Ald служба: Astra Linux Directory — Information Security Squad

Содержание

Astra Linux Directory — Information Security Squad

Установка контроллера домена.

Хочу рассказать о первичной установке контроллера домена Astra Linux Directory.

Согласно официально документации:

«Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а так же предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:

– ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен;

– ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;

– ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.

Для поддержки централизации хранения атрибутов СЗИ в распределенной сетевой среде предназначены дополнительные пакеты ALD, первая часть наименования которых соответствует одному из основных пакетов:

– ald-client-parsec — расширение, необходимое клиентской части ALD;

– ald-admin-parsec — расширение утилиты администрирования БД ALD;

– ald-server-parsec — расширение, необходимое для организации хранения атрибутов СЗИ на сервере ALD»

Установка пакетов

Что бы избежать установки множества отдельных deb пакетов , можно установить ald-server-common:

На вопрос системы «Продолжить [Д/н ] ? » можно просто нажать Enter ( по умолчанию Да)

Установим аналогичным образом утилиту администрирования ald-admin и его GUI графического «братишку» 🙂 smolensk-security-ald

                                                    Отредактируем файл /etc/ald/ald.conf : (выделенные строчки)

VERSION=1.3

DOMAIN=.itsecforu.ru

SERVER=ald.itsecforu.ru

MINIMUM_UID=2500

TICKET_MAX_LIFE=10h

TICKET_MAX_RENEWABLE_LIFE=7d

NETWORK_FS_TYPE=cifs

SERVER_EXPORT_DIR=/ald_export_home

CLIENT_MOUNT_DIR=/ald_home

SERVER_FS_KRB_MODES=krb5,krb5i

CLIENT_FS_KRB_MODE=krb5i

SERVER_ON=1

CLIENT_ON=1

Произведем инициализацию командой:

ald-init-init

Следуя подсказкам системы назначим пароль администратору ALD.

Если инициализация прошла успешно, система выдаст сообщение:

Сервер ALD активен

Клиент ALD включен

Так же проверить это можно командой : ald-client status.

Напомню что для корректной работы должны быть настроены:

  • Организация сети;
  • Синхронизация времени;
  • Разрешение доменных имен.

 

Настройка двухфакторной аутентификации в домене Astra Linux Directory

В этом посте мы решили рассказать о доменной аутентификации в Linux, с использованием смарт-карт и USB-токенов JaCarta PKI в качестве второго фактора аутентификации. Если о локальной аутентификации через PAM-модуль информации существует довольно много, то вопрос доменной инфраструктуры и аутентификация по Kerberos-билетам в Linux рассмотрен слабо, особенно на русском языке. В качестве операционной системы возьмем Astra Linux и на примере Astra Linux Directory (ALD) это и покажем.

Выгода такого решения очевидна – оно позволяет отказаться от парольной аутентификации пользователя, что поможет кардинально снизить влияние «человеческого фактора» на безопасность системы. Плюс это даст ряд преимуществ от использования электронных ключей внутри операционной системы, после аутентификации в домене.

Немного вводных об Astra Linux Directory (ALD) и JaCarta PKI


Домен Astra Linux Directory (ALD) предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.

ALD использует технологии LDAP, Kerberos5, Samba/CIFS и обеспечивает:

  • централизованное хранение и управление учетными записями пользователей и групп;
  • сквозную аутентификацию пользователей в домене с использованием протокола Kerberos5;
  • функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
  • автоматическую настройку файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
  • поддержку соответствия БД LDAP и Kerberos;
  • создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
  • интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, Web-серверов, серверов печати и другие возможности.

JaCarta PKI — это линейка PKI-токенов для строгой аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов российского производителя – компании «Аладдин Р.Д.».

В среде Astra Linux Directory (ALD) электронные ключи JaCarta PKI могут использоваться для двухфакторной аутентификации пользователя в домене ALD и отказа от паролей. Кроме того, с этими же электронными ключами можно выполнять различные сценарии внутри ОС, после аутентификации, такие, как: электронная подпись, хранение ключевых контейнеров, доступ к Web-ресурсам, проброс ключа в сессии MS Windows. Доступ к VDI сервисам, таким, как VmWare или Citrix.

Процесс настройки


Пример демо-зоны


  • Сервер — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit;
    • libengine-pkcs11-openssl;
    • opensc.

  • Клиент — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit.

Предполагается, что ALD уже развернут, существует минимум один доменный пользователь, который может аутентифицироваться по паролю, время клиента и сервера совпадают.

Установка драйверов на сервер и клиент


Для обеспечения работы со смарт-картой JaCarta PKI на клиенте и сервере установите следующие пакеты: libccid, pcscd, libpcsclite1. После установки этих обязательных пакетов установите пакет драйверов IDProtectClient, который можно загрузить с официального сайта «Аладдин Р.Д.».

Для обеспечения работы со смарт-картой подсистемы Kerberos добавочно к предустановленным пакетам ald/kerberos установите пакет krb5-pkinit на клиенте и сервере.

Для обеспечения возможности выпуска ключей и сертификатов на JaCarta PKI на сервере также установите пакеты libengine-pkcs11-openssl

и opensc.

Установка и настройка центра сертификации на сервере


В качестве центра сертификации (CA) будет использован OpenSSL.

OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT.

Все настройки в руководстве выполняются для тестового домена EXAMPLE.RU. Примем, что сервер и клиент принадлежат домену EXAMPLE.RU, имя сервера – kdc, а клиента – client. При настройке используйте имя вашего домена, сервера и клиента. Выполните следующие действия.

  1. Создайте каталог CA командой mkdir /etc/ssl/CA и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.
  2. Создайте ключ и сертификат CA:
    $ openssl genrsa -out cakey.pem 2048
    $ openssl req -key cakey.pem -new -x509 –days 365 -out cacert.pem
    В диалоге заполните необходимую информацию о вашем центре сертификации. В Common name указать EXAMPLE.RU.
  3. Создайте ключ и сертификат KDC:
    $ openssl genrsa -out kdckey.pem 2048
    $ openssl req -new -out kdc.req -key kdckey.pem
    В диалоге заполните необходимую информацию о вашем сервере. В Common name указать kdc.
  4. Установите переменные среды. Переменные среды устанавливаются в рамках сессии и не устанавливаются для других сессий и не сохраняются после закрытия сессии.
    export REALM=EXAMPLE.RU — Ваш домен
    export CLIENT=kdc — Вашего сервер
  5. Загрузите файл pkinit_extensions — http://dms.aladdin-rd.ru/970c5538-afbf-4a26-a7ef-d76550cbc435

Содержимое файла pkinit_extensions (его следует положить в тот каталог, откуда вы выполняете команды):
[ kdc_cert ] basicConstraints=CA:FALSE # Here are some examples of the usage of nsCertType. If it is omitted keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement #Pkinit EKU extendedKeyUsage = 1.3.6.1.5.2.3.5 subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer # Copy subject details issuerAltName=issuer:copy # Add id-pkinit-san (pkinit subjectAlternativeName) subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:kdc_princ_name [kdc_princ_name] realm = EXP:0, GeneralString:${ENV::REALM} principal_name = EXP:1, SEQUENCE:kdc_principal_seq [kdc_principal_seq] name_type = EXP:0, INTEGER:1 name_string = EXP:1, SEQUENCE:kdc_principals [kdc_principals] princ1 = GeneralString:krbtgt princ2 = GeneralString:${ENV::REALM} [ client_cert ] # These extensions are added when 'ca' signs a request. basicConstraints=CA:FALSE keyUsage = digitalSignature, keyEncipherment, keyAgreement extendedKeyUsage = 1.3.6.1.5.2.3.4 subjectKeyIdentifier=hash authorityKeyIdentifier=keyid,issuer subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:princ_name # Copy subject details issuerAltName=issuer:copy [princ_name] realm = EXP:0, GeneralString:${ENV::REALM} principal_name = EXP:1, SEQUENCE:principal_seq [principal_seq] name_type = EXP:0, INTEGER:1 name_string = EXP:1, SEQUENCE:principals [principals] princ1 = GeneralString:${ENV::CLIENT}

  1. Выпустите сертификат KDC:
    $ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial –days 365
  2. Файлы kdc.pem, kdckey.pem, cacert.pem перенесите в /var/lib/krb5kdc/
  3. Создайте резервную копию файла /etc/krb5kdc/kdc.conf. Отредактируйте /etc/krb5kdc/kdc.conf, дополнив секцию [kdcdefaults] следующими записями:
    pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
    pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem
    Первая запись задает ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.
  4. Для принятия изменений выполните:
    /etc/init.d/krb5-admin-server restart
    /etc/init.d/krb5-kdc restart

Подготовка смарт-карты. Выпуск ключей и сертификата пользователя


Убедитесь в том, что установлены пакеты libengine-pkcs11-openssl и opensc. Подключите устройство, которое следует подготовить.

