Это моя первая статья на «Хабре», и для начала я бы хотел представиться. Меня зовут Евгений Паутов. С сентября 2020 года я работаю менеджером продукта ALD Pro в ГК «Астра». Если говорить о компании, то ее основное направление — это разработка отечественной операционной системы Astra Linux. Помимо самой ОС, ведется разработка нескольких прикладных решений:

  • программный комплекс для централизованного управления доменом ALD Pro;

  • система виртуализации «Брест»;

  • диспетчер подключений виртуальных рабочих мест Termidesk;

  • средства резервного копирования RuBackup;

  • система управления корпоративной почтой RuPost.

Более подробную информацию об этих продуктах можно найти на официальном сайте компании.

В этой статье речь пойдет про ALD Pro.

Сегодня для администрирования домена на Linux в основном используется открытый программный продукт FreeIPA. Решение достаточно популярное и многофункциональное. Но для его использования требуется достаточно хорошее понимание работы Linux-систем. Также необходимо знание английских терминов, так как перевод FreeIPA не всегда бывает точным и не совпадает с терминологией, к которой привыкли администраторы Windows. В итоге мы получаем ситуацию, когда на волне повсеместного импортозамещения администраторам, привыкшим к работе с MS Active Directory, требуется дополнительное время на погружение и изучение специфики Linux. Для организаций это влечет дополнительные ресурсы на обучение сотрудников, а иногда временные задержки при переходе на отечественное ПО. Особенно это заметно при внедрении в регионах, где не всегда можно встретить достаточно квалифицированных специалистов.

Даже имея соответствующую квалификацию и опыт работы, администрировать Linux порой непросто: до сих пор не было доступных решений для работы с групповыми политиками, удаленной установки ПО и других вещей, с которыми админы сталкиваются ежедневно. Приходится использовать несколько решений, а не только FreeIPA, и часто возникает необходимость в написании скриптов или даже программировании.

Мы воспользовались опытом нашего департамента внедрения и сопровождения в части развертывания и настройки у заказчиков систем управления доменом и собрали функциональные требования к системе, которая позволила бы упростить как администрирование Linux, так и переход на подобное решение с импортного ПО. После этого провели аналитику рынка текущих программных продуктов и в результате пришли к выводу, что систем с требуемой функциональностью практически нет.

Мы декомпозировали весь скоуп требований, расписали пользовательские сценарии и приступили к разработке системы. В этот раз мы начали не с написания кода, а с проектирования интерфейса, ориентируясь на необходимый клиентам функционал. Каждый макет, каждая экранная форма и сценарии в целом согласовывались со специалистами из департамента внедрения, которые понимают специфику администрирования ОС Astra Linux и имеют достаточный опыт работы с администраторами.

На первом этапе был разработан и протестирован на фокус-группе кликабельный прототип системы. Параллельно мы спроектировали архитектуру, выбрали оптимальные компоненты, чтобы построить полноценное решения для администрирования домена. Подробнее о критериях и методике выбора компонент я расскажу в следующей статье.

Итак, что же такое ALD Pro?

ALD Pro представляет собой web-приложение с доступом из браузера. Обязательное условие для начала работы с системой — наличие соответствующих прав доменной учетной записи администратора. Авторизация происходит по протоколу Kerberos, и сотруднику не требуется вводить учетные данные.

При запуске системы администратор видит экран рабочего стола, где по модулям разделена вся базовая функциональность для администрирования парка компьютеров.

ALD Pro позволяет настраивать и управлять:

  • параметрами домена;

  • иерархией организационной структуры;

  • объектами домена: компьютерами, пользователям и группами;

  • групповыми политиками организаций и подразделений (по аналогии с MS Active Directory);

  • политиками паролей и доступом к узлу;

  • ролями и службами сайтов;

  • такими сетевыми сервисами как разрешение имен, синхронизация времени, DNS, службы печати и доступ к файлам.

