Задание 1. Настройте контроллер домена Samba DC на сервере BR-SRV:
• Имя домена au-team.irpo
BR-SRV:
для начала необходимо обновить списки пакетов репозиториев командой
apt-get update
Затем устанавливаем пакет контроллера домена samba
apt-get install task-samba-dc -y
После установки необходимо удалить стандартный конфигурационный файл samba
rm -rf /etc/samba/smb.conf
Далее запускаем утилиту создания контроллера домена
samba-tool domain provision
Параметры должны соответствовать следующим значениям:
Realm: AU-TEAM.IRPO
Domain: AU-TEAM
Server Role: dc
DNS backend: SAMBA_INTERNAL
DNS forwarder IP address: 192.168.1.2
Далее для корректной работы Samba DC нам понадобится скопировать конфигурационный файл krb5.conf в корневую папку /etc/ для корректной аутентификации
путь Kerberos файла необходимо брать из вывода процесса генерации домена и будет помечен как
“A Kerberos configuration”
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
перед запуском службы необходимо отключить службу BIND
systemctl disable bind --now
далее добавляем службу samba в автозапуск
systemctl enable samba --now
Чтобы избежать конфликтов DNS нужно настроить работу домена на определенный интерфейс. Для этого изменяем конфигурационный файл /etc/samba/smb.conf
mcedit /etc/samba/smb.conf
Добавляем в блок [global] следующие строки:
interfaces = lo ens18
bind interfaces only = yes
По итогу файл должен иметь следующий вид
После сохраняем и закрываем файл. Перезагружаем службуsamba
systemctl restart samba
Для проверки конфигурации созданного домена выполняем команду:
samba-tool domain info 127.0.0.1
или
samba-tool domain info 192.168.3.2
Теперь необходимо добавить адрес Samba-сервера в конфигурацию dnsmasq на HQ-SRV для перенаправления всех доменных запросов на BR-SRV.
HQ-SRV:
Открываем файл конфигурации /etc/dnsmasq.conf
mcedit /etc/dnsmasq.conf
И добавляем следующую строку:
server=/au-team.irpo/192.168.3.2
В итоге файл имеет следующий вид
Сохраняем файл и перезагружаем службу dnsmasq
systemctl restart dnsmasq
• Введите в созданный домен машину HQ-CLI
HQ-CLI:
Для подключения клиентской машины HQ-CLI к созданному домену нам необходимо открыть панель конфигурации компьютером, а именно alterator. В консоли вводим команду от root-пользователя
acc
Или же можно открыть его через меню пуск
В меню пуск ищем пункт “Центр управления”
Далее в категории “Администрирование” кликаем по иконке “Центр управления системой”
Вводим пароль от root-пользователя
Затем в разделе “Пользователи” кликаем на иконку “Аутентификация”
После выбираем пункт “Домен Active Directory” и заполняем поле домена
Домен: au-team.irpo
Снизу ставим флажок “Восстановить файлы конфигурации по умолчанию”
Далее в появившемся окне вводим созданный при развертывании контроллера домена пароль и тыкаем “ОК”
В случае успеха появится вот-такое окно!
• Создайте 5 пользователей для офиса HQ: имена пользователей формата
hquser№ (например hquser1, hquser2 и т.д.)
• Создайте группу hq, введите в группу созданных пользователей
BR-SRV:
Для создания пользователей воспользуемся командой
samba-tool user create hquser(№) P@ssw0rd
можно проверить список пользователей командой
samba-tool user list
Далее создаем hq группу командой
samba-tool group add hq
И добавляем в нее созданных до этого пользователей
samba-tool group addmembers hq hquser1,hquser2,hquser3,hquser4,hquser5
• Убедитесь, что пользователи группы hq имеют право аутентифицироваться на HQ-CLI
HQ-CLI:
Перезагружаем компьютер и пробуем войти в учетную запись созданного ранее пользователя
Вводим пароль P@ssw0rd
При успешной авторизации откроется рабочий стол, открыв консоль на котором и введя команду id
id
Можно посмотреть информацию о пользователе
• Пользователи группы hq должны иметь возможность повышать привилегии для выполнения ограниченного набора команд: cat, grep, id. Запускать другие команды с повышенными привилегиями пользователи группы права не имеют.
