Практическая работа: Модуль 8. Управление топологией в домене
См. также Требования, правила и цели выполнения практической работы
Практические задания
Развернуть резервный контроллер домена «Стенд ALD Pro — dc-2.ald.company.lan»:
Убедитесь, что уровень защищенности максимальный, а целостность текущего пользователя 63.
Отключите службу NetworkManager.
Настройте сетевой интерфейс и разрешение имен через файлы /etc/network/interfaces и /etc/resolvconf:
IP-адрес: 10.0.1.12/24
Шлюз: 10.0.1.1
Сервер DNS: 10.0.1.11
Поисковый домен: ald.company.lan
Убедитесь, что имя сайта dl.astralinux.ru и имя контроллера домена dc-1 и dc-1.ald.company.lan разрешаются и пингуются.
Запретите любые изменения файла /etc/resolv.conf.
Настройте имя машины и файл /etc/hosts в соответствии с рекомендациями.
Убедитесь, что в системе заданы корректные репозитории.
Убедитесь, что приоритеты пакетов настроены корректно.
Установите пакеты ALD Pro для клиентской машины.
Выполните ввод машины в домен со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):
Имя домена: ald.company.lan
Имя машины: dc-2
Имя учетной записи: admin
Пароль: AstraLinux_174
--gui
--force
Перезагрузите компьютер и войдите под доменной записью admin.
Убедитесь, что учетная запись доменного администратора admin состоит в группе «ald rust admin».
Выполните повышение роли сервера до контроллера домена через портал управления ALD Pro на странице
.Проверьте состояние доменных служб.
Снимите блокировку с файла
/etc/resolv.conf
и установите DNS-сервер 127.0.0.1.Отключите DNSSEC.
Разрешите выполнение рекурсивных запросов и кэширование.
Войдите в портал управления dc-2, используя Kerberos-аутентификацию.
Проверьте соглашение о репликации на странице
.Проверьте статус репликации утилитами dsconf и скриптами проекта checkipaconsistency.
Практическая работа (с ответами)
Развернуть резервный контроллер домена «Стенд ALD Pro — dc-2.ald.company.lan»:
Убедитесь, что уровень защищенности максимальный, а целостность текущего пользователя 63:
cat /etc/astra/build_version
sudo astra-modeswitch getname
sudo pdp-id
Отключите службу NetworkManager:
sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager
Настройте сетевой интерфейс и разрешение имен через файлы /etc/network/interfaces и /etc/resolvconf:
IP-адрес: 10.0.1.12/24
Шлюз: 10.0.1.1
Сервер DNS: 10.0.1.11
Поисковый домен: ald.company.lan
sudo vim /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 10.0.1.12
netmask 255.255.255.0
gateway 10.0.1.1
sudo vim /etc/resolv.conf
nameserver 10.0.1.11
search ald.company.lan
sudo ip addr flush dev eth0
sudo systemctl restart networking
Убедитесь, что имя сайта dl.astralinux.ru и имя контроллера домена dc-1 и dc-1.ald.company.lan разрешаются и пингуются:
ping -c 2 dc-1
ping -c 2 dc-1.ald.company.lan
ping -c 2 dl.astralinux.ru
Запретите любые изменения файла /etc/resolv.conf:
sudo chattr +i /etc/resolv.conf
Настройте имя машины и файл /etc/hosts в соответствии с рекомендациями:
sudo vim /etc/hosts
127.0.0.1 localhost.localdomain localhost
10.0.1.12 dc-2.ald.company.lan dc-2
Убедитесь, что в системе заданы корректные репозитории в соответствующих файлах:
Для ОС:
sudo vim /etc/apt/sources.list
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base 1.7_x86-64 main non- free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-extended 1.7_x86-64 main contrib non-free
Для ALD Pro:
sudo vim /etc/apt/sources.list.d/aldpro.list
deb https://dl.astralinux.ru/aldpro/frozen/01/2.2.0 1.7_x86-64 main base
Убедитесь, что приоритеты пакетов настроены корректно:
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
Установите пакеты ALD Pro для клиентской машины:
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
Выполните ввод машины в домен со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):
Имя домена: ald.company.lan
Имя машины: dc-2
Имя учетной записи: admin
Пароль: AstraLinux_174
--gui
--force
set +o history
sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain ald.company.lan --account admin --password 'AstraLinux_174' --host dc-2 --gui --force
set -o history
Перезагрузите компьютер и войдите под доменной записью admin:
sudo reboot
Убедитесь, что учетная запись доменного администратора admin состоит в группе «ald rust admin». Добавьте ее в группу при необходимости:
ipa group-add-member 'ald trust admin' --user admin
Выполните повышение роли сервера до контроллера домена через портал управления ALD Pro на странице
. Нажмите кнопку «Новый контроллер домена», выберите из списка сервер dc-2.ald.company.lan и остальные параметры, как показано на рисунке ниже.
Проверьте состояние доменных служб:
sudo ipactl status
Снимите блокировку с файла /etc/resolv.conf и установите следующее содержимое:
sudo chattr -i /etc/resolv.conf
vim /etc/resolv.conf
nameserver 127.0.0.1
nameserver 10.0.1.11
search ald.company.lan
Отключите DNSSEC:
sudo sed -i 's/dnssec-validation yes/dnssec-validation no/g' /etc/bind/ipa-options-ext.conf
Разрешите выполнение рекурсивных запросов и кэширование:
sudo tee -a /etc/bind/ipa-options-ext.conf > /dev/null <<EOT
allow-recursion { any; };
allow-query-cache { any; };
EOT
sudo systemctl restart bind9-pkcs11.service
Войдите в портал управления dc-2, используя Kerberos-аутентификацию.
Проверьте соглашение о репликации на странице
.
Проверьте состояние репликации утилитой dsconf:
sudo dsconf -j ALD-COMPANY-LAN replication status --suffix dc=ald,dc=company,dc=lan
sudo apt install jq -y;
sudo -i;
(printf 'SUFFIX \tAGREEMENT \tSTATE \tTIME-SINCE \tLDAP-STATUS \tREPL-STATUS \n'; dsconf -j ALD-COMPANY-LAN replication list | jq '.items[]' -r | xargs -P8 -i -- dsconf -j ALD-COMPANY-LAN repl-agmt list --suffix={} | jq '.items[].attrs | (.nsds5replicalastupdatestatusjson[0] | fromjson) as $status | [.nsds5replicaroot[0], .cn[0], $status.state, $status.date, $status.ldap_rc_text, $status.repl_rc_text] | @tsv' -r | sort ) | column -s$'\t' -t``;exit
ds-replcheck online -D "cn=Directory Manager" -m ldap://dc-1.ald.company.lan:389 -r ldap://dc -2.ald.company.lan:389 -b dc=ald,dc=company,dc=lan
Проверьте состояние репликации скриптами проекта checkipaconsistency:
sudo -i
apt install libsasl2-dev python-dev libldap2-dev libssl-dev python-pip
pip --version && pip install --user checkipaconsistency
ln -s /root/.local/bin/cipa /usr/bin/cipa
set +o history
cipa -d ald.company.lan -W AstraLinux_174
set -o history