeswitch getname
sudo pdp-id
  1. Отключите службу NetworkManager:

sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
  1. Настройте сетевой интерфейс и разрешение имен через файлы /etc/network/interfaces и /etc/resolvconf:

    • IP-адрес: 10.0.1.12/24

    • Шлюз: 10.0.1.1

    • Сервер DNS: 10.0.1.11

    • Поисковый домен: ald.company.lan

sudo vim /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
  address 10.0.1.12
  netmask 255.255.255.0
  gateway 10.0.1.1
sudo vim /etc/resolv.conf
nameserver 10.0.1.11
search ald.company.lan
sudo ip addr flush dev eth0
sudo systemctl restart networking
  1. Убедитесь, что имя сайта dl.astralinux.ru и имя контроллера домена dc-1 и dc-1.ald.company.lan разрешаются и пингуются:

ping -c 2 dc-1
ping -c 2 dc-1.ald.company.lan
ping -c 2 dl.astralinux.ru
  1. Запретите любые изменения файла /etc/resolv.conf:

sudo chattr +i /etc/resolv.conf
  1. Настройте имя машины и файл /etc/hosts в соответствии с рекомендациями:

sudo vim /etc/hosts
127.0.0.1 localhost.localdomain localhost
10.0.1.12 dc-2.ald.company.lan dc-2
  1. Убедитесь, что в системе заданы корректные репозитории в соответствующих файлах:

  • Для ОС:

sudo vim /etc/apt/sources.list
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base 1.7_x86-64 main non- free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-extended 1.7_x86-64 main contrib non-free
  • Для ALD Pro:

sudo vim /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/2.2.0 1.7_x86-64 main base
  1. Убедитесь, что приоритеты пакетов настроены корректно:

Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
  1. Установите пакеты ALD Pro для клиентской машины:

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
  1. Выполните ввод машины в домен со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):

    • Имя домена: ald.company.lan

    • Имя машины: dc-2

    • Имя учетной записи: admin

    • Пароль: AstraLinux_174

    • --gui

    • --force

set +o history
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'AstraLinux_174' --host dc-2 --gui --force
set -o history
  1. Перезагрузите компьютер и войдите под доменной записью admin:

sudo reboot
  1. Убедитесь, что учетная запись доменного администратора admin состоит в группе «ald rust admin». Добавьте ее в группу при необходимости:

ipa group-add-member 'ald trust admin' --user admin
  1. Выполните повышение роли сервера до контроллера домена через портал управления ALD Pro на странице Управление доменом ‣ Сайты и службы ‣ Контроллеры домена. Нажмите кнопку «Новый контроллер домена», выберите из списка сервер dc-2.ald.company.lan и остальные параметры, как показано на рисунке ниже.

../_images/aldpro_mod8_pr_image1.png
  1. Проверьте состояние доменных служб:

sudo ipactl status
  1. Снимите блокировку с файла /etc/resolv.conf и установите следующее содержимое:

sudo chattr -i /etc/resolv.conf
vim /etc/resolv.conf
nameserver 127.0.0.1
nameserver 10.0.1.11
search ald.company.lan
  1. Отключите DNSSEC:

sudo sed -i 's/dnssec-validation yes/dnssec-validation no/g' /etc/bind/ipa-options-ext.conf
  1. Разрешите выполнение рекурсивных запросов и кэширование:

sudo tee -a /etc/bind/ipa-options-ext.conf > /dev/null <<EOT
allow-recursion { any; };
allow-query-cache { any; };
EOT
sudo systemctl restart bind9-pkcs11.service
  1. Войдите в портал управления dc-2, используя Kerberos-аутентификацию.

  2. Проверьте соглашение о репликации на странице Управление доменом ‣ Сайты и службы ‣ Соглашения о репликации.

../_images/aldpro_mod8_pr_image2.png
  1. Проверьте состояние репликации утилитой dsconf:

sudo dsconf -j ALD-COMPANY-LAN replication status --suffix dc=ald,dc=company,dc=lan

sudo apt install jq -y;
sudo -i;
(printf 'SUFFIX \tAGREEMENT \tSTATE \tTIME-SINCE \tLDAP-STATUS \tREPL-STATUS \n'; dsconf -j ALD-COMPANY-LAN replication list | jq '.items[]' -r | xargs -P8 -i -- dsconf -j ALD-COMPANY-LAN repl-agmt list --suffix={} | jq '.items[].attrs | (.nsds5replicalastupdatestatusjson[0] | fromjson) as $status | [.nsds5replicaroot[0], .cn[0], $status.state, $status.date, $status.ldap_rc_text, $status.repl_rc_text] | @tsv' -r | sort ) | column -s$'\t' -t``;exit

ds-replcheck online -D "cn=Directory Manager" -m ldap://dc-1.ald.company.lan:389 -r ldap://dc -2.ald.company.lan:389 -b dc=ald,dc=company,dc=lan

Проверьте состояние репликации скриптами проекта checkipaconsistency:

sudo -i
apt install libsasl2-dev python-dev libldap2-dev libssl-dev python-pip
pip --version && pip install --user checkipaconsistency
ln -s /root/.local/bin/cipa /usr/bin/cipa
set +o history
cipa -d ald.company.lan -W AstraLinux_174
set -o history