Проинициализируйте устройство, установите PIN-код пользователя. Помните, что инициализация устройства удалит все данные на JaCarta PKI без возможности восстановления.

Для инициализации необходимо воспользоваться утилитой pkcs11-tool

.

pkcs11-tool —slot 0 —init-token —so-pin 00000000 —label ‘JaCarta PKI’ —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

—init-token – команда инициализации токена;

—so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;

—label ‘JaCarta PKI’ – метка устройства;

—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Для задания PIN-кода пользователя используйте команду:

pkcs11-tool —slot 0 —init-pin —so-pin 00000000 —login —pin 11111111 —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

—init-pin – команда установки PIN-кода пользователя;

—so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;

—login – команда логина;

—pin 11111111 – задаваемый PIN-код пользователя;

—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Сгенерируйте ключи на устройстве, для этого введите следующую команду:

pkcs11-tool —slot 0 —login —pin 11111111 —keypairgen —key-type rsa:2048 —id 42 —label “test1 key” —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

—login —pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;

—keypairgen —key-type rsa:2048 — указывает, что должны быть сгенерированы ключи длиной 2048 бит;

—id 42 — устанавливает атрибут CKA_ID ключа. CKA_ID может быть любым;

Запомните это значение! Оно необходимо для дальнейших шагов подготовки устройства к работе.

—label “test1 key” — устанавливает атрибут CKA_LABEL ключа. Атрибут может быть любым;

—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Сгенерируйте запрос на сертификат с помощью утилиты openssl. Для этого введите следующие команды:

#openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/ssl/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/lib64/libASEP11.so
OpenSSL> req -engine pkcs11 -new -key 0:42 -keyform engine -out client.req -subj "/C=RU/ST=Moscow/L=Moscow/O=Aladdin/OU=dev/CN=test1 (!Ваш_Пользователь!)/[email protected]"
OpenSSL>quit. 

Обратите внимание на -new -key 0:42, где 0 — номер виртуального слота с устройством, 42 — атрибут CKA_ID сгенерированных раннее ключей.

Информацию, которую необходимо указать в запросе, следует задавать в поле «/C=RU/ST=Moscow/L=Moscow/O=Aladdin/OU=dev/CN=test1 (! Ваш_Пользователь!)/[email protected]».

Необходимо установить переменные окружения

$ export REALM=EXAMPLE.RU #Ваш домен
$ export CLIENT=test1 #Ваш пользователь

и выпустить сертификат на пользователя.

$ openssl x509 -CAkey cakey.pem -CA cacert.pem -req -in client.req -extensions client_cert -extfile pkinit_extensions -out client.pem –days 365

Далее перекодируйте полученный сертификат из PEM в DER.

# openssl x509 -in client.pem -out client.cer -inform PEM -outform DER

Запишите полученный сертификат на токен.

pkcs11-tool —slot 0 —login —pin 11111111 —write-object client.cer —type ‘cert’ —label ‘Certificate’ —id 42 —module /lib/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;

—login —pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;

—write-object ./client.cer — указывает, что необходимо записать объект и путь до него;

—type ‘cert’ — указывает, что тип записываемого объекта – сертификат;

‘cert’ —label ‘Certificate’ — устанавливает атрибут CKA_LABEL сертификата. Атрибут может быть любым;

id 42 — устанавливает атрибут CKA_ID сертификата. Должен быть указан тот же CKA_ID, что и для ключей;

module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so.

Настройка клиента. Проверка работоспособности


Создайте на клиенте каталог /etc/krb5/. Скопируйте в /etc/krb5/ сертификат CA (cacert.pem) c сервера.

Настройте kerberos в /etc/krb5.conf. Секцию [libdefaults] дополните следующими строками.

 [libdefaults]
default_realm = EXAMPLE.RU
pkinit_anchors = FILE:/etc/krb5/cacert.pem
# для аутентификации по токену
pkinit_identities = PKCS11:/lib64/libASEP11.so

Выполните проверку:

kinit Когда появится строка запроса PIN-кода к карте, введите его.

Для проверки того, что kerberos-тикет был успешно получен для пользователя, введите команду klist. Для удаления тикета — kdestroy.

Для входа в домен по смарт-карте на экране входа в ОС вместо пароля введите PIN-код от смарт-карты.

На этом настройка окончена. Да, к сожалению, система сама не поменяет и не подстроит login окно под смарт-карту, и оно будет стандартным, но если приложить немного секретных усилий, можно добиться красивого результата.

Разбираемся с понятиями «Домен безопасности», «ALD» и «ЕПП»

При изучении операционной системы специального назначения «Astra Linux Special Edition» (ОССН «Astra Linux SE») в различных источниках информации встречаются понятия «Домен безопасности», «ALD» и «ЕПП». Мы решили упорядочить свое представление о значении этих понятий.

 

Домен безопасности

 

Понятие домена безопасности используется при обобщенном рассмотрении вопросов безопасности информационных систем.

 

В соответствии с «ГОСТ Р ИСО/МЭК ТО 19791-2008. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» домен безопасности (security domain) – часть автоматизированной системы, которая реализует одни и те же политики безопасности.

 

В соответствии с «ГОСТ Р ИСО/МЭК 18028-1-2008. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности» домен безопасности (security domain) – совокупность активов и ресурсов, подчиненных единой политике безопасности.

 

Мы рассматриваем домен безопасности в качестве теоретической основы для обеспечения безопасности информационных систем на практике.

 

ALD

 

В соответствии с информацией в справочном центре Astra Linux ALD (Astra Linux Directory) представляет собой систему управления единым пространством пользователей.

 

Из программной документации ОССН «Astra Linux SE» следует, что единое пространство пользователей является примером реализации домена безопасности, поэтому мы рассматриваем ALD в качестве инструмента для создания домена безопасности.

 

ЕПП

 

ЕПП (единое пространство пользователей) мы рассматриваем в качестве домена безопасности, созданного с использованием ALD.

 

С уважением, Анатолий Борисов, СПБ ЦГТ
17.02.2019

Настройка двухфакторной аутентификации в домене Astra Linux Directory

Интернет-портал habrahabr.ru, сентябрь, 2017
Статья Дмитрия Шуралёва, технического специалиста по работе с технологическими партнёрами компании «Аладдин Р.Д.»

В этом посте мы решили рассказать о доменной аутентификации в Linux, с использованием смарт-карт и USB-токенов JaCarta PKI в качестве второго фактора аутентификации. Если о локальной аутентификации через PAM-модуль информации существует довольно много, то вопрос доменной инфраструктуры и аутентификация по Kerberos-билетам в Linux рассмотрен слабо, особенно на русском языке. В качестве операционной системы возьмём Astra Linux и на примере Astra Linux Directory (ALD) это и покажем.

Выгода такого решения очевидна – оно позволяет отказаться от парольной аутентификации пользователя, что поможет кардинально снизить влияние «человеческого фактора» на безопасность системы. Плюс это даст ряд преимуществ от использования электронных ключей внутри операционной системы, после аутентификации в домене.

Немного вводных об Astra Linux Directory (ALD) и JaCarta PKI

Домен Astra Linux Directory (ALD) предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.

ALD использует технологии LDAP, Kerberos5, Samba/CIFS и обеспечивает:

  • централизованное хранение и управление учётными записями пользователей и групп;
  • сквозную аутентификацию пользователей в домене с использованием протокола Kerberos5;
  • функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
  • автоматическую настройку файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
  • поддержку соответствия БД LDAP и Kerberos;
  • создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
  • интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, Web-серверов, серверов печати и другие возможности.

