![](https://habrastorage.org/webt/fc/cl/50/fccl503wasutii8vkbxyjmvcm9y.jpeg)
ALD Pro — софтверный продукт компании РусБИТех-Астра («Научно-производственное объединение Русские базовые информационные технологии»), которая разрабатывает и продвигает операционную систему Astra Linux. Это служба каталогов с групповыми политиками для управления и администрирования всеми устройствами и пользователями в компьютерной сети.
Система предполагает импортозамещение аналогичных зарубежных продуктов типа Microsoft Active Directory и Red Hat Directory Server (RHDS).
Функциональность крайних версий:
- Управление иерархией организационной структуры
- Управление объектами домена: компьютерами, пользователям и группами
- Создание и назначение групповых политик на компьютеры и пользователей
- Настройка параметров домена и репликации
- Настройка доверительных отношений с доменом MS Active Directory
- Автоматизированная установка ОС и ПО по сети на компьютеры в домене
- Управление и настройка системных сервисов и служб
- Журналирование событий и просмотр системных логов
- Миграция данных из домена MS Active Directory
- Удаленный доступ к рабочим столам пользователей домена
- Мониторинг состояния домена и серверов
Но сначала стоит сказать пару слов о системе, на базе которой работает ALD Pro. Это Astra Linux, один из лучших отечественных Linux-дистрибутивов по результатам голосования пользователей Хабра.
Astra Linux
Сегодня ОС Astra Linux получила уже довольно широкое распространение. Она сертифицирована для использования в госучреждениях и признана пригодной для обработки и защиты информации, связанной с гостайной, в том числе особой важности. Astra Linux используется в министерстве обороны РФ, ФСБ, в Росатоме, Газпроме, РЖД и включена в единый реестр программ Минкомсвязи.
Astra Linux представляет собой основательно доработанную и модифицированную сборку Debian. Стандартный пакетный менеджер системы, Advanced packaging tool (используется в операционных системах Debian и основанных на них Ubuntu, Linux Mint и других) автоматически устанавливает и настраивает программы из предварительно собранных пакетов или из исходных кодов.
![](https://habrastorage.org/webt/fj/wx/qj/fjwxqjf9r6-ylgydglldoovx7os.jpeg)
Помимо специализированных программ, репозиторий Astra Linux включает графический менеджер Fly, LibreOffice, браузер Firefox, почтовый клиент Thunderbird, графический редактор GIMP.
Fly — тоже разработка ООО «РусБИТех-Астра», которая позволяет использовать Astra Linux в похожем на Windows интерфейсе, к которому привыкли многие обычные пользователи, и поддерживает функции системы по мандатному контролю. Fly создан на основе графического сервера Xorg и утилит, написанных с помощью кроссплатформенного фреймворка QT 5, а также KF5 Framework (библиотеки оболочки рабочего стола KDE5).
Fly позволяет настраивать рабочее пространство в необходимом ключе, менять обои, иконки, шрифты и их размеры, звук и внешний вид. Кроме того, оболочка Fly работает со всеми элементами защиты информации в системе.
Astra Linuх, без проблем устанавливается на компьютер через VirtualBox, при инсталляции подключается графический менеджер, благодаря чему установить ОС на свой компьютер может любой, мало-мальски грамотный пользователь. Это большой плюс системы. Дальнейшая работа в ОС также не представляет каких-либо трудностей — выбор программ, папок, копирование, drag-n-drop, всё функционирует примерно как в Windows.
ОС настраивается в панели управления, где имеются все необходимые разделы: рабочий стол, сеть оборудование, безопасность, программы и система. Выбор программ осуществляется в процессе инсталляции но какие-то, необходимые вам пакеты можно установить через менеджер пакетов Synaptic.
Система вполне устойчива, не потребляет большого количества ресурсов, имеет довольно приличный набор дополнительных пакетов.
![](https://habrastorage.org/webt/ex/p3/ax/exp3axv_7rn9ppnhq9oyxl-migc.jpeg)
Стоит добавить, что конечному пользователю (если речь идет о сети), скорее всего, и не придется ничего настраивать: за него все сделает администратор ALD Pro.
Система защиты информации ОС основана на механизмах мандатного контроля целостности (аналогичные механизмы Windows — Mandatory Integrity Control и User Account Control), замкнутой программной среды (запуск исполняемых файлов в которой возможен, только если они подписаны ЭЦП) и мандатного контроля доступа (пользователь root в нем не имеет таких прав, как в традиционной системе, так как в Astra Linuх используется дополнительный механизм распределения прав по уровням целостности). Эти инструменты входят в подсистему безопасности PARSEC, разработанную на основе формальной модели безопасности управления доступом и информационными потоками.
