Книга 4. Контроллер домена Zentyal
Содержание
- Книга 4. Контроллер домена Zentyal
- 4.1 Введение в Zentyal
- 4.2 Установка Zentyal
- 4.3 Первичная регистрация
- 4.4 Начальные установки
- 4.5 Навигация по Zentyal
- 4.6 Добавление пользователей
- 4.7 Добавление групп
- 4.8 Дополнительный контроллер домена
- 4.9 Останов и перезагрузка
- 4.10 Обновление Zentyal
- 4.11 Присоединение к домену Zentyal
- 4.12 Резервные копии настроек
Zentyal стартовал в 2004 как проект с открытым исходным кодом. Он имеет очень лояльное глобальное сообщество и активно развивается. Zentyal Small Business Server CE (сертифицированный ЕС сервер малого предприятия) является действенным полноценным решением для бизнеса. Последние версии используют мощность пакета Samba 4 который эффективно эмулирует контроллер домена Microsoft. Он поставляется в виде законченного автономного дистрибутива в формате CD/DVD ISO, который превращает установку в лёгкий бриз! Это несомненно делает Zentyal обязательным для включения в качестве модуля построения в нашу систему 4 в 1.
В нашей системе мы будем использовать его в качестве контроллера домена Active Directory. В данной книге я применяю 64-битную версию Zentyal 4.0. Вы можете загрузить именно эту версию с Sourceforge здесь: zentyal-4.0-amd64.iso.
![[Замечание]](/common/images/admon/note.png) | Замечание: |
|---|---|
|
Последние версии теперь называются Zentyal erver Development Edition. Интерфейс остался во многом прежним, однако я буду всё же рекомендовать следовать применяемой мной версии во избежание любых проблем. Если вам комфортнее с последней версией, она может загружена непосредственно с домашней страницы Zentyal здесь: Zentyal Server Development Edition {Прим. пер.: на момент перевода доступна версия 4.2}. |
Процесс установки Zentyal аналогичен большинству прочих операционных систем. Перед тем как установка сможет начаться вы должны создать конфигурацию ВМ. Я рекомендую дляданной установки виртуальный диск IDE 12ГБ и 8ГБ оперативной памяти. Если вам нужно повторить эти шаги снова кликните здесь: 1.9 Создание настроек ВМ. Вы может также понадобиться резервирование DHCP клиента в pfSense перед тем как вы приступите к действительной установке.
Когда машина запустится, вы увидите экран выбора языка (как на снимке ниже).
Для продолжения нажмите ENTER.
Далее вы получите экран выбора режима (как показано ниже).
Для продолжения нажмите ENTER.
В качестве языка по умолчанию установлен английский (как на снимке ниже). Отметим: карта навигации для перемещения, выбора и активации расположена в нижней части экрана.
Для продолжения нажмите ENTER.
Теперь выберите локализацию (как на снимке экрана ниже).
Для продолжения нажмите ENTER.
Опционально вы можете выбрать определение раскладки вашей клавиатуры (как показано ниже). Мы не смогли определить нашу клавиатуру автоматически.
Для продолжения нажмите ENTER.
Далее выберите страну для вашей клавиатуры (как на снимке ниже).
Для продолжения нажмите ENTER.
Ntgthm выберите надлежащую раскладку для вашей клавиатуры (как на снимке ниже).
Для продолжения нажмите ENTER.
Сейчас вас приглашают установить имя хоста. Если вы уже назначили статичное резервирование DHCP, имя вашего хоста должно появится самостоятельно (как изображено ниже).
Для продолжения выберите Continue, потом нажмите ENTER.
Далее выберите имя пользователя для администрирования учётными записями (как показано ниже).
Для продолжения выберите Continue, потом нажмите ENTER.
Убедитесь что вы выбрали сильный пароль чтобы помочь в защите вашей системы (как на экранном снимке ниже).
Для продолжения выберите Continue, потом нажмите ENTER.
Zentyal должен автоматически определить ваш временной пояс. Если он не верен, последуйте за приглашением изменить ваши настройки.
Для продолжения выберите Yes, потом нажмите ENTER.