JaCarta PKI — это линейка PKI-токенов для строгой аутентификации пользователей в корпоративных системах, безопасного хранения ключевых контейнеров программных СКЗИ и цифровых сертификатов российского производителя – компании «Аладдин Р.Д.».

В среде Astra Linux Directory (ALD) электронные ключи JaCarta PKI могут использоваться для двухфакторной аутентификации пользователя в домене ALD и отказа от паролей. Кроме того, с этими же электронными ключами можно выполнять различные сценарии внутри ОС, после аутентификации, такие, как: электронная подпись, хранение ключевых контейнеров, доступ к Web-ресурсам, проброс ключа в сессии MS Windows. Доступ к VDI сервисам, таким, как VmWare или Citrix.

Процесс настройки

Пример демо-зоны

  • Сервер — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit;
    • libengine-pkcs11-openssl;
    • opensc.
  • Клиент — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit.

Предполагается, что ALD уже развернут, существует минимум один доменный пользователь, который может аутентифицироваться по паролю, время клиента и сервера совпадают.

Установка драйверов на сервер и клиент

Для обеспечения работы со смарт-картой JaCarta PKI на клиенте и сервере установите следующие пакеты: libccid, pcscd, libpcsclite1. После установки этих обязательных пакетов установите пакет драйверов IDProtectClient, который можно загрузить с официального сайта «Аладдин Р.Д.».

Для обеспечения работы со смарт-картой подсистемы Kerberos добавочно к предустановленным пакетам ald/kerberos установите пакет krb5-pkinit на клиенте и сервере.

Для обеспечения возможности выпуска ключей и сертификатов на JaCarta PKI на сервере также установите пакеты libengine-pkcs11-openssl и opensc.

Установка и настройка центра сертификации на сервере

В качестве центра сертификации (CA) будет использован OpenSSL.

OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT.

Все настройки в руководстве выполняются для тестового домена EXAMPLE.RU. Примем, что сервер и клиент принадлежат домену EXAMPLE.RU, имя сервера – kdc, а клиента – client. При настройке используйте имя вашего домена, сервера и клиента. Выполните следующие действия.

  1. Создайте каталог CA командой mkdir /etc/ssl/CA и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.
  2. Создайте ключ и сертификат CA:
    $ openssl genrsa -out cakey.pem 2048
    $ openssl req -key cakey.pem -new -x509 –days 365 -out cacert.pem
    В диалоге заполните необходимую информацию о вашем центре сертификации. В Common name указать EXAMPLE.RU.
  3. Создайте ключ и сертификат KDC:
    $ openssl genrsa -out kdckey.pem 2048
    $ openssl req -new -out kdc.req -key kdckey.pem
    В диалоге заполните необходимую информацию о вашем сервере. В Common name указать kdc.
  4. Установите переменные среды. Переменные среды устанавливаются в рамках сессии и не устанавливаются для других сессий и не сохраняются после закрытия сессии.
    export REALM=EXAMPLE.RU — Ваш домен
    export CLIENT=kdc — Вашего сервер
  5. Загрузите файл pkinit_extensions — http://dms.aladdin-rd.ru/970c5538-afbf-4a26-a7ef-d76550cbc435

Содержимое файла pkinit_extensions (его следует положить в тот каталог, откуда вы выполняете команды):

[ kdc_cert ]
basicConstraints=CA:FALSE
# Here are some examples of the usage of nsCertType. If it is omitted
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, keyAgreement
#Pkinit EKU
extendedKeyUsage = 1.3.6.1.5.2.3.5
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
# Copy subject details
issuerAltName=issuer:copy
# Add id-pkinit-san (pkinit subjectAlternativeName)
subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:kdc_princ_name
[kdc_princ_name]
realm = EXP:0, GeneralString:${ENV::REALM}
principal_name = EXP:1, SEQUENCE:kdc_principal_seq
[kdc_principal_seq]
name_type = EXP:0, INTEGER:1
name_string = EXP:1, SEQUENCE:kdc_principals
[kdc_principals]
princ1 = GeneralString:krbtgt
princ2 = GeneralString:${ENV::REALM}
[ client_cert ]
# These extensions are added when ‘ca’ signs a request.
basicConstraints=CA:FALSE
keyUsage = digitalSignature, keyEncipherment, keyAgreement
extendedKeyUsage = 1.3.6.1.5.2.3.4
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
subjectAltName=otherName:1.3.6.1.5.2.2;SEQUENCE:princ_name
# Copy subject details
issuerAltName=issuer:copy
[princ_name]
realm = EXP:0, GeneralString:${ENV::REALM}
principal_name = EXP:1, SEQUENCE:principal_seq
[principal_seq]
name_type = EXP:0, INTEGER:1
name_string = EXP:1, SEQUENCE:principals
[principals]
princ1 = GeneralString:${ENV::CLIENT}
  1. Выпустите сертификат KDC: $ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial –days 365
  2. Файлы kdc.pem, kdckey.pem, cacert.pem перенесите в /var/lib/krb5kdc/
  3. Создайте резервную копию файла /etc/krb5kdc/kdc.conf. Отредактируйте /etc/krb5kdc/kdc.conf, дополнив секцию [kdcdefaults] следующими записями: pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem Первая запись задаёт ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.
  4. Для принятия изменений выполните: /etc/init.d/krb5-admin-server restart /etc/init.d/krb5-kdc restart

Подготовка смарт-карты. Выпуск ключей и сертификата пользователя

Убедитесь в том, что установлены пакеты libengine-pkcs11-openssl и opensc. Подключите устройство, которое следует подготовить.

Проинициализируйте устройство, установите PIN-код пользователя. Помните, что инициализация устройства удалит все данные на JaCarta PKI без возможности восстановления.

Для инициализации необходимо воспользоваться утилитой pkcs11-tool.

pkcs11-tool —slot 0 —init-token —so-pin 00000000 —label ‘JaCarta PKI’ —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;
—init-token – команда инициализации токена;
—so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;
—label ‘JaCarta PKI’ – метка устройства;
—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Для задания PIN-кода пользователя используйте команду:/


pkcs11-tool —slot 0 —init-pin —so-pin 00000000 —login —pin 11111111 —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;
—init-pin – команда установки PIN-кода пользователя;
—so-pin 00000000 – PIN-код администратора JaCarta PKI. По умолчанию имеет значение 00000000;
—login – команда логина;
—pin 11111111 – задаваемый PIN-код пользователя;
—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Сгенерируйте ключи на устройстве, для этого введите следующую команду:

pkcs11-tool —slot 0 —login —pin 11111111 —keypairgen —key-type rsa:2048 —id 42 —label “test1 key” —module /lib64/libASEP11.so,

где:

—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;
—login —pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;
—keypairgen —key-type rsa:2048 — указывает, что должны быть сгенерированы ключи длиной 2048 бит;
—id 42 — устанавливает атрибут CKA_ID ключа. CKA_ID может быть любым;
Запомните это значение! Оно необходимо для дальнейших шагов подготовки устройства к работе.
—label “test1 key” — устанавливает атрибут CKA_LABEL ключа. Атрибут может быть любым;
—module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so. Устанавливается в рамках пакета idprotectclient см. раздел «Установка драйверов на сервер и клиент».

Сгенерируйте запрос на сертификат с помощью утилиты openssl. Для этого введите следующие команды:


#openssl
OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/ssl/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/lib64/libASEP11.so
OpenSSL> req -engine pkcs11 -new -key 0:42 -keyform engine -out client.req -subj
«/C=RU/ST=Moscow/L=Moscow/O=Aladdin/OU=dev/CN=test1 (!Ваш_Пользователь!)/[email protected]»
OpenSSL>quit.
Обратите внимание на -new -key 0:42, где 0 — номер виртуального слота с устройством, 42 — атрибут CKA_ID сгенерированных раннее ключей.
Информацию, которую необходимо указать в запросе, следует задавать в поле
«/C=RU/ST=Moscow/L=Moscow/O=Aladdin/OU=dev/CN=test1 (!Ваш_Пользователь!)/[email protected]».

