Повышение роли сервера до контроллера домена

Внимание

При установке контроллера домена на сервер, на котором включен режим замкнутой программной среды, перед запуском скрипта продвижения домена необходимо выполнить перезагрузку сервера.

Внимание

В версии 3.0.0 был введен механизм валидации параметров для утилиты aldpro-server-install.

При обновлении первого КД с помощью утилиты aldpro-server-install следует пропустить пункты 2, 6, 9, 10 из списка проверок ниже. Обновление резервных КД выполняется через портал управления. Поэтому необходимо выполнить все пункты из списка проверок ниже.

Подробное описание механизма валидации параметров см. Полезные инструкцииИнструкция по валидации параметров установки/обновления ALD Pro.

Повышение роли сервера до КД выполняется командой:

sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 10.0.1.11 --setup_gc --setup_syncer --no-reboot

После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя admin и суперпользователя LDAP-каталога cn=Directory Manager.

Пароль должен соответствовать настройкам глобальной политики по умолчанию (например, минимальная длина — 8 символов) и не быть палиндромом.

Подробные требования приведены в разделе Методические рекомендации по безопасной настройке ПК «ALD Pro»Инструкция по обеспечению безопасной работы в домене ALD Pro: политики паролейМеханизм работы политик паролей .

Параметры утилиты aldpro-server-install:

  • -d (--domain) — имя домена;

  • -n (--name) — имя сервера. В параметре нужно передать короткое имя сервера без указания домена, т.е. первый компонент от полного FQDN-имени, которое выдает команда hostname -f;

  • -p (--admin_pwd) — получить пароль администратора домена из командной строки (небезопасно). Для возможности использования в пароле специальных символов значение следует заключить в одинарные кавычки, например: `pa_s$w0rd`.

  • --ip — IP-адрес КД, на котором предполагается обслуживать клиентов.

  • --setup_gc — ключ указывает, что нужно настроить установленный ранее модуль глобального каталога.

  • --setup_syncer — ключ указывает, что нужно настроить установленный ранее модуль синхронизации.

  • --no-reboot — ключ отключает автоматическую перезагрузку после завершения процедуры настройки. Мы рекомендуем запускать перезагрузку вручную после ознакомления с журналом установки.

Для вступления изменений в силу необходимо перезагрузить сервер:

sudo reboot

После перезагрузки сервера войти в систему можно, используя УЗ администратора:

  • login: admin

  • password: ***** (пароль администратора домена из строки продвижения сервера)

Внимание

Важно помнить, что корректный вход в систему возможен только после полной загрузки всех служб. Если после перезагрузки сервера не удалось войти в операционную систему контроллера под доменной учетной записью, стоит повторить попытку через пару минут. Если доступ для доменного пользователя так и не появится, необходимо войти в систему с помощью локальной учетной записи и проверить содержимое журналов /var/log/auth.log и /var/log/messages.

Проверить статус доменных служб после загрузки сервера командой status утилиты aldproctl:

sudo aldproctl status

Результат выполнения команды:

.....Сервисы ALD Pro.....
Сервис aldpro-mp-services: ЗАПУЩЕН
Сервис globalcatalog: ЗАПУЩЕН
Сервис ipa-gcsyncd: ЗАПУЩЕН
.....Сервисы FreeIPA.....
Сервис Directory Service: ЗАПУЩЕН
Сервис krb5kdc: ЗАПУЩЕН
Сервис kadmin: ЗАПУЩЕН
Сервис named: ЗАПУЩЕН
Сервис httpd: ЗАПУЩЕН
Сервис ipa-custodia: ЗАПУЩЕН
Сервис smb: ЗАПУЩЕН
Сервис winbind: ЗАПУЩЕН
Сервис ipa-otpd: ЗАПУЩЕН
Сервис ipa-dnskeysyncd: ЗАПУЩЕН
.....Другие сервисы.....
Сервис celery: ЗАПУЩЕН
Сервис celerybeat: ЗАПУЩЕН

Утилита поддерживает такой же набор команд start/stop/restart/status.