Когда установка будет готова завершиться, вас попросят удалить CD
|
| Замечание: |
|---|---|
|
Так как данная установка проводится на ВМ, вы можете выполнить это через интерфейс Proxmox. |
Для продолжения выберите Continue, потом нажмите ENTER.
После выполнения этапа установки Zentyal необходимо выполнить её настройку. Введите IP адрес для Zentyal в вашем веб- браузере. Это
безопасный сайт, поэтому запись должна выглядеть примерно так:
https://192.168.0.76:8443. Для целей данного руководства
я использую Mozilla Firefox.
Для продолжения (как на снимке ниже) кликните Я понимаю риски.
Затем кликните Добавить исключение как изображено ниже
Потом кликните Подтвердить исключение безопасности как изображено ниже
Теперь вы можете зарегистрироваться в Zentyal с применением настроенных в процессе установки полномочий (как изображено ниже).
Когда вы будете готовы приступить к начальным установкам Zentyal нажмите зелёную кнопку Continue (как показано ниже).
|
| Замечание: |
|---|---|
|
Последние версии теперь называются Zentyal erver Development Edition. Интерфейс остался во многом прежним, однако я буду всё же рекомендовать следовать применяемой мной версии во избежание любых проблем. Если вам комфортнее с последней версией, она может загружена непосредственно с домашней страницы Zentyal здесь: Zentyal Server Development Edition {Прим. пер.: на момент перевода доступна версия 4.2}. |
В нашей установке мы используемZentyal только в качестве контроллера домена. {Прим. пер.: если вас интересует почтовый сервер совместимый по функционалу с Microsoft с поддержкой мобильных устройств, а также если вам интересно ознакомиться с остальной функциональностью сетевой инфраструктуры малого предприятия Zentyal: подробнее....}. Когда выбраны Domain Controller and File Sharing, появится зелёная отметка (как показано ниже).
Для продолжения кликните INSTALL.
Подтвердите выбор пакета кликнув Continue как показано ниже.
Далее мастер пригласит настроить сетевой интерфейс (как показано ниже).
Выберите Internal для eth0, затем кликните NEXT.
Так как Zentyal является критически важным сервером, вам всегда нужно выбирать статичный IP адрес.
Выберите Static в ниспадающем меню, затем кликните NEXT для продолжения (как показано ниже).
Далее введите надлежащую адресную информацию (как показано ниже). Она должна бытьуже заполненной, если вы выполнили DHCP резервирование в pfSense.
Для продолжения кликните NEXT.
Теперь вам необходимо ввести информацию о типе сервера и имени домена. Для целей данного руководства я выбрал автономный (Standalone) сервер, который аутентифицирует пользователей YOURWEBS.US (как показано ниже).
|
| Замечание: |
|---|---|
|
Он легко может быть изменен на Дополнительный контроллер домена (Additional domain controller) даже после завершения настройки. Для тех, кому нужны и PDC, и BDC, я добавил инструкции в 4.8 Дополнительный контроллер домена. |
Для продолжения кликните FINISH.
Установка Zentyal теперь выполнена.
Для продолжения кликните перейти в инструментальную панель (GO TO THE DASHBOARD, как на снимке внизу).
Первым экраном, который появится после завершения установки будет регистрация инструментальной панели (Dashboard) Zentyal (как изображено ниже на снимке экрана). Все дальнейшие настройки будут иметь место с применением данного интерфейса.
В левой стороне экрана вы найдёте дерево навигации (как изображено ниже). Когда вы кликните по любой категории в списке она автоматически раскроется для отображения дополнительных подкатегорий, если таковые имеются.
Добавление пользователей в Zentyal относительно непосредственное. В левой части экрана кликните на элемент списка Users and Computers. Теперь вы должны увидеть экран модуля Users and Computers (показанный ниже). Отметим, что в нашем примере элемент верхнего уровня показывает домен YOURWEBS.US, а все остальные элементы ассоциируются с этим доменом. Чтобы добавить нового пользователя выберите папку Users (показана сисним ниже). Это действие вызовет переключение кнопки + в нижней части страницы в зелёный цвет (как на снимке ниже). Нажатие не зелёную кнопку + откроет диалог добавления пользователя.