Необходимо установить переменные окружения

$ export REALM=EXAMPLE.RU #Ваш домен
$ export CLIENT=test1 #Ваш пользователь
и выпустить сертификат на пользователя.
$ openssl x509 -CAkey cakey.pem -CA cacert.pem -req -in client.req -extensions client_cert -extfile pkinit_extensions -out client.pem –days 365
Далее перекодируйте полученный сертификат из PEM в DER.
# openssl x509 -in client.pem -out client.cer -inform PEM -outform DER
Запишите полученный сертификат на токен.
pkcs11-tool —slot 0 —login —pin 11111111 —write-object client.cer —type ‘cert’ —label ‘Certificate’ —id 42 —module /lib/libASEP11.so,
где:
—slot 0 — указывает, в какой виртуальный слот подключено устройство. Как правило, это слот 0, но могут быть и другие значения – 1,2 и т.д.;
—login —pin 11111111 — указывает, что следует произвести логин под пользователем с PIN-кодом «11111111». Если у Вашей карты другой PIN-код пользователя, укажите его;
—write-object ./client.cer — указывает, что необходимо записать объект и путь до него;
—type ‘cert’ — указывает, что тип записываемого объекта – сертификат;
‘cert’ —label ‘Certificate’ — устанавливает атрибут CKA_LABEL сертификата. Атрибут может быть любым;
id 42 — устанавливает атрибут CKA_ID сертификата. Должен быть указан тот же CKA_ID, что и для ключей;
module /lib64/libASEP11.so — указывает путь до библиотеки libASEP11.so.

Настройка клиента. Проверка работоспособности

Создайте на клиенте каталог /etc/krb5/. Скопируйте в /etc/krb5/ сертификат CA (cacert.pem) c сервера.

Настройте kerberos в /etc/krb5.conf. Секцию [libdefaults] дополните следующими строками.


[libdefaults] default_realm = EXAMPLE.RU
pkinit_anchors = FILE:/etc/krb5/cacert.pem
# для аутентификации по токену
pkinit_identities = PKCS11:/lib64/libASEP11.so
Выполните проверку:
kinit

Когда появится строка запроса PIN-кода к карте, введите его.

Для проверки того, что kerberos-тикет был успешно получен для пользователя, введите команду klist. Для удаления тикета — kdestroy.

Для входа в домен по смарт-карте на экране входа в ОС вместо пароля введите PIN-код от смарт-карты.

На этом настройка окончена. Да, к сожалению, система сама не поменяет и не подстроит login окно под смарт-карту, и оно будет стандартным, но если приложить немного секретных усилий, можно добиться красивого результата.

Обзор Astra Linux Common Edition 1.10 / Хабр

Astra Linux Common Edition (релиз «Орел») является «гражданским» аналогом основного продукта линейки операционных систем компании РусБИТех — операционной системы в погонах Astra Linux Special Edition (релиз «Смоленск»). Если распространение ОС специального назначения ограничено, то дистрибутив версии общего назначения доступен для загрузки.

Согласно описанию с страницы дистрибутива Astra Linux CE:

представляет собой операционную систему класса Linux, функционирующую на аппаратной платформе с архитектурой x86-64, включающую в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков операционной системы Astra Linux Common Edition, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей.
В статье описан личный опыт использования Astra Linux CE в качестве «домашней» операционной системы.
Примечание: Автор не имеет отношения к компании — разработчику.
Получение дистрибутива

Образ дистрибутива можно скачать с официальной страницы загрузки.
Установка

Исчерпывающая инструкция по установке находится в руководстве по установке (pdf). В нем описаны все опции и параметры инсталляции. В более лаконичном виде руководство в html формате находится в дистрибутиве (install-doc/index.html). В самом простом варианте установка в графическом режиме представляет последовательное нажимание кнопки «Продолжить».

Операционную систему можно установить с USB накопителя. На каждом экране установки есть возможность сделать скриншот и сохранить его на USB, с которого ставится операционная система.

Замеров времени установки не выполнял, но по субъективным ощущениям установка проходит довольно быстро.
Большинство выполняемых действий типичны для процесса установки *nix систем. Для интересующихся — под спойлером пошаговые скриншоты.

Этапы графической установки
Лицензионное соглашение

Непонятный момент в соглашении — это взаимоисключающие фразы: «Приобретение настоящего ПРОГРАММНОГО ПРОДУКТА — это приобретение простой лицензии (неисключительного права) на его использование» и «ПОЛЬЗОВАТЕЛЮ предоставляется право на передачу копии ПРОГРАММНОГО ПРОДУКТА третьим лицам с правом ее установки, использования и тиражирования».
Выбор способа переключения раскладки

Выбрал Ctrl+Shift.
Ввод hostname (имени компьютера)

Оставил как есть.
Ввод полного имени пользователя

Помимо указанного на скриншоте применения, полное имя пользователя наряду с другими, зарегистрированными в системе, будет отображаться в списке на странице ввода логина и пароля, при этом клик по элементу списка осуществит подстановку соответствующего имени учетной записи в строку логина.
Ввод имени пользователя


Ввод пароля пользователя


Завершение установки


Выбор часового пояса

В списке представлены только часовые пояса, в которых располагается территория России.
Выбор способа разметки диска

Выбрал «Авто», так как ставлю на отдельный диск.
Выбор диска

Это важный этап — выбрав неправильный диск можно затереть соседнюю ОС вместе со всеми данными. У меня диски отличались как по объему, так и по производителю. Если стоит два одинаковых диска, то стоит точно определить, кто из них кто.
Выбор способа создания разделов

Выбрал все в одном разделе.


Отображение результирующей таблицы разделов


Подтверждение разметки дисков


Выбор программного обеспечения

Выбрал все — пускай стоит, вдруг пригодится.
Выбор дополнительных функций

Это интересный скриншот. Дело в том, что свои скриншоты я затер и использовал из руководства по установке. Так вот при установке ряда пунктов из представленных на скриншоте нет. Позже повторю процесс уже на виртуальной машине и добавлю, каких именно.
Выбор типа установки ALD

Служба Astra Linux Directory (ALD) представляет собой систему управления Единым пространством пользователей (ЕПП).
ALD является надстройкой над технологиями LDAP, Kerberos 5, NFS4 и обеспечивает:
  • глобальную авторизацию пользователей в домене, защищенном Kerberos;
  • функционирование глобального хранилища домашних директорий, доступных по NFS4;
  • автоматическую настройку всех необходимых файлов конфигурации UNIX, LDAP, Kerberos, NFS, PAM;
  • централизованное управление учетными записями пользователей и групп;
  • поддержку соответствия БД LDAP и Kerberos;
  • создание резервных копий БД LDAP и Kerberos с возможностью восстановления.

Ровно тоже самое и чуть больше написано в html руководстве по установке в дистрибутиве Astra CE.
Выбор поддержки сенсорного экрана

Поддержка сенсорного экрана (планшетных компьютеров) — нововведение версии 1.10.
Установка системного загрузчика

В моем случае установщик распознал наличие операционной системы Windows на соседнем диске и после установки GRUB данная ос появилась в общем списке доступных для загрузки ОС.
Завершение установки

После перезагрузки Astra Linux будет полностью готова к работе.
После установки остался один неясный момент: где ввод пароля для суперпользователя? Просмотрев справочное руководство такую форму нашел, но по факту она не появлялась в процессе установки. Пришлось потом в режиме восстановления создать учетную запись root.
Загрузка операционной системы и вход в систему

Загрузчик GRUB с фирменным background-ом. Во время запуска системы стартует серверная fly-dm и графическая часть fly-qdm оболочки.
Все приложения, имеющие префикс fly- являются разработками авторов дистрибутива. Большинство из них имеют мнемонические сокращения (например fly-fm — файловый менеджер, fly file manager).
Рабочий стол

В левой части панели задач находятся кнопки вызова стартовой меню-панели Fly, кнопка сворачивающая/разворачивающая все окна, кнопка включения режима выбора рабочего стола, кнопка отображения переключателя окон и схематическое изображение рабочих столов.

