ALD Pro как замена Active Directory?

Альтернативы Active Directory

Рассмотрим какие у нас есть альтернативы Active Directory.

·   SAMBA — программный комплекс, который изначально строился как свободная альтернатива продуктам Microsoft. В 4 версии был реализован режим Active Directory.

·   FreeIPA — разрабатывался изначально как нечто альтернативное AD, но не повторяет его в деталях. Общего с AD - LDAP и Kerberos, но внутреннее техустройство другое. Свободное ПО.

·   ALD — разработка РусБИТех-Астра. Построена на базе SAMBA. Реализован домен наподобие NT 4.0.

·   ALD Pro — новый продукт от РусБИТех-Астра на основе FreeIPA.

Итак, у нас имеется несколько альтернатив. В чем их особенности, преимущества и недостатки?

SAMBA — подходит как для работы с Windows клиентами, так и с Linux. Для Windows клиентов можем применить групповую политику, но для Linux групповые политики недоступны. Плюс к этому имеется ряд ограничений (см. например: https://habr.com/ru/post/272777/).

FreeIPA — ориентирована на работу с клиентами *nix систем (не только Linux). Но Windows клиенты фактически не поддерживаются (условно поддерживаются, но после танца с бубном, см. к примеру https://redos.red-soft.ru/base/arm/arm-domen/windows-in-ipa/). Вторя проблема - это отсутствие групповых политик от слова совсем.

ALD — модифицированный РусБИТех-Астра домен SAMBA. Функционал подобен домену NT 4.0 (SAMBA3). Ориентирован на клиентов под управлением Astra Linux. Считается устаревшим, хотя в версии 1.7.х пакеты для него все еще присутствуют.

ALD Pro — новый продукт от РусБИТех-Астра (http://www.aldpro.ru/). В основе домен FreeIPA. Основные компоненты которого:

·         389 Directory Server — служба каталогов LDAP;

·         MIT Kerberos — аутентификация клиентов и сервисов;

·         BIND9 — DNS сервер;

·         SaltStack — реализует механизм групповых политик.

Помимо этого, могут быть настроены дополнительные службы для домена, а именно: мониторинга (Zabbix + Graphana), централизованного сбора журналов (Fluentd), DHCP, репозиториев, автоматической установки ОС, печати и файловый сервер.

Ориентирован ALD Pro на работу прежде всего с Astra Linux. Потенциально другие клиенты Linux работать в домене будут, но как централизовано управлять ими вам придется самим решать.

Управление компонентами системы и клиентами в ALD Pro реализовано через веб-интерфейс. Что существенно упрощает жизнь администраторам, особенно тем, кто не желает вдаваться в подробности внутреннего мира Linux.

В службе каталогов ALD Pro реализована возможность создать организационную структуру, которая (как и в AD) используется как для организации объектов, так и для применения политик и делегирования полномочий.

Помимо непосредственно службы каталога в ALD Pro имеется механизм централизованной настройки клиентов. Этот механизм можно разделить на три составляющие групповые политики, управление программным обеспечением клиентов и задания автоматизации. Применяется все это посредством Saltstack. Для групповых политик вы можете использовать уже имеющиеся политики или создать свои, для этого придется написать скрипт на Saltstack. Принцип работы групповых политик похож на то, что имеется в AD: на сервере определяется политика, она назначается на подразделение и применяется к пользователям или компьютерам. Задания автоматизации, в отличие от политик, применяются однократно и на выбранные компьютеры. Задания автоматизации необходимо предварительно создать.

Еще несколько важных слов в отношении ALD Pro

Можно ли с помощью ALD Pro полностью заместить Active Directory? Нет, нельзя. Она поддерживает только клиентов Astra Linux, потенциально и другие ОС Linux. Вы можете настроить доверительные отношения с доменом AD или сделать миграцию пользователей. Но просто заменить одно на другое не получится.

Сможет ли условный администратор AD пересесть на ALD Pro? Это тоже не так. Интерфейс и логика управления совершенно другие. Придется все это изучать. Хотя ALD Pro предлагает упрощенный способ управления доменной средой, но не стоит забывать поговорку: «Гладко было на бумаге, да забыли про овраги». Стандартные задачи решаются довольно просто, но любое отклонение от заданного шаблона приводит к необходимости детального изучения вопроса и выработки соответствующего решения, что невозможно без досконального знания внутреннего строения операционной системы и ALD Pro.

Стоит ли это все применять? Да, стоит! ALD Pro - это законченное решение в отличие от других. В ALD Pro сосредоточены не только управление доменом, но и жизненным циклом операционных систем, которые работают в этом домене, от установки ОС до настройки индивидуальных параметров. И управление в общем реализовано не в виде привычного для администратора Linux копания в командной строке, но посредством удобного и стандартизированного веб-интерфейса.

А для тех, кого все это заинтересовало милости просим к нам на курсы по ALD Pro — AP-1101 и другие курсы для администраторов Astra Linux.