- 1智源发布人脸识别与公共卫生调研报告
- 2用Python自动生成Excel数据报表!_matlab 生成excel报表
- 3AIGC笔记--关节点6D位姿按比例融合
- 4Subgraph Federated Learning with Missing Neighbor Generation——打工日记1_graphsagenodegenerator
- 5迷路的小明_有一迷宫可以视为一个n×m矩阵,每个位置要么是空地,要么是墙。小红只可上下左右移
- 6Open CV 图像处理作业_open cv数字图像处理大作业
- 7OpenHarmony应用签名 - 系统应用签名(4.0-Release)_openharmoney系统签名
- 8Net Present Value - NPV_the net present value of an
- 9编译linux内核,uklin换内核_linux pub_enable_random_code_validate
- 10操作系统的启动过程_操作系统启动过程
官方必读!脚本附赠技术教程系列:麒麟天御安全域管平台V4.0.0服务端应用配置(5)
赞
踩
1.远程连接配置
建议用加域终端发起远程,部分版本没有远程工具包,需要在组织架构-组织终端界面点击“下载远程依赖”下载安装远程工具。
如果用非加域终端发起远程,需要满足以下条件:
- 安装remina依赖包(在域控客户端安装包里有):remmina,remmina-common,remmina-plugin-rdp,remmina-plugin-vnc,remmina-plugin-secret
注意:安装包时必须用apt install ./包名 安装,避免破坏依赖环境。
部分版本没有远程工具包,需要在组织架构-组织终端界面点击“下载远程依赖”下载安装远程工具。
- 修改终端上的远程连接配置文件/etc/kylin-os-manager/kylin-os-manager-plugin.ini,内容参考加域终端同位置配置文件或服务端apt-data/vncPkg/kylin-os-manager-plugin.ini。
FAQ:
- 部分版本镜像远程连接客户端会被kysec拦截,表现为打开远程连接后提示连接被关闭。
此时需要在被控终端上执行sudo setstatus disable关闭kysec再尝试连接。
2.级联配置
- 说明
高可用环境使用级联功能时,需要把dns服务器注册到集群,以便解析级联服务器的域名。
另:配置级联之后,终端需要重启才能进行跨域登录。
- 操作步骤
执行kubectl edit cm -n kube-system coredns
添加以下内容(把<Server-IP修改为实际的dns服务器地址>)
<domain-postfix>:53 {
errors
cache 30
forward . <Server-IP>
}
3.NTP时间同步配置
3.1.说明
- 如果客户方统一对所有服务器和终端配置了时间同步,不用做这一步。
- 如果客户没有提供,可以参考以下步骤开启域控服务器上的ntp服务,让所有域控终端与域控服务端进行时间同步,保障域控功能正常使用。
- 终端与域控服务端时间相差太大时可能无法同步成功,需要手动修改或者启用ntpd时间同步。
- 高可用环境的域控服务端时间同步由麒麟云团队在集群里实现。
3.2.配置域控终端与域控服务端时间同步操作步骤
1)修改/etc/chrony.conf配置文件,在任意位置新增以下行。
- allow 0.0.0.0/0
- 2)检查chronyc服务状态,通常已默认开启,用restart重启服务。
- systemctl status rsyncd.service
- systemctl restart rsyncd.service
3)如果没有开启,执行以下命令启动服务。
- systemctl start rsyncd.service
- systemctl enable rsyncd.service
- 4)登录域控平台,修改系统管理-系统设置-客户端NTP配置为域控服务端域名或IP,终端会在下次心跳接收并更新ntp服务器。
3.3.配置域控服务端与上游NTP服务器时间同步操作步骤(可选步骤)
1)修改/etc/chrony.conf配置文件,在任意位置新增以下行
server 上游ntp域名 iburst
2)重启chrony.conf服务
systemctl restart rsyncd
3)查看同步状态
chronyc sources -v
4.软件商店配置
4.1.说明
如果需要对接软件商店,需要修改对应配置。
4.2.操作步骤
1)修改配置文件
单点环境:部署目录下的config/kcm/monit-web/config.conf
高可用环境:kcall里的/opt/deploy/application/tianyu/templates/kcm-06-monit-web/monit-web-configMap.yaml
把配置文件里的uksc_url、uksc_host、uksc_port、admin_username、
admin_password修改为实际的软件商店连接信息。
2)重启服务生效
单点环境:docker restart monit-web
高可用环境:参考应用部署文档,卸载再安装tianyu。
5.服务端备份文件目录配置
5.1.说明
高可用环境暂不支持服务端自动备份功能。
单点环境默认备份目录为域控部署目录下的backups文件夹,通常不用修改。
如果一定要修改,参考以下步骤。
5.2.操作步骤
1)打开部署目录下的docker-compose.yml文件,找到- ./backups:/home/backups行,把./backups修改为想要设置的绝对路径,例如要保存到/opt下面就改成/opt。
2)在docker-compose.yml文件同级目录执行docker-compose up -d生效。
3)如果要同步修改页面显示的目录位置,需要修改部署目录下config/kcm/monit-web/config.conf文件里的back_path路径为/opt,执行docker restart monit-web生效。
常见问题FAQ
1)高可用环境部署完成之后激活失败。
检查mysql数据库里机器码是否出现脏数据
select * from monitor_config where param_name='activation_id';
如果有脏数据则清理掉(仅保留申请的授权机器码)。
delete from monitor_config where param_name='activation_id' and param_value!='申请的机器码';
刷新界面再重新激活。
2)域用户认证失败
在单点环境中重启了服务器之后,可能导致kerberos服务先于mysql启动导致启动失败,影响域用户登录认证。此时需要重启kerberos服务:docker restart kim-kerberos
