69 
учетных записей пользователей ALD, так и процедуру аутентификации 
пользователя на компьютере с помощью ALD. . Аутентификация 
пользователей домена защищена с помощью протокола доверенной 
аутентификации Kerberos. NTP (протокол сетевого времени) используется 
для синхронизации меток времени между контроллером и клиентами 
Kerberos. 
Когда домен обращается к объектам файловой системы компьютера, 
который обращается к конкретной учетной записи пользователя, к нему 
применяются настройки контроля доступа, хранящиеся в контроллере ALD. 
Если на контроллере ALD (или на специально выделенном компьютере) 
организован защищенный файловый сервер, то настройки контроля доступа 
этой учетной записи пользователя применяются и к субъектам файловой 
системы этого контроллера. При этом доступ к ним от имени учетной записи 
пользователя ALD осуществляется по протоколу CIFS (Common Internet File 
System), на основе которого был разработан сетевой файлообменный 
протокол SMB. 
Сервис ALD имеет расширяемую архитектуру, состоящую из ядра, 
отвечающего за основные системные функции, ряда интерфейсов (LDAP, 
Kerberos) и модулей расширения, команд и графических утилит для 
настройки сервисов и подсистем ALD, что позволяет добавлять 
функциональность ALD. расширение путем установки пакетов. Основные 
пакеты, используемые при установке и настройке ALD: 
• корневой администратор (имя admin/admin, администратор ALD) — 
имеет все права на управление доменом; 
• администраторы (пользователи с правами администратора) — имеют 
право управлять конфигурацией домена и учетными записями пользователей; 
• ограниченные администраторы (учетные записи пользователей с 
привилегиями hosts-add или ald-hosts-add) имеют право добавлять 
компьютеры в домен; 
• пользователи административных утилит (пользователи с привилегиями 
adm-user) - имеют право запускать административные утилиты; 
• обычные пользователи. 
Для управления доменом используйте команды ald-admin и графическую 
утилиту «Политика безопасности», позволяющую выполнять с доменом 
следующие действия: 
• создавать и управлять учетными записями пользователей; 
• создание и управление группами; 
• добавлять и удалять компьютеры; 
• резервное копирование и восстановление учетных данных доменных 

70 
баз данных; 
• настроить привилегии и политики для учетных записей пользователей 
и групп; 
• Настройка политики паролей Kerberos; 
• контролировать доступ к съемным устройствам; 
• управлять учетными записями сетевых служб; 
• контролировать целостность (аудит) конфигурации домена. 
При 
создании 
нового 
домена 
используется 
следующая 
последовательность действий: 
• Установить сетевое соединение на контроллере ALD и компьютерах, 
входящих в состав ALD; 
• Настройка именования контроллера и клиентов ALD для поддержки 
работы службы LDAP; 
• Настройка и запуск контроллера ALD; 
• Запускать клиенты ALD на компьютерах, имеющих доступ к ALD. 
Следующие команды используются при развертывании общего 
пользовательского пространства с помощью ALD: 
• hostname - команда вывода в терминал имени текущего компьютера; 
• apt-get — команда управления пакетами; 
• ping - команда для отправки и получения ICMP-пакетов (Echo 
Request/Echo Reply); 
• ald-init - команда запуска базы данных ALD; 
• ald-client - команда управления клиентом ALD; 
• ald-admin - команда управления доменом ALD. 
Порядок работы: 
1. Для настройки сетевого подключения на контроллере и клиентах ALD 
начните работу, зайдя на сервер ОС, пользователя и гв в графическом режиме 
с учетной записью пользователя студента (уровень доступа - 0, 
неиерархические категории - нет, уровень целостности - «высокий»). 
2. Настройте статические сетевые адреса сервера ОС, пользователя и gw 
согласно предыдущему модулю. 
3. Перезапустите каждую ОС под учетной записью учащегося и снова 
войдите в систему (уровень доступа — 0, неиерархические категории — нет, 
уровень целостности — «Высокий»), затем запустите терминал Fly. 
4. Проверьте правильность настроек с помощью команды ping. При этом 
проверьте наличие сервера, пользователя и gw в сети с помощью следующих 
команд: ping 192.168.X.2 и ping 192.168.XY. 
5. Настройте имя контроллера и клиентов ALD для поддержки работы 
службы LDAP. Для этого требуется настроить разрешение сетевых имен 