Помимо управления самим доменом, в системе реализован ряд других немаловажных функций:

  • установка ОС по сети;

  • инсталляция и обновление ПО на подключенных компьютерах;

  • удаленный доступ к рабочим столам пользователей;

  • мониторинг состояния домена и серверов;

  • журналирование событий и просмотр системных логов;

  • миграция данных из MS Active Directory.

Интерфейс системы ориентирован на максимально удобное и простое использование:

Информация о работе с ALD Pro доступна прямо из интерфейса — нет необходимости читать отдельную документацию.

По нажатию на кнопку открывается «Справочный центр» с полной информацией о работе с ALD Pro в соответствии со структурой системы.

Разделы сгруппированы логически, а навигация по ним вынесена в верхнюю часть, что позволило увеличить полезную рабочую область.

В списки вынесена наиболее важная оперативная информация, а также реализованы сквозной поиск и фильтрация данных.

Часто используемые функции, такие как меню или элементы управления групповыми операциями, по умолчанию скрыты и отображаются в зависимости от контекста (выполняемых действий).

Результат выполнения операций отображается в виде уведомлений.

Для полей ввода данных добавлены текстовые пояснения на русском языке, а также настроены правила валидации для исключения ошибок при вводе информации.

Забегая вперед, скажу, что «под капотом» для управления службой каталогов используется та же FreeIPA, но с некоторыми изменениями в части работы с ней:

  • добавлена возможность управления иерархией подразделений как отдельной сущностью, аналогично оргюнитам в MS AD;

  • оптимизирована скорость работы FreeIPA при работе с большим количеством записей;

  • в интерфейс ALD Pro вынесены только необходимые поля данных, которые нужно заполнить, и это позволило значительно «разгрузить» интерфейс пользователя;

  • есть возможность добавлять кастомные поля в карточки пользователей (на уровне объектов домена).

Roadmap ALD Pro

В апреле 2021 выпущен MVP системы, который в течение всего года был продемонстрирован более 100 организациям. С января 2022 года многие заказчики уже получили релиз-кандидат, который смогли протестировать самостоятельно.

На основании обратной связи можно делать вывод, что рынок нуждается в подобном решении — многие хотели бы его использовать.

Безусловно, многие функции, которые есть в MS AD, еще предстоит реализовать, но базовые сценарии администрирования уже будут доступны в 1 релизе, который запланирован на первую половину 2022 года.

Наша команда верит: администрировать Linux станет проще и удобнее. Идея и кредо, заложенное в продукт, звучит так: «Простое решение сложных задач».

Продолжение следует.

Комментарии (21)


  1. CMEPTbI4
    21.03.2022 17:41

    Что насчет поддержки других дистрибутивов? Какой-то клиент для управления ими будет?


    1. epautov
      21.03.2022 18:48
      +1

      В 1 релизе ALD Pro будет поддерживать только ОС Astra Linux. В будущем планируем реализовать поддержку других дистрибутивов.


  1. shokedjobana
    21.03.2022 17:54
    +1

    Подскажите, сколько все это стоит? Клиентские АРМ тоже нужно лицензировать?


    1. epautov
      21.03.2022 18:49

      Есть два типа лицензий: серверные и клиентские. Цены можно запросить по официальным каналам.


      1. shokedjobana
        21.03.2022 19:04
        +3

        То есть мне нужно отдельно заплатить за каждый компьютер который я ввожу в ваш домен помимо стоимости самого дистрибутива, я все правильно понял?


  1. denrus19
    21.03.2022 18:04
    -4

    Автор, спасибо за статью. Спасибо, что продвигаете *nix-технологии :)))


  1. AndreyAf
    21.03.2022 18:48
    +3

    Самый скользкий момент: каким образом у вас Apache или другой ваш веб сервис запускает команды с правами администратора? Меня интересует именно ваш реализованный вариант.


  1. silinio
    21.03.2022 19:49
    +1

    задам вопрос по дистрибутиву — будет ли сопровождаться Орёл в дальнейшем (подобно Альт Линуксу), или вы сосредоточитесь только на корпоративных/платных юзерах?


