ВНИМАНИЕ:
В инструкции приведены команды для трех операционных систем: REDOSASTRAALT
Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех трех ОС. Необходимо выполнять команды только для используемой вами ОС.
ВАЖНО!
Установка серверной части Avanpost DS на ОС ASTRA с графической оболочкой FLY не поддерживается. При установке PowerDNS данная оболочка перестает работать и ломает ОС.
После Подготовки Операционной Системы можно переходить к установке Avanpost.DS.Server на контроллер. Для этого необходимо подключиться к нему по SSH и выполнить шаги:
- Шаг 1. Создать техническую учетную запись "ads" .
- Шаг 2. Создать каталоги "/opt/avanpost/ads" и "/opt/avanpost/tools".
- Шаг 3. Загрузить дистрибутивы Avanpost DS на сервер по SFTP.
- Шаг 4. Распаковать файлы дистрибутива из архива в директории "/opt/avanpost/ads" и "/opt/avanpost/tools".
- Шаг 5. Заполнить конфигурационный файл Avanpost DS.
- Шаг 6. Зарегистрировать систему в systemd.
- Шаг 7. Установить пользователя "ads" владельцем каталога "/opt/avanpost".
- Шаг 8. Разрешить сервису "ads" открывать привилегированные порты.
- Шаг 9. Добавить сервис "ads" в автозапуск и запустить его.
- Шаг 10. Проверить работу сервиса "ads".
- Шаг 11. Опубликовать интерфейс системы на веб-сервере Nginx.
- Шаг 12. Для проверки зайти в веб-интерфейс администратора Avanpost DS.
- Шаг 13. Создать дополнительного доменного пользователя с правами администратора.
- Шаг 14. Добавить директории Avanpost DS в исключения антивируса.
После выполнения всех шагов перейти к настройке DNS на контроллере по инструкции: 4.4. Настройка PowerDNS на контроллере Avanpost DS.
Затем можно переходить к установке Avanpost DS на второй и последующие контроллеры по инструкции: 4.5. Установка Avanpost DS Server на второй и последующие контроллеры домена.
Шаг 1. Создать техническую учетную запись "ads" .
Для этого необходимо выполнить команду:
| RedOS | sudo useradd -r -g ads -d /opt/avanpost -s /sbin/nologin -c "User for DS Service" ads |
|---|---|
Astra | useradd -d /opt/avanpost -s /sbin/nologin ads |
Alt | useradd -d /opt/avanpost -s /sbin/nologin ads |
Шаг 2. Создать каталоги "/opt/avanpost/ads" и "/opt/avanpost/tools".
Для этого необходимо выполнить команды:
sudo mkdir -p /opt/avanpost/ads sudo mkdir -p /opt/avanpost/tools
Шаг 3. Загрузить дистрибутивы Avanpost DS на сервер по SFTP.
Например, можно загрузить дистрибутивы в директорию "/tmp".
Примечание
Вместо SFTP можно воспользоваться SCP:
scp [Путь до архива] [реквизиты для подключения по SSH]:[Полный путь папки назначения]
scp /home/admin/Avanpost.DS.Server.Linux.v*.tar.gz root@192.168.1.11:/tmp/
Шаг 4. Распаковать файлы дистрибутива из архива в директории "/opt/avanpost/ads" и "/opt/avanpost/tools".
Для этого необходимо выполнить команды:
sudo tar -xvzf /tmp/Avanpost.DS.Server.Linux.v*.tar.gz -C /opt/avanpost/ads sudo tar -xvzf /tmp/Avanpost.DS.Server.Linux.Tools.v*.tar.gz -C /opt/avanpost/tools
Шаг 5. Заполнить конфигурационный файл Avanpost DS.
Для этого необходимо:
5.1. Открыть для редактирования файл конфигурации Avanpost DS "/opt/avanpost/ads/config/config.yaml".
sudo nano /opt/avanpost/ads/config/config.yaml
5.2. Заполнить открывшийся файл по шаблону:
baseDN: dc=[Домен2ур],dc=[Домен1ур]#имя корня домена в формате DN host_ip_addr: [IP-АДРЕС] #адрес контроллера домена host_name_fqdn: [FQDN] #полное доменное имя (FQDN) контроллера домена # ldaps: # cert: #сертификат для использования сервером ldaps # key: #ключ сертификата для использования сервером ldaps repl: single_host: true #для первого контроллера в домене устанавливается "true", для всех последующих - "false"
Заменить в строке 1 [Домен1ур] на свой домен первого уровня, а [Домен2ур] — на свой домен второго уровня.
Заменить в строкe 2 [IP-АДРЕС] на IP адрес сервера, где производится установка.
Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка.
baseDN: dc=avanpost,dc=local #имя корня домена в формате DN host_ip_addr: 192.168.1.11 #адрес контроллера домена host_name_fqdn: ds01.avanpost.local #полное доменное имя (FQDN) контроллера домена # ldaps: # cert: #сертификат для использования сервером ldaps # key: #ключ сертификата для использования сервером ldaps repl: single_host: true #для первого контроллера в домене устанавливается "true", для всех последующих - "false"
Примечание:
Подробнее о настройке конфигурационного файла Avanpost DS см. статью "4.6.1. Конфигурационный файл Avanpost DS "config.yaml"" руководства по развертыванию Avanpost DS.
Шаг 6. Зарегистрировать систему в systemd.