Набор панели задач справа зависит от текущих запущенных программ, но в общем случае содержит менеджер сетевых соединений fly-admin-wicd, утилиту проверки обновлений fly-update-notifier, регулятор громкости QasMixer, индикатор/переключатель раскладки клавиатуры fly-xkbmap, часы fly-admin-date. При подключении USB-накопителя появляется пиктограмма, кликнув по которой можно монтировать накопитель и открыть содержимое в файловом менеджере fly-fm или Midnight Commander.

Справочная система

Вызвав ту или иную программу fly и нажав F1 можно получить справку по данной программе. Справка отображается в программе Qt Assistant. По древовидной структуре возможно перейти к любой программе. Все программы разбиты на разделы.
Горячие клавиши

Почти все горячие клавиши выполняют действия, аналогичные (или схожие) с таковыми в MS Windows. Например, нажатие клавиши Win открывает панель-меню. Alt+tab отображает переключатель окон. Win+D сворачивает все окна, а повторное нажатие Win+D разворачивает окна (но при этом их порядок уже меняется — они разворачиваются от первого до последнего согласно их очередности в панели задач), Win+E открывает менеджер файлов fly-fm.
Полное описание горячих клавиш находится в справочной системе.
Терминал Fly

Терминал Fly — это графическая оболочка для командного интерпретатора bash 4.2.37(1).

Терминал позволяет создавать сессии в новых вкладках, которые нумеруются по мере их открытия. Вкладки можно переименовывать. В ниспадающем меню в панели задач можно выбрать команду из заранее определенного списка (если совсем лень руками вводить). Содержимое данного меню можно настроить, добавив свои команды и переопределив порядок размещения команд. Для терминала можно выбрать одну из предустановленных цветовых схем, или задать свою.
Выделив текст можно нажать правой кнопкой мыши и в появившемся контекстном меню выбрать необходимое действие.

Офисные средства

Офисные средства представлены пакетом LibreOffice 4.2.4.2, словариком GoldenDict, программой просмотра pdf qpdfviewer, а также текстовым редактором JuffEd.
Файловый менеджер fly-fm

Файловый менеджер внешне очень напоминает «Проводник» из мира Microsoft.

В fly-fm директории можно открывать как в отдельных окнах, так и в новых вкладках. Расположение «Избранное» позволяет добавить ссылки на каталоги, для этого необходимо перейти в нужную директорию, щелкнуть правой кнопкой по Избранному и выбрать «Добавить текущее местоположение в Избранное». Только на деле эта возможность порой оказывается бесполезной, так как в строке адреса и на вкладке отображается путь в виде «Избранное/sdk» и если мы добавим в «Избранное» еще одну директорию «sdk», то их адрес будет выглядеть одинаково.

С помощью fly-fm можно непосредственно подключать директории FTP, для этого соответствующий адрес нужно ввести в адресную строку. FTP-директория появится в расположении «Сеть».

Чтобы открыть терминал в текущей директории, можно выбрать Сервис->Открыть терминал, при этом текущей директория станет та, которая является текущей в fly-fm.

Создать новый файл можно в любой (доступной) директории, выбрав из контекстного меню соответствующий пункт.
Заметка: в предыдущей версии ОС в fly-fm был досадный недостаток — невозможно было скопировать файл в ту же директорию — менеджер предлагал заменить его самим же собой. В текущей версии к имени файла добавляется текст вида «Копия файла (1)».

Мультимедиа

Мультимедийные средства представлены следующими программами:
  • VLC Media Pleer
  • QasMixer
  • Audacity
  • Clementine
  • guvcview
  • Видеокамера (fly-videocamera)
  • Звукозапись (fly-record)
  • Запись дисков (fly-cddvdburner)

Для установленной на ноутбуке web-камеры в Astra драйверов не нашлось.
Средства работы с графикой

В разделе меню «Графика» имеются ярлыки для программ:
  • GIMP
  • EasyPaint
  • Inkscape
  • Работа с изображениями (fly-image)
  • Распознавание текста (fly-ocr)
  • Сканирование (fly-scan)
  • Снимок экрана (fly-snapshot)
  • Фотокамеры (fly-photocamera)

Из всего этого набора пользовался только GIMP и fly-snapshot. про GIMP ничего не могу сказать, а fly-snapshot настолько прост, что в большинстве случаев годится только для захвата экрана и последующей передачи изображения в GIMP. Если область, которую необходимо обрезать, в высоту занимает значительную часть, то ее становится невозможно обрезать инструментом «прямоугольная обрезка» а инструмента «crop» (обрезки) перетягиванием границ в этой программе нет. Надеюсь со временем появится скриншотер, который сможет автоматически делать скрин по геометрии окна.

Также среди стандартных программ для работы с графикой лично мне не хватает color picker’а. Пришлось устанавливать gpick из репозитория Debian Wheezy.

Настройки

Описание всех программ, для настройки системы заняло бы непозволительно много места, поэтому я просто приведу скриншот данного раздела панели-меню Fly, которое вызывается при нажатии на красную звезду в левой нижней части экрана.

Программы из раздела «настройки» позволяет вносить большинство необходимых изменений в конфигурацию системы исключительно в оконном режиме (в рамках, ограниченных их функционалом).

Средства разработки

Создание fly-приложений регламентируется Руководящими указаниями по конструированию прикладного программного обеспечения для операционной системы общего назначения «Astra Linux Common Edition» (pdf). В данном документе перечисляются все инструментальные средства разработки, имеющиеся в системе.

Основным фреймворком для разработки под Astra Linux является Qt 4.8.6 для версии 1.9 и 4.8.6/5.3.0 для версии 1.10. Выбрав при установке астры 1.10 пункт «Средства разработки» будет установлен только набор для Qt 5.3.0, для 4.8.6 необходимо установить пакет libqt4-dev.

Ниже представлено содержимое вкладки «Разработка» стартовой панели-меню.

Заключение

Рекомендовал бы я ставить Astra Linux Common Edition в качестве дексктоп-системы простого пользователя? Скорее нет, чем да, если только у вас нет на то необходимости/заинтересованности.

Вся особенность и собственно причина создания Astra Linux (на мой взгляд) заключена в его специализированной версии. Изначально этот дистрибутив не создавался для домашних пользователей. Можно посмотреть страницу с перечнем совместимого оборудования и понять, что у большинства пользователей «со стороны» установивших систему на свое оборудования будут проблемы с совместимостью (на ПК пришлось устанавливать проприетарный драйвер Nvidia для дискретной карты (так как c nouveau были проблемы с отображением), на ноутбуке — драйвер для Wi-Fi).

Но меня радует, что система активно развивается, устраняются недочеты, которые были в предыдущих версиях. Надеюсь, что в следующем релизе система станет еще лучше.

Знакомство с ЕПП

Единое пространство пользователей (ЕПП) – это обозначение среды для согласованной работы пользователей с информацией (в том числе в соответствии с требованиями по защите информации), которую можно создать с использованием операционной системы специального назначения «Astra Linux Special Edition» (ОССН «Astra Linux SE»).

 

Для знакомства с ЕПП достаточно настроить его на одном компьютере. Такой вариант позволяет сэкономить время за счет отсутствия необходимости в выполнении некоторых действий, обязательных при настройке ЕПП в сети компьютеров. Например, не нужно настраивать синхронизацию времени и службу «DNS».

 

 

Исходные данные

 

Имеется компьютер с ОССН «Astra Linux SE» РУСБ.10015-01 (1.5 «Смоленск»).

 

Компьютеру назначено имя (hostname) «comp».

 

В ОССН «Astra Linux SE» установлены только программы, предлагаемые в программе установки ОССН «Astra Linux SE» по умолчанию.

 

Домен должен иметь имя «epp».

 

Настройка ЕПП

 

Для настройки ЕПП необходимо выполнить следующие действия:

 

– ­назначить компьютеру статический IP-адрес;

 

– ­настроить систему разрешения доменных имен;

 

– настроить домен;

 

– создать учетные записи пользователей домена.

 

Назначение компьютеру статического IP-адреса

 

Для назначения компьютеру статического IP-адреса рекомендуется использовать сетевую службу «networking». При этом, как следует из информации, указанной на сайте разработчиков ОССН «Astra Linux SE», необходимо учитывать, что:

 

– ­по умолчанию в ОССН «Astra Linux SE» для настройки сети используются демон «Wicd» и графическая утилита конфигурирования сети «fly-admin-wicd»;

 

– сетевая служба «networking» и демон «Wicd» могут конфликтовать;

 

– для исключения конфликтов между сетевой службой «networking» и демоном «Wicd» в случае, если для настройки сети используется сетевая служба «networking», необходимо завершить работу графической утилиты конфигурирования сети «fly-admin-wicd» и демона «Wicd» и запретить их автозапуск в начале работы ОССН «Astra Linux SE».

 

Для назначения компьютеру статического IP-адреса с использованием сетевой службы «networking» необходимо выполнить следующие действия (предполагается, что используется сетевой интерфейс «eth0»):

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– получить права пользователя «root» с использованием команды «sudo su»;

 

– завершить работу графической утилиты конфигурирования сети «fly-admin-wicd» с использованием команды «killall fly-admin-wicd»;

 

– завершить работу демона «Wicd» с использованием команды «service wicd stop». Если демон «Wicd» работал с настройками по умолчанию, то необходимо также завершить работу клиента «DHCP» с использованием команды «killall dhclient»;

 

– запретить автозапуск графической утилиты конфигурирования сети «fly-admin-wicd» в начале работы ОССН «Astra Linux SE» с использованием команды «rm /etc/xdg/autostart/fly-admin-wicd.desktop»;

 

– запретить автозапуск демона «Wicd» в начале работы ОССН «Astra Linux SE» с использованием команды «update-rc.d wicd disable»;

 

– указать в файле «/etc/network/interfaces» информацию о сетевом интерфейсе «eth0»:

auto eth0
iface eth0 inet static
    address 172.16.0.1
    netmask 255.255.255.0
    gateway 172.16.0.1
    network 172.16.0.0
    broadcast 172.16.0.255

 

– удалить информацию об адресах для сетевого интерфейса «eth0» с использованием команды «ip addr flush dev eth0»;

 

– перезапустить сетевую службу «networking» с использованием команды «/etc/init.d/networking restart».

 

Настройка системы разрешения доменных имен

 

Для настройки системы разрешения доменных имен необходимо выполнить следующие действия:

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– получить права пользователя «root» с использованием команды «sudo su»;

 

– указать в файле «/etc/hosts» информацию о полностью определенном доменном имени (Fully Qualified Domain Name – FQDN) компьютера. Для этого необходимо изменить строку «127.0.1.1 comp» на «172.16.0.1 comp.epp comp».

 

Настройка домена

 

Для настройки домена необходимо выполнить следующие действия:

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– получить права пользователя «root» с использованием команды «sudo su»;

 

– установить программу «ALD» с использованием команды «apt-get install ald-server-common»;

 

– указать, что сервер «ALD» должен быть включен. Для этого в файле «/etc/ald/ald.conf» указать значение «1» у параметра «SERVER_ON»;

 

– указать, что клиент «ALD» должен быть включен. Для этого в файле «/etc/ald/ald.conf» указать значение «1» у параметра «CLIENT_ON»;

 

– инициализировать домен с использованием команды «ald-init init». В процессе выполнения этой команды необходимо задать и запомнить пароль для базы данных программы «Kerberos» и пароль администратора домена.

 

Создание учетных записей пользователей домена

 

Для создания учетных записей пользователей домена необходимо выполнить следующие действия:

 

– настроить программу «Доменная политика безопасности»;

 

– создать учетные записи пользователей домена с использованием программы «Доменная политика безопасности».

 

Для настройки программы «Доменная политика безопасности» необходимо выполнить следующие действия:

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– получить права пользователя «root» с использованием команды «sudo su»;

 

– установить программу «Доменная политика безопасности» с использованием команды «apt-get install fly-admin-ald fly-admin-ald-se».

 

Для создания учетных записей пользователей домена с использованием программы «Доменная политика безопасности» необходимо выполнить следующие действия:

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– запустить программу «Доменная политика безопасности»;

 

 

– в окне для ввода имени и пароля пользователя указать имя и пароль администратора домена и нажать на кнопку «Да»;

 

 

– создать учетные записи пользователей домена в программе «Доменная политика безопасности».

 

После создания учетных записей пользователей домена их можно использовать для работы в ОССН «Astra Linux SE».

 

Проверка правильности настройки ЕПП

 

Для проверки правильности настройки ЕПП необходимо выполнить следующие действия:

 

– войти в ОССН «Astra Linux SE» с правами администратора;

 

– получить права пользователя «root» с использованием команды «sudo su»;

 

– выполнить команду «ald-client status» или команду «ald-admin test-integrity».

 

С уважением, Анатолий Борисов, СПБ ЦГТ
15.02.2019

Автоматическая установка «Astra Linux Special Edition» (часть 1)

# настройка языка и страны согласно локали
d-i debian-installer/language string ru d-i debian-installer/country string RU
d-i debian-installer/locale string ru_RU.UTF-8

# настройка клавиатуры
d-i keyboard-configuration/xkb-keymap select ru d-i console-setup/toggle string Alt+Shift
d-i languagechooser/language-name-fb select Russian
d-i countrychooser/country-name select Russia
d-i keyboard-configuration/toggle select Alt+Shift
d-i console-setup/fontface select Terminus
d-i console-setup/ask_detect boolean false
d-i console-setup/layoutcode string ru d-i console-setup/variant Россия

# подключение репозиториев
d-i apt-setup/non-free boolean true
d-i apt-setup/contrib boolean true

# выключить показ диалога с WEP ключом.
d-i netcfg/wireless_wep string

# настройка зеркала с пакетами
d-i mirror/protocol string ftp
d-i mirror/country string manual
d-i mirror/ftp/hostname string 192.168.50.211
d-i mirror/ftp/directory string /astra_repository
d-i mirror/ftp/proxy string

# задаёт, установлены или нет аппаратные часы по Гринвичу.
d-i clock-setup/utc boolean true

# настройка timezone
d-i time/zone string Europe/Moscow

# определяет, нужно ли использовать NTP для установки часов во время установки
d-i clock-setup/ntp boolean false

# разбиение диска создание разделов
d-i partman-auto/method string lvm
d-i partman-lvm/device_remove_lvm boolean true
d-i partman-auto/purge_lvm_from_device boolean true
d-i partman-md/device_remove_md boolean true
d-i partman-md/confirm_nochanges boolean true
d-i partman-lvm/confirm boolean true
d-i partman-auto/choose_recipe select atomic
d-i partman-md/confirm boolean true
d-i partman-partitioning/confirm_write_new_label boolean true
d-i partman/choose_partition select Finish partitioning and write changes to disk
d-i partman/confirm boolean true
d-i partman-md/confirm_nooverwrite boolean true
d-i partman/confirm_nooverwrite boolean true

# устанавливаемый пакет (мета) с образом ядра; можно указать «none»,
# если ядро устанавливать не нужно.
d-i base-installer/kernel/image string linux-image-generic

d-i passwd/make-user boolean true

# пароль суперпользователя, любой открытым текстом
d-i passwd/root-password password password
d-i passwd/root-password-again password password

# создать учётную запись обычного пользователя.
d-i passwd/user-fullname string user
d-i passwd/username string user

# пароль обычного пользователя, или открытым текстом
d-i passwd/user-password password user
d-i passwd/user-password-again password user

console-setup console-setup/fontface select Terminus

# Вы можете указать нужно ли устанавливать non-free и contrib ПО.
d-i apt-setup/non-free boolean true
d-i apt-setup/contrib boolean true
d-i apt-setup/services-select multi-select
d-i apt-setup/security_host string
d-i apt-setup/volatile_host string

# По умолчанию программа установки требует, чтобы репозитории
# аутентифицировались с помощью известного ключа gpg.
# Этот параметр выключает данную аутентификацию.
# Предупреждение: это небезопасно, рекомендуется не делать этого.
d-i debian-installer/allow_unauthenticated string true

