Привет, Хабр, меня зовут Елена, я работаю в компании «РЕД СОФТ» и отвечаю за функционал централизованного управления конфигурациями РЕД АДМ Промышленная редакция. Наша система централизованного управления — это, как контроллер домена и групповые политики от MS AD, только от РЕД СОФТ. Эта система делает жизнь админа лучше.

Вообще, этот материал планировался к релизу нашей системы, но так как 26 июля День системного администратора, а как сказано ранее, наша система делает жизнь этого самого администратора лучше, после долгих дебатов (споров) мы решили поздравить эту плеяду специалистов и приоткрыть завесу нашего нового релиза. Так что этот материал можно считать этаким подарком ко Дню Системного администратора. Отдельно я и компания «РЕД СОФТ» поздравляем всех причастных к этому празднику.

Не секрет, что для управления контроллером домена в РЕД ОС есть специальная система централизованного управления РЕД АДМ Промышленная редакция. В этом материале я расскажу, какие появились нововведения в этой системе и какие инструменты были добавлены в графическом виде для добавления контроллера домена и не только.

Что же такое РЕД АДМ Промышленная редакция?

Система РЕД АДМ Промышленная редакция предназначена для того, чтобы заменить собой такие продукты, как MS Windows Server, а также MS SCCM. В системе появляются все новые и новые подсистемы, например, «Файловое хранилище» и «Централизованная установка ОС». Однако управление самим контроллером домена по‑прежнему было доступно в двух вариантах — с помощью консольных команд (что не очень‑то нравилось Windows‑админам) или же с помощью оснастки RSAT (Remote Server Administration Tools), что было, конечно, предпочтительнее, но требовало наличие хотя бы одного Windows‑компьютера в инфраструктуре. Так как на эту тему велось немало споров, было решено разработать дополнительный функционал для управления контроллером домена.

Сразу оговорюсь, этот функционал будет доступен в новой версии 1.2 РЕД АДМ Промышленная редакция. И как говорилось ранее, сама версия выйдет на рынок позднее, но никто не мешает мне сейчас рассказать, что же будет в системе.

«Настроить и не трогать», но есть нюанс….

Мы не стали изобретать велосипед и под капотом у графического интерфейса «Управления КД» — все те же команды samba‑tool для reddc, которые раньше использовал администратор в консоли. В консольных командах нет ничего плохого, но для того, чтобы их было комфортно использовать, администратор должен или их запоминать (а зачем ему лишняя информация?) или же постоянно использовать (а зачем их постоянно использовать, если наше решение позволяет «настроить и не трогать»?).

Конечно же, в текущем релизе не все команды samba‑tool обрели свое графическое представление — «Управление КД» постоянно будет пополняться новыми удобными функциями и мы обязательно будем об этом вам рассказывать. А сегодня продемонстрируем то, что очень хотели и ждали наши заказчики.

Разворачиваем КД

Самое первое, с чем внезапно сталкивается администратор Windows — это то, что контроллер больше нельзя установить с помощью привычного «Далее‑Далее‑Далее‑Готово!» (тут главное не перестараться и не установить что‑то лишнее). В самых первых версиях РЕД АДМа КД нужно было ставить вручную, потом редактировать несколько файлов конфигураций. Уже на этом этапе мы получали достаточно много обращений в поддержку, так как не все хотели\могли аккуратно редактировать эти файлы. А потом у нашего контроллера появился новая фича — теперь управлять объектами каталога LDAP стало возможно только от учетной записи администратора домена, а не от root, как было раньше. Это, конечно, закрыло большую дыру в безопасности, но открыло просто бездну обращений к нам — файлов для редактирования стало больше. Поэтому сначала у контроллера появился ключ — auto, а потом функционал развертывания контроллера переехал в веб‑интерфейс.

Немного расскажу о том, что происходит на контроллере при таком развертывании.

Во-первых, редактируется файл /etc/krb5.conf - в нем добавляются секции [realms] и [domain_realm], в которые записывается информация об именах домена и сервера.

