AstraRegul
Релиз 2025.08.15.00
×
  (c) ООО "РЕГЛАБ", 2025

4.3.1.1.3.3. Повышение роли сервера до контроллера домена

 
Процедура повышения выполняется с помощью неинтерактивной утилиты aldpro-server-install, поэтому все параметры являются обязательными, за исключением пароля.
 
Чтобы пароль не попал в историю команд, вы можете добавить пробел в начало строки или временно отключить запись истории с помощью дополнительной опции history оболочки bash, состояние которой можно изменить с помощью команд set +o /set -o. Если пароль все же попадет в историю команд, то вы сможете удалить последнюю строку из истории с помощью команды history -d $(history 1) или напрямую отредактировать файл /root/.bash_history.
 
  • Выполним повышение роли сервера до контроллера домена:
    set +o history
    sudo aldpro-server-install -d ald.company.lan -n dc-1 --ip 192.168.1.177 --setup_gc --setup_syncer --no-reboot
    set -o history
     
    После ввода команды система запросит пароль администратора домена, который будет установлен для доменного пользователя admin и суперпользователя LDAP-каталога cn=Directory Manager. Пароль должен быть не менее 8 символов.
     
     
    Параметры утилиты aldpro-server-install:
-d (–domain) — имя домена.
-n (–name) — имя сервера. В параметре нужно передать короткое имя сервера без указания домена, т.е. первый компонент от полного FQDN-имени, которое выдает команда hostname -f.
-p (–admin_pwd) — получить пароль администратора домена из командной строки (небезопасно). Для возможности использования в пароле специальных символовзначение следует заключить в одинарные кавычки, например: 'pa_s$w0rd'.
--ip — ключ позволяет указать IP-адрес, на котором предполагается обслуживать клиентов домена, что требуется, если на сервере доступно несколько сетевых интерфейсов сразу.
--setup_gc — ключ указывает, что нужно настроить установленный ранее модуль глобального каталога.
--setup_syncer — ключ указывает, что нужно настроить установленный ранее модуль синхронизации.
--no-reboot — ключ отключает автоматическую перезагрузку после завершения процедуры настройки. Мы рекомендуем запускать перезагрузку вручную после ознакомления с журналом установки.
Описание всех доступных параметров можно получить с помощью ключа -h (--help).
 
2. После повышения роли сервера до контроллера домена проверьте содержимое файла /etc/resolv.conf и убедитесь, что теперь DNS-запросы обрабатываются собственной службой Bind9:
sudo nano /etc/resolv.conf
 
 
nameserver 127.0.0.1 - указывает, что разрешение имен должно выполняться через локальную службу ISC Bind, которая обрабатывает запросы, поступающие на 53-й порт сервера;
search ald.company.lan - задает DNS-суффикс, используемый при разрешении имен, поэтому при обращении к хосту по короткому имени dc-1 система будет дополнять его до полного имени dc-1.ald.company.lan.
3. Для того чтобы все изменения вступили в силу требуется перезагрузить сервер:
sudo reboot
 
4. После перезагрузки сервера вы сможете войти в систему, используя доменную учетную запись администратора: login: admin     password: ***** (пароль администратора домена).
 
Окно для входа в систему может отобразиться раньше, чем станут доступны доменные службы, поэтому вход доменной учетной записью может стать доступен не сразу:
До тех пор, пока не загрузится служба dirsrv@ALD-COMPANY-LAN.service, в списке источников учетных данных вместо имени домена будет отображаться "Ожидание ответа домена..."
До тех пор, пока не загрузится служба krb5kdc, служба SSSD не сможет выполнить аутентификацию пользователя по протоколу Kerberos, поэтому войти в систему сможет только тот пользователь, кто уже входил в систему ранее (хеш его пароля сохранен в кэше службы SSSD).
Если у вас не получится войти в операционную систему контроллера под доменной учетной записью сразу после загрузки сервера, подождите несколько минут и попытайтесь сделать это еще раз.
Если доступ для доменного пользователя так и не появится, войдите в систему локальной учетной записью и проверьте содержимое журналов /var/log/auth.log и /var/log/messages.
 
Вы можете проверить статус доменных служб с помощью команды status утилиты aldproctl:
sudo aldproctl status
 
5. В результате будут запущены две службы каталогов, статус которых можно посмотреть командами:
systemctl status dirsrv@GLOBAL-CATALOG
systemctl status dirsrv@ALD-COMPANY-LAN