В ОС Astra Linux разработаны и применяются три режима защиты информации — Базовый («Орел»), Усиленный («Воронеж») и Максимальный («Смоленск»).
Пересесть на Astra Linux и использовать ее в качестве домашней или рабочей системы можно, хотя это и не покажется слишком удобным для обычного пользователя Windows. Но тут уж надо выбирать: либо ехать, либо шашечки. То есть или внедрение отечественных разработок и импортозамещение, или привычная Windows с реально замаячившей возможностью в перспективе перспективой в час Ч получить вместо кареты тыкву с невозможностью поддержки и обновлений.
Ну а в качестве безопасной ОС снабженная многочисленными системами защиты Astra Linux отлично подходит.
![](https://habrastorage.org/webt/rc/hr/i6/rchri6pvs1y9zrdvkvbe-6podpk.jpeg)
ALD Pro
Служба каталога ALD Pro позволяет управлять парком компьютеров организации с помощью групповых политик. Дополнительно в ней реализованы функции автоматизированной установки ОС и ПО по сети на компьютеры в домене, удаленный доступ к рабочим столам пользователей, мониторинг состояния сервисов службы каталога и многое другое.
В основе ALD Pro лежит хорошо известное, надежное и эффективное open-source решение FreeIPA (Free Identity, Policy and Audit, система управления учетными записями и аутентификацией).
![](https://habrastorage.org/webt/u8/2b/ix/u82bixcfmkj3lhnd8uqiomhdyje.png)
FreeIPA — инструмент для Linux/UNIX (аналогичный по функционалу MS Active Directory), который обеспечивает централизованное управление учетными записями и централизованную аутентификацию с помощью веб-интерфейса и командной строки. FreeIPA объединяет сразу несколько компонентов с открытым исходным кодом. Это 389 Directory Server (служба каталогов LDAP, предназначенная для централизованного управления доступом к ресурсам на множестве сетевых серверов), MIT Kerberos (служба сетевой аутентификации по протоколу Kerberos V5), Chrony (отказоустойчивый, масштабируемый сервис синхронизации времени по протоколу NTP), Bind9 (DNS), Dogtag (систему сертификатов).
FreeIPA — достаточно удобная и мощная система. Она дает возможность объединить множество серверов и рабочих станций в домене, обеспечить хранение данных, а также аутентификацию, управление сертификатами и возможность управления доменными именами с помощью встроенного DNS-сервера.
Open-source компоненты и протоколы, лежащие в основе FreeIPA обеспечивают возможность тесной интеграции компонентов для построения полнофункционального доменного решения и их дальнейшее развитие.
Например, в доработанной версии FreeIPA стала доступна возможность построения оргструктуры организации в виде иерархии и на базе этого работает делегирование полномочий и суммирование групповых политик.
Протокол Kerberos V5 (Цербер), например, создан специально для использования в незащищенных компьютерных сетях, где сетевые пакеты могут быть подслушаны и изменены злоумышленником. Он, эффективен, обеспечивает высокий уровень безопасности и широко применяется в сфере защиты информации.
![](https://habrastorage.org/webt/w7/jl/9n/w7jl9n58czgmlepmvlzqm_aztu0.jpeg)
Основные элементы FreeIPA, после доработки и настройки для обеспечения отказоустойчивости и расширения функциональных возможностей, интегрированы в ALD Pro. Но у этих систем есть серьезные отличия.
В ALD Pro встроен мощный механизм настройки и управления групповыми политиками. Он достаточно гибок, удобен и легко настраивается при помощи визуального интерфейса. «Под капотом» — система управления конфигурациями SaltStack, одно из самых быстрых и эффективных решений для подобных задач. В ALD Pro система SaltStack используется для реализации групповых политик и заданий автоматизации.
![](https://habrastorage.org/webt/kn/xx/sb/knxxsb89nat7epcvssijkbvrviy.png)
Хотя в интерфейсе ALD Pro есть все необходимые инструменты для администрирования каталога, можно получить и прямой доступ к каталогу, создавать, изменять и удалять любые объекты, будь то пользователи, компьютеры или группы. Для этого можно воспользоваться такими утилитами как ldapsearch, ldapadd, ldapmodify, ldapdelete и др. Доступ из графического интерфейса можно получить с помощью приложения Apache Directory Studio. Для его работы потребуется Java.
![](https://habrastorage.org/webt/jo/g0/ll/jog0ll2ktumyn1n1oma39tlcb_m.jpeg)
Apache Directory Studio
Важный функционал, которым обладает ALD Pro — возможность настройки двусторонних доверительных отношений с AD DS (Active Directory Domain Services). Он позволяет обеспечить прозрачную аутентификацию при обращении к любым ресурсам с помощью протокола Kerberos.
