Адміністрація ald домену на Astra Linux

- admin

Ось уже більше року я займаюся адмініструванням Astra Linux, побудованою на базі ОС Debian. У плані адміністрування дані операційні системи мають різницю. Також у Astra Linux є служби власної розробки. У пості йтиметься про адміністрування ald домену, серверної, клієнтської частини, а також про підняття резервного сервера.

Серверна частина

Налаштування виконую на віртуальних машинах у virtualbox, на сервері ip адреса 192.168.1.1, також на даному сервері розташований репозиторій (налаштування ip адрес та репозиторіїв нічим не відрізняються від налаштувань у debian). Перше, що необхідно налаштувати – це синхронізацію часу: піднімемо ntp сервер, який братиме час з поточної машини. Для цього достатньо відредагувати файл /etc/ntp.conf, внісши в нього наступні зміни: server 127.127.1.0 fudge 127.127.1.0 stratum 10 restrict 192.168.1.0 IP адресами. Запустимо службу: systemctl enable ntp systemctl start ntp Оскільки в ald відсутній власний dns сервер, його заміною служить коректно налаштований файл /etc/hosts, який має бути однаковий усім машинах в домені. Перед редагуванням даного файлу, задамо коректне hostname для сервера: hostnamectl set-hostname dc1.local У даній ситуації hostname сервера буде dc1, а ім'я домену, відповідно, local, саме на ці параметри орієнтуватиметься ald-server при ініціалізації.Останнім штрихом перед ініціалізацією ald сервера буде коректне налаштування файлу /etc/hosts: 127.0.0.1 localhost #127.0.1.1 hostname 192.168.1.1 dc1.local dc1 192.168.1.2 dc1.2 host1.local host1 192.168.1.102 host2.local host2 Обов'язково необхідно "закоментувати" 127.0.1.1, а також важлива послідовність вказівки повного імені хоста, тобто першим має бути вказано ім'я хоста з доменом, і лише потім ім'я хоста без домену. У цьому прикладі вказано один домен та дві робочі станції. Якщо робочих станцій більше, відповідно всіх їх необхідно перерахувати в даному файлі, а також скопіювати даний файл на всі машини, які планується ввести в домен. Після цього можна приступати до встановлення необхідних пакетів, а також ініціалізації сервера: sudo apt install ald-server-common fly-admin-ald-server smolensk-security-ald -admin-smc (про це буде розказано далі). Під час встановлення буде запит на створення пароля адміністратора домену. Для поточної публікації буде створено пароль 12345678, далі пароль буде використаний для введення всіх машин в домен. ВАЖЛИВО: Якщо з якихось причин у Вас збилися налаштування сервера, їх можна відредагувати у файлі /etc/ald/ald.conf, у поточному файлі важливий параметр DOMAIN, значення даного параметра завжди повинно починатися з . (Точки), тобто. у поточному прикладі цей рядок буде виглядати так: DOMAIN = .local Ініціалізуємо сервер командою: ald-init init Після ініціалізації необхідно перезавантажити сервер.У процесі ініціалізації домену знову буде запит на створення пароля адміністратора домену, а також запит на створення пароля на базі даних kerberos. Якщо все пройшло вдало, то на екрані з'явиться повідомлення на малюнку 1. Мал. 1 За даними маніпуляцій налаштування сервера завершено, приступимо до налаштування клієнтської частини.

Клієнтська частина

Достатньо налаштувати ntp клієнта для синхронізації часу, скопіювати файл hosts із сервера, встановити ім'я хоста, а також налаштувати /etc/ald/ald.conf. У файлі /etc/ntp.conf необхідно додати рядки: server dc1.local Запустимо службу ntp: systemctl start ntp systemctl enable ntp Задамо ім'я хоста (у даному прикладі ip адреса хоста 192.168.1.101): hostnamectl set-hostname host1 Перед. conf необхідно встановити необхідні пакети: sudo apt install fly-admin-ald-client ald-client На малюнку 2 наведено приклад файлу ald.conf (даний файл аналогічний файлу ald.conf з сервера). Мал. 2 За даними маніпуляцій можна ввести машину доменом командою: ald-client join Після введення машини в домен її необхідно перезавантажити. Під час ініціалізації необхідно ввести пароль облікового запису, який має право на введення машини в домен. Якщо все пройшло вдало, то на екрані відобразиться текст, як на малюнку 3 Мал. 3