Когда появится диалог Add User, заполните форму надлежащей информацией, а затем кликните ADD (как показано ниже).
Добавление групп во многом похоже на добавление. В левой части экрана кликните на элемент списка Users and Computers. Теперь вы должны увидеть экран модуля Users and Computers (показанный ниже). Отметим, что в нашем примере элемент верхнего уровня показывает домен YOURWEBS.US, а все остальные элементы ассоциируются с этим доменом. Чтобы добавить новую группу выберите папку Groups (показана сисним ниже). Это действие вызовет переключение кнопки + в нижней части страницы в зелёный цвет (как на снимке ниже). Нажатие не зелёную кнопку + откроет диалог добавления группы.
Когда появится диалог Add Group, заполните форму надлежащей информацией, а затем кликните ADD (как показано ниже).
В процессе установки Zentyal был настроен как автономный (Standalone) сервер с именем
ZentyalDC2. Это в основном было сделано для показа того как
изменить его роль с автономного (Standalone) на
дополнительный (Additional) контроллер домена. Давайте предположим, что у нас уже был контроллер
домена Zentyal с именем ZentyalDC1 настроенный в качестве
автономного сервера для домена yourwebs.us.
Чтобы изменить роль ZentyalDC2: кликните
Domain>Settings, затем выберите
Additional domain controller из ниспадающего меню.
Введите необходимую информацию для контроллера ZentyalDC1.yourwebs.us, как показано ниже.
![[Предостережение]](/common/images/admon/warning.png) | ВАЖНО: |
|---|---|
|
Ваш |
Вам следует остановить или перезапустить ваш сервер, что просто! Управление может быть найдено под System в дереве навигации (как показано ниже).
В главном экране вас будут предупреждать о появлении обновлений по их выходу (как показано ниже). Я настоятельно рекомендую не выполнять обновления пока этоне станет абсолютно необходимым. Моё предпочтение состоит в том, чтобы найти работающую версию Linux и придерживаться её пока не появится лучшее решение. Если она не ломается, не пытайтесь её чинить! Это на самом деле остаётся правильным! В случае нашей установки Zentyal она используется только для хранения пользователей в базе данных. Более того, она виртуальная и благодаря этому остаётся совместимой настолько долго, сколько вы её используете.
Теперь, когда Zentyal настроен в качестве контроллера домена, все сетевые клиенты должны быть способны осуществлять
доступ к нему. Ключевое слов здесь доступ (access),
а НЕ присоединение (join)! Важно понимать это при администрировании домена!
Основное заблуждение состоит в том, что должны присоединиться
к домену для получения привилегий, а это просто НЕ тот случай. На самом деле
иногда может оказаться предпочтительнее оставаться в
РАБОЧЕЙ ГРУППЕ и при этом всё ещё иметь доступ к совместным ресурсам,
которые делегированы в домене. Хороший пример: очень типично для некоего программного обеспечения требовать
права Администратора для выполнения. Некоторые очень дорогостоящие приложения CAD не просто требуют
привилегии, но должны работать как Администраторы!
Как избежать диктатуры ИТ
Если вы решите присоединить клиентов к домену, вам станет ограничительно и всё труднее управлять пользовательскими предпочтениями. Не все пользователи имеют одинаковые требования или предпочтения. Это может сделать роль Администратора очень вызывающей! Они должны поддерживать безопасность и целостность системы и в то же время не отталкивать конечных пользователей. Применение очень ограничительной авторизации вашего контроллера домена может создать враждебную рабочую среду в которой сотрудники презирают ИТ персонал! Правильно реализованная система IDS (Intrusion Detection System, система обнаружения атак) работающая на аппаратном 2 уровне фильтрации в сетевой среде просто будет подавлять атаки! Это позволит Администраторам ослабить настройки учётных записей пользователей при сохранении сильной безопасности сетевой среды.
