Установка Avanpost DS Server на контроллер домена

ВНИМАНИЕ:

В данной инструкции приведены команды для трех операционных систем: REDOSASTRA 1.7; 2.12.ALT
Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех трех ОС. Необходимо выполнять команды только для используемой вами ОС.

Для установки на ОС Astra 1.8 требуется выполнить действия по одной из инструкций:

ВАЖНО!

Установка серверной части Avanpost DS на ОС ASTRA с графической оболочкой FLY не поддерживается. При установке PowerDNS данная оболочка перестает работать и ломает ОС.

После Подготовки Операционной Системы можно переходить к установке Avanpost.DS.Server на контроллер. Для этого необходимо подключиться к нему по SSH и выполнить шаги:

После выполнения всех шагов перейти к настройке DNS на контроллере по инструкции: 4.4. Настройка PowerDNS на контроллере Avanpost DS.

После настройки PowerDNS на первом контроллере можно переходить к установке Avanpost DS на второй и последующие контроллеры по инструкции: 4.5. Установка Avanpost DS Server на второй и последующие контроллеры домена.

Шаг 1. Установить пакет Avanpost DS.

Для этого необходимо выполнить команду:

RedOS
sudo dnf install Avanpost.DS.Server.Linux-*.REDOS.x86_64.rpm
Astra 
sudo dpkg -i Avanpost.DS.Server.Linux-*.amd64.deb
Alt
apt-get install Avanpost.DS.Server.Linux-*.ALT.x86_64.rpm

ВАЖНО!

В случае установки из архива вместо пакета необходимо выполнить действия по инструкции: "4.3.1. Установка Avanpost DS на контроллер домена из архива .tar".

Шаг 2. Заполнить конфигурационный файл Avanpost DS.

Для этого необходимо:

2.1. Открыть для редактирования файл конфигурации Avanpost DS "/opt/avanpost/ads/config/config.yaml".

sudo nano /opt/avanpost/ads/config/config.yaml

2.2. Заполнить открывшийся файл по шаблону:

Шаблон /opt/avanpost/ads/config/config.yaml
baseDN: dc=[Домен2ур],dc=[Домен1ур]#имя корня домена в формате DN
host_ip_addr: [IP-АДРЕС] #адрес контроллера домена
host_name_fqdn: [FQDN] #полное доменное имя (FQDN) контроллера домена
 
# ldaps:
#   cert: #сертификат для использования сервером ldaps
#   key: #ключ сертификата для использования сервером ldaps

repl:
  single_host: true #для первого контроллера в домене устанавливается "true", для всех последующих - "false"

Заменить в строке 1 [Домен1ур] на свой домен первого уровня, а [Домен2ур] — на свой домен второго уровня.

Заменить в строкe 2 [IP-АДРЕС] на IP адрес сервера, где производится установка.

Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка.

Пример заполненного файла /opt/avanpost/ads/config/config.yaml
baseDN: dc=avanpost,dc=local #имя корня домена в формате DN
host_ip_addr: 192.168.1.11 #адрес контроллера домена
host_name_fqdn: ds01.avanpost.local #полное доменное имя (FQDN) контроллера домена
 
# ldaps:
#   cert: #сертификат для использования сервером ldaps
#   key: #ключ сертификата для использования сервером ldaps

repl:
  single_host: true #для первого контроллера в домене устанавливается "true", для всех последующих - "false"

Примечание:

Подробнее о настройке конфигурационного файла Avanpost DS см. статью "4.6.1. Конфигурационный файл Avanpost DS "config.yaml"" руководства по развертыванию Avanpost DS.

Шаг 3. Установить права для пользователя ads на директорию "/opt/avanpost".

Для этого необходимо выполнить команду:

sudo chown -R ads:ads /opt/avanpost

Шаг 4. Запустить сервис "ads" и проверить его работу.

