ALD Pro. Почему мы решили сделать свое решение для централизованного управления доменом на ОС Astra Linux
Это моя первая статья на «Хабре», и для начала я бы хотел представиться. Меня зовут Евгений Паутов. С сентября 2020 года я работаю менеджером продукта ALD Pro в ГК «Астра». Если говорить о компании, то ее основное направление — это разработка отечественной операционной системы Astra Linux. Помимо самой ОС, ведется разработка нескольких прикладных решений:
- программный комплекс для централизованного управления доменом ALD Pro;
- система виртуализации «Брест»;
- диспетчер подключений виртуальных рабочих мест Termidesk;
- средства резервного копирования RuBackup;
- система управления корпоративной почтой RuPost.
Более подробную информацию об этих продуктах можно найти на официальном сайте компании.
В этой статье речь пойдет про ALD Pro.
Сегодня для администрирования домена на Linux в основном используется открытый программный продукт FreeIPA. Решение достаточно популярное и многофункциональное. Но для его использования требуется достаточно хорошее понимание работы Linux-систем. Также необходимо знание английских терминов, так как перевод FreeIPA не всегда бывает точным и не совпадает с терминологией, к которой привыкли администраторы Windows. В итоге мы получаем ситуацию, когда на волне повсеместного импортозамещения администраторам, привыкшим к работе с MS Active Directory, требуется дополнительное время на погружение и изучение специфики Linux. Для организаций это влечет дополнительные ресурсы на обучение сотрудников, а иногда временные задержки при переходе на отечественное ПО. Особенно это заметно при внедрении в регионах, где не всегда можно встретить достаточно квалифицированных специалистов.
Даже имея соответствующую квалификацию и опыт работы, администрировать Linux порой непросто: до сих пор не было доступных решений для работы с групповыми политиками, удаленной установки ПО и других вещей, с которыми админы сталкиваются ежедневно. Приходится использовать несколько решений, а не только FreeIPA, и часто возникает необходимость в написании скриптов или даже программировании.
Мы воспользовались опытом нашего департамента внедрения и сопровождения в части развертывания и настройки у заказчиков систем управления доменом и собрали функциональные требования к системе, которая позволила бы упростить как администрирование Linux, так и переход на подобное решение с импортного ПО. После этого провели аналитику рынка текущих программных продуктов и в результате пришли к выводу, что систем с требуемой функциональностью практически нет.
Мы декомпозировали весь скоуп требований, расписали пользовательские сценарии и приступили к разработке системы. В этот раз мы начали не с написания кода, а с проектирования интерфейса, ориентируясь на необходимый клиентам функционал. Каждый макет, каждая экранная форма и сценарии в целом согласовывались со специалистами из департамента внедрения, которые понимают специфику администрирования ОС Astra Linux и имеют достаточный опыт работы с администраторами.
На первом этапе был разработан и протестирован на фокус-группе кликабельный прототип системы. Параллельно мы спроектировали архитектуру, выбрали оптимальные компоненты, чтобы построить полноценное решения для администрирования домена. Подробнее о критериях и методике выбора компонент я расскажу в следующей статье.
Итак, что же такое ALD Pro?
ALD Pro представляет собой web-приложение с доступом из браузера. Обязательное условие для начала работы с системой — наличие соответствующих прав доменной учетной записи администратора. Авторизация происходит по протоколу Kerberos, и сотруднику не требуется вводить учетные данные.
При запуске системы администратор видит экран рабочего стола, где по модулям разделена вся базовая функциональность для администрирования парка компьютеров.
ALD Pro позволяет настраивать и управлять:
- параметрами домена;
- иерархией организационной структуры;
- объектами домена: компьютерами, пользователям и группами;
- групповыми политиками организаций и подразделений (по аналогии с MS Active Directory);
- политиками паролей и доступом к узлу;
- ролями и службами сайтов;
- такими сетевыми сервисами как разрешение имен, синхронизация времени, DNS, службы печати и доступ к файлам.