Как уже упоминалось выше, иногда предпочтительнее оставаться в РАБОЧЕЙ ГРУППЕ и всё же выполнять аутентификацию в
домене. Это явно проще реализовать системе и предоставляет Администраторам широкий диапазон гибкости. Давайте посмотрим как это
работает. Для целей данной книги у меня есть домен с именем YOURWEBS.US, который мы
настроили под управление Zentyal в качестве контроллера домена. В диалоге
System Properties>Computer Name (показанном на снимке экрана ниже)
рабочая станция клиента имеет имя win7pro, а
WORKGROUP установлен на значение
YOURWEBS. В сущности, простое
отбрасывание суффикса домена
.US в конце позволяет нашей системе просматривать сетевые ресурсы,
находящиеся под управлением домена. Если вам нужно изменить имя вашей рабочей группы кликните на кнопку
Change (как показано ниже) для согласования установки имени домена в вашей
системе.
Когда вы кликните на кнопку Change как показано выше, появится следующий
диалог. Просто наберите новое имя вашей Рабочей группы там, где
вы видите YOURWEBS (как изображено ниже), затем
кликните OK.
В разделе 3.20 Членство в домене мы присоединили наш файловый сервер
freeNAS-4 в
YOURWEBS.US, поэтому мы уже можем
воспользоваться преимуществами управления доступа к совместным сетевым ресурсам. Если вам нужно повторить полномочия домена freeNAS,
кликните здесь: 3.20 Членство в домене. Давайте установим полномочия в домене
YOURWEBS.US для совместных сетевых ресурсов
freeNAS-4 как показано ниже.
Открытие freeNAS-4 обнажит его разделяемые ресурсы.
Просто кликните совместный ресурс правой кнопкой, затем выберите Map
network drive (как на снимке внизу).
Когда пометите клиента из РАБОЧЕЙ ГРУППЫ, важно проверить
блок Connect using different credentials (Соединиться с применением других полномочий, как
показано ниже).
Затем вы должны быть запрошены для полномочий как показывается ниже. Отметим, что имя пользователя
ДОЛЖНО быть представлено в формате, содержащем ваш домен
без какого- либо суффикса при присоединении (connecting) клиента из
РАБОЧЕЙ ГРУППЫ. Элемент должен выглядеть примерно так:
YOURDOMAIN\username
После того, как полномочия были получены, вы должны увидеть ваше новое соответствие совместных ресурсов (показанное ниже).
Присоединение (join) сетевого клиента к вашему домену называется Привязыванием (binding) и оно жёстко ограничит предпочтения пользователей. Для достижения привязывания кликните кнопку Change (как показано ниже).
Далее выберите параметры домена (как отображено ниже).
Наберите имя домена без какого-либо суффикса (как показано ниже).
Наконец наберите полные полномочия Администратора, когда получите приглашение. Заметим, что имя вашего пользователя
ДОЛЖНО быть представлено в формате, содержащем ваш домен
включающим полный домен при привязывании (binding) клиента. Элемент должен выглядеть примерно так:
YOURDOMAIN.XYZ\username
Когда машина вашего клиента успешно привяжется (bound), вы увидите диалог приветсвия, после которого вас попросят перезагрузиться.
Помимо применения резервных копий образов ВМ также будет целесообразно сохранять копию настроек Zentyal. Резервная копия настроек особенно важна когда разработчики переписывают сборку таким образом, что некоторые пакеты при обновлении разрушаются. В этом случае ваша резервная копия образа ВМ вернёт только последнюю использованную вами версию. Я не встречал подобного для Zentyal, поэтому не стоит очень сильно беспокоиться! {Прим. пер.: но, "бережёного Бог бережет, сказала монахиня, надевая презерватив на свечку..." }
Для доступа к странице настроек резервных копий кликните System>Configuration Backup (как на снимке внизу).
После чего выберите Local и кликните кнопку Backup (как изображено ниже).
Сейчас вы должны видеть новую резервную копию настроек в Backup list (как изображено ниже).
Загрузите вашу новую настройку кликнув на кнопку Download Configuration (как изображено ниже).
Сохраните ваши настройки на диск когда начнётся загрузка.
![[Совет]](/common/images/admon/tip.png) | Подсказка: |
|---|---|
|
Я рекомендую сохранять её копию на флешке! |
Восстановление вашего Zentyal должно быть самоочевидным! Просто измените параметр на RESTORE!