Как ALD Pro расширяет охват клиентских операционных систем
Присоединение рабочих станций к домену предприятия позволяет обеспечить единую точку входа, централизованное управление правами доступа, установку и настройку программного обеспечения — все то, без чего невозможно поддерживать ИТ-инфраструктуру на том же уровне удобства и безопасности, сохраняя прежний размер команды системных администраторов.
Последние два десятилетия на рынке доменных решений господствовала служба каталога Active Directory от Microsoft, но после известных событий отечественным компаниям срочно потребовалось найти адекватную замену для управления инфраструктурой компьютеров на Linux.
К счастью, на тот момент уже существовало несколько альтернативных решений. Например, можно использовать связку Winbind на клиентах и Samba AD на серверах или взять службу SSSD — преемницу Winbind, которая разрабатывалась специально для каталога FreeIPA, но с ограниченной функциональностью обеспечивает работу компьютера Linux с доменом Samba AD, областью Kerberos и даже с обычным LDAP v3 каталогом.
С помощью указанных открытых продуктов можно обеспечить базовые потребности предприятий по централизованному управлению идентификационной информацией, но остается много деталей, требующих доработки, поэтому сообщество пристально следит за созданием коммерческих продуктов на базе этих решений, особенно за развитием ALD Pro от «Группы Астра».
С продуктом поставляются сотни параметров групповых политик, разработанных и проверенных специально для ОС Astra Linux, что позволяет управлять параметрами операционной системы без необходимости написания скриптов. В версии ALD Pro 2.0 появилась возможность настройки дополнительных параметров групповых политик, позволяющая интеграторам и клиентам обеспечить конфигурирование других ОС, а также управлять ими с использованием механизмов, к которым уже так привыкли администраторы, т.е. через графический интерфейс. Таким образом данная доработка позволит не просто вводить в домен устройства на других ОС семейства Linux, но и управлять ими. Администраторы с опытом работы в Linux смогут выполнить процесс установки агента и создадут необходимые групповые политики под целевую операционную систему самостоятельно.
Стоит отметить, что продуктовая команда ALD Pro использует данный механизм настройки кастомных групповых политик. С его помощью системные аналитики (а не разработчики) в сжатые сроки настроили набор параметров для управления настройками безопасности операционной системы в соответствии с приказами ФСТЭК №17 и №21, когда данная необходимость возникла на одном из пилотных проектов.
В основе решения ALD Pro лежит служба каталога FreeIPA, аббревиатура которой указывает на три базовых функции — идентификацию, политики и аудит (от англ. Identity, Policy, Audit). Задачи идентификации в IPA реализованы на отлично, для этого разработчики взяли один из лучших LDAP-серверов 389 Directory Server, интегрировали с ним эталонную реализацию Kerberos SSO от MIT и проверенную годами DNS-службу ISC Bind9. А вот функции политик и аудита находятся еще на базовом уровне, поэтому команда ALD Pro дополнила систему реализацией групповых политик по примеру Active Directory, интегрируя со службой каталога одну из лучших систем управления конфигурациями от SaltStack.
Если же говорить о базовых функциях аутентификации и авторизации, то к домену можно присоединить любой Linux-компьютер, для которого имеется FreeIPA-клиент. В состав рабочей документации включены рекомендации для выполнения этой процедуры для нескольких альтернативных операционных систем. После присоединения компьютера к домену администратору станут доступны базовые политики службы SSSD, такие как правила HBAC для ограничения доступа пользователей к определенным хостам и правила SUDO, с помощью которых можно настраивать разрешения для запуска различных утилит с повышенными привилегиями.
Более того, в составе домена ALD Pro (FreeIPA) могут работать даже компьютеры под управлением операционной системы Windows, в которую еще с 2000-х годов встроили поддержку области Kerberos от MIT. И это может быть не какое-то сопоставление на локальную учетную запись с аутентификацией через KDC, а полноценная работа под доменной учетной записью: при входе за пользователем будет сохраняться его доменный SID, у него будет TGT-билет с полным перечнем идентификаторов из PAC-сертификата, он сможет выполнять прозрачную Kerberos-аутентификацию при обращении к файловым серверам и другим ресурсам в домене. Правильная настройка Windows-компьютера на работу в области Kerberos довольно сложна, поэтому продуктовой командой была разработана утилита с графическим интерфейсом, автоматизирующая выполнение необходимых действий.
Дополнительно со службой каталога в продукте представлен набором подсистем, реализующих наиболее востребованные сервисы, такие как репозиторий программного обеспечения на базе Reprepro, файловый сервер Samba, общий доступ к принтерам CUPS, сервис динамической настройки хостов ISC DHCP, установка ОС по сети TFTP HPA, мониторинг Zabbix и Grafana, журналирование syslog-ng. И, что немаловажно, все эти подсистемы объединяются единым порталом управления, с помощью которого можно выполнять большую часть задач администрирования без командной строки, поэтому для обработки заявок на обслуживание можно привлекать рядовых специалистов, делегируя им соответствующие полномочия.
Продуктовая команда активно развивает сценарии гибридного развертывания для расширения инструментов миграции. В версии 2.1.0 уже был представлен механизм глобального каталога ALD Pro для полноценной работы в двусторонних доверительных отношениях, который позволяет пользователям домена ALD Pro получать доступ к сервисам домена Microsoft и наоборот. В той же версии вышла в свет первая версия модуля синхронизации, с помощью которого можно синхронизировать информацию о пользователях в двух каталогах ALD Pro и Active Directory, включая их пароли. И вот теперь появится возможность более функционального присоединения Windows-компьютеров напрямую к домену ALD Pro. Мы будем рады, если наши продукты и наработки помогут вам в реализации программы импортозамещения на вашем предприятии.