Помимо управления самим доменом, в системе реализован ряд других немаловажных функций:
- установка ОС по сети;
- инсталляция и обновление ПО на подключенных компьютерах;
- удаленный доступ к рабочим столам пользователей;
- мониторинг состояния домена и серверов;
- журналирование событий и просмотр системных логов;
- миграция данных из MS Active Directory.
Интерфейс системы ориентирован на максимально удобное и простое использование:
Информация о работе с ALD Pro доступна прямо из интерфейса — нет необходимости читать отдельную документацию.
По нажатию на кнопку открывается «Справочный центр» с полной информацией о работе с ALD Pro в соответствии со структурой системы.
Разделы сгруппированы логически, а навигация по ним вынесена в верхнюю часть, что позволило увеличить полезную рабочую область.
В списки вынесена наиболее важная оперативная информация, а также реализованы сквозной поиск и фильтрация данных.
Часто используемые функции, такие как меню или элементы управления групповыми операциями, по умолчанию скрыты и отображаются в зависимости от контекста (выполняемых действий).
Результат выполнения операций отображается в виде уведомлений.
Для полей ввода данных добавлены текстовые пояснения на русском языке, а также настроены правила валидации для исключения ошибок при вводе информации.
Забегая вперед, скажу, что «под капотом» для управления службой каталогов используется та же FreeIPA, но с некоторыми изменениями в части работы с ней:
- добавлена возможность управления иерархией подразделений как отдельной сущностью, аналогично оргюнитам в MS AD;
- оптимизирована скорость работы FreeIPA при работе с большим количеством записей;
- в интерфейс ALD Pro вынесены только необходимые поля данных, которые нужно заполнить, и это позволило значительно «разгрузить» интерфейс пользователя;
- есть возможность добавлять кастомные поля в карточки пользователей (на уровне объектов домена).
Roadmap ALD Pro
В апреле 2021 выпущен MVP системы, который в течение всего года был продемонстрирован более 100 организациям. С января 2022 года многие заказчики уже получили релиз-кандидат, который смогли протестировать самостоятельно.
На основании обратной связи можно делать вывод, что рынок нуждается в подобном решении — многие хотели бы его использовать.
Безусловно, многие функции, которые есть в MS AD, еще предстоит реализовать, но базовые сценарии администрирования уже будут доступны в 1 релизе, который запланирован на первую половину 2022 года.
Наша команда верит: администрировать Linux станет проще и удобнее. Идея и кредо, заложенное в продукт, звучит так: «Простое решение сложных задач».
ALD Pro как замена Active Directory?
Сегодня многие западные корпорации ввели против России санкции. Не стала исключением и Microsoft. В результате у российских клиентов этого софтверного гиганта встал вопрос: что делать со всем тем, что ранее работало под управлением продуктов данной компании? Альтернативы операционным системам и офисным пакетам худо-бедно есть (здесь мы это обсуждать не будем), но есть один продукт, который является краеугольным камнем практически любой корпоративной информационной инфраструктуры — Active Directory (AD). Как быть с ней? За предыдущие 22 года этот продукт прочно вошел в подавляющее большинство предприятий, став основой для централизованного управления учетными записями пользователей и компьютеров, а также централизованного управления настройками компьютеров посредством групповых политик. Это мощный, но при этом достаточно простой и понятный в применении инструмент.
Рассмотрим какие у нас есть альтернативы Active Directory.
· SAMBA — программный комплекс, который изначально строился как свободная альтернатива продуктам Microsoft. В 4 версии был реализован режим Active Directory.
· FreeIPA — разрабатывался изначально как нечто альтернативное AD, но не повторяет его в деталях. Общего с AD — LDAP и Kerberos, но внутреннее техустройство другое. Свободное ПО.
· ALD — разработка РусБИТех-Астра. Построена на базе SAMBA. Реализован домен наподобие NT 4.0.
· ALD Pro — новый продукт от РусБИТех-Астра на основе FreeIPA.
Итак, у нас имеется несколько альтернатив. В чем их особенности, преимущества и недостатки?
SAMBA — подходит как для работы с Windows клиентами, так и с Linux. Для Windows клиентов можем применить групповую политику, но для Linux групповые политики недоступны. Плюс к этому имеется ряд ограничений (см. например: https://habr.com/ru/post/272777/).
