Ввод компьютера под управлением ALSE в домен

Начиная с версии ALD Pro 3.2.0 для операционной системы ALSE процесс ввода компьютера в домен с помощью клиентской части был изменен.

1. Утилита aldpro-client-installer получила полностью обновленный графический интерфейс и новые ключи для работы в режиме командной строки;

2. Внедрен ряд проверок, выполняемых перед началом операции ввода в домен по-умолчанию;

3. Добавлена возможность выполнения ряда дополнительных проверок, активируемых новым ключом валидации;

4. Внедрен механизм отката изменений в системе в случае, если ввод в домен не завершен успешно, например из-за отсутствия необходимых привилегий;

5. Утилита получила функцию, с помощью которой можно проверить, располагает ли компьютер актуальным паролем от своей учетной записи в домене (проверка /etc/krb5.keytab) и функцию обновления пароля;

6. Установлен лимит времени на установление сетевого соединения и ожидание ответа контроллера домена, обновлена справочная страница приложения, добавлено предложение о перезагрузке после успешной операции ввода в домен, и восстановлена работа ключа для автоматической перезагрузки;

7. Обновлены и дополнены тексты информационных сообщений и сообщений об ошибках.

Перед вводом в домен с помощью утилиты aldpro-client-installer независимо от режима использования рекомендуется ознакомиться с разделами Ввод компьютера под управлением ALSE в домен, Вывод компьютера из домена → Руководство администратора Часть 1.

Внимание

При вводе в домен компьютера, на котором включен режим замкнутой программной среды, перед запуском скрипта ввода в домен необходимо выполнить перезагрузку компьютера.

Добавление компьютера в домен ALD Pro с помощью клиентской части - aldpro-client подразумевает использование утилиты aldpro-client-installer в режиме командной строки либо в графическом режиме. Для обоих режимов доступны:

• функция изменения имени хоста перед вводом в домен;

• ввод в домен по учетным данным доменного пользователя, обладающего необходимыми привилегиями;

• ввод в домен с помощью одноразового пароля хоста (требуется только право на запуск приложения без дополнительных привилегий) (подробнее см. Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE и Ввод в домен с помощью одноразового пароля в режиме командной строки для ОС ALSE);

• вывод хоста из домена (требуется только право на запуск приложения без дополнительных привилегий).

Для успешного ввода компьютера в домен требуется соблюдение нескольких условий:

• компьютеру необходимо присвоить уникальное имя в пределах домена, а также незанятый ip-адрес в соответствующей подсети (при способе ввода в домен по одноразовому паролю уникальность обеспечивается в момент создания учетной записи компьютера);

• имя хоста и содержимое /etc/hosts должны соответствовать установленным правилам (см. раздел Настройка имени хоста);

• для успешного применения групповых политик сразу после ввода в домен имя хоста должно соответствовать содержимому файла /etc/hosts до начала ввода (см. раздел Настройка содержимого файла /etc/hosts → Руководство администратора Часть 1);

• в качестве DNS-сервера должен быть указан IP-адрес контроллера домена;

• установлен пакет клиентского программного обеспечения aldpro-client.

Внимание

Начиная с версии ALD Pro 3.2.0 для операционной системы ALSE утилита aldpro-client-installer перед началом ввода выполняет ряд проверок с выдачей уведомлений или предупреждений:

1. проверка прав пользователя при запуске: утилиту необходимо запускать от имени пользователя root;

2. проверка повторного запуска: одновременно может быть запущен только один экземпляр утилиты;

3. проверка того, что в режиме командной строки переданы все обязательные параметры:

   1. -c (--domain) - полное имя домена в который требуется выполнить ввод;

   2. -u (--account) - логин привилегированной учетной записи с правами на ввод в домен;

   3. -p (--password) - пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста, если передан параметр --pc (если параметр не указан явно, то пароль будет запрашиваться в интерактивном режиме);

   4. -d (--host) - имя хоста;

4. сравнение версий клиентской и серверной части ALD Pro

5. проверка уникальности имени и IP-адреса хоста в домене

6. проверка соответствия короткого имени и FQDN хоста содержимому файла /etc/hosts.

Также с версии 3.2.0 утилита aldpro-client-installer может выполнять дополнительную валидацию перед вводом компьютера в домен.