HQ-CLI:
Открываем файл /etc/sudoers от имени root-пользователя
nano /etc/sudoers
и добавляем туда следующую строку
после чего сохраняем файл и выходим
Меняем права на sudo файл, разрешая пользователям его выполнение
chmod 4755 /usr/bin/sudo
Далее и авторизуемся с аккаунта hquser1 (или любого другого пользователя группы hq) и выполняем команду
sudo -l
В выводе можно увидеть все доступные нам команды, для проверки выполним
sudo id
Задание 2. Сконфигурируйте файловое хранилище на сервере HQ-SRV
• При помощи двух подключенных к серверу дополнительных дисков
размером 1 Гб сконфигурируйте дисковый массив уровня 0
• Имя устройства – md0, при необходимости конфигурация массива
размещается в файле /etc/mdadm.conf
• Создайте раздел, отформатируйте раздел, в качестве файловой системы
используйте ext4
• Обеспечьте автоматическое монтирование в папку /raid
HQ-SRV:
Для начала нужно подключить пару дисков по 1Гб к машине для дальнейшего их объединения в RAID 0.
Диски можно подключить к машине пройдя по следующему пути в proxmox
После добавления дисков, подключаемся к консоли и выполняем команду для просмотра имеющихся дисков
lsblk
Как видно по выводу, два наших подключенных диска именуются как sdb и sdc. Для создания RAID-массива будет использоваться утилита mdadm
mdadm --create /dev/md0 --level=0 --raid-device=2 /dev/sdb /dev/sdc
Был создан RAID массив и определен как устройство md0. Сейчас необходимо сохранить настройки созданного массива в файл /etc/mdadm.conf
mdadm --detail --scan > /etc/mdadm.conf
С помощью cat можно посмотреть что настройки были успешно сохранены
Для работы с массивом его нужно разметить. Для этого используем утилиту fdisk
fdisk /dev/md0
После выполнения команды запустится утилита, где нужно будет ввести следующие команды
n (создание нового раздела на диске)
p (создание основного раздела)
Следующие 3 значения оставляем по умолчанию
После успешного создания новой партиции (раздела), нажимаем w для записи изменений
Проверим созданный раздел командой
lsblk /dev/md0
Из вывода видно, что был создан раздел с названием /dev/md0p1. Форматируем раздел в файловую систему ext4 используя утилиту mkfs
mkfs.ext4 /dev/md0p1
Раздел отформатирован. Далее необходимо настроить автоматическое монтирование директории /raid создаем директорию
mkdir /raid
Монтируем в эту папку наш дисковый массив командой
mount /dev/md0p1 /raid
Используем lsblk для проверки
В выводе видно что наш RAID-массив смонтировался в папку /raid. Для настройки автоматического монтирования при загрузке системы будем использовать systemd. Для начала создадим systemd-unit с названием raid.mount
export EDITOR=mcedit
systemctl --force --full edit raid.mount
После чего откроется пустой файл в текстовом редакторе mcedit, который нужно будет довести до следующего вида
После сохраняем и закрываем файл
Добавляем наш юнит в автозагрузку
systemctl enable raid.mount --now
Перемонтируем все файловые системы командой
mount -a
Проверим точку монтирования RAID-массива командой
df -h
В выводе в столбце “Mounted on” для нашего массива указана директория /raid. Настройка выполнена
Задание 3. Настройте сервер сетевой файловой системы (nfs) на HQ-SRV:
• В качестве папки общего доступа выберите /raid/nfs, доступ для чтения
и записи исключительно для сети в сторону HQ-CLI
HQ-SRV:
Обновляем списки пакетов репозиториев
apt-get update
Скачиваем пакет nfs-сервер для последующего развертывания
apt-get install nfs-server -y
Создаем требуемую директорию
mkdir /raid/nfs
Выдаем полные права для этой директории
chmod 777 /raid/nfs
Переходим к настройке nfs сервера. Открываем конфигурационный файл
mcedit /etc/exports
Добавляем в файл следующую строку
Сохраняем и закрываем файл, применяем конфигурацию командой
exportfs -a
Активируем nfs-сервер и добавляем его в автозапуск
systemctl enable nfs-server --now
• На HQ-CLI настройте автомонтирование в папку /mnt/nfs
HQ-CLI:
Обновляем списки пакетов репозиториев
apt-get update
И скачиваем nfs-клиента на hq-cli
apt-get install nfs-clients -y
Далее необходимо настроить автоматическое монтирование сетевой папки.