Для этого необходимо выполнить команды:

sudo systemctl enable --now ads
sudo systemctl status ads
Пример корректного вывода команды
[root@ds02 ~]# sudo systemctl status ads
● ads.service - Avanpost Directory Service
Loaded: loaded (/etc/systemd/system/ads.service; enabled; preset: disabled)
Active: active (running) since Wed 2025-01-29 11:03:58 MSK; 3s ago
Main PID: 10627 (ads)
Tasks: 6 (limit: 10673)
Memory: 47.8M
CPU: 252ms
CGroup: /system.slice/ads.service
└─10627 /opt/avanpost/ads/cmd/ads/ads

Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 License manager: Found 1 users, 19 objects
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start KDC UDP listening: [::]:88
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start KDC TCP listening: [::]:88
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start chpw UDP listening: [::]:464
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start chpw TCP listening: [::]:464
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening LDAP on 0.0.0.0:389
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Http listening on 0.0.0.0:4008
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening LDAP on 0.0.0.0:636
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening DSCliServer on 0.0.0.0:7890
Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Client listening on 0.0.0.0:8080

Шаг 5. Опубликовать интерфейс системы на веб-сервере Nginx.

Для этого необходимо:

5.1. Создать конфигурационный файл "ads.conf"

RedOS
sudo nano /etc/nginx/conf.d/ads.conf
Astra 
sudo nano /etc/nginx/conf.d/ads.conf
Alt
sudo nano /etc/nginx/sites-enabled.d/ads.conf

5.2. Открывшийся файл необходимо заполнить по шаблону:

Шаблон ads.conf
server {
    listen        80;
    server_name   [FQDN];
    location / {
        proxy_pass       http://127.0.0.1:8080;
        proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка. (В примере: "ds01.avanpost.local")

Пример заполненного ads.conf
server {
    listen        80;
    server_name   ds01.avanpost.local;
    location / {
        proxy_pass       http://127.0.0.1:8080;
        proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

5.3. Проверить целостность конфигурации.

sudo nginx -t
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful

5.4. Включить автоматический запуск и запустить сервис "nginx". Затем проверить, что он запущен.

sudo systemctl enable --now nginx
sudo systemctl status nginx

Шаг 6. Для проверки зайти в веб-интерфейс администратора Avanpost DS.

Для доступа к веб-интерфейсу администратора Avanpost DS необходимо в строке браузера ввести адрес:

http://[имя_контроллера_домена]

Например, http://ds01.avanpost.local

Должна открыться страница авторизации в административную консоль.

Так же можно войти в веб-интерфейс по IP адресу контроллера домена, например:

192.168.1.11

Веб-интерфейс работает на порте 8080

После ввода реквизитов учётной записи должна открыться административная консоль системы.

Для первого входа необходимо использовать учетные данные:

Логин: Administrator

Пароль: Avanp0st

Шаг 7. Создать дополнительного доменного пользователя с правами администратора.

Для этого необходимо:

7.1. В разделе "Пользователи" веб-интерфейса администратора Avanpost DS нажать на кнопку добавления пользователя .

7.2. Заполнить все поля, нажать "Сохранить". 

7.3. Открыть карточку созданного пользователя, нажав на него в списке. Перейти на вкладку "Группы" и нажать кнопку "Добавить". 

7.4. В открывшемся окне выбрать группу "Administrators" и нажать "Добавить".

Шаг 8. Добавить директории Avanpost DS в исключения антивируса.

Если на контроллере домена используется антивирус, то для обеспечения корректной работы и быстродействия Avanpost DS требуется добавить в исключения директории, содержащие БД и логи:

  • /opt/avanpost/ads/data
  • /opt/avanpost/ads/ds-logs


После выполнения всех шагов перейти к настройке DNS на контроллере по инструкции: 4.4. Настройка PowerDNS на контроллере Avanpost DS.

После настройки PowerDNS на первом контроллере можно переходить к установке Avanpost DS на второй и последующие контроллеры по инструкции: 4.5. Установка Avanpost DS Server на второй и последующие контроллеры домена.

Обсуждение