Во-вторых, изменяется файл с крипто-политиками, теперь он выглядит вот так:

[libdefaults]

default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

Так как в качестве dns_backend мы используем BIND9_DLZ, обязательно настраивается и файл /etc/named.conf, в который вносятся актуальные адреса, включается динамическое обновление dns с использованием kerberos и не только.

Также, редактируется файл /etc/sssd/sssd.conf для настройки входа администратора домена.

[sssd]

config_file_version = 2

Services = nss, pam

domains = EXAMPLE.TST

...

[domain/EXAMPLE.TST]

id_provider = ad

auth_provider = ad

chpass_provider = ad

access_provider = simple

simple_allow_groups = domain admins

ad_maximum_machine_account_password_age = 0

Ну и напоследок, создается keytab‑файл /etc/krb5.keytab и включается возможность создания домашней директории пользователя.

Как видите, настроек немало и неудивительно, что с первого раза все развернуть вручную получалось далеко не у всех. Однако, теперь все стало гораздо проще! Просто положите файл с пакетом reddc в нужную директорию РЕД АДМ и попросите его развернуть КД — далее случится магия и контроллер развернется!

Тебе повезло ты не такой как все, ты работаешь «Менеджером»…. в домене

Наверняка найдутся и те, кто уже установил себе КД от РЕД СОФТ вовсю им пользуется! Мы, конечно же, не забыли о таких специалистах и наших действующих заказчиках — для них появился новый «Менеджер по управлению существующим доменом». После подключения РЕД АДМ к существующему контроллеру домена достаточно просто установить этот «Менеджер» на контроллер и весь функционал, описанный ниже, будет вам доступен. Что скрывается под капотом у этого «Менеджера», пока раскрывать не будет, пусть это останется маленькой интригой. Потому что во‑первых это не совсем моя стезя, а во‑вторых об этом мои коллеги расскажут отдельно в другом материале.

Как получить информацию от КД не привлекая внимание сан…. не используя команд

Прежде всего, кроме управления КД, было бы неплохо получать от него актуальную информацию. Сейчас речь идет не о мониторинге системы в режиме реального времени, а просто о получении некой информации, которая может понадобиться администратору перед выполнением каких‑либо действий на КД. Такая информация собрана на вкладке «Общая информация» в разделе «Управление доменом‑ Контроллеры домена».

В инфраструктуре у администратора, конечно же, будет, скорее всего, не один контроллер домена, поэтому сетевые настройки также было бы неплохо посмотреть в графическом интерфейсе (здесь мы видим вывод команды ip a).

Ну вы знаете, эта репликация!

Как мы уже отметили, контроллеров может быть несколько и, скорее всего, они находятся в репликации друг с другом. И вот эта самая репликация (по разным причинам) может повести себя не так, как хотелось бы администратору, поэтому ее статус тоже бывает нужен. Чтобы каждый раз не лезть в консоль с командой samba‑tool drs showrepl, есть просмотр текущего статуса репликации (в реальном времени, то есть на момент входа на данную страницу) и возможность запросить этот статус.

Успех или неуспех репликации определяется по флагу summery в команде drs showrepl (если возвращается all good, то соответственно, статус успешный), а по запросу о проверке можно увидеть подробный вывод команды drs showrepl, но не в консоли, а в веб‑интерфейсе РЕД АДМ.

Какой же администратор не использует проверку статусов сервисов systemctl status? Вот и мы подумали, что таких не бывает и вывели в интерфейс результат статусов основных сервисов — reddc, named, redadm‑reddc‑manager и chrony. Если статус оказался failed, то администратору, конечно, все‑таки придется лезть в консоль и смотреть, что же именно пошло не так, но это все‑таки не типичная для нас ситуация.

У нашего контроллера reddc, как и у его предшественника samba‑dc, есть главный конфигурационный файл, который находится по пути /opt/reddc/etc/smb.conf. И в этом файле есть очень много параметров, которые администратор может изменить. Для редактирования этого файла у нас тоже есть интерфейс!

