Повторный ввод в домен ALD Pro сервера-контроллера или клиентского компьютера.

Иногда при вводе в домен случаются ошибки и проблемы. В данной статье, чьи инструкции проверены на собственной шкуре, собраны основные важные вещи: что делать если приходится повторно вводить в домен без переустановки операционной системы Astra Linux вчистую? Другими словами, что запустить и удалить, чтобы начать опять с чистого листа?

Для большей конкретики предположим что была проблема с заданием по развёртыванию роли контроллера ALD Pro на сервере dc-2.company.ru и нужно его заново вывести-ввести в домен перед повторным развёртыванием роли. Данные советы также помогут при проблемах с повторным вводом в домен ALD Pro клиентского компьютера pc666.company.ru под управлением Astra Linux, так как сервера и клиенты вводятся в домен одинаково.

Главная статья, в которой есть почти всё что нужно Руководство администратора по установке и обновлению пункт Вывод компьютера из домена ALD Pro. Но дьявол прячется в мелочах.

Настоятельно рекомендуется обратить внимание на следующие моменты:

1. Время! Часы на всех хостах ДОЛЖНЫ быть синхронизированы! Kerberos и, в целом, криптография опирается в своей работе на точно идущее время. Меняйте сдохшие батарейки у компьютеров, чаще вызывайте команду date при проблемах, убеждаясь что время идёт правильно.
2. В инструкции несколько раз сказано о правильности в записях /etc/hosts, которые могут быть по невнимательности пропущены:
   • НИКОГДА не связывайте имена (hostname) хоста с адресом цифровой петли! Комментируйте или удаляйте такие строки 127.0.1.1 dc-2
   • При указании строк вида 10.0.3.4 dc-2.company.ru dc-2 ВАЖЕН порядок. Сначала IP адрес, потом FQDN, потом короткое имя (hostname)!
3. У хоста Astra Linux, который будет введён в домен, не должно быть проблем с сетевым взаимодействием с контроллером домена как по его полному FQDN имени, так и имени хоста (hostname). Всегда проверяйте, особенно при проблемах:
   ping -c3 dc-1
ping -c3 dc-1.company.ru

4. На предприятиях могут использоваться Unified threat management (UTM, шлюз безопасности) или NGFW (next generation firewall, фаервол следующего поколения). Если сетевой трафик между клиентами и серверами ALD Pro проходит через UTM/NGFW, то, вероятнее всего, без наличия его сертификатов в серверах и клиентах ALD Pro он пытается инспектировать шифрованный трафик, вмешиваться в него или блокировать. Совместно с сетевым администратором проанализируйте вывод ниже предложенных команд и совместно решайте вопрос о беспроблемной работе серверов-контроллеров между собой и клиентскими компьютерами.

   openssl s_client -connect dc-1.company.ru:443 -prexit
curl --verbose https://dc-1.company.ru/ipa/config/ca.crt


5. Совместно с сетевым администратором проверьте Список портов ALD Pro. Убедитесь что сетевое взаимодействие по указанным портам не блокируется сетевыми списками доступа (Access Control List, ACL).
6. Есть хорошее наблюдение: что если IPv6 не используется на предприятии, то от его наличия в различных операционных системах мало толку и только увеличивается риск появления проблем. Рассмотрите совместно с сетевым администратором и тщательно протестируйте отказ от IPv6 с сохранением его стека! Будьте предельно аккуратны и не используйте никогда советы на просторах сети Интернет, где командами удаляется полностью IPv6 без сохранения стека, что вызывает ещё больше проблем!

   Официальные советы от астровцев таковы:

   • В конфигурационном файле /etc/default/grub аккуратно добавить в параметр GRUB_CMDLINE_LINUX_DEFAULT значение ipv6.disable=0.
     Пример,
     GRUB_CMDLINE_LINUX_DEFAULT="parsec.max_ilev=63 quiet net.ifnames=0 ipv6.disable=0"
   • После внесения изменений выполнить команду: sudo update-grub
   • В файл /etc/sysctl.d/999-astra.conf добавить параметр:
     net.ipv6.conf.all.disable_ipv6 = 1
   • Перезагрузите хост и убедитесь что в выводе команды ip a | grep inet6 нет IP адресов IPv6. А команда cat /sys/module/ipv6/parameters/disable выводит 0, как символ того что вы сохранили (не отключали, disable=0) стек IPv6, но просто не используете его адреса на своих сетевых интерфейсах.

Итак, поехали.

• Действия на dc-2.company.ru (pc666.company.ru) следует выполнять от локальной учётной записи админа с правом sudo!
  
  1. Выполните поочерёдно следующие команды:
     sudo astra-freeipa-server -U
sudo astra-freeipa-client -U
  2. Удалите пакеты приложений, указав явно aldpro, freeipa, sssd и krb5. Все остальные пакеты будут удалены через зависимости:
     sudo apt purge 'aldpro*' 'freeipa*' 'sssd*' 'krb5*'
sudo apt autoremove --purge

  3. Проверьте список профилей в домашней папке, с помощью команды: cd /home/ && ls
     Если при проверке будут найдены домашние директории доменных пользователей, необходимо удалить их, сохранив данные!
  4. Необходимо удалить каталоги клиентских приложений подсистем ALD Pro:
     sudo rm -rf /var/lib/sss/pubconf/krb5.include.d/
sudo rm -rf /etc/krb5.conf.d/
sudo rm -rf /var/lib/sss/
sudo rm -rf /etc/sssd/
sudo rm -rf /opt/rbta/aldpro/
sudo rm -rf /etc/syslog-ng/aldpro
sudo rm -rf /etc/salt/minion.d/
sudo rm -rf /var/log/salt/
sudo rm -rf /var/lib/certmonger/

  5. Выполните перезагрузку: sudo reboot
• Действия на основном контроллере домена dc-1.company.ru.
  
  1. Нужно удалить DNS-записи проблемного хоста. Действие автоматически и немедленно будет реплицировано на все ваши контроллеры.
     sudo -i
kinit admin
ipa dnsrecord-del company.ru. dc-2 --del-all

  2. Удалить выводимый хост из базы системы FreeIPA: ipa host-del dc-2.company.ru
     Действие автоматически и немедленно будет реплицировано на все ваши контроллеры.
  3. Нужно выполнить команду для удаления Salt ключа проблемного хоста, чтобы исключить попытки обращения со стороны Salt Master к этой рабочей станции: sudo salt-key -y -d dc-2.company.ru
     Обратите внимание, что если у вас в строю несколько работающих контроллеров домена, то удаление ключей Salt нужно выполнять на каждом!
  4. Повторно введите хост Astra Linux в домен согласно пункту Ввод компьютера в домен ALD Pro из Руководства администратора по установке и обновлению. Будьте внимательнее и поменьше отсебятины.
  5. Выполните следующие команды для очистки кэша и синхронизации:
     sudo salt 'dc-1.company.ru' saltutil.clear_cache
sudo salt 'dc-2.company.ru' saltutil.clear_cache
sudo salt 'dc-2.company.ru' saltutil.sync_all


Дополнительные материалы:

• Оглавление всех статей про ALD Pro - Astra Domain.
• Как получить информацию о проблемах в работе ALD Pro?
• ALD Pro. Некорректная конфигурация Salt.
• ALD Pro. Балансировка нагрузки на узлы со службой salt-master.
• DNS сервер ALD Pro не отвечает на запросы из других подсетей.

Дата последней правки: 2024-07-12 10:28:22