В рамках валидации проверяются системные требования и корректность вводимых параметров, что позволяет заранее выявить несоответствия и снизить риск ошибок в процессе ввода. В графическом режиме проверки выполняются по умолчанию, а в режиме командной строки активируются параметром --validate. К таким проверкам относятся:

1. проверка корректности имя хоста:

   1. локализация:

      • латинские буквы в нижнем регистре (a-z);

      • цифры (0-9);

      • допускается использование дефиса (-);

   2. ограничения:

      • первый и последний символ: только буквы (a-z) или цифры (0-9);

2. проверка короткого имени хоста как части (лейбла) FQDN:

   1. структура лейбла:

      • лейбл содержит от 1 до 63 символов;

   2. ограничения:

      • не допускаются два дефиса подряд;

      • не допускаются две точки подряд;

      • IP-адреса запрещены;

      • Первый и последний символ: только буквы (a-z) или цифры (0-9);

3. проверка ip-адреса:

   1. использование адреса 127.0.0.1 (localhost) запрещено;

   2. наличие внешнего ip-адреса;

4. проверка объема оперативной памяти (RAM):

   1. объем доступной оперативной памяти должен составлять не менее 2 ГБ;

5. проверка количества виртуальных процессоров (CPU):

   1. система должна иметь не менее двух виртуальных CPU;

6. проверка объема свободного места на диске:

   1. объем доступного места на диске должен составлять не менее 4 ГБ.

Проверить уникальность имени компьютера pc-1 в домене ald.company.lan можно командой nslookup:

nslookup pc-1

С помощью данной команды проверяется, что хост с указанным именем не найден на DNS-сервере. Команда проверит не только имя pc-1, но и pc-1.ald.company.lan, т.к. в настройках NetworkManager на предыдущем шаге указан DNS-суффикс ald.company.lan.

Использование утилиты aldpro-client-installer в режиме командной строки и графическом режиме приведено в подразделах Ввод в домен в графическом режиме для ОС ALSE и Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE соответственно.

Ввод в домен в графическом режиме для ОС ALSE

Запуск утилиты aldpro-client-installer в графическом режиме осуществляется из меню Пуск → ALD Pro → Ввод компьютера в домен ALD Pro, либо с помощью команды в терминале:

sudo aldpro-client-installer

Важно

Если при запуске утилиты в графическом режиме возникнет ошибка qt.qpa.xcb: could not connect to display :0, значит имя хоста было изменено после входа в систему. В этом случае вам нужно перезапустить графическую сессию следующей командой sudo systemctl restart fly-dm.

Рисунок 5 Внешний вид графической утилиты aldpro-client-installer

С версии 3.2.0, утилита aldpro-client-installer не требует указания полного пути к исполняемому файлу при запуске приложения, а также предоставляет функцию изменения имени компьютера до начала ввода в домен. Для этого необходимо нажать кнопку Изменить напротив поля с именем компьютера, ввести новое имя и нажать Ок.

Рисунок 6 Изменение имени компьютера в графическом режиме

Важно

Если имя компьютера было изменено, следует настроить содержимое файла /etc/hosts (см. Настройка содержимого файла /etc/hosts → Руководство администратора Часть 1) до начала ввода в домен. В противном случае групповые политики не смогут быть корректно применены после завершения операции ввода.

После изменения имени компьютера работа с утилитой может быть продолжена, однако если приложение будет закрыто, то повторный запуск возможен только после перезапуска графической оболочки. Для этого можно:

• выйти из сессии и повторно войти в систему;

• перезагрузить компьютер.

Положение переключателя Состояние указывает на то, является ли компьютер участником домена на момент запуска утилиты. Если компьютер введен в домен ранее — текстовое поле под переключателем Участник домена ALD Pro будет заполнено.

Для возможности запуска операции ввода в домен необходимо установить переключатель в положение Участник домена ALD Pro и ввести имя домена в текстовое поле после чего нажать кнопку Ок.

Рисунок 7 Ввод имени домена

Утилита предоставляет возможность выбрать тип аутентификации:

1. с помощью учетных данных пользователя, обладающего правами на ввод в домен;

2. с помощью одноразового пароля компьютера.

Способ ввода по одноразовому паролю отличается для ALSE и альтернативных ОС и рассмотрен в разделах Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE, Ввод в домен с помощью одноразового пароля в режиме командной строки для ОС ALSE и Ввод в домен с помощью одноразового пароля для альтернативных ОС → Руководство администратора Часть 1 соответственно.