Для этого необходимо:
6.1. Открыть для редактирования файл "/etc/systemd/system/ads.service".
sudo nano /etc/systemd/system/ads.service
6.2. Заполнить открывшийся файл по примеру:
[Unit] Description=Avanpost Directory Service [Service] WorkingDirectory=/opt/avanpost/ads ExecStartPre=+/usr/sbin/setcap CAP_NET_BIND_SERVICE=+eip /opt/avanpost/ads/cmd/ads/ads ExecStart=/opt/avanpost/ads/cmd/ads/ads Restart=always RestartSec=10 SyslogIdentifier=ads User=ads Environment="CONFIG=/opt/avanpost/ads/config/config.yaml" [Install] WantedBy=multi-user.target
Шаг 7. Установить пользователя "ads" владельцем каталога "/opt/avanpost".
Для этого необходимо выполнить команду:
sudo chown -R ads:ads /opt/avanpost
Шаг 8. Разрешить сервису "ads" открывать привилегированные порты.
Для этого необходимо выполнить команду:
sudo setcap CAP_NET_BIND_SERVICE=+eip /opt/avanpost/ads/cmd/ads/ads
Примечание
Сервис "ads" использует привилегированные порты (порты, номера которых < 1024) для служб LDAP и Kerberos.
Шаг 9. Добавить сервис "ads" в автозапуск и запустить его.
Для этого необходимо выполнить команды:
sudo systemctl daemon-reload sudo systemctl enable --now ads
Шаг 10. Проверить работу сервиса "ads".
Для этого необходимо выполнить команду:
sudo systemctl status ads
[root@ds02 ~]# sudo systemctl status ads ● ads.service - Avanpost Directory Service Loaded: loaded (/etc/systemd/system/ads.service; enabled; preset: disabled) Active: active (running) since Wed 2025-01-29 11:03:58 MSK; 3s ago Main PID: 10627 (ads) Tasks: 6 (limit: 10673) Memory: 47.8M CPU: 252ms CGroup: /system.slice/ads.service └─10627 /opt/avanpost/ads/cmd/ads/ads Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 License manager: Found 1 users, 19 objects Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start KDC UDP listening: [::]:88 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start KDC TCP listening: [::]:88 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start chpw UDP listening: [::]:464 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 start chpw TCP listening: [::]:464 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening LDAP on 0.0.0.0:389 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Http listening on 0.0.0.0:4008 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening LDAP on 0.0.0.0:636 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Listening DSCliServer on 0.0.0.0:7890 Jan 29 11:03:58 ds02.avanpost.local ads[10627]: 2025/01/29 11:03:58 Client listening on 0.0.0.0:8080
Шаг 11. Опубликовать интерфейс системы на веб-сервере Nginx.
Для этого необходимо:
11.1. Создать конфигурационный файл "ads.conf"
| RedOS | sudo nano /etc/nginx/conf.d/ads.conf |
|---|---|
Astra | sudo nano /etc/nginx/conf.d/ads.conf |
Alt | sudo nano /etc/nginx/sites-enabled.d/ads.conf |
11.2. Открывшийся файл необходимо заполнить по шаблону:
server {
listen 80;
server_name [FQDN];
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка. (В примере: "ds01.avanpost.local")
server {
listen 80;
server_name ds01.avanpost.local;
location / {
proxy_pass http://127.0.0.1:8080;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
11.3. Проверить целостность конфигурации.
sudo nginx -t # nginx: the configuration file /etc/nginx/nginx.conf syntax is ok # nginx: configuration file /etc/nginx/nginx.conf test is successful
11.4. Включить автоматический запуск и запустить сервис "nginx". Затем проверить, что он запущен.
sudo systemctl --now enable nginx sudo systemctl status nginx
Шаг 12. Для проверки зайти в веб-интерфейс администратора Avanpost DS.
Для доступа к веб-интерфейсу администратора Avanpost DS необходимо в строке браузера ввести адрес:
http://[имя_контроллера_домена]
Например, http://ds01.avanpost.local
Должна открыться страница авторизации в административную консоль.
Так же можно войти в веб-интерфейс по IP адресу контроллера домена, например:
192.168.1.11
Веб-интерфейс работает на порте 8080
После ввода реквизитов учётной записи должна открыться административная консоль системы.
Для первого входа необходимо использовать учетные данные:
Логин: Administrator
Пароль: Avanp0st
Шаг 13. Создать дополнительного доменного пользователя с правами администратора.
Для этого необходимо:
13.1. В разделе "Пользователи" веб-интерфейса администратора Avanpost DS нажать на кнопку добавления пользователя 
.
13.2. Заполнить все поля, нажать "Сохранить".
13.3. Открыть карточку созданного пользователя, нажав на него в списке. Перейти на вкладку "Группы" и нажать кнопку "Добавить".
13.4. В открывшемся окне выбрать группу "Administrators" и нажать "Добавить".
Шаг 14. Добавить директории Avanpost DS в исключения антивируса.
Если на контроллере домена используется антивирус, то для обеспечения корректной работы и быстродействия Avanpost DS требуется добавить в исключения директории, содержащие БД и логи:
- /opt/avanpost/ads/data
- /opt/avanpost/ads/ds-logs
После выполнения всех шагов перейти к настройке DNS на контроллере по инструкции: 4.4. Настройка PowerDNS на контроллере Avanpost DS.
Затем можно переходить к установке Avanpost DS на второй и последующие контроллеры по инструкции: 4.5. Установка Avanpost DS Server на второй и последующие контроллеры домена.