4.5.1. Установка Avanpost DS на контроллер домена из архива .tar

После настройки PowerDNS на первом контроллере можно переходить к установке Avanpost DS на второй и последующие контроллеры домена. Для этого необходимо подключиться по SSH на новый контроллер, настроить ОС по инструкции из раздела 4.2 и выполнить шаги:

Шаг 1. Указать в конфигурационном файле "/etc/resolv.conf" IP адрес первого контроллера домена. (Только для ОС RedOS) 

Для этого необходимо:

sudo nano /etc/resolv.conf

nameserver [IP КД1] 

nameserver 192.168.1.11

sudo systemctl start systemd-resolved.service && sudo systemctl stop systemd-resolved

Шаг 2. Создать техническую учетную запись "ads" .

Для этого необходимо выполнить команду:

sudo useradd -r -g ads -d /opt/avanpost -s /sbin/nologin -c "User for DS Service" ads

sudo adduser -r -s /bin/nologin ads

sudo adduser -r -s /bin/nologin ads

Шаг 3. Создать каталоги "/opt/avanpost/ads" и "/opt/avanpost/tools".

Для этого необходимо выполнить команды:

sudo mkdir -p /opt/avanpost/ads
sudo mkdir -p /opt/avanpost/tools

Шаг 4. Загрузить дистрибутивы Avanpost DS на сервер по SFTP.

Например, можно загрузить дистрибутивы в директорию "/tmp".

scp [Путь до архива] [реквизиты для подключения по SSH]:[Полный путь папки назначения]

scp /home/admin/Avanpost.DS.Server.Linux.v*.tar.gz root@192.168.1.11:/tmp/

Шаг 5. Распаковать файлы дистрибутива из архива в директории "/opt/avanpost/ads" и "/opt/avanpost/tools".

Для этого необходимо выполнить команды:

sudo tar -xvzf /tmp/Avanpost.DS.Server.Linux.v*.tar.gz -C /opt/avanpost/ads
sudo tar -xvzf /tmp/Avanpost.DS.Server.Linux.Tools.v*.tar.gz -C /opt/avanpost/tools

Шаг 6. Заполнить конфигурационный файл Avanpost DS.

Для этого необходимо:

6.1. Открыть для редактирования файл конфигурации Avanpost DS "/opt/avanpost/ads/config/config.yaml".

sudo nano /opt/avanpost/ads/config/config.yaml

6.2. Заполнить открывшийся файл по шаблону:

baseDN: dc=[Домен2ур],dc=[Домен1ур]#имя корня домена в формате DN
host_ip_addr: [IP-АДРЕС] #адрес контроллера домена
host_name_fqdn: [FQDN] #полное доменное имя (FQDN) контроллера домена
 
# ldaps:
#   cert: #сертификат для использования сервером ldaps
#   key: #ключ сертификата для использования сервером ldaps

repl:
  single_host: false #для первого контроллера в домене устанавливается "true", для всех последующих - "false"

Заменить в строке 1 [Домен1ур] на свой домен первого уровня, а [Домен2ур] — на свой домен второго уровня.

Заменить в строкe 2 [IP-АДРЕС] на IP адрес сервера, где производится установка.

Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка.

baseDN: dc=avanpost,dc=local #имя корня домена в формате DN
host_ip_addr: 192.168.1.12 #адрес контроллера домена
host_name_fqdn: ds02.avanpost.local #полное доменное имя (FQDN) контроллера домена
 
# ldaps:
#   cert: #сертификат для использования сервером ldaps
#   key: #ключ сертификата для использования сервером ldaps

repl:
  single_host: false #для первого контроллера в домене устанавливается "true", для всех последующих - "false"

Шаг 7. Зарегистрировать систему в systemd.

Для этого необходимо:

7.1. Открыть для редактирования файл "/etc/systemd/system/ads.service".

sudo nano /etc/systemd/system/ads.service

7.2. Заполнить открывшийся файл по примеру:

[Unit]
Description=Avanpost Directory Service
  
[Service]
WorkingDirectory=/opt/avanpost/ads
ExecStartPre=+/usr/sbin/setcap CAP_NET_BIND_SERVICE=+eip /opt/avanpost/ads/cmd/ads/ads
ExecStart=/opt/avanpost/ads/cmd/ads/ads
Restart=always
RestartSec=10
SyslogIdentifier=ads
User=ads
Environment="CONFIG=/opt/avanpost/ads/config/config.yaml"
  
[Install]
WantedBy=multi-user.target

Шаг 8. Установить пользователя "ads" владельцем каталога "/opt/avanpost".

