Для ввода сервера Astra Linux в домен Astra Linux Directory:
Установите инструмент fly-admin-ald-client с помощью команды:
sudo apt-get install fly-admin-ald-client
Инструмент позволяет выполнять настройки Astra Linux Directory с помощью пользовательского интерфейса.
Откройте панель управления и перейдите в раздел «Сеть». Запустите приложение «Настройка ALD клиента Fly»:
Откроется окно «Настройка ALD клиента Fly»:
Задайте настройки в окне:
Сервер. Адрес вашего сервера контроллера домена;
Имя пользователя/Пароль. Учётные данные для соединения с сервером;
Изменить сетевые настройки сервера. Установите флажок и задайте IP-адрес вашего сервера контроллера домена в соответствующее поле;
Изменить сетевые настройки клиента. Установите флажок и задайте IP-адрес клиентского компьютера и произвольное имя хоста, например flybi, в соответствующие поля.
Перезагрузите компьютер.
Создайте службу Astra Linux Directory с помощью пакета ald-admin. Для этого выполните команды:
ald-admin service-add postgres/<имя хоста клиента>
ald-admin sgroup-svc-add postgres/<имя хоста клиента> --sgroup=mac
ald-admin service-add HTTP/<имя хоста клиента>
ald-admin sgroup-svc-add HTTP/<имя хоста клиента> --sgroup=mac
Создайте keytab-файлы:
файл flybidb.keytab для PostgreSQL с помощью команд:
keytab="/etc/postgresql/13/main/flybidb.keytab"
ald-client update-svc-keytab postgres/<имя хоста клиента> --ktfile="$keytab"
chown postgres "$keytab"
chmod 644 "$keytab"
файл flybihttp.keytab для Apache2 с помощью команд:
keytab="/etc/apache2-FlyBI/flybihttp.keytab"
ald-client update-svc-keytab HTTP/<имя хоста клиента>.domain --ktfile="$keytab"
chown www-data "$keytab"
chmod 644 "$keytab"
Примечание. keytab-файлы создаются с помощью программного обеспечения Kerberos. Для подробного описания обратитесь к документации на Kerberos.
В результате сервер Astra Linux будет присоединён к домену Astra Linux Directory.
Для ввода сервера Astra Linux в домен Windows Active Directory:
Установите инструмент fly-admin-ad-client с помощью команды:
sudo apt install fly-admin-ad-client
Инструмент позволяет выполнять настройки Windows Active Directory с помощью пользовательского интерфейса.
Откройте панель управления и перейдите в раздел «Сеть». Запустите приложение «Настройка клиента Active Directory Fly»:
Откроется окно «Настройка Active Directory»:
Задайте настройки в окне:
Контроллер домена. Адрес вашего сервера контроллера домена;
Администратор домена/Пароль. Учётные данные для соединения с сервером.
После заполнения полей нажмите кнопку «Подключиться».
Перезагрузите компьютер.
Создайте keytab-файлы:
файл flybidb.keytab для PostgreSQL;
файл flybihttp.keytab для Apache2.
Примечание. keytab-файлы создаются с помощью программного обеспечения Kerberos. Для подробного описания обратитесь к документации на Kerberos.
Создайте службы HTTP и postgres с помощью утилиты ktpass. Для этого выполните команду:
ktpass -princ SPN -mapuser [<имя узла>|<имя сервера>] -pass <пароль> -ptype KRB5_NT_PRINCIPAL -out <имя keytab-файла>
Примеры команды:
ktpass -princ HTTP/<имя хоста клиента> -mapuser flybihttp -pass 123 -ptype KRB5_NT_PRINCIPAL -out C:\tmp\flybihttp.keytab
ktpass -princ postgres/<имя хоста клиента> -mapuser flybidb -pass 123 -ptype KRB5_NT_PRINCIPAL -out C:\tmp\flybidb.keytab
Выдайте сервисным пользователям ваших служб права на keytab-файлы с помощью команд:
chown postgres "/etc/postgresql/13/main/flybidb.keytab"
chmod 644 "/etc/postgresql/13/main/flybidb.keytab"
chown www-data "/etc/apache2-FlyBI/flybihttp.keytab"
chmod 644 "/etc/apache2-FlyBI/flybihttp.keytab"
Примечание. Для пользователя HTTP службы должно быть включено неограниченное делегирование, для этого в Kerberos ticket должна присутствовать настройка ok_as_delegate.
Для проверки связи keytab-файлов с сервером Kerberos используйте команды:
kinit -V -kt /etc/apache2-FlyBI/flybihttp.keytab -p HTTP/<имя хоста клиента>.domain.lacal @ DOMAIN.LOCAL
kinit -V -kt /etc/postgresql/13/main/flybidb.keytab -p postgres/<имя хоста клиента>.domain.lacal@DOMAIN.LOCAL
В результате сервер Astra Linux будет присоединён к домену Windows Active Directory.