Практическая работа: Модуль 2. Развертывание ALD Pro
См. также Требования, правила и цели выполнения практической работы
Практические задания
Для отработки практических навыков мы предлагаем вам подготовить стенд, который был описан в материалах модуля. В этом документе мы собрали очень краткие подсказки, чтобы вы могли проверить себя, получится ли у вас без расширенных материалов модуля вспомнить все существенные технические детали.
Задание 1.
Создайте сеть в VirtualBox:
Тип сети: NAT
Имя: Стенд ALD Pro
CIDR сети (диапазон адресов): 10.0.1.0/24
Поддержка DHCP: «Откл»
Задание 2.
Создайте и настройте 8 виртуальных машин. Для экономии ресурсов на стенде мы целенаправленно используем конфигурации, уступающие минимальным техническим требованиям по продукту.
Компонент |
CPU Ядер |
R AM |
SSD D |
Кол -во |
|---|---|---|---|---|
Контроллер домена |
2 |
4 ГБ |
30 ГБ |
1 шт. |
Резервный контроллер домена |
2 |
4 ГБ |
30 ГБ |
1 шт. |
Подсистема «Репозиторий ПО» |
1 |
2 ГБ |
50 ГБ |
1 шт. |
Подсистема «Общий доступ к файлам» |
1 |
2 ГБ |
30 ГБ |
1 шт. |
Подсистема «Служба печати» |
1 |
2 ГБ |
30 ГБ |
1 шт. |
Подсистема «Мониторинг» |
1 |
2 ГБ |
30 ГБ |
1 шт. |
Подсистема «Аудит» |
1 |
2 ГБ |
30 ГБ |
1 шт. |
Клиентская машина |
1 |
2 ГБ |
30 ГБ |
1 шт. |
На всех машинах должна быть установлена ОС ALSE 1.7.4 с максимальным уровнем защищенности.
Создание и настройку следует производить по следующему алгоритму:
Создайте VM для контроллера домена ALD Pro.
Установите на ней ОС Astra Linux с максимальным уровнем защищённости «Смоленск». Проведите первоначальную настройку и установите гостевые дополнения.
Клонируйте первую VM для резервного контроллера домена ALD Pro.
Клонируйте первую VM для дополнительных служб ALD Pro, уменьшите ресурсы по памяти и ЦПУ и повторите клонирование еще 5 раз.
Требуется использовать следующие имена хостов:
«Стенд ALD Pro — dc-1.ald.company.lan»
«Стенд ALD Pro — dc-2.ald.company.lan»
«Стенд ALD Pro — repo-1.ald.company.lan»
«Стенд ALD Pro — file-1.ald.company.lan»
«Стенд ALD Pro — cups-1.ald.company.lan»
«Стенд ALD Pro — mon-1.ald.company.lan»
«Стенд ALD Pro — audit-1.ald.company.lan»
«Стенд ALD Pro — pc-1.ald.company.lan»
Все машины должны иметь идентичные характеристики, за исключением имени, количества ядер и объема оперативной памяти:
Процессоры: 4 ЦП (для ускорения установки ОС, далее можно уменьшить этот параметр до 2 ЦП) – для создания первого контроллера домена, далее в соответствии с таблицей выше.
Объем памяти: 4096 МБ – для первого контроллера домена, далее в соответствии с таблицей выше.
Жесткий диск: создать новый виртуальный жесткий диск.
Тип файла: VDI (VirtualBox Disk Image).
Формат хранения: Динамический виртуальный жесткий диск.
Укажите имя и размер файла:
Путь: по умолчанию.
Размер: 30 ГБ.
Сетевые параметры:
Тип подключения: Сеть NAT.
Имя: Стенд ALD Pro.
Образ ОС для установки доступен по ссылке https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/iso/1.7.4-24.04.2023_14.23.iso.
Параметры установки ОС следующие:
Имя компьютера оставьте по умолчанию – “astra”.
Задайте логин “localadmin”.
Задайте пароль “AstraLinux_174”.
При настройке сети – пропустите настройку.
При разметке диска выберите пункт “Авто – использовать весь диск и настроить LVM”.
Выберите ядро по умолчанию – “linux-5.15-generic”.
Выберите уровень защищенности: Максимальный «Смоленск».
Установите пакеты программ по умолчанию (в частности, в дальнейшем LibreOffice потребуется для просмотра CSV-файлов в табличном виде), за исключением средств работы с графикой.
После установки ОС, если вы используете VirtualBox, рекомендуем установить гостевые дополнения и включить двунаправленный буфер обмена.