Для этого необходимо выполнить команду:

sudo chown -R ads:ads /opt/avanpost

Шаг 9. Разрешить сервису "ads" открывать привилегированные порты.

Для этого необходимо выполнить команду:

sudo setcap CAP_NET_BIND_SERVICE=+eip /opt/avanpost/ads/cmd/ads/ads

Шаг 10. Добавить сервис "ads" в автозапуск и запустить его.

Для этого необходимо выполнить команды:

sudo systemctl daemon-reload
sudo systemctl enable --now ads

Шаг 11. Проверить работу сервиса "ads".

Для этого необходимо выполнить команду:

sudo systemctl status ads

Шаг 12. Запустить первичную репликацию и добавить новый контроллер домена в существующую топологию.

Для этого необходимо выполнить команду, подставив свои значения в шаблон:

/opt/avanpost/tools/cli/cli add-instance --host [IP2] --name [FQDN2] --endpoint [IP1]:48910 --user [ADMIN_USER] --password [ADMIN_PASSWORD]

Заменить [ADMIN_USER] и [ADMIN_PASSWORD] на реквизиты учетной записи пользователя с правами добавления контроллеров, по умолчанию это Administrator:Avanp0st

Заменить [IP2] на IP-адрес нового контроллера.

Заменить [IP1] на IP-адрес первичного(основного) контроллера.

Заменить [FQDN2] на FQDN нового контроллера.

/opt/avanpost/tools/cli/cli add-instance --host 192.168.1.12 --name ds02.avanpost.local --endpoint 192.168.1.11:48910 --user Administrator --password Avanp0st

Шаг 13. Опубликовать интерфейс системы на веб-сервере Nginx.

Для этого необходимо:

13.1. Создать конфигурационный файл "ads.conf"

sudo nano /etc/nginx/conf.d/ads.conf

sudo nano /etc/nginx/conf.d/ads.conf

sudo nano /etc/nginx/sites-enabled.d/ads.conf

13.2. Открывшийся файл необходимо заполнить по шаблону:

server {
    listen        80;
    server_name   [FQDN];
    location / {
        proxy_pass       http://127.0.0.1:8080;
        proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

Заменить в строке 3 [FQDN] на полное доменное имя (FQDN) сервера, на котором производится установка. (В примере: "ds01.avanpost.local")

server {
    listen        80;
    server_name   ds02.avanpost.local;
    location / {
        proxy_pass       http://127.0.0.1:8080;
        proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Host $host;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

13.3. Проверить целостность конфигурации.

sudo nginx -t
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful

13.4. Включить автоматический запуск и запустить сервис "nginx". Затем проверить, что он запущен.

sudo systemctl --now enable nginx
sudo systemctl status nginx

Шаг 14. Для проверки зайти в веб-интерфейс администратора Avanpost DS.

Для доступа к веб-интерфейсу администратора Avanpost DS необходимо в строке браузера ввести адрес:

http://[имя_контроллера_домена]

Например, http://ds02.avanpost.local

Должна открыться страница авторизации в административную консоль.

После ввода реквизитов учётной записи должна открыться административная консоль системы.

Для первого входа необходимо использовать учетные данные:

Логин: Administrator

Пароль: Avanp0st

Шаг 15. Создать дополнительного доменного пользователя с правами администратора.

Для этого необходимо:

15.1. В разделе "Пользователи" веб-интерфейса администратора Avanpost DS нажать на кнопку добавления пользователя .

15.2. Заполнить все поля, нажать "Сохранить". 

15.3. Открыть карточку созданного пользователя, нажав на него в списке. Перейти на вкладку "Группы" и нажать кнопку "Добавить". 

15.4. В открывшемся окне выбрать группу "Administrators" и нажать "Добавить".

Шаг 16. Добавить директории Avanpost DS в исключения антивируса.

Если на контроллере домена используется антивирус, то для обеспечения корректной работы и быстродействия Avanpost DS требуется добавить в исключения директории, содержащие БД и логи:

• /opt/avanpost/ads/data
• /opt/avanpost/ads/ds-logs