Skip to main content

Пост-Настройка МСР АРМ

Настройка АРМ после развёртывания образа                                                                                              

Настройка АРМ

01. Развёртывание ОС из образа

  1. Подключаем Boot-Flash, грузимся с Rescuezilla
  2. Закрываем (!) Окно Rescuezilla
  3. Запускаем Gparted и удаляем все разделы диска, применяем изменения.
  4. Запускаем Окно Rescuezilla и Развёртываем Образ R8.rescuezilla

02. Ввод в Домен

Вместо (minsoc-16xxxxxx) нужно подставлять новое Имя АРМ согласно QR-коду

sudo join-to-domain.sh -y \
-d dp.mosreg.ru \
-n minsoc-xxxxxxxx \
-u KrasavinIVS \
--ou "OU=Workstations,OU=Министерство социального развития,OU=Министерства,OU=Органы государственной власти" \
/

Перезагрузка АРМ

03. Разблокировка Браузеров

Если после смены Имени АРМ Браузеры Chromium* и Yandex могут не открываться. Разблокируем их.

rm $HOME/.config/chromium/SingletonLock
rm $HOME/.config/yandex-browser/SingletonLock

04. Запуск Kaspersky Endpoint

sudo systemctl enable kesl
sudo systemctl start kesl

05. Установка SecretNet

Копируем из сети папку SecretNet в домашнюю папку /home/master [KDE Plasma]

kioclient5 copy "smb://dp%5Ckrasavinivs@10.12.120.10/minsoc/Temp/_distrib/SecretNet" $HOME/SecretNet

Устанавливаем RPM пакеты

cd $HOME/SecretNet/
sudo dnf install -y secretnet snlsp-firewall

Перезагрузка АРМ

Активируем Лицензии

sudo /opt/secretnet/bin/snlicensectl -c $HOME/SecretNet/lic.keys/lsp_nsd.lic
sudo /opt/secretnet/bin/snlicensectl -c $HOME/SecretNet/lic.keys/lsp_fw.lic

Увеличим количество неудачных попыток ввода пароля до 20

sudo /opt/secretnet/bin/snpolctl -p token_mgr -c authentication,deny,20

Со стороны Сервера Secret Net Studio Администратор должен подключить Агент для нового АРМ.
БЕЗ ДАННОГО ДЕЙСТВИЯ - СЛЕДУЮЩИЙ ШАГ НЕ СРАБОТАЕТ!

АРМ необходимо подключить к Серверу Secret Net Studio командой:

sudo /opt/secretnet/bin/snnetctl -e -u KrasavinIVS

Процесс подключения может занять от 3-10 мин

Пост-настройка Domain User

01. Копирование файлов Users

Подключаемся под учёткой доменного пользователя
Повышаем права

su - master
<>

Останавливаем Kaspersky Endpoint

sudo systemctl stop kesl

/run/media/master/38FA915CFA91176A/FOLDER1     - Папка пользователя в Адресной строке USB-диска
/home/sergeevaea@dp.mosreg.ru/'Рабочий стол'/   - Рабочий стол Пользователя

Запускаем копирование

sudo rsync --no-protect-args -av /run/media/master/38FA915CFA91176A/FOLDER1 /home/sergeevaea@dp.mosreg.ru/'Рабочий стол'/

Назначаем владельцем папки Доменного Пользователя 

sudo chown -R sergeevaea:"domain users" /home/sergeevaea@dp.mosreg.ru/'Рабочий стол'/FOLDER1

Завершаем консоль master

02. Добавление  ярлыков

Продолжаем работу под учёткой пользователя
Подключаем Сетевую папку

Файловый Менеджер --> Сеть --> Добавить сетевую папку --> Сетевой диск*
Имя: Public
Сервер: 10.12.120.10
Папка: minsoc

Вводим учётные данные Доменного пользователя (Без DP\)

sergeevaea
<password>
Файловый Менеджер --> Сеть --> ПКМ по Public --> Добавить в "Точки входа"

Открываем Сетевой Путь

smb:/10.12.120.10/minsoc/Temp/_distrib/

Копируем все ярлыки на Рабочий стол

03. Проверка работы программ

Запускаем каждый скопированный ярлык и расставляем по краям рабочего стола
Если Пользователь использует ЭЦП подпись на USB-токене, надо проверить отображение Контейнеров

Подключаем USB-токен --> Инструменты КриптоПро --> Контейнеры

Troubleshooting

Исправления применимы к АРМ установленным из прошлых образов итп.

01. Добавление  режима su -

sudo vim /etc/sssd/sssd.conf

ldap_user_extra_attrs = memberOf

Теперь можно из доменного пользователя перейти в shell администратора

02. Политики USB устройств

sudo vim /etc/udisks2/udisks2.conf

###
[MountOptions]
defaults=uid=1002,gid=1003,umask=000
ntfs_defaults=uid=1002,gid=1003,umask=000,fmask=000,dmask=000,windows_names
vfat_defaults=uid=1002,gid=1003,umask=000,shortname=mixed
sudo systemctl restart udisks2

sudo vim /etc/polkit-1/rules.d/10-allow-all-usb.rules

# Заменяем все содержимое на код ниже.
polkit.addRule(function(action, subject) {
    // Разрешаем ВСЕ что может быть связано с накопителями
    if (action.id.indexOf("udisks") >= 0 ||
        action.id.indexOf("disk") >= 0 ||
        action.id.indexOf("drive") >= 0 ||
        action.id.indexOf("storage") >= 0 ||
        action.id.indexOf("device") >= 0 ||
        action.id.indexOf("mount") >= 0 ||
        action.id.indexOf("unmount") >= 0 ||
        action.id.indexOf("eject") >= 0 ||
        action.id.indexOf("filesystem") >= 0 ||
        action.id.indexOf("block") >= 0) {
        return polkit.Result.YES;
    }
});
sudo systemctl restart polkit

Любое новое USB-устройство рекомендуется сначала подключить под локальной учёткой master
а после уже проверять под Доменным пользователем.

03. Политики Audio устройств

sudo vim /etc/security/group.conf

*;*;*;Al0000-2400;audio,pulse,pulse-access

Добавление в группу audio

sudo groupadd -r audio 2>/dev/null || echo "Группа audio уже существует"
sudo groupadd -r pulse 2>/dev/null || echo "Группа pulse уже существует"
sudo groupadd -r pulse-access 2>/dev/null || echo "Группа pulse-access уже существует" 

Если Звуковых устройств все равно нет, иногда помогает Перезагрузка от Доменного пользователя и повторный вход

04. Сохранение последних входов ОС

sudo dnf install accountfilecreator

05. Вывод из Домена

sudo join-to-domain.sh
 Компьютер введен в домен dp.mosreg.ru. Вывести компьютер из домена?
 Продолжить выполнение (y/n)? y

 Удаление учетной записи ПК из домена.
 Введите имя контроллера домена или для продолжения нажмите ENTER:
 Введите имя администратора домена: krasavinivs
 Введите пароль администратора домена: 
 Учетная запись minsoc-00000000 отсутствовала в домене

 Компьютер minsoc-00000000 выведен из домена.

06. Разблокировка АРМ [SecretNet]

sudo /opt/secretnet/sbin/snfc -i
sudo /opt/secretnet/sbin/snunblock


Back to top