Возможна в ALD Pro и миграция объектов домена из MS AD (Microsoft Active Directory). Для ее обеспечения используется свой модуль миграции и синхронизации данных. Он позволяет проводить миграцию с учетом всех необходимых требований и автоматически синхронизировать Microsoft Active Directory и ALD Pro.
![](https://habrastorage.org/webt/e2/pz/od/e2pzodfip3ermpeftmpsurippzo.png)
Справочный центр ALD Pro
Кроме того, в ALD Pro имеется возможность настроить дополнительные службы для домена: Zabbix — (система мониторинга сетевых сервисов, серверов и сетевого оборудования), Graphana (инструмент визуализации данных), Fluentd (система централизованного сбора и анализа журналов), ISC DHCP (динамической настройки сети узла), подсистема репозиториев ПО (Reprepo), автоматической установки ОС (TFTP + PXE), печати (CUPS), файловый сервер (Samba).
ALD Pro: перспективы
Внедрение ALD Pro повлечет необходимость изучения этой системы, ее элементов, логики работы и управления, так как это серьезный инструмент, обладающий множеством возможностей, постичь которые интуитивно сложновато. С другой стороны, разработчики позиционируют его как простой инструмент и делают всё, чтобы облегчить его освоение и начало работы. Это не такая уж большая проблема для хорошего администратора, с учетом того, что в системе присутствует визуальный интерфейс, который позволяет настроить все необходимые параметры.
![](https://habrastorage.org/webt/ec/ui/2f/ecui2fdb2vgdn7xehusob-qgdae.jpeg)
Ясно одно: чем больше будет появляться основанных на ALD Pro проектов, тем быстрее и эффективнее будет развиваться это интересное решение.
Комментарии (13)
greefon
30.06.2023 09:46+6Такое ощущение, что автор и AD никогда не внедрял (хотя бы на 500 рабочих мест), и уж тем более ALD PRO.
vasilisc
30.06.2023 09:46+4В тестовом режиме периодически "внедряем" ALD Pro, обкатывая то один вопрос то другой. Хорошо что есть личный кабинет и официальная помощь от разработчиков, так как открытый баг-трекер прикрыли они, чтобы не выносить сор из избы. А его там много ... Пока субъективное мнение: сыровато и трогать нужно всё нежно и аккуратно. Тестовый стенд из виртуальных машин обложен снимками (snapshots) от создания сервера до каждого чиха.
Мои заметки при освоении ALD Pro, скоро в статью добавлю ещё, так как 4 тикета в разработке.
http://vasilisc.com/notes-ald-proДля тех кто начинает осваивать, то рекомендую видео от разработчиков
https://www.youtube.com/playlist?list=PLujnRXgW7LlB2_VBicGvHnkBhjpArV7PT
oller
30.06.2023 09:46+1Выскажу свое мнение
Архитектура замудрена очень, сама freeipa это кучу костылей связанных воедино, по крайне мере мне так показалось, а из таких наборов редко что-то дельное выходит.
Мое мнение, зря они строят аналог microsoft AD, нужно строит свою систему для LInux.
resetsa
30.06.2023 09:46+2Да и заголовок желтоват, не для Linux, а только для Astra Linux.
И да, сыровато пока. То там отвалится, то здесь.
Миграция из AD (по крайней мере в 1.4), была аналогичной FreeIPA, но вроде бы обещали свою реализовать.
И даже Global Catalog добавить!
sabirovrinat85
30.06.2023 09:46+1я правильно понимаю, AltLinux пошёл немного другим путём, у них вроде два варианта для контроллера домена, один из которых samba4, и они наоборот сосредоточены на том, чтобы делать управление хостами линукс посредством samba или ms ad групповыми политиками, которые написаны под AltLinux? Сугубо авторизацию можно было прикрутить давно...
the7
30.06.2023 09:46По поводу приведенной в статье ссылки, что Astra Linux, один из лучших отечественных Linux-дистрибутивов, лукавство. Проголосовали за Alt.
nitro80
30.06.2023 09:46или внедрение отечественных разработок и импортозамещение, или привычная Windows с реально замаячившей возможностью в перспективе перспективой в час Ч получить вместо кареты тыкву с невозможностью поддержки и обновлений
Выбираю второй вариант
dmitry303
30.06.2023 09:46В целом сейчас продукт, это потемкинская деревня, с десяток интерфейсов к фриипе.
olegtsss
Какие цены на описанные продукты?
Arcanebinder
Тоже хотел бы видеть в открытом доступе ценовую политику.