FreeIPA — ориентирована на работу с клиентами *nix систем (не только Linux). Но Windows клиенты фактически не поддерживаются (условно поддерживаются, но после танца с бубном, см. к примеру https://redos.red-soft.ru/base/arm/arm-domen/windows-in-ipa/ ). Вторя проблема — это отсутствие групповых политик от слова совсем.
ALD — модифицированный РусБИТех-Астра домен SAMBA. Функционал подобен домену NT 4.0 (SAMBA3). Ориентирован на клиентов под управлением Astra Linux. Считается устаревшим, хотя в версии 1.7.х пакеты для него все еще присутствуют.
ALD Pro — новый продукт от РусБИТех-Астра (http://www.aldpro.ru/). В основе домен FreeIPA. Основные компоненты которого:
· 389 Directory Server — служба каталогов LDAP;
· MIT Kerberos — аутентификация клиентов и сервисов;
· SaltStack — реализует механизм групповых политик.
Помимо этого, могут быть настроены дополнительные службы для домена, а именно: мониторинга (Zabbix + Graphana), централизованного сбора журналов (Fluentd), DHCP, репозиториев, автоматической установки ОС, печати и файловый сервер.
Ориентирован ALD Pro на работу прежде всего с Astra Linux. Потенциально другие клиенты Linux работать в домене будут, но как централизовано управлять ими вам придется самим решать.
Управление компонентами системы и клиентами в ALD Pro реализовано через веб-интерфейс. Что существенно упрощает жизнь администраторам, особенно тем, кто не желает вдаваться в подробности внутреннего мира Linux.
В службе каталогов ALD Pro реализована возможность создать организационную структуру, которая (как и в AD) используется как для организации объектов, так и для применения политик и делегирования полномочий.
Помимо непосредственно службы каталога в ALD Pro имеется механизм централизованной настройки клиентов. Этот механизм можно разделить на три составляющие групповые политики, управление программным обеспечением клиентов и задания автоматизации. Применяется все это посредством Saltstack. Для групповых политик вы можете использовать уже имеющиеся политики или создать свои, для этого придется написать скрипт на Saltstack. Принцип работы групповых политик похож на то, что имеется в AD: на сервере определяется политика, она назначается на подразделение и применяется к пользователям или компьютерам. Задания автоматизации, в отличие от политик, применяются однократно и на выбранные компьютеры. Задания автоматизации необходимо предварительно создать.
Еще несколько важных слов в отношении ALD Pro
Можно ли с помощью ALD Pro полностью заместить Active Directory? Нет, нельзя. Она поддерживает только клиентов Astra Linux, потенциально и другие ОС Linux. Вы можете настроить доверительные отношения с доменом AD или сд елать миграцию пользователей. Но просто заменить одно на другое не получится.
Сможет ли условный администратор AD пересесть на ALD Pro? Это тоже не так. Интерфейс и логика управления совершенно другие. Придется все это изучать. Хотя ALD Pro предлагает упрощенный способ управления доменной средой, но не стоит забывать поговорку: «Гладко было на бумаге, да забыли про овраги». Стандартные задачи решаются довольно просто, но любое отклонение от заданного шаблона приводит к необходимости детального изучения вопроса и выработки соответствующего решения, что невозможно без досконального знания внутреннего строения операционной системы и ALD Pro.
Стоит ли это все применять? Да, стоит! ALD Pro — это законченное решение в отличие от других. В ALD Pro сосредоточены не только управление доменом, но и жизненным циклом операционных систем, которые работают в этом домене, от установки ОС до настройки индивидуальных параметров. И управление в общем реализовано не в виде привычного для администратора Linux копания в командной строке, но посредством удобного и стандартизированного веб-интерфейса.
А для тех, кого все это заинтересовало милости просим к нам на курсы по ALD Pro — AP-1101 и другие курсы для администраторов Astra Linux.
Адрес: Екатеринбург,
улица Хохрякова, 74, оф. 905 Телефон: (343) 286-17-86
(3452) 688-899 E-mail: info@itcloud-edu.ru