71 
таким образом, чтобы сетевое имя компьютеров сначала разрешалось как 
полное имя (например, gw.exampleX.com). В этом случае команда hostname 
должна возвращать короткое сетевое имя (например, gw). Для этого 
выполните следующую последовательность действий: 
• В «привилегированном» режиме терминала ОС Fly f server, user и gw 
проверяют настройки файла /etc/hostname в соответствии с предыдущей 
лабораторной работой; 
• В ОС, сервере, пользователе и gw в «привилегированном» режиме 
проверьте настройки файла /etc/hosts согласно предыдущему упражнению и 
закомментируйте строку, содержащую запись «127.0.1.1» (для этого 
поставьте «# "в начале этой строки поставьте его); 
• перезапустить сервер, пользователя и гв в ОС и войти в ОС в 
графическом режиме под учетной записью студента (уровень доступа - 0, 
неиерархические категории - нет, уровень целостности - "Высокий"); 
• запустите терминал Fly на каждой ОС, запустите команду hostname и 
убедитесь, что она возвращает имя сервера, пользователя и gw .shortnames. 
6. Установите, настройте и запустите контроллер. Для этого выполните 
следующую последовательность действий в ОС gw: 
• авторизоваться графически под учетной записью учащегося (уровень 
доступа - 0, неиерархические категории - нет, уровень целостности - 
"Высокий"); 
• запустить терминал Fly в «привилегированном» режиме командой sudo 
fly-term; 
• установить пакеты для работы с контроллером (если сервер ALD не был 
установлен при установке ОС): 
# apt -y install ald-server-common ald-admin-common ald-admin smolensk-
security-ald fly-admin-ald-server 
• если есть ошибки, выполните следующие команды: 
# apt --fix-сломанная установка 
• Перезагрузите ОС; 
• запустите команду vim /etc/ald/ald.conf и проверьте наличие параметров 
«SERVER = gw.exampleX.com» и «DOMAIN = .exampleX.com»; 

72 
• также проверьте наличие в файле параметров SERVER_ON = 1 и 
CLIENT_ON = 1, при необходимости внесите изменения; 
• Чтобы служба ALD перечитала изменения в файле /etc/ald/ald.conf 
(если они действительно были внесены, в противном случае пропустите 
приведенную ниже команду), команда ald-init config-config' выполняет 
инициализацию с помощью i ( результатом будет информация об успешной 
настройке 
сервиса 
ALD);natijada 
ALD 
xizmatining 
muvaffaqiyatli 
konfiguratsiyasi 
haqida 
ma'lumot 
bo'ladi); 
• Проверить правильность установки сервера можно с помощью 
следующих команд: ald-client status и ald-admin test-integrity. 

73 
 
• При возникновении ошибок перезагрузите ОС. 

74 
7. Если предыдущие команды были успешными, проверьте gwda ALD в 
графическом режиме следующим образом: 
Рисунок 1. ALD-проверка 
• Откройте на сервере программу «Управление политикой безопасности 
домена»: Пуск -> Панель управления -> Установить -> Доменная политика 
безопасности. 
• Введите имя пользователя и пароль, которые вы установили ранее 
Рисунок 2. Управление политикой безопасности домена 
• Создайте пользователя домена Netuser1 и дайте ему пароль. A На 
вкладке Привилегии домена предоставьте доступ к необходимым 
компьютерам. 
После этого вы можете выйти из системы пользователя student и 
попробовать войти в систему как пользователь домена. 

Download 1.89 Mb.

Do'stlaringiz bilan baham: