Вступление

Привет, Хабр! Давно хотел начать тему российских импортозамещающих аналогов доменной структуры от Windows. Да, от самих компаний были уже материалы: как настраивать, как «поднимать», а мне захотелось узнать историю этих систем и рассмотреть, куда они движутся. Ну и первая на очереди — компания «Ред Софт» и система «Ред Адм».

Как появилась система управления рабочими машинами и серверами от «Ред софта», какие были open source наработки, как от них отказались и какими операционными системами можно управлять с помощью «Ред Адм» — об этом мы поговорили с директором разработки инфраструктурных решений «Ред Софт» Ильёй Чижовым и продукт-оунером Владом Цынским. Приятного чтения!

С чего началась разработка «Ред Адм»? Почему вообще появилось это решение? И, поскольку недавно был большой релиз, расскажите и о нём.

Илья:

Началось всё в тот период, когда на российском рынке ещё активно присутствовали зарубежные решения. С началом политики импортозамещения наша компания вышла на рынок с операционной системой «Ред ОС», и тогда начались пилотные внедрения у заказчиков. Один из самых частых вопросов был: как управлять парком различных устройств?

Заказчики привыкли к Windows, Active Directory, групповым политикам, а в Linux-решениях на тот момент не было удобного централизованного инструмента управления. Мы, как сторонники open source, начали смотреть, что есть в сообществе. Рассматривались такие решения, как AWX, Foreman, Puppet, но они в основном были ориентированы на серверную автоматизацию и для управления пользовательскими станциями подходили слабо.

Тогда мы решили пойти своим путём — взяли Ansible и добавили к нему клиентскую часть, чтобы обеспечить полноценную push‑поддержку. Позже появился и веб‑интерфейс. Мы выпустили MVP, показали рынку. Отзывы были интересными: людям понравилось, но говорили, что алгоритм работы политик не устраивает и нужно сделать как GPO в MS AD, например, чтобы при добавлении пользователя в группу сразу применялись политики, а при удалении — автоматически откатывались. Это сильно отличалось от модели Ansible, поэтому мы кардинально переработали архитектуру продукта.

В декабре 2022 года вышла стандартная редакция «Ред Адм». Она входит в состав «Ред ОС Сервер» и поддерживает подключение к Active Directory или Samba DC, позволяет конфигурировать рабочие станции и управлять пользователями, группами, подразделениями. После этого пошёл запрос на полноценный контроллер домена. Был важный момент — снижалось доверие к зарубежным решениям, и стало необходимым обеспечить возможность миграции. В течение 2023 года мы реализовали поддержку миграции с любых уровней леса MS AD и к концу года выпустили собственный контроллер домена.

После окончания разработки функционала репликации с MS AD мы включили контроллер домена в состав Ред Адм и представили промышленную редакцию. В неё на тот момент входили подсистема управления, служба каталогов, файловое хранилище и централизованная установка ОС. Первый релиз промышленной редакции состоялся в сентябре 2024 года.

Насколько я помню, до выхода новой версии программного обеспечения для переноса данных требовался один компьютер с операционной системой Windows. А сейчас нужно ли всё ещё использовать Windows или можно полностью перейти на «Ред Адм» без использования ОС от Microsoft?

Влад:

Всё зависит от конкретного кейса миграции. В некоторых случаях Windows всё ещё нужна. Раньше было много нареканий, что без Windows никак. Сейчас почти весь функционал RSAT уже перенесён в веб-интерфейс «Ред Адм». А то, чего ещё нет в веб-интерфейсе, доступно через консоль в составе службы каталогов. Например, если в инфраструктуре используется MS Exchange, то для полноценного функционирования системы всё ещё требуется контроллер домена на Windows. Мы планируем доработать функционал, который позволит полностью отказаться от всех контроллеров домена Microsoft Active Directory. Но если MS Exchange не используется, то весь основной функционал, необходимый для инфраструктуры, уже реализован в «Ред Адм».

У Microsoft для управления доменом нет веб-интерфейса, всё нужно устанавливать локально как отдельные утилиты. Есть ли у «Ред Адм» полноценное веб-решение, и насколько это целесообразно?

Влад:

Да, у «Ред Адм» есть веб-интерфейс. Это не просто компонент, а именно полноценная веб-система управления, с которой удобно работать. Нет необходимости ставить отдельные локальные утилиты, как в Microsoft. Это повышает удобство и снижает зависимость от конкретного рабочего окружения.

Есть ли возможность разграничить доступ администраторам к инструментам управления, как это реализовано в Microsoft?

Илья:

Да, у нас реализована та же логика. Например, чтобы один пользователь мог управлять только пользователями, ему выдаются соответствующие права. Если ему не нужно управлять сайтами — такие права не выдаются. Это всё завязано на ролевую модель. В версии 2.0 добавили возможность, аналогичную Windows RSAT: можно назначить права администратору на конкретную организационную единицу, и в зависимости от этих прав он в интерфейсе будет видеть только тех пользователей и те настройки, которые ему разрешены.

Допустим, есть молодая компания, и она хочет с нуля собрать инфраструктуру на «Ред Адм». Насколько это удобно и реально?

Влад:

И снова всё зависит от кейса — насколько инфраструктура большая, распределённая и так далее. Но если говорить о небольшой компании в одном здании, то на «поднятие» системы уходит, например, около получаса вместе с разворачиванием виртуальной машины. Если углубляться в тонкую настройку безопасности, DNS, DHCP — то в течение одного рабочего дня можно подготовить полноценную базу, с которой уже можно начинать работать. Главное — читать документацию.

Мы стараемся делать всё максимально user-friendly, но есть нюансы, которые описаны именно там. Документация теперь доступна прямо в веб-интерфейсе, чтобы было удобнее и быстрее управлять системой.