# установка базовой системы + рабочий стол Fly
tasksel tasksel/first multiselect Base, Fly

# отдельные дополнительные пакеты для установки
d-i pkgsel/include string openssh-server

# специфичные настройки для Astra Linux
astra-license astra-license/license boolean true
krb5-config krb5-config/kerberos_servers string
libnss-ldapd libnss-ldapd/ldap-base string
libnss-ldapd libnss-ldapd/ldap-uris string
libnss-ldapd libnss-ldapd/nsswitch multiselect services
ald-client ald-client/make_config boolean false
ald-client ald-client/manual_configure note
# НЕ настраивать киоск
#astra-feat-setup astra-feat-setup/feat multiselect kiosk mode
tasksel tasksel/astra-feat-setup multiselect

d-i console-cyrillic/toggle select Caps Lock

# некоторые версии программы установки могут отсылать отчёт
# об установленных пакетах. По умолчанию данная возможность
# выключена, но отправка отчёта помогает проекту
# определить популярность программ и какие из них включать на CD.
popularity-contest popularity-contest/participate boolean false

# эту переменную можно безопасно устанавливать, она указывает, что grub
# должен устанавливаться в MBR,
# если на машине не найдено другой операционной системы.
d-i grub-installer/only_debian boolean true

# это заставляет grub-installer устанавливать в MBR, даже если на машине
# есть другая ОС, что менее безопасно, так как может привести к отказу
# загрузки этой другой ОС.
d-i grub-installer/with_other_os boolean true

# остановить систему после завершения установки, а
# не перегружаться в установленную систему.
d-i debian-installer/exit/halt boolean true

Услуги

Покупка новой машины

Включая спецпредложения

Финансирование закупки

Нет замороженных средств на покупку авто

Оформление и доставка

Регистрируем автомобили в ГИБДД без вашего участия

Налоги

Все налоги взимаются с ALD Automotive

Страхование

Полная страховая защита

Плановое ТО

Щетки эталонные часы масло — все включено

Внеплановый ремонт

В условиях нормального износа

Шиномонтаж

Комплект шин, замена шин, хранение

Дорожная помощь

Поддержка 24/7 на дороге

Обработка штрафов

Обработка и контроль оплаты штрафов

Личный кабинет

Онлайн-портал On Moi ALD

Дополнительные услуги

Телематика, топливные карты

Поддержка клиентов

Единый колл-центр для всех регионов

Управление флотом

Ваш автопарк без сложностей

Возврат автомобиля

Нет необходимости продавать подержанные автомобили

.

Автомобильные драйверы — веб-портал и мобильные приложения

Приближаемся к драйверам

Удовлетворенность водителей важна как для нас, так и для вас. Вот почему ALD Automotive предлагает ряд вариантов поддержки водителей.

Веб-инструменты

Мой портал ALD

Веб-портал, где водители могут легко найти нужную информацию

Водители

могут использовать портал My ALD, чтобы быть в курсе своих служебных обязанностей в отношении автомобилей и гарантировать максимальную независимость и самую свежую информацию.

  • Возможность настройки, выбора и заказа нового автомобиля
  • Подробная информация об их транспортных средствах и условиях контракта
  • История технического обслуживания автомобилей
  • Обновления пробега
  • Сервисные оповещения
  • Запросы на услуги и бронирование
  • Найдите утвержденные заправочные станции и поставщиков для обслуживания и ремонта
  • Доступ к документам на автомобиль

Когда приходит время выбирать и заказывать автомобиль, водители с удовольствием пользуются нашими инструментами для выбора автомобиля и счетчика

Просто выберите предпочтительные опции и аксессуары и одновременно сравните выбор из 3 автомобилей.

Селектор автомобилей — это идеальный способ получить доступ к последней информации при выборе нового служебного автомобиля. Он доступен круглосуточно и без выходных на портале My ALD.

Вы можете искать по всем следующим критериям:

  • Марка и модель
  • Тип кузова
  • Расход топлива
  • Закупочная цена
  • Выбросы CO2

После того, как вы выбрали до трех вариантов, вы можете выбрать необходимый пробег и срок действия контракта и сравнить расценки на одном экране.Затем вы просто выбираете и заказываете свой новый автомобиль одним нажатием кнопки.


Приложение My ALD

Мобильное приложение для водителей служебных автомобилей

Водители автомобилей компании заняты и у них мало времени — поэтому компания ALD Automotive разработала мобильное приложение, облегчающее повседневную жизнь.

С помощью мобильного приложения My ALD водители автомобилей могут:

  • Находите заправочные станции, автостоянки и другие полезные услуги быстро, используя функцию геолокации.
  • Запросить помощь одним щелчком мыши.
  • Получите информацию благодаря быстрому доступу к деталям контракта, автомобиля и другим полезным документам.
  • Больше никогда не пропустите услугу благодаря персонализированным оповещениям.


Приложение ALD ecodrive

Взять под контроль индивидуальные выбросы CO2 и расход топлива

ALD ecodrive — это приложение для смартфонов, доступное для систем Android и IOS, а также для умных устройств.
Оценивает индивидуальный стиль вождения и его влияние на окружающую среду. Это забавное приложение помогает водителям следить за своим прогрессом и видеть, где они улучшаются. Ключевые особенности приложения ALD ecodrive:

  • Предупреждающий звук при резком торможении или ускорении.
  • Награды за хорошее поведение с переходом на новый уровень в ключевых моментах.
  • Игры на ловкость и викторину по экологическим знаниям.
  • Возможность зарабатывать баллы за меньшее потребление — вклад в индивидуальный рейтинг в сообществе приложений ALD ecodrive.

Услуги

.

корпоративных мобильных решений | ALD Automotive

Инновационные решения для формирования вашей мобильности будущего

Ищете решения следующего поколения в области гибкой мобильности, обеспечивающие удовлетворенность сотрудников, социальную ответственность и экономическую эффективность?
ALD Automotive внедряет инновации, чтобы наилучшим образом соответствовать вашим потребностям, и запускает ALD newmobility, лейбл, поддерживающий альтернативные предложения по мобильности.

Компания ALD Automotive, лидер в области решений для корпоративной мобильности, всегда ставила устойчивую мобильность в центр своей политики развития.
Некоторые дочерние компании в Западной и Северной Европе уже далеко продвинулись в этой области и действуют как «лаборатории мобильности» для всей Группы. В этих странах ALD Automotive предприняла конкретные инновационные шаги, чтобы оправдать новые ожидания клиентов в отношении мобильности.

Совместное использование ALD

Это решение для каршеринга включает в себя парк транспортных средств (включая финансирование и обслуживание), который может произвольно использоваться любым сотрудником. Забронировать автомобиль для профессионального или личного пользования можно через интернет-платформу.Он прост в использовании, гибок, экономичен и экологичен, поскольку один автомобиль используется несколькими водителями.
Он работает во Франции и Испании, а также развертывается в других европейских странах.

Переключатель ALD

Это новое гибкое контрактное решение, предлагающее аренду небольшого экономичного автомобиля с краткосрочным бюджетом на аренду. Таким образом, водитель получает выгоду от управления автомобилем с низким уровнем выбросов, подходящим для городского использования, и имеет доступ к более крупному транспортному средству (фургон, универсальный автомобиль, внедорожник, кабриолет…) при необходимости.

Это предложение доступно в Бельгии и Нидерландах.

ALD Railease

Он сочетает в себе использование железнодорожного проездного с долгосрочным лизингом транспортных средств. Благодаря его универсальности сотрудники компании могут в полной мере пользоваться общественным транспортом, имея при необходимости гибкость личного автомобиля. Уменьшение пробега автомобиля не только способствует снижению общих затрат и выбросов CO2, но и дает потенциальные налоговые льготы.
ALD Railease уже доступен в Бельгии и Нидерландах.

ALD 2 колеса

Предложение по лизингу с полным спектром услуг для двухколесных транспортных средств (скутеры и мотоциклы), чтобы удовлетворить растущие потребности компаний в эффективной городской мобильности. Режим аренды близок к аренде автомобиля. Также доступны сервисные предложения, такие как техническое обслуживание или управление топливом.
Это предложение доступно во Франции и Италии.

ALD Companybike

Наряду с этими предложениями, некоторые подразделения ALD Automotive предлагают велосипеды ALD companybike, что позволяет арендатору включить велосипед (обычный или с электрическим приводом) в договор в качестве здоровой альтернативы для поездок на короткие расстояния.