Кто ж ему запретит менять параметры?! Он же администратор!

Так как наша система работает на РЕД ОС, а РЕД ОС — это Linux (да‑да, мы знаем, что Linux — это ядро), то администратор волен задавать любые параметры в конфигурационных файлах (ну а кто ему запретит, он же администратор!). И так бывает, что параметры администратор может задать не совсем корректные. Это происходит по разным причинам — от невнимательности до непонимания происходящего. В reddc есть хорошая команда, которая проверяет то, что наконфигурил администратор — testparm. Как вы уже могли догадаться, вывод этой команды также появился в интерфейсе. Помимо всего прочего, можно просматривать не весь файл, а некоторые его секции — например, global, netlogon или sysvol. Также доступен выбор уровня логирования и возможность отображения каких‑либо конкретных параметров.

Счастливые часов не наблюдают, а счастливые админы наоборот — наблюдают

Сервера времени крайне важны в инфраструктуре. Если будет большое расхождение во времени между контроллером домена и его клиентами, то пользователи вряд ли смогут корректно работать. Для управления серверами времени появилась отдельная вкладка «Синхронизация времени», на которой администратор может просмотреть различные параметры chrony. Наиболее интересные — это: уровень источника (chronyc sources параметр Stratum), последний запрос (chronyc sources параметр LastRx), смещение относительно локальных часов (chronyc sources параметр Last sample).

По умолчанию доступ с контроллера домена к серверам времени запрещен. Для настройки доступа можно воспользоваться кнопкой на соответствующей вкладке, где можно выбрать нужный контроллер и вариант доступа к нему — allow или deny. Изменения этого параметра приведут к заполнению файла конфигурации /etc/chrony.conf с последующим перезапуском сервиса.

Картина «Передача fsmo‑ролей». РЕД ОС. Графика. 2024 год.

Еще одна важная функция для контроллеров домена, если они работают в репликации — это передача fsmo‑ролей. Если в вашей инфраструктуре есть Windows‑контроллеры, то вы вероятно знаете, что не все роли даже в Windows можно передать с помощью графического интерфейса. А вот в РЕД АДМ можно все! Для начала можно посмотреть, кто является владельцем ролей (здесь нам поможет вывод fsmo show) и, при необходимости передачи (точнее для захвата ролей), используется команда fsmo seize.

Кстати, не постоянно используемая функция, однако все же запрос на это от заказчиков был — это управление SPN. Под управлением здесь понимается просмотр, добавление и удаление SPN‑записей.

Самое вкусное или Развертывание репликации существующего КД

Ну и самое интересное и вкусное осталось напоследок. Очень часто у администраторов возникали вопросы и развертывании репликации существующего контроллера. Репликация создается с помощью консольной команды samba-tool domain join, но, как говорится, есть нюансы. У этой команды очень много ключей, про которые администратор может забыть или же просто не знать. К тому же, мы столкнулись с тем, что очень часто у заказчиков возникала проблема при настройке сети на машине для второго контроллера домена. Проанализировав запросы (и вопросы!) у нас получился вот такой удобный интерфейс для добавления контроллера в существующий домен. Здесь имя домена подставляется автоматически, исходя из текущих настроек, а вот все обязательные, и не только, поля можно заполнить вручную или же выбрать из уже существующих настроек.

Напоследок

В представленном материале, я надеюсь, что смогла раскрыть возможности добавления КД и показать основные инструменты для системного администратора в графическом представлении, добавленные в новом релизе. Если же интересны другие параметры или вы ещё не сталкивались с РЕД АДМ Промышленная редакция, то у нас есть база знаний, где можно почитать о системе и других её настройках. Я и компания «РЕД СОФТ» ещё раз поздравляю всех с Днем Системного Администратора. Надеюсь было познавательно, жду ваших идей, предложений и вопросов в комментариях. Кстати, если интересно протестировать новую систему, то обращайтесь на почту и получите доступ к тестовой сборке. Спасибо за прочтение!