Рисунок 8 Окно Аутентификация в домене

Чтобы выполнить ввод от имени пользователя с правами на ввод в домен необходимо установить радиокнопку Тип аутентификации в положение По учетным данным, ввести учетные данные доменного пользователя после чего нажать кнопку Ок.

Выбрать организационное подразделение, в котором требуется создать учетную запись компьютера.

Рисунок 9 Окно выбора подразделения для ввода в домен

Внимание

С версии 3.2.0 утилита aldpro-client-installer требует наличия у пользователя более широкого перечня привилегий, подробнее см. раздел Необходимые привилегии для ввода компьютера в домен под управлением ALSE с помощью утилиты aldpro-client-installer.

Роль, предоставляющая пользователю привилегии для ввода компьютера в домен, должна распространять свое действие на выбранное подразделение.

Для корректного завершения операции ввода в домен необходимо перезагрузить компьютер. Для этого можно подтвердить информационное сообщение с предложением перезагрузки, которое при успехе операции будет выведено автоматически.

Чтобы при вводе компьютеров в домен уменьшить риск разглашения привилегированных учетных данных, в ALD Pro предусмотрена возможность ввода компьютера по одноразовому паролю.

Использование одноразовых паролей обладает несколькими преимуществами:

• Учетная запись хоста создается заранее в необходимом организационном подразделении, что обеспечивает распространение на него действия групповых политик, назначенных на это подразделение.

• Учетную запись хоста можно сразу включить во все группы, чтобы на него распространялись необходимые правила HBAC и SUDO.

• Для ввода машины в домен на стороне рабочей станции не нужно будет использовать пароль привилегированной учетной записи.

Способ ввода в домен по одноразовому паролю не требует наличия у пользователя дополнительных привилегий.

Для присоединения компьютера к домену с помощью одноразового пароля в ALD Pro используется графическая утилита aldpro-client-installer.

Начиная с версии 3.2.0 утилита поддерживает такую возможность как в графическом режиме, так и в режиме командной строки.

Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE

Для ввода с помощью одноразового пароля необходимо выполнить предварительные действия:

1. Необходимо создать учетную запись компьютера с помощью команды ipa host-add, используя ключ --random для генерации одноразового пароля:

kinit admin
ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'

В результате выполнения получен одноразовый пароль, который необходимо сохранить для дальнейшего ввода компьютера в домен:

kinit admin
ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'
------------------------------------
Добавлен узел "pc-2.ald.company.lan"
------------------------------------
   Имя узла: pc-2.ald.company.lan
   Случайный пароль: 2LyXwGJItweZbvJP3LLqFCT

Где:

• pc-2.ald.company.lan – FQDN имя компьютера в нижнем регистре;

• --random – ключ, указывающий на требование сгенерировать случайный одноразовый пароль;

• --ip-address – адрес компьютера для создания DNS записи в домене;

• --force – ключ, позволяющий принудительно установить значение имени узла, даже если такое имя уже присутствует в DNS.

2. Настроить компьютер pc-2:

• Настроить IP-адрес: 10.0.1.52;

• Установить репозитории ALSE, ALD Pro и клиентское приложение в соотвествии с разделом Настройка доступных репозиториев и установка пакетов;

• Проверить отсутствие pc-2 в домене ald.company.lan:

ping pc-2
ping: pc-2: Неизвестное имя или служба

Далее в графическом режиме использование утилиты aldpro-client-installer выполнить действия:

1. Запустить утилиту через меню Пуск → ALD Pro → Ввод компьютера в домен ALD Pro или командой:

sudo aldpro-client-installer

2. На начальном экране значение поля Имя компьютера будет автоматически заполнено коротким именем хоста, который можно проверить в выводе команды hostnamectl. Перед тем как перейти к следующему шагу необходимо убедиться в соответствии значения этого поля и FQDN - имени учетной записи компьютера, созданной на шаге 1 предварительных действий.

3. Положение переключателя Состояние указывает на то, является ли компьютер участником домена на момент запуска утилиты. Необходимо убедиться, что переключатель находится в положении Недоменный компьютер. Если компьютер введен в домен ранее — поле под переключателем Участник домена ALD Pro будет заполнено.

Установить переключатель в положение Участник домена ALD Pro.

4. Ввести имя домена в поле под переключателем Участник домена ALD Pro, например, ald.company.lan. Нажать кнопку ОК.