Вы сравнивали «Ред Адм» с аналогичными решениями? Какие функции есть у вас, которых нет у других, или они реализованы у вас гораздо лучше? И можно ли сопоставить это с уровнем зрелости Microsoft RSAT, несмотря на то, что Microsoft работали над этим десятилетиями?

Илья:

Это хороший вопрос. Если говорить про фундаментальные аспекты, то ключевым отличием «Ред Адм» от схожих продуктов стала поддержка лесов, которая появилась в версии 2.0. Этот функционал востребован у крупных организаций, в том числе с филиалами по всей стране. Раньше в Windows была многодоменная инфраструктура: корневой домен, например, в Москве, а поддомены в других городах. Проблема заключалась в том, что ни одно из отечественных решений не позволяло просто взять и «переехать» с такой инфраструктурой.

В новой версии нашего продукта мы можем вводить наш контроллер — как в домены верхнего уровня, так и в поддомены. Мы вторые после Microsoft, кто реализовал поддержку лесов, доменов и поддоменов. На отечественном рынке — первые. Добавили поддержку транзитивных доверительных отношений — пользователи из одного поддомена теперь могут получать доступ к ресурсам другого. Это актуально для организаций с многодоменной инфраструктурой с филиалами в разных городах. Кроме того, мы движемся в сторону управления не только «Ред ОС», но и другими ОС. Сейчас уже умеем управлять Astra Linux, в сентябре 2025 года будет реализована поддержка «Альт Линукс». Дальше — больше. Планируем охватить все основные отечественные операционные системы.

Насколько сложно администратору Windows перейти на «Ред Адм»? Нужно ли обязательно проходить обучение, или можно освоить систему самому?

Илья:

Переход не вызывает серьёзных трудностей. В свое время многие администраторы осваивали Windows просто по статьям из интернета. Наша система удобна в самостоятельном освоении, особенно с учётом того, как много у нас реализовано через веб-интерфейс. Поэтому администратору Windows не потребуется глубоких знаний Linux или обязательного обучения. Мы стремимся сделать наше решение максимально понятным и простым в использовании. Конечно, нюансы есть, как и в любой системе, но мы делаем всё, чтобы переход был комфортным.

Влад:

Давай разобью вопрос на две части. Первый — насколько это сложно? Второй — нужно ли проходить курсы? Отвечая на первый вопрос: у нас как раз большой акцент сделан на том, чтобы сохранить преемственность интерфейса, который был в Windows. Большинство элементов системы сохраняют ту же логику, которая была в Windows. Та же самая система управления безопасностью объектов — она очень схожа, но с улучшениями. Мы сохраняем логику, чтобы админам было несложно перейти на «Ред Адм». Также и в управлении другими — стараемся сохранять похожесть, чтобы не приходилось переучиваться с нуля. А если появляются новые подсистемы, для комфортной работы у нас реализован интуитивно понятный интерфейс: на каждую кнопку есть подсказка, восклицательный знак, подробная справка в интерфейсе. Всё, чтобы администратор мог быстро разобраться.

Второе, насчёт курсов — да, считаю, что они нужны. Курсы сделаны так, чтобы дать максимум полезной информации для работы с «Ред Адм». Кроме того, после прохождения выдаётся сертификат, подтверждающий полученные знания. Его можно добавить к портфолио в резюме и очень сильно выделиться на фоне соискателей. Так что, хотя и можно разобраться самостоятельно, курсы очень желательны. Как «Ред Адм» поддерживает интеграцию с текущими почтовыми сервисами?

Влад:

Мы активно поддерживаем уже готовые системы и развиваем сотрудничество с их разработчиками. Например, сейчас идет масштабное тестирование с «VK Почтой» и скоро будет сертификат соответствия. Также подписана совместимость с Tegu. Если CommuniGate вернется, с ними тоже будет обеспечиваться совместимость.

Илья:

Дополню, что в сентябре 2025 года ожидается полная поддержка работы с Exchange. Это устранит необходимость сохранять в инфраструктуре контроллер домена на Windows.

Реализована ли в «Ред Адм» поддержка аппаратных ключей и современных механизмов аутентификации: OTP, PKI, OAuth?

Влад:

Если говорить об ОТР*, то пока официальной поддержки аппаратных ключей нет, но такая потребность от заказчиков есть, и это в планах.

Чаще в госкорпорациях и большом бизнесе используют PKI-ключи — смарт-карты для аутентификации пользователя в домене. У Windows есть свой центр сертификации, который генерирует ключи и поддерживает PKI-инфраструктуру. На рынке есть разные решения, например Aladdin CA и Safe Tech. «Рутокен» выпускает смарт-карты, но мы говорим именно о производителях центров сертификации. Мы подтвердили совместимость с SafeTech и на данный момент глубже интегрируемся с Aladdin — сейчас ведутся работы по интеграции с их центром сертификации, выпуску сертификатов, которые используются в «Ред Адм», и развитию функционала для управления сертификатами на рабочих станциях, обновления списков отзывов и упрощения администрирования PKI-инфраструктуры.

_{*OTP — это сокращение от One Time Password (одноразовый пароль) и представляет собой временный защищённый PIN‑код, который отправляется вам посредством SMS‑сообщения или электронной почты и действует только один сеанс.}

Заключение

Разговор получился объёмным, но показал, что уже существуют не экспериментальные продукты, а зрелые продуманные решения, способные заменить Active Directory при импортозамещении. Да, не всё ещё реализовано, но вектор развития в сторону полноценной независимой доменной структуры, построенной на российских решениях, налицо. На очереди следующее решение и следующее интервью. Потому что я считаю, надо осветить все такие российские решения, чтобы потом можно было сравнить. Спасибо за прочтение!