Создадим директорию /mnt/nfs.
mkdir /mnt/nfs
Монтирование будем осуществлять средствами systemd. Создадим юнит
mnt-nfs.mount (заменяем '/' на '-' в названии) командой
systemctl --force --full edit mnt-nfs.mount
Доводим файл до следующего вида
Сохраняем и закрываем конфигурацию, после чего активируем созданный юнит
systemctl enable mnt-nfs.mount --now
Перемонтируем все файловые системы командой
mount -a
Проверяем точку монтирования сетевой папки командой
df -h
Как видно из вывода, сетевая папка смонтировалась корректно. Попробуем создать в ней файл с помощью смонтированной директории.
touch /mnt/nfs/test
Проверяем наличие созданного файла на HQ-SRV
ls -lah /raid/nfs
Как видно созданный файл отображается на сервере, значит служба nfs работает корректно!
Задание 4. Настройте службу сетевого времени на базе сервиса chrony на маршрутизаторе ISP:
• Вышестоящий сервер ntp на маршрутизаторе ISP - на выбор участника
• Стратум сервера - 5
• В качестве клиентов ntp настройте: HQ-SRV, HQ-CLI, BR-RTR, BR-SRV.
ISP:
Устанавливаем chrony:
apt-get update && apt-get install chrony
Так, далее открываем конфигурационный файл:
nano /etc/chrony/chrony.conf
Комментируем старый ntp:
И в конец файла пишем:
Перезагружаем службу chronyd для применения изменений:
systemctl restart chronyd
Проверяем:
BR-RTR:
На роутерах для настройки синхронизации времени будем использовать службу chrony
apt-get update && apt-get install chrony
nano /etc/chrony/chrony.conf
Комментируем следующие строки:
В конце прописываем:
server 172.16.1.1 iburst
Сохраняем chrony.conf
Перезагружаем и добавляем в автозагрузку chrony:
systemctl restart chrony
systemctl enable chrony
Проверка:
chronyc sources
HQ-SRV:
На роутерах для настройки синхронизации времени будем использовать службу chrony
mcedit /etc/chrony.conf
Комментируем строки c rtcsync и pool:
В конце прописываем:
server 172.16.1.1 iburst
Сохраняем chrony.conf
Проверка:
chronyc sources
HQ-CLI:
На роутерах для настройки синхронизации времени будем использовать службу chrony
mcedit /etc/chrony.conf
Комментируем строки c rtcsync и pool:
В конце прописываем:
server 172.16.1.1 iburst
Сохраняем chrony.conf
Перезагружаем chrony:
systemctl restart chronyd
Проверка:
chronyc sources
BR-SRV:
На роутерах для настройки синхронизации времени будем использовать службу chrony
mcedit /etc/chrony.conf
Комментируем строки c rtcsync и pool:
В конце прописываем:
server 172.16.1.1 iburst
Сохраняем chrony.conf
Перезагружаем chrony:
systemctl restart chronyd
Проверка:
chronyc sources
Всё NTP успешно настроен.