Рисунок 10 Указание имени домена, в который вводится компьютер

5. В окне Аутентификация в домене установить переключатель Тип аутентификации в положение По одноразовому паролю и вставить одноразовый пароль, полученный на шаге 1 предварительных действий. Нажать кнопку ОК, чтобы начать присоединение компьютера к домену.

Рисунок 11 Окно Аутентификация в домене

6. После успешного выполнения операции хост будет присоединен к домену, а в появившемся окне будет отображено сообщение о статуса и предложение перезагрузить компьютер. Для успешного завершения ввода в домен это действие является обязательным, поэтому следует нажать кнопку ОК.

Ввод компьютера в домен выполнен.

Ввод в домен в режиме командной строки для ОС ALSE

С версии 3.2.0 утилита aldpro-client-installer получила новый ключ --guiless, который является синонимом для ключа -i (--gui) прежних версий. При использовании любого из этих ключей утилита запускается в режиме командной строки, а если ни один из них не указан, то в графическом режиме.

Для ввода компьютера в определенное организационное подразделение домена выполнить команду:

sudo aldpro-client-installer --guiless --domain ald.company.lan --account admin --host pc-1 --orgunits "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"

После ввода команды система запросит ввести пароль пользователя admin.

Параметр --orgunits, определяющий организационное подразделение, в которое будет выполнен ввод не является обязательным. Если он не был указан или целевое подразделение не обнаружено в каталоге, то ввод компьютера будет выполнен в корневое подразделение домена.

Рекомендуется использовать ключ --validate, активирующий дополнительные проверки (см. перечень проверок в Ввод компьютера под управлением ALSE в домен).

Внимание

Если применить ключ --force, будут пропущены все проверки — как включенные по умолчанию, так и активируемые ключом --validate.

Не рекомендуется применять ключ без необходимости, так как это может нарушить структуру домена и привести к нежелательным последствиям!

Целесообразно применять ключ --force для принудительного ввода в домен компьютера, для которого в домене уже существует учетная запись. Требуется в тех случаях, когда администратор переустанавливает ОС и хочет ввести компьютер в домен с тем же именем.

Описание параметров командной строки доступно в Параметры командной строки aldpro-client-installer или при выводе справочной информации в окне терминала:

sudo aldpro-client-installer --help

Таблица 1 Параметры командной строки aldpro-client-installer

Основное название	Синонимы	Описание
-r	--reboot	Автоматически перезагрузить систему после успешного выполнения операции ввода в домен или вывода из домена в режиме командной строки.
-f	--force	Ввести в домен принудительно.
-c	--domain	Полное имя домена, в который требуется выполнить ввод.
-u	--account	Логин привилегированной учетной записи с правами на ввод в домен.
-p	--password	Пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста (если передан параметр --pc). Если параметр -p указан, то ему должен быть передан фактический аргумент в виде пароля в одинарных кавычках. Если параметр -p не указан, то пароль учетной записи пользователя с правами на ввод в домен будет запрошен в интерактивном режиме.
-d	--host	Имя хоста.
-R	--remove	Вывести хост из домена.
	--pc	Использовать пароль как пароль компьютера; параметр -u при этом игнорируется.
--unattended		Подтвердить все некритичные предупреждения без участия пользователя. К таким относятся: сравнение версий клиентской и серверной части ALD Pro
-i	--guiless, --gui	Запустить программу в режиме командной строки. Если ключ не указан - будет запущена графическая версия.
-ou	--orgunits	Организационное подразделение домена, в которое будет введен хост.
--validate		Включить валидацию введенных значений и конфигурацию хоста.
-h	--help	Вывод справки по параметрам командной строки.

Для корректного завершения операции ввода в домен необходимо перезагрузить компьютер.

Ввод в домен с помощью одноразового пароля в режиме командной строки для ОС ALSE

Для ввода в домен с помощью одноразового пароля в режиме командной строки необходимо выполнить предварительные действия из раздела Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE.

Далее запустить утилиту aldpro-client-installer с указанием следующих параметров:

sudo aldpro-client-installer --guiless -p '7ZsYNbXHN1pPih8P4IBQI7f' --pc

Список используемых ключей:

• --guiless (-i, --gui) - запустить программу в режиме командной строки;

• -p (--password) - пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста (если передан параметр --pc);

• --pc - использовать пароль как пароль компьютера; параметр -u (--account) при этом игнорируется.