Также предлагаются удаленные офисы, чтобы мобильные и удаленные сотрудники могли использовать преимущества высококачественных рабочих зон в бизнес-центрах или коворкингах вместо того, чтобы тратить время в автомобиле в часы пик, между двумя встречами …
Это решение предлагается в Бельгии и Нидерландах

Фургон ALD

ALD van — это специальные и индивидуальные услуги по установке фургона. В этом предложении представлены следующие автомобили:

— Коммерческие автомобили: преобразование PV в CV, с возможностью обратного хода, безопасным хранением и т. Д.
— Транспортировка товаров и товаров: автомобили с контролируемой температурой, рефрижераторы и т. Д.
— Транспортировка людей: микроавтобусы, перевозки людей с ограниченной подвижностью и т. Д.
— Общественные работы и окружающая среда: скипы, трейлеры, кабины для экипажа , пикапы и т. д.
— Различная компоновка: мастерская, охранные и вывески, лестничные стойки, задние двери и т. д.

Преимущества использования фургона ALD делятся на три стороны:

— Качество: качественное оборудование, сервисное и послегарантийное обслуживание; мы работаем со специалистами в рамках предпочтительной сети
— Безопасность: функциональные автомобили с качественным оборудованием
— Экономичность: оптимизация затрат: затраты на переоборудование распределяются в течение срока действия контракта.

Это решение работает во Франции.

ALD Electric

ALD electric — это сервис, который предоставляет анализ, консультации и поддержку по оснащению автопарков электромобилями. Компания ALD Automotive, у которой на дорогах более 3500 электромобилей, играет активную роль во внедрении этого нового типа автомобилей на автомобильный рынок компании.

Специальный экспертный блок ALD по электрике поможет вам на каждом из следующих этапов:

— изучение ваших требований и вопросов, касающихся вашей деятельности;
— рекомендация и выбор подходящих электромобилей;
— проконсультирует вас и поможет установить вашу зарядную инфраструктуру;
— сопровождение при передаче автомобилей вашим сотрудникам;
— содержание, ремонт и мониторинг транспортных средств.

В настоящее время доступен в Бельгии и Франции.

Аренда 7 колес

Это предложение, которое сочетает в себе аренду трехколесного самоката с обычным транспортным средством, позволяя корпоративным мобильным ресурсам выбрать лучший инструмент для транспортировки: скутер в определенных, особенно плотных городских центрах или автомобиль для междугородних поездок или в плохих условиях. Погода. Такое инновационное мобильное решение также снижает углеродный след компаний.
Это предложение в настоящее время доступно в Бельгии и Нидерландах.

Аренда 6 колес

Эта услуга аналогична 7-колесной аренде. Эта новая формула позволяет клиентам сочетать аренду автомобиля с электросамокатом. Электросамокат также можно арендовать отдельно.
Это предложение теперь доступно в Нидерландах.

.

Fleet Manager Services — эффективные решения для мобильности

ALD Automotive предлагает практичные, простые в использовании инструменты для современных менеджеров автопарка

Веб-инструменты

Сеть ALD

Полный инструмент для онлайн-мониторинга вашего международного автопарка

Имея онлайн-доступ к сети ALD, вы можете получить доступ к основным сведениям о парке, получить расценки и просмотреть важную информацию об управлении парком.

Специально приспособленная к потребностям международных автопарков, ALD net предоставляет консолидированный обзор всех ваших транспортных средств, управляемых ALD Automotive.

ALD net помогает вам управлять своим автопарком 24 часа в сутки, 7 дней в неделю, предоставляя индивидуальные предупреждения об отклонении пробега, продлении, расходе топлива и т.д. представления страны или организации.
Готовые к использованию отчеты доступны на 14 языках, охватывающих все ключевые области, включая новые заказы и поставки, расторгнутые контракты, текущие расходы парка и т. Д.
Все отчеты можно настроить с помощью расширенных возможностей, таких как онлайн-сортировка и фильтрация, конвертация валюты и расстояния , и экспорт в разные форматы.

Для немеждународных счетов ALD net имеет прямой доступ через портал My ALD.

Прямой доступ к инструменту сетевой отчетности ALD для клиентов.


Мой ALD

Интернет-портал, созданный для поддержки менеджеров автопарка

My ALD разработан, чтобы упростить, ускорить и повысить эффективность управления автопарком и административных задач. Это означает, что у вас и ваших водителей будет больше времени, чтобы сосредоточиться на основной деятельности.

My ALD можно использовать для всех следующих целей:

  • Подробнее о договорах и транспортных средствах
  • Запрос помощи водителям
  • Настроить и выбрать автомобиль
  • Обновить пробег автомобиля
  • Поиск локализованных поставщиков услуг
  • Доступ к полезным документам
  • Загрузить документы для водителей
  • Отправлять уведомления водителям с помощью предупреждений
  • Доступ к множеству инструментов отчетности через сеть ALD


Селектор автомобиля

Помощь вашим водителям в принятии правильного решения об автомобиле

Этот инструмент позволяет легко выбрать бизнес-автомобиль, настроить его с помощью опций и аксессуаров, а затем сравнить до трех вариантов.

Селектор автомобилей

действительно прост в использовании, и менеджерам автопарка и водителям нравится свобода выбора, которую он предоставляет. Отдельные пользователи могут делать все следующее:

  • Доступ к последней информации об автомобиле 24 часа в сутки, 7 дней в неделю
  • Поиск автомобилей по различным критериям, таким как марка, модель, тип кузова
  • Установите критерии для дополнительных факторов, таких как выбросы CO2, расход топлива или закупочные цены.
  • Запросите коммерческое предложение на основе индивидуального выбора.

Автомобильный селектор доступен в 21 стране.


Интернет-котировщик

Помощник для определения вашего автопарка

После того, как у вас есть политика в отношении автомобилей, наш веб-инструмент расчета стоимости настроен для отражения параметров. После этого ваши водители смогут выбрать свои автомобили соответственно.

  • Простой в использовании и основанный на последней информации веб-котировщик позволяет каждому водителю рассчитать свои собственные расценки, при этом соблюдая требования политики компании в отношении автомобилей.
  • Доступный 24 часа в сутки, 7 дней в неделю, веб-инструмент квотера экономит время менеджеров автопарка и дает водителям независимость и выбор.
  • Автомобили предлагаются в соответствии с заранее выбранными критериями: конкретная марка и модель, тип топлива, обязательные опции, ограниченный выброс CO2, прейскурантная цена и т. Д.


Телематика

Управляйте и отслеживайте свои автомобили в реальном времени

Телематическая автомобильная технология становится все более популярной среди клиентов ALD Automotive по всему миру.Он позволяет менеджерам автопарка внимательно следить за транспортными средствами компании и, как доказано, дает ряд преимуществ:

  • Точный журнал поездок и учет пробега
  • Повышенное соответствие законодательству и контроль затрат
  • Повышенная производительность
  • Повышение налоговой эффективности
  • Уменьшение количества зарегистрированных инцидентов из-за лучшего вождения
  • Больше шансов на восстановление в случае угона автомобиля
  • Проактивное уведомление об услугах
  • Снижение эксплуатационных расходов за счет своевременного обслуживания и лучшего поведения водителя
  • Сбор данных для более эффективного управления окружающей средой

Одна из ключевых задач для современных менеджеров автопарка — убедить отдельных водителей в том, что их поведение влечет за собой финансовые последствия: неэффективное вождение влияет на совокупную стоимость владения (TCO) транспортного средства.Телематика предоставляет точные данные о поведении в режиме реального времени. После того, как будут решены любые опасения водителей относительно конфиденциальности, телематика также может стать стимулом для улучшения работы.

Телематический блок в автомобиле оснащен SIM-картой, которая отправляет показания одометра непосредственно с автомобиля в ALD Automotive. Эта информация автоматически вводится в наши системы управления автопарком, поэтому она полностью интегрирована в наши процессы обслуживания, например данные сравниваются с интервалами обслуживания, установленными производителем, чтобы определить срок следующего обслуживания.

Как для компаний, так и для водителей телематика предлагает множество способов более эффективного управления информацией о транспортных средствах и повышения качества обслуживания водителя.

Услуги с добавленной стоимостью

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *