Это моя первая статья на «Хабре», и для начала я бы хотел представиться. Меня зовут Евгений Паутов. С сентября 2020 года я работаю менеджером продукта ALD Pro в ГК «Астра». Если говорить о компании, то ее основное направление — это разработка отечественной операционной системы Astra Linux. Помимо самой ОС, ведется разработка нескольких прикладных решений:
программный комплекс для централизованного управления доменом ALD Pro;
система виртуализации «Брест»;
диспетчер подключений виртуальных рабочих мест Termidesk;
средства резервного копирования RuBackup;
система управления корпоративной почтой RuPost.
Более подробную информацию об этих продуктах можно найти на официальном сайте компании.
В этой статье речь пойдет про ALD Pro.
Сегодня для администрирования домена на Linux в основном используется открытый программный продукт FreeIPA. Решение достаточно популярное и многофункциональное. Но для его использования требуется достаточно хорошее понимание работы Linux-систем. Также необходимо знание английских терминов, так как перевод FreeIPA не всегда бывает точным и не совпадает с терминологией, к которой привыкли администраторы Windows. В итоге мы получаем ситуацию, когда на волне повсеместного импортозамещения администраторам, привыкшим к работе с MS Active Directory, требуется дополнительное время на погружение и изучение специфики Linux. Для организаций это влечет дополнительные ресурсы на обучение сотрудников, а иногда временные задержки при переходе на отечественное ПО. Особенно это заметно при внедрении в регионах, где не всегда можно встретить достаточно квалифицированных специалистов.
Даже имея соответствующую квалификацию и опыт работы, администрировать Linux порой непросто: до сих пор не было доступных решений для работы с групповыми политиками, удаленной установки ПО и других вещей, с которыми админы сталкиваются ежедневно. Приходится использовать несколько решений, а не только FreeIPA, и часто возникает необходимость в написании скриптов или даже программировании.
Мы воспользовались опытом нашего департамента внедрения и сопровождения в части развертывания и настройки у заказчиков систем управления доменом и собрали функциональные требования к системе, которая позволила бы упростить как администрирование Linux, так и переход на подобное решение с импортного ПО. После этого провели аналитику рынка текущих программных продуктов и в результате пришли к выводу, что систем с требуемой функциональностью практически нет.
Мы декомпозировали весь скоуп требований, расписали пользовательские сценарии и приступили к разработке системы. В этот раз мы начали не с написания кода, а с проектирования интерфейса, ориентируясь на необходимый клиентам функционал. Каждый макет, каждая экранная форма и сценарии в целом согласовывались со специалистами из департамента внедрения, которые понимают специфику администрирования ОС Astra Linux и имеют достаточный опыт работы с администраторами.
На первом этапе был разработан и протестирован на фокус-группе кликабельный прототип системы. Параллельно мы спроектировали архитектуру, выбрали оптимальные компоненты, чтобы построить полноценное решения для администрирования домена. Подробнее о критериях и методике выбора компонент я расскажу в следующей статье.
Итак, что же такое ALD Pro?
ALD Pro представляет собой web-приложение с доступом из браузера. Обязательное условие для начала работы с системой — наличие соответствующих прав доменной учетной записи администратора. Авторизация происходит по протоколу Kerberos, и сотруднику не требуется вводить учетные данные.
При запуске системы администратор видит экран рабочего стола, где по модулям разделена вся базовая функциональность для администрирования парка компьютеров.
ALD Pro позволяет настраивать и управлять:
параметрами домена;
иерархией организационной структуры;
объектами домена: компьютерами, пользователям и группами;
групповыми политиками организаций и подразделений (по аналогии с MS Active Directory);
политиками паролей и доступом к узлу;
ролями и службами сайтов;
такими сетевыми сервисами как разрешение имен, синхронизация времени, DNS, службы печати и доступ к файлам.
Помимо управления самим доменом, в системе реализован ряд других немаловажных функций:
установка ОС по сети;
инсталляция и обновление ПО на подключенных компьютерах;
удаленный доступ к рабочим столам пользователей;
мониторинг состояния домена и серверов;
журналирование событий и просмотр системных логов;
миграция данных из MS Active Directory.
Интерфейс системы ориентирован на максимально удобное и простое использование:
Информация о работе с ALD Pro доступна прямо из интерфейса — нет необходимости читать отдельную документацию.
По нажатию на кнопку открывается «Справочный центр» с полной информацией о работе с ALD Pro в соответствии со структурой системы.
Разделы сгруппированы логически, а навигация по ним вынесена в верхнюю часть, что позволило увеличить полезную рабочую область.
В списки вынесена наиболее важная оперативная информация, а также реализованы сквозной поиск и фильтрация данных.
Часто используемые функции, такие как меню или элементы управления групповыми операциями, по умолчанию скрыты и отображаются в зависимости от контекста (выполняемых действий).
Результат выполнения операций отображается в виде уведомлений.
Для полей ввода данных добавлены текстовые пояснения на русском языке, а также настроены правила валидации для исключения ошибок при вводе информации.
Забегая вперед, скажу, что «под капотом» для управления службой каталогов используется та же FreeIPA, но с некоторыми изменениями в части работы с ней:
добавлена возможность управления иерархией подразделений как отдельной сущностью, аналогично оргюнитам в MS AD;
оптимизирована скорость работы FreeIPA при работе с большим количеством записей;
в интерфейс ALD Pro вынесены только необходимые поля данных, которые нужно заполнить, и это позволило значительно «разгрузить» интерфейс пользователя;
есть возможность добавлять кастомные поля в карточки пользователей (на уровне объектов домена).