Задание 3.
Разверните первый КД в VM «Стенд ALD Pro — dc-1.ald.company.lan»:
Убедитесь, что уровень защищенности максимальный, а целостность текущего пользователя 63.
Отключите службу NetworkManager.
Настройте сетевой интерфейс и разрешение имен через файлы /etc/network/interfaces и /etc/resolvconf:
IP-адрес: 10.0.1.11/24
Шлюз: 10.0.1.1
Сервер DNS: 77.88.8.8
Настройте имя машины и файл /etc/hosts в соответствии с рекомендациями.
Убедитесь, что имя сайта dl.astralinux.ru разрешается и проходят пинги до сервера.
Убедитесь, что в системе заданы корректные репозитории в соответствующих файлах:
Для ОС
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-update 1.7_x86-64 main contrib non- free
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-extended 1.7_x86-64 main contrib non- free
Для ALD Pro
deb https://dl.astralinux.ru/aldpro/frozen/01/2.2.0 1.7_x86-64 main base
Убедитесь, что приоритеты пакетов настроены корректно.
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
Выполните обновление ОС.
Установите пакеты ALD Pro для контроллера домена.
Выполните продвижение машины до контроллера домена со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):
Имя домена: ald.company.lan
Имя машины: dc-1
Пароль: AstraLinux_174
IP-адрес: 10.0.1.11
Не перезагружать
Перезагрузите компьютер и войдите под доменной записью admin.
Проверьте статус доменных служб.
Проверьте выданные Kerberos-билеты.
Запросите повторно билет для учетной записи admin.
Измените политику Firefox так, чтобы по умолчанию открывался портал ALD Pro по полному доменному имени.
Войдите в портал управления, используя Kerberos-аутентификацию, и убедитесь, что в списке выданных билетов появился билет «HTTP/…».
Отключите DNSSEC.
Разрешите выполнение рекурсивных запросов и кэширование.
Настройте глобальное перенаправление DNS-запросов на DNS-сервер 77.88.8.8.
Задание 4.
Введите VM «Стенд ALD Pro — pc-1.ald.company.lan» в домен:
Настройте сетевой интерфейс и разрешение имен через службу NetworkManager:
IP-адрес: 10.0.1.51/24
Шлюз: 10.0.1.1
Сервер DNS: 10.0.1.11
Поисковый домен: ald.company.lan
Убедитесь, что имя сайта dl.astralinux.ru и имя контроллера домена dc-1 и dc-1.ald.company.lan разрешаются и пингуются.
Убедитесь, что в системе заданы корректные репозитории в соответствующих файлах:
Для ОС
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-update 1.7_x86-64 main contrib non -free
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-base 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.4/repository-extended 1.7_x86-64 main contrib non- free
Для ALD Pro
deb https://dl.astralinux.ru/aldpro/frozen/01/2.2.0 1.7_x86-64 main base
Убедитесь, что приоритеты пакетов настроены корректно.
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900
Выполните обновление ОС.
Установите пакеты ALD Pro для клиентской машины.
Сделайте снимок состояния машины (потребуется для опционального задания №6).
Выполните ввод машины в домен со следующими параметрами (не забудьте отключить сохранение истории на время ввода команды):
Имя домена: ald.company.lan
Имя машины: pc-1
Имя учетной записи: admin
Пароль: AstraLinux_174
Ключ
--guiКлюч
--force
Перезагрузите компьютер и войдите под доменной записью admin.
Проверьте выданные Kerberos билеты.
Задание 5.
Откатите VM «Стенд ALD Pro — pc-1.ald.company.lan» на снапшот и введите еще раз в домен, используя учетную запись с делегированными правами:
Сделайте клон машины «Стенд ALD Pro — pc-1.ald.company.lan» из снимка, который мы сделали перед вводом машины в домен, и назовите его «Стенд ALD Pro — pc-2.ald.company.lan».
Создайте учетную запись пользователя в домене, назовите её enrolladmin.
Создайте новую роль «New Host Enrollment» с правами, достаточными для ввода компьютеров в домен, и назначьте её на учетную запись enrolladmin.
Включите машину «Стенд ALD Pro — pc-2.ald.company.lan».
Задайте IP-адрес машине 10.0.1.52.
Введите машину Стенд ALD Pro — pc-2.ald.company.lan в домен, используя учетную запись enrolladmin.
Перезагрузите машину и убедитесь в её работоспособности в домене.
Задание 6. (опционально)
Выполните вывод VM «Стенд ALD Pro — pc-1.ald.company.lan» из домена.