Привет, Хабр! Наша инициативная группа приступила к работе над интересным проектом, который претендует на определенную значимость в масштабе отечественной ИТ-индустрии. Речь идет об универсальном инструментарии для централизованного управления разнородными службами каталогов для крупных холдингов и корпораций.

Пусть каждое дочернее общество в холдинге самостоятельно определяет политику своей ИТ-инфраструктуры, в том числе — выбирает службу каталогов для домена, будь то Microsoft Active Directory (MS AD), либо службы каталогов, основанные на Samba DC или FreeIPA. Разрабатываемое решение позволит осуществлять управление наиболее востребованными функциями из единой точки доступа вне зависимости от типа используемых в доменах служб каталогов.

***

Актуальность задачи для крупных холдингов

В составе крупных корпораций и холдингов могут присутствовать дочерние организации, которые являются самодостаточными в сфере информационных технологий. В ряде существующих холдинговых структур они вправе самостоятельно определять, какую службу каталогов им использовать. В настоящее время большинство таких компаний все еще применяют Microsoft Active Directory как развитую и обладающую обширным функционалом службу каталогов.

При этом, на практике, дочерние зависимые общества (ДЗО) могут использовать различные операционные системы и, соответственно, разнородные службы каталогов — будь то Microsoft Active Directory (MS AD), либо службы каталогов, основанные на Samba DC или FreeIPA. Все эти решения, несмотря на схожесть решаемых задач, имеют ряд существенных особенностей, используют разные подходы к управлению и в целом не являются в полной мере совместимыми решениями.  

В связи с активно протекающими в нашей стране процессами импортозамещения, все большее количество организаций переходит на открытое ПО или отечественные программные решения. Примером таких решений можно назвать Альт Линукс с Samba DC или Астра Линукс с FreeIPA, а также и активно развиваемые на их основе системы управления Альт Каталог и ALDPro. 

В силу целого ряда  причин, подобный переход может занимать длительное время. В случае крупных организаций, процесс может затянутся на годы и на весь этот переходный период админам приходится одновременно поддерживать и существующее, и внедряемое решение. 

Для холдингов ситуация дополнительно осложняется тем, что входящие в него организации, во первых — могли исторически выбрать разные целевые решения, а во вторых — находятся на разных этапах миграции на выбранные решения по импортозамещению. И вот здесь перед ИТ-службами головных организаций встает серьезный вызов — как обеспечить централизованное управление, применение политик безопасности и миграцию пользователей между доменами с разными системами служб каталогов.

Новые задачи появляются и перед службой информационной безопасности в связи с растущими угрозами в данной области и соответствующим повышением предъявляемых к ней требований. Корпоративной службе безопасности необходим автоматизированный инструмент быстрого реагирования на угрозы, который поможет оперативно передать необходимые инструкции в нужный домен (организацию/ии), в частности распространить групповые политики на все подчиненные структуры.

Перед госпредприятиями и крупными холдингами повсеместно стоит задача миграции с Microsoft Active Directory на одну из систем управления доменами в среде Linux.

С высокой вероятностью, в ближайшем будущем все отечественные предприятия государственного сектора экономики и обслуживающие их организации будут мигрировать с Microsoft Active Directory на одну из систем управления доменами в среде Linux (Samba DC, ALDPro или FreeIPA). Соответственно, при наличии в холдинге разнородных систем управления каталогами, инструментарий по их централизованному администрированию будет несомненно востребован.

Отдельного упоминания достоин возможный сценарий, когда целевое решение будет в итоге выбрано для всего холдинга или даже рекомендовано на государственном уровне. Это потребует дополнительных усилий по миграции в тех организациях, которые ранее выбрали иные решения.

Зарубежный опыт не поможет

Для западных компаний разработка инструментария  для централизованного управления разнородными службами каталогов в гетерогенных операционных системах никогда не выглядела актуальной задачей. Большинство зарубежных предприятий, имеющих потребность в доменной инфраструктуре, используют Microsoft Active Directory. 

Соответственно, для централизованного управления учетными записями в доменах западных компаний используются построение леса доменов Microsoft Active Directory и/или структуры доверительных отношений между доменами. Active Directory де-факто является стандартом в области управления корпоративными ИТ-ресурсами за рубежом.

Microsoft Active Directory представляет собой универсальное решение для построения единой службы каталогов, позволяющее интегрировать в домен как компьютеры под управлением Windows, так и системы на базе Linux в качестве серверов. В случае необходимости предоставляется возможность подключения к созданному в Active Directory домену рабочих станций под управлением Linux, однако они полностью подчинены контролю данной службы каталогов.

В РФ необходимость в подобном инструменте обусловлена ситуацией в крупных бизнес-структурах, которые должны функционировать в едином векторе развития ИТ-систем и вне зависимости от геополитических факторов и решений зарубежных вендоров ПО по нашему рынку.

Решение проблемы миграции с Microsoft AD

Одной из ключевых задач, которую наряду с администрированием предполагается решать, является процесс миграции пользователей из Microsoft Active Directory в линуксовые службы каталогов. Если организация, например, выберет использовать в качестве целевого решения Astra Linux Directory или Samba DC, то нужно будет обеспечить возможность переноса учетных записей пользователей из Windows в выбранную альтернативную службу каталогов.