Ключу -p в качестве фактического аргумента передается одноразовый пароль, полученный на шаге 1 предварительных действий подраздела Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE.

Важно

Пароль должен быть заключен в одинарные кавычки.

При запуске команды начнется процесс присоединения хоста к домену, а после его успешного завершения в терминале будет отображено напоминание о необходимости перезагрузить компьютер. Для успешного завершения ввода в домен это действие является обязательным.

Для автоматической перезагрузки после ввода в домен в команду следует добавить ключ -r (--reboot).

Ввод компьютера в домен выполнен.

Проверка наличия доверия с доменом

При вводе компьютера в домен для него создается учетная запись, пароль которой сохраняется в файле /etc/krb5.keytab. Если компьютер располагает актуальным паролем от своей учетной записи в домене, это означает, что между компьютером и доменом установлены Доверительные отношения или Доверие с доменом. Доверие может быть утрачено, например, при восстановлении компьютера из старой резервной копии либо по истечении срока действия пароля хоста. В домене FreeIPA пароль компьютера автоматически не обновляется, поэтому в утилиту aldpro-client-installer с версии 3.2 встроен механизм для проверки и восстановления доверия с доменом.

Чтобы проверить актуальность пароля компьютера, необходимо нажать кнопку Проверить напротив имени домена. При наличии доверия с доменом в поле Версия ключа и дата выдачи будет отображено значение в следующем формате: <Версия пароля> <Дата изменения пароля> <Время изменения пароля>, а в поле Доверие с доменом будет выставлен статус Установлено.

Обновление пароля компьютера и восстановление доверия с доменом

При нажатии кнопки Обновить приложение выполнит запрос на установку компьютеру нового пароля и в случае успеха сохранит новую версию ключа в файл /etc/krb5.keytab. Если в момент обновления пароля у компьютера будет доверие с доменом, то пароль будет обновлен из-под учетной записи компьютера автоматически. Если компьютер не будет располагать актуальным паролем, то для восстановления доверия потребуется ввести учетные данные администратора домена или любого другого пользователя, который обладает достаточными привилегиями.

Рисунок 12 Функция обновления пароля учетной записи компьютера домена

Необходимые привилегии для ввода компьютера в домен под управлением ALSE с помощью утилиты aldpro-client-installer

Права доступа в службе каталога FreeIPA назначаются с помощью трехуровневой модели безопасности, которая включает в себя Роли (Roles), Привилегии (Privileges) и Разрешения (Permissions). На базовом уровне разрешениям соответствуют инструкции управления доступом 389 Directory Server (Access Control Instructions, ACI), с помощью которых можно предоставить доступ на чтение, запись, поиск и другие действия применительно ко всему каталогу, его ветке или конкретной записи. Разрешения группируются в привилегии, привилегии группируются в роли, а роли уже назначаются пользователям.

Для делегирования доменным пользователям полномочий на ввод компьютеров в любое подразделение домена выполнить следующие шаги:

1. С помощью портала управления создать новую роль, например New Host Enrollment Administrator и назначить ее на корневое подразделение. Установить чекбокс Включая дочерние подразделения;

2. Включить в состав роли привилегии ALD Pro (включая все связанные):

   • Domain Info - Read;

   • Computers - Delete;

3. Создать привилегию FreeIPA с помощью команды:

ipa privilege-add 'New Host Enrollment' --desc='Привилегия для ввода новых хостов в домен'

4. Добавить в созданную привилегию FreeIPA следующие разрешения:

ipa privilege-add-permission 'New Host Enrollment' \
--permissions='System: Add Hosts' \
--permissions='System: Add krbPrincipalName to a Host' \
--permissions='System: Enroll a Host' \
--permissions='System: Manage Host Certificates' \
--permissions='System: Manage Host Enrollment Password' \
--permissions='System: Manage Host Keytab' \
--permissions='System: Manage Host Principals'

5. Добавить созданную на шаге 3 привилегию в роль, созданную на шаге 1:

ipa role-add-privilege 'New Host Enrollment Administrator' \
--privileges='New Host Enrollment'

6. После создания новой роли ее необходимо активировать через веб-интерфейс на странице Управление доменом → Роли и права доступа → Роли в системе.

После назначения роли New Host Enrollment Administrator пользователь сможет вводить машины в домен, не получая при этом полных административных прав.