Roadmap ALD Pro
В апреле 2021 выпущен MVP системы, который в течение всего года был продемонстрирован более 100 организациям. С января 2022 года многие заказчики уже получили релиз-кандидат, который смогли протестировать самостоятельно.
На основании обратной связи можно делать вывод, что рынок нуждается в подобном решении — многие хотели бы его использовать.
Безусловно, многие функции, которые есть в MS AD, еще предстоит реализовать, но базовые сценарии администрирования уже будут доступны в 1 релизе, который запланирован на первую половину 2022 года.
Наша команда верит: администрировать Linux станет проще и удобнее. Идея и кредо, заложенное в продукт, звучит так: «Простое решение сложных задач».
Продолжение следует.
Комментарии (21)
shokedjobana
21.03.2022 17:54+1Подскажите, сколько все это стоит? Клиентские АРМ тоже нужно лицензировать?
epautov
21.03.2022 18:49Есть два типа лицензий: серверные и клиентские. Цены можно запросить по официальным каналам.
shokedjobana
21.03.2022 19:04+3То есть мне нужно отдельно заплатить за каждый компьютер который я ввожу в ваш домен помимо стоимости самого дистрибутива, я все правильно понял?
AndreyAf
21.03.2022 18:48+3Самый скользкий момент: каким образом у вас Apache или другой ваш веб сервис запускает команды с правами администратора? Меня интересует именно ваш реализованный вариант.
silinio
21.03.2022 19:49+1задам вопрос по дистрибутиву — будет ли сопровождаться Орёл в дальнейшем (подобно Альт Линуксу), или вы сосредоточитесь только на корпоративных/платных юзерах?
iwram
22.03.2022 07:57+3Вопрос не к вам, а ко всему блогу в целом. Почему на техническом ресурсе, техническая компания пишет только маркетинговый контент, где эти ваши "Для того, чтобы домен заработал корректно, надо настроить apparmor, в качестве фронта на наших серверах используется устаревшая пропатченная версия apache2, логи мы до сих пор пишем в xml, потому что json для новичков" и тп.
Очень прошу написать нормальную статью. Даже про виртуализацию брест на основе opennebula - укажите, что получит потребитель платное за проработанный вами бесплатный софт.
CMEPTbI4
22.03.2022 08:30+1Присоединяюсь к вопросу, пока даже от накруток поверх freeipa обычного в астре только неудобства, хотя казалось бы зачем ломать работающее. Например добавлены классы с названиями вида ald-*-*, из-за которых у обычного freeipa клиента других дистрибутивов при вводе в домен ошибки и приходится модифицировать файлы. А тут лок на один дистрибутив и вопросы по работе и устройству возникают.
unsignedchar
22.03.2022 08:44+1хотя казалось бы зачем ломать работающее
А тут лок на один дистрибутив
Sic.
Melonom
22.03.2022 08:42А почему выбор пал на вэб интерфейс а не как это реализовано у MS? Понимаю что на серверах под линухой графический интерфейс это нонсенс, но если всё это планируется как замена решений от MS, то было практичнее задуматься он графике, что бы малоопытные спецы не обливались потом в консоле/терминале, спокойно тыкали мышкой в нужные кнопки.
unsignedchar
22.03.2022 08:50Можно тыкать мышкой по веб интерфейсу ;)
Веб-админпанель не нужно устанавливать, она доступна с любого места. Это очень сильно упрощает.
IvashkaR
22.03.2022 10:05Лучше через веб чем в командной строке всё настраивать (с исключениями конечно). Цена создания и поддержки веб интерфейса и полного граф интерфейса несопоставима. Внесение изменений получается оперативнее с веб. Да и не стоит задача скопировать MS Win. Функционал присутствует и его ещё допиливать нужно (особенно справки и тех документацию).
unsignedchar
22.03.2022 10:36Цена создания и поддержки веб интерфейса и полного граф интерфейса несопоставима.
С чего бы? Закодировать кнопку в Delphi (qtcreator, etc) несложно. Web GUI его тоже не на чистом HTML в блокноте пишут.
Самодельное GUI - это свой собственный клиент и свой собственный сервер. Web GUI - это стандартный браузер и стандартный Apache. Web - проще.
Melonom
22.03.2022 11:18Можно тыкать мышкой по веб интерфейсу ;)
Для этого нужен второй комп.
Возможность настройки через гуй была бы далеко не лишней.unsignedchar
22.03.2022 12:04Для этого нужен второй комп.
Корпоративная сеть из одного компа очень редко бывает :). Но если не повезло, и второго компа в сети нет - в чем проблема запускать браузер на localhost?
SVA_12
22.03.2022 15:06Пришли компьютеры с Astra Linux. При вводе в домен компьютера каждая машина ведёт себя по разному, 1 заходит сразу, 2 не заходит совсем, 3 заходит предварительно подумав несколько минут. На всех машинах все действия были одинаковые, все они были из коробки ( то есть конфигурация не менялась и ничего не настраивалось). После такого опыта постоянства ОС, знакомиться с другими продуктами желания нет.
CMEPTbI4
Что насчет поддержки других дистрибутивов? Какой-то клиент для управления ими будет?
epautov
В 1 релизе ALD Pro будет поддерживать только ОС Astra Linux. В будущем планируем реализовать поддержку других дистрибутивов.