В настоящее время миграция из MS AD осуществляется с помощью так называемых мастеров подключения и установления доверительных отношений, однако этот процесс сложен и часто вызывает множество ошибок и проблем. Централизованное решение для управления разнородными доменными службами поможет значительно упростить процесс миграции. 

Основной задачей является не просто миграция из MS AD в линуксовые службы каталогов, а обеспечение эффективной автоматической миграции большого числа объектов.

Повторюсь, основной задачей является не просто миграция из MS AD в линуксовые службы каталогов, а обеспечение эффективной автоматической миграции большого числа объектов. Например, если в существующем домене Microsoft Active Directory насчитывается порядка 1000 пользователей и всех их необходимо перенести с учетом сохранения структуры подразделений и групп в новый домен на основе Samba DC или другой альтернативной службы каталогов, то количество переносимых объектов относительно «пользователей» увеличится кратно.

Выполнение задачи миграции большого числа пользователей вручную, путем создания новых учетных записей для каждого пользователя, подразделений и групп является чрезвычайно трудоемким и длительным процессом для админов. 

А после миграции возникает дополнительная сложность — необходимость адаптации к новой среде управления доменом. Но этот вопрос мы хотели обсудить в следующих статьях.

Подробнее о технической стороне проблемы

Управление разнородными доменными службами, включающими Microsoft Active Directory и домены на базе Linux, видится нами как серьезная задача для администраторов предприятий. Можно перечислить ключевые проблемы, с которыми сталкиваются специалисты в попытке централизованного управления службами каталогов:

1. Механизмы аутентификации и авторизации:

  • Active Directory использует Kerberos вместе с NTLM для аутентификации пользователей и компьютеров. А большинство доменов Linux полагаются на стандартные механизмы, такие как PAM, LDAP и Kerberos. Согласование аутентификации и авторизации — сложно даже для опытных админов. Отдельного упоминания заслуживают сложности, связанные с отображением пользователей и групп домена Active Directory на POSIX-совместимых системных пользователей Линукс. 

2. Управление политиками безопасности, групповыми политиками и доступом:

  • В Active Directory имеется продвинутая система управления политиками безопасности и групповыми политиками. В доменах Linux такие возможности ограничены и требуют использования дополнительных инструментов. Управление учетными записями пользователей и их привилегиями в разных системах — это еще та по сложности задача.

3. Мониторинг и аудит:

  • Сбор и анализ журналов из разных источников требуют дополнительных усилий и инструментов. Пользоваться таким зоопарком приложений крайне неудобно.

Все эти проблемы в совокупности влияют на сложность управления, что выливается в затраты на администрирование и риски для безопасности в разнородной среде. 

4. Средства управления доменными службами:

  • Функционирование доменной инфраструктуры невозможно без для некоторых служб при миграции с MS AD в Линукс-среду. Как правило, конфигурации данных служб стремятся хранить в самом каталоге, обеспечивая тем самым их целостность в пределах всего домена за счет встроенных средств репликации каталога. 

Наибольшей интеграции служб в каталог удалось добиться в Active Directory,  многие привычные службы от DNS до электронной почты хранят свои данные  непосредственно в каталоге и могут редактироваться с помощью общих средств управления. В альтернативных линуксовых решениях подобной интеграции, как правило, нет и многие службы по своей сути являются внешними и управляются отдельно от каталога или интегрируются с каталогом через специальные коннекторы, такие как например DLZ модуль для широко известной системы DNS Bind9. Это добавляет сложности в управлении.

Разнообразие решаемых задач, их сложность и различия реализации в разных системах создают повышенные требования к уровню экспертизы администраторов подобных гетерогенных сред. Не исключены ситуации, когда организациям потребуется выделять отдельный штат специалистов для поддержания каждой доменной экосистемы. 

Именно поэтому так необходим инструмент, который позволит управлять доменами разной природы понятным и единообразным образом.

Summary: Проблема миграции с MS AD и применение общих политик на доменах существует и ее надо решать

Сегодня мы видим своей целью создание инструментария с единым веб-интерфейсом для управления любыми службами каталогов и вне зависимости от типа используемой операционной системы и выбранного решения (Microsoft Active Directory, Samba DC, FreeIPA или иные). 

Это обеспечит удобство работы администраторов, значительно упростив им работу над рутинными операциями в разнородной среде при осуществлении перехода с одной платформы на другую и параллельной работы в них при необходимости. Единый интерфейс планируется адаптировать под развитие в будущем отечественных систем управления доменами.

Как нам представляется, использование единой платформы для управления разнородными доменными службами позволит обеспечить применение групповых политик в доменах холдинговых структур, повысить уровень информационной безопасности и организовать сбор статистических данных о работе каталогов для последующего анализа и оптимизации.

Спасибо за ваше время на прочтение и будем рады конструктивным комментариям!

Комментарии (5)


  1. trojan218
    20.06.2024 15:04
    +1

    Не упамянай ALD в суе...


  1. OverThink
    20.06.2024 15:04

    Хех... Бросил затею с переносом, в итоге просто собрал клиентов с Astralinux на FreeIPA, Samba, Ansible. 2 года полёт нормальный.


  1. Haim3710
    20.06.2024 15:04
    +1

    Много букв, а решение какое?


    1. ihc988 Автор
      20.06.2024 15:04

      Делаем MVP )


  1. Fardeadok
    20.06.2024 15:04

    Море воды. Надеюсь у вас ничего не получится