Повторный ввод в домен ALD Pro сервера-контроллера или клиентского компьютера.
Иногда при вводе в домен случаются ошибки и проблемы. В данной статье, чьи инструкции проверены на собственной шкуре, собраны основные важные вещи: что делать если приходится повторно вводить в домен без переустановки операционной системы Astra Linux вчистую? Другими словами, что запустить и удалить, чтобы начать опять с чистого листа?
Для большей конкретики предположим что была проблема с заданием по развёртыванию роли контроллера ALD Pro на сервере dc-2.company.ru и нужно его заново вывести-ввести в домен перед повторным развёртыванием роли. Данные советы также помогут при проблемах с повторным вводом в домен ALD Pro клиентского компьютера pc666.company.ru под управлением Astra Linux, так как сервера и клиенты вводятся в домен одинаково.
Главная статья, в которой есть почти всё что нужно Руководство администратора по установке и обновлению пункт Вывод компьютера из домена ALD Pro. Но дьявол прячется в мелочах.
Настоятельно рекомендуется обратить внимание на следующие моменты:
- Время! Часы на всех хостах ДОЛЖНЫ быть синхронизированы! Kerberos и, в целом, криптография опирается в своей работе на точно идущее время. Меняйте сдохшие батарейки у компьютеров, чаще вызывайте команду
date
при проблемах, убеждаясь что время идёт правильно.
- В инструкции несколько раз сказано о правильности в записях /etc/hosts, которые могут быть по невнимательности пропущены:
- НИКОГДА не связывайте имена (hostname) хоста с адресом цифровой петли! Комментируйте или удаляйте такие строки 127.0.1.1 dc-2
- При указании строк вида 10.0.3.4 dc-2.company.ru dc-2 ВАЖЕН порядок. Сначала IP адрес, потом FQDN, потом короткое имя (hostname)!
- У хоста Astra Linux, который будет введён в домен, не должно быть проблем с сетевым взаимодействием с контроллером домена как по его полному FQDN имени, так и имени хоста (hostname). Всегда проверяйте, особенно при проблемах:
ping -c3 dc-1
ping -c3 dc-1.company.ru
- На предприятиях могут использоваться Unified threat management (UTM, шлюз безопасности) или NGFW (next generation firewall, фаервол следующего поколения). Если сетевой трафик между клиентами и серверами ALD Pro проходит через UTM/NGFW, то, вероятнее всего, без наличия его сертификатов в серверах и клиентах ALD Pro он пытается инспектировать шифрованный трафик, вмешиваться в него или блокировать. Совместно с сетевым администратором проанализируйте вывод ниже предложенных команд и совместно решайте вопрос о беспроблемной работе серверов-контроллеров между собой и клиентскими компьютерами.
openssl s_client -connect dc-1.company.ru:443 -prexit
curl --verbose https://dc-1.company.ru/ipa/config/ca.crt
- Совместно с сетевым администратором проверьте Список портов ALD Pro. Убедитесь что сетевое взаимодействие по указанным портам не блокируется сетевыми списками доступа (Access Control List, ACL).
- Есть хорошее наблюдение: что если IPv6 не используется на предприятии, то от его наличия в различных операционных системах мало толку и только увеличивается риск появления проблем. Рассмотрите совместно с сетевым администратором и тщательно протестируйте отказ от IPv6 с сохранением его стека! Будьте предельно аккуратны и не используйте никогда советы на просторах сети Интернет, где командами удаляется полностью IPv6 без сохранения стека, что вызывает ещё больше проблем!
Официальные советы от астровцев таковы:
- В конфигурационном файле /etc/default/grub аккуратно добавить в параметр GRUB_CMDLINE_LINUX_DEFAULT значение ipv6.disable=0.
Пример,
GRUB_CMDLINE_LINUX_DEFAULT="parsec.max_ilev=63 quiet net.ifnames=0 ipv6.disable=0"
- После внесения изменений выполнить команду:
sudo update-grub
- В файл /etc/sysctl.d/999-astra.conf добавить параметр:
net.ipv6.conf.all.disable_ipv6 = 1
- Перезагрузите хост и убедитесь что в выводе команды
ip a | grep inet6
нет IP адресов IPv6. А команда cat /sys/module/ipv6/parameters/disable
выводит 0, как символ того что вы сохранили (не отключали, disable=0) стек IPv6, но просто не используете его адреса на своих сетевых интерфейсах.
Итак, поехали.
- Действия на dc-2.company.ru (pc666.company.ru) следует выполнять от локальной учётной записи админа с правом sudo!
- Выполните поочерёдно следующие команды:
sudo astra-freeipa-server -U
sudo astra-freeipa-client -U
- Удалите пакеты приложений, указав явно aldpro, freeipa, sssd и krb5. Все остальные пакеты будут удалены через зависимости:
sudo apt purge 'aldpro*' 'freeipa*' 'sssd*' 'krb5*'
sudo apt autoremove --purge
- Проверьте список профилей в домашней папке, с помощью команды:
cd /home/ && ls
Если при проверке будут найдены домашние директории доменных пользователей, необходимо удалить их, сохранив данные!
- Необходимо удалить каталоги клиентских приложений подсистем ALD Pro:
sudo rm -rf /var/lib/sss/pubconf/krb5.include.d/
sudo rm -rf /etc/krb5.conf.d/
sudo rm -rf /var/lib/sss/
sudo rm -rf /etc/sssd/
sudo rm -rf /opt/rbta/aldpro/
sudo rm -rf /etc/syslog-ng/aldpro
sudo rm -rf /etc/salt/minion.d/
sudo rm -rf /var/log/salt/
sudo rm -rf /var/lib/certmonger/
- Выполните перезагрузку:
sudo reboot
- Действия на основном контроллере домена dc-1.company.ru.
- Нужно удалить DNS-записи проблемного хоста. Действие автоматически и немедленно будет реплицировано на все ваши контроллеры.
sudo -i
kinit admin
ipa dnsrecord-del company.ru. dc-2 --del-all
- Удалить выводимый хост из базы системы FreeIPA:
ipa host-del dc-2.company.ru
Действие автоматически и немедленно будет реплицировано на все ваши контроллеры.
- Нужно выполнить команду для удаления Salt ключа проблемного хоста, чтобы исключить попытки обращения со стороны Salt Master к этой рабочей станции:
sudo salt-key -y -d dc-2.company.ru
Обратите внимание, что если у вас в строю несколько работающих контроллеров домена, то удаление ключей Salt нужно выполнять на каждом!
- Повторно введите хост Astra Linux в домен согласно пункту Ввод компьютера в домен ALD Pro из Руководства администратора по установке и обновлению. Будьте внимательнее и поменьше отсебятины.
- Выполните следующие команды для очистки кэша и синхронизации:
sudo salt 'dc-1.company.ru' saltutil.clear_cache
sudo salt 'dc-2.company.ru' saltutil.clear_cache
sudo salt 'dc-2.company.ru' saltutil.sync_all
Дополнительные материалы:
Дата последней правки: 2024-07-12 10:28:22