  1. SlFed
    21.03.2022 23:06

    А есть ли поддержка иерархической структуры доменов (типа "дерева" в MS AD)?


  1. iwram
    22.03.2022 07:57
    +3

    Вопрос не к вам, а ко всему блогу в целом. Почему на техническом ресурсе, техническая компания пишет только маркетинговый контент, где эти ваши "Для того, чтобы домен заработал корректно, надо настроить apparmor, в качестве фронта на наших серверах используется устаревшая пропатченная версия apache2, логи мы до сих пор пишем в xml, потому что json для новичков" и тп.

    Очень прошу написать нормальную статью. Даже про виртуализацию брест на основе opennebula - укажите, что получит потребитель платное за проработанный вами бесплатный софт.


    1. CMEPTbI4
      22.03.2022 08:30
      +1

      Присоединяюсь к вопросу, пока даже от накруток поверх freeipa обычного в астре только неудобства, хотя казалось бы зачем ломать работающее. Например добавлены классы с названиями вида ald-*-*, из-за которых у обычного freeipa клиента других дистрибутивов при вводе в домен ошибки и приходится модифицировать файлы. А тут лок на один дистрибутив и вопросы по работе и устройству возникают.


      1. unsignedchar
        22.03.2022 08:44
        +1

        хотя казалось бы зачем ломать работающее

        А тут лок на один дистрибутив

        Sic.


  1. Melonom
    22.03.2022 08:42

    А почему выбор пал на вэб интерфейс а не как это реализовано у MS? Понимаю что на серверах под линухой графический интерфейс это нонсенс, но если всё это планируется как замена решений от MS, то было практичнее задуматься он графике, что бы малоопытные спецы не обливались потом в консоле/терминале, спокойно тыкали мышкой в нужные кнопки.


    1. unsignedchar
      22.03.2022 08:50

      Можно тыкать мышкой по веб интерфейсу ;)

      Веб-админпанель не нужно устанавливать, она доступна с любого места. Это очень сильно упрощает.


      1. IvashkaR
        22.03.2022 10:05

        Лучше через веб чем в командной строке всё настраивать (с исключениями конечно). Цена создания и поддержки веб интерфейса и полного граф интерфейса несопоставима. Внесение изменений получается оперативнее с веб. Да и не стоит задача скопировать MS Win. Функционал присутствует и его ещё допиливать нужно (особенно справки и тех документацию).


        1. unsignedchar
          22.03.2022 10:36

          Цена создания и поддержки веб интерфейса и полного граф интерфейса несопоставима.

          С чего бы? Закодировать кнопку в Delphi (qtcreator, etc) несложно. Web GUI его тоже не на чистом HTML в блокноте пишут.

          Самодельное GUI - это свой собственный клиент и свой собственный сервер. Web GUI - это стандартный браузер и стандартный Apache. Web - проще.


      1. Melonom
        22.03.2022 11:18

        Можно тыкать мышкой по веб интерфейсу ;)

        Для этого нужен второй комп.

        Возможность настройки через гуй была бы далеко не лишней.


        1. unsignedchar
          22.03.2022 12:04

          Для этого нужен второй комп.

          Корпоративная сеть из одного компа очень редко бывает :). Но если не повезло, и второго компа в сети нет - в чем проблема запускать браузер на localhost?


  1. Urub
    22.03.2022 11:18
    +1

    TL;DR = менеджеры астры стали делать отчеты о своей работе на хабре


  1. SVA_12
    22.03.2022 15:06

    Пришли компьютеры с Astra Linux. При вводе в домен компьютера каждая машина ведёт себя по разному, 1 заходит сразу, 2 не заходит совсем, 3 заходит предварительно подумав несколько минут. На всех машинах все действия были одинаковые, все они были из коробки ( то есть конфигурация не менялась и ничего не настраивалось). После такого опыта постоянства ОС, знакомиться с другими продуктами желания нет.


    1. unsignedchar
      22.03.2022 19:39
      +1

      Время не синхронизировано?