Подробный гайд: Настройка корпоративной сети на ALT Workstation
ALT Workstation — российская операционная система на базе Linux, предназначенная для корпоративного использования. Ниже представлен комплексный обзор инструментов и методов настройки корпоративной сетевой инфраструктуры.
1. Основные инструменты управления сетью
1.1 NetworkManager (основной инструмент)
Для управления настройками сети в Альт Рабочая станция используется программа NetworkManager.
Он поддерживает:
- Проводные и беспроводные подключения
- Мобильные сети (3G/4G)
- VLAN, bonding, teaming
Интерфейсы управления:
| Интерфейс | Описание | Пакет |
|---|---|---|
nm-applet (GTK) |
Графический апплет для MATE/Cinnamon/Xfce | NetworkManager-applet-gtk |
plasma5-nm |
Графический интерфейс для KDE | plasma5-nm |
nmcli |
Консольная утилита для скриптов и администрирования | NetworkManager |
nmtui |
Текстовый TUI-интерфейс | NetworkManager-tui |
Пример настройки статического IP через nmcli:
# Изменение подключения с DHCP на статический адрес
nmcli con mod "System enp0s31f6" \
ipv4.method manual \
ipv4.address 192.168.0.40/24 \
ipv4.gateway 192.168.0.1 \
ipv4.dns "192.168.0.4 8.8.8.8" \
ipv4.dns-search "corp.local" \
connection.autoconnect yes
# Активация подключения
nmcli connection up "System enp0s31f6"
1.2 Etcnet (файловая подсистема)
Альтернативный метод конфигурации через файлы в /etc/net/ifaces/<интерфейс>/:
# Пример структуры файлов для интерфейса enp0s3:
/etc/net/ifaces/enp0s3/
├── options # параметры: BOOTPROTO=static, TYPE=eth, ONBOOT=yes
├── ipv4address # IP-адрес: 192.168.0.48/24
├── ipv4route # маршрут по умолчанию
└── resolv.conf # DNS-серверы
Применение настроек:
systemctl restart network
1.3 Центр управления системой (ЦУС / Alterator)
Веб-интерфейс для централизованного управления:
- Модуль Ethernet-интерфейсы — настройка сетевых карт
- Модуль Аутентификация — ввод в домен, настройка SSSD
Доступ:
http://localhost:8080или через меню системы.
2. Интеграция с корпоративными доменами
2.1 Ввод в домен Active Directory / Samba AD
Подготовка:
# Установка необходимых пакетов
apt-get install task-auth-ad-sssd
# Настройка имени хоста и DNS
hostnamectl set-hostname ws-01.corp.alt
echo "nameserver 192.168.0.10" > /etc/net/ifaces/enp0s3/resolv.conf
Ввод в домен (графически):
- Открыть ЦУС → Аутентификация
- Выбрать Active Directory
- Указать: домен, логин администратора, пароль
- Отметить «Включить групповые политики» при необходимости [[25]]
Ввод в домен (консоль):
# Проверка доступности контроллера домена
realm discover CORP.ALT
# Ввод в домен
realm join -U Administrator CORP.ALT
2.2 Ввод в домен FreeIPA
# Установка клиента FreeIPA
apt-get install freeipa-client
# Настройка через ЦУС или консоль:
ipa-client-install --domain=corp.alt --server=ipa01.corp.alt
3. Групповые политики (Group Policy)
3.1 Развёртывание на стороне клиента
Установка компонентов:
apt-get install gpupdate oddjob-gpupdate alterator-gpupdate
Активация политик:
# Включение и выбор профиля (workstation/server/domain-controller)
gpupdate-setup enable workstation
# Проверка статуса
gpupdate-setup
# вывод: enabled
3.2 Настройка административных шаблонов (ADMX)
На контроллере домена:
# Установка пакетов с шаблонами
apt-get install admx-basealt admx-chromium admx-firefox admx-yandex-browser
# Загрузка файлов ADMX от Microsoft
admx-msi-setup
# Копирование в sysvol для распространения
samba-tool gpo admxload -U Administrator
3.3 Управление политиками
| Инструмент | Назначение | Установка |
|---|---|---|
| GPUI | Редактирование клиентских политик | apt-get install gpui |
| ADMC | Управление базой конфигураций домена | apt-get install admc |
| ЦУС → Групповые политики | Включение/выключение, выбор шаблона | alterator-gpupdate |
Периодичность применения:
- Машинные политики: при загрузке + каждые 60 минут
- Пользовательские: при входе в систему + каждые 60 минут
4. Дополнительные корпоративные настройки
4.1 Доступ к сетевым ресурсам (Samba/CIFS)
# Установка клиента
apt-get install samba-client cifs-utils
# Монтирование общей папки (вручную)
mount -t cifs //fileserver/share /mnt/share -o username=user,domain=CORP
# Автомонтирование через /etc/fstab:
//fileserver/share /mnt/share cifs credentials=/root/.smbcreds,domain=CORP 0 0
5. Безопасность и ограничения
5.1 Ограничение устройств (USB/внешние носители)
Через ЦУС → Безопасность → Ограничение USB:
- Блокировка по VID/PID, классу устройства, хэшу
- Журналирование подключений
- Применение через групповые политики
5.2 Шифрование и ГОСТ
- Поддержка ГОСТ-шифрования в OpenSSL
- Создание ЭЦП через
cryptoproилиgost-openssl - Настройка SSH-туннелей с ГОСТ-аутентификацией
5.3 Аудит и логирование
# Просмотр логов аутентификации
journalctl -u sssd -f
# Логи применения групповых политик
cat /var/log/gpupdate.log
6. Обслуживание и обновление
6.1 Централизованное обновление
# Создание зеркала репозитория для офлайн-обновления
apt-mirror --config /etc/apt/mirror.list
# Настройка клиентов на локальное зеркало:
# /etc/apt/sources.list.d/local-mirror.list
deb [trusted=yes] file:///mnt/repo alt-sp/ main contrib non-free
6.2 Мониторинг состояния
# Проверка доменного членства
realm list
# Статус групповых политик
systemctl status gpupdate.timer
gpupdate --test
# Сетевая диагностика
nmcli general status
ip addr show
Чек-лист внедрения
- [ ] Настройка сетевого интерфейса (статический IP/DHCP)
- [ ] Настройка DNS с записями контроллера домена
- [ ] Установка
task-auth-ad-sssdи ввод в домен - [ ] Установка
alterator-gpupdateи активация политик - [ ] Развёртывание ADMX-шаблонов на контроллере
- [ ] Настройка файрвола (при необходимости)
- [ ] Тестирование аутентификации доменных пользователей
- [ ] Настройка автоматического обновления политик
При возникновении проблем используйте встроенные инструменты диагностики или обратитесь в техническую поддержку «Базальт СПО».