Резервний сервер ald

Створити резервний сервер також досить легко. Для цього на майбутньому резервному сервері (на резервному сервері також необхідно розташувати коректний файл hosts), необхідно встановити пакети: sudo apt install smolensk-security-ald І відредагувати файл /etc/ald/ald.conf, змінивши один параметр : Мал.4 SERVER_ID=2 Далі задамо коректне ім'я хоста для резервного сервера: sudo hostnamectl set-hostname dc2.local Тепер ініціалізуємо резервний сервер командою: sudo ald-init init –slave Після виконання цієї команди сервер перейде в резервний режим Після ініціалізації необхідно перезавантажити машину. Якщо, наприклад, основний сервер вийшов з ладу, то для перекладу резервного сервера в основний режим необхідно виконати команду: sudo ald-init promote Додатково необхідно на всіх станціях клієнта відредагувати файл /etc/ald/ald.conf, як це зробити однією командою буде розказано в розділі «Додатково». файлі необхідно змінити параметри SERVER і SERVER_ID: SERVER=dc2.local #dc2.local – резервний сервер SERVER_ID=2 #2 – id резервного сервера Після маніпуляцій необхідно виконати команду: sudo ald-client commit-config

Адміністрація ald сервера

Як було написано раніше, адміністрування можна проводити через стандартну системну утиліту fly-admin-smc. Її можна запустити через консоль, або в панелі управління, перейшовши на вкладку «Безпека» і запустивши аплет «Політика безпеки». Відповідно до ваших вимог: Рис. 6 На малюнку 6 представлено вкладку політики паролів. приступити до створення користувачів та налаштування їх прав. Рис. "Первинна група". При цьому користувач буде доданий до групи "domain user". Мал.8 На вкладці "Привілеї домену" можна зробити користувача "адміністратором" домену, а також дозволити авторизацію з конкретних доменних машин або будь-яких машин, що входять до домену. Мал. 9 Мал. 10 На вкладці "МРД" вказуємо, до яких позначок користувач має доступ, а також рівень цілісності. Мал. 11

Додатково

Уявіть таку ситуацію, в майбутній домен буде входити 100 або більше машин, розкидати в ручну файл hosts буде досить проблематично, в даній ситуації допоможе bash з СІ подібним синтаксисом. На тестовому стенді є підмережа 192.168.1.0/24, 192.168.1.1 – сервер, 192.168.1.2-192.168.1.100 – робочі станції. На кожній машині (в тому числі і на сервері) є користувач user з паролем 12345678.Даний користувач повинен бути повноцінним адміністратором (з доступом до sudo, під час установки системи створюється користувач, що має дані права) системи та мати рівень цілісності 63, для виконання цієї мети необхідно виконати наступні команди: sudo usermod -aG sudo pdpl-user -l 0:0 -i 63 user Якщо користувач user відсутній у системі – Виконаємо наступні команди: sudo useradd -m -G astra-admin, astra-console -s /bin/bash user sudo passwd user sudo pdpl-user -l 0:0 -i 63 user , необхідно встановити утиліту sshpass: sudo apt install sshpass Після даних маніпуляцій можна приступити до формування ключа (без sudo, з правами користувача user), для без парольного доступу: shh-keygen -t rsa -b 1024 Поширимо ключі на робочі станції: for((i=2;i<101;i++)); do sshpass -p 12345678 ssh-copy-id -f -o StrictHostKeyChecking=no [email protected].$i; done Скопіюємо файл hosts на всі машини за допомогою утиліти scp: for((i=2;i<101;i++)); do scp /etc/hosts [email protected].$i:/home/user; ssh [email protected].$i sudo cp /home/user/hosts /etc/hosts; done Після виконання цих команд файл hosts буде розповсюджений на всі машини, які входитимуть до домену.Таким же чином можна редагувати даний файл на всіх хостах в домені (наприклад, необхідно видалити рядок з ім'ям хоста – host40): for((i=2;i<102;i++)); sed -i '/host40/d' /etc/hosts; машинах, виконаємо команду: for((i=2;i<102;i++)); /etc/ald/ald.conf; sudo sed -i /etc/ald/ald.conf; sudo ald-client commit-config;

Висновок

Як видно з даної публікації ald домен досить просто розгортати, а також дуже просто адмініструвати, використовуючи стандартну системну утиліту fly-admin-smc.

Адміністрація ald домену на Astra Linux - Druzhba.v.ua

Більш детальну інформацію про ці продукти можна знайти на офіційному сайті компанії.

У цій статті йтиметься про ALD Pro.

Сьогодні для адміністрування домену на Linux в основному використовується відкритий програмний продукт FreeIPA. Рішення досить популярне і багатофункціональне. з термінологією, до якої звикли адміністратори Windows. У результаті ми отримуємо ситуацію, коли на хвилі повсюдного імпортозаміщення адміністраторам, які звикли до роботи з MS Active Directory, потрібен додатковий час на занурення та вивчення специфіки Linux.Особливо це помітно при впровадженні у регіонах, де не завжди можна зустріти доволі кваліфікованих спеціалістів.

Навіть маючи відповідну кваліфікацію та досвід роботи, адмініструвати Linux часом непросто: досі не було доступних рішень для роботи з груповими політиками, віддаленої установки програмного забезпечення та інших речей, з якими адміни стикаються щодня. часто виникає потреба у написанні скриптів і навіть програмуванні.

Ми скористалися досвідом нашого департаменту впровадження та супроводу в частині розгортання та налаштування у замовників систем управління доменом та зібрали функціональні вимоги до системи, яка дозволила б спростити як адміністрування Linux, так і перехід на подібне рішення з імпортного ПЗ. продуктів і в результаті дійшли висновку, що систем із необхідною функціональністю практично немає.

Ми декомпозували весь скоуп вимог, розписали користувальницькі сценарії і розпочали розробку системи. департаменту впровадження, які розуміють специфіку адміністрування ОС Astra Linux мають достатній досвід роботи з адміністраторами.

На першому етапі було розроблено та протестовано на фокус-групі клікабельний прототип системи. Паралельно ми спроектували архітектуру, вибрали оптимальні компоненти, щоб побудувати повноцінне рішення для адміністрування домену.Докладніше про критерії та методику вибору компонентів я розповім у наступній статті.

Отже, що таке ALD Pro?

ALD Pro є web-додаток з доступом з браузера. Обов'язковою умовою для початку роботи з системою є наявність відповідних прав доменного облікового запису адміністратора. Авторизація відбувається за протоколом Kerberos, і співробітнику не потрібно вводити облікові дані.

При запуску системи адміністратор бачить екран робочого столу, де по модулях розділена вся базова функціональність адміністрування парку комп'ютерів.

ALD Pro дозволяє настроювати та керувати:

  • параметрами домену;
  • ієрархією організаційної структури;
  • об'єктами домену: комп'ютерами, користувачам та групами;
  • груповими політиками організацій та підрозділів (за аналогією з MS Active Directory);
  • політиками паролів та доступом до вузла;
  • ролями та службами сайтів;
  • такими мережевими сервісами як дозвіл імен, синхронізація часу, DNS, служби друку та доступ до файлів.

Крім управління самим доменом, в системі реалізовано ряд інших важливих функцій:

  • встановлення ОС по мережі;
  • інсталяція та оновлення ПЗ на підключених комп'ютерах;
  • віддалений доступ до робочих столів користувачів;
  • моніторинг стану домену та серверів;
  • журналування подій та перегляд системних логів;
  • міграція даних із MS Active Directory.

Інтерфейс системи орієнтований на максимально зручне та просте використання:

Інформація про роботу з ALD Pro доступна безпосередньо з інтерфейсу – немає необхідності читати окрему документацію.

Після натискання на кнопку відкривається «Довідковий центр» з повною інформацією про роботу з ALD Pro відповідно до структури системи.

Розділи згруповані логічно, а навігація ними винесена у верхню частину, що дозволило збільшити корисну робочу область.

До списків винесено найбільш важливу оперативну інформацію, а також реалізовано наскрізний пошук та фільтрацію даних.

Функції, що часто використовуються, такі як меню або елементи керування груповими операціями, за замовчуванням приховані і відображаються в залежності від контексту (виконаних дій).

Результат виконання операцій відображається у вигляді сповіщень.

Для полів введення даних додано текстові пояснення російською мовою, а також налаштовані правила валідації для виключення помилок під час введення інформації.

Забігаючи вперед, скажу, що «під капотом» для керування службою каталогів використовується та сама FreeIPA, але з деякими змінами щодо роботи з нею:

  • додано можливість управління ієрархією підрозділів як окремою сутністю, аналогічно оргюнітам у MS AD;
  • оптимізовано швидкість роботи FreeIPA при роботі з великою кількістю записів;
  • в інтерфейс ALD Pro винесено лише необхідні поля даних, які потрібно заповнити, і це дозволило значно розвантажити інтерфейс користувача;
  • є можливість додавати кастомні поля до карток користувачів (на рівні об'єктів домену).

Roadmap ALD Pro

У квітні 2021 року випущено MVP системи, який протягом усього року було продемонстровано понад 100 організаціям. З січня 2022 року багато замовників вже отримали реліз-кандидат, який змогли протестувати самостійно.

На підставі зворотного зв'язку можна робити висновок, що ринок потребує такого рішення — багато хто хотів би його використати.

Безумовно, багато функцій, які є в MS AD, ще належить реалізувати, але базові сценарії адміністрування вже будуть доступні в 1 релізі, який заплановано на першу половину 2022 року.

Наша команда вірить: адмініструвати Linux стане простіше та зручніше. Ідея та кредо, закладене у продукт, звучить так: «Просте вирішення складних завдань».

Адміністрація ald домену на Astra Linux - Druzhba.v.ua

ALD Pro – софтверний продукт компанії РусБІТех-Астра («Науково-виробниче об'єднання Російські базові інформаційні технології»), яка розробляє та просуває операційну систему Astra Linux. Це служба каталогів із груповими політиками для керування та адміністрування всіма пристроями та користувачами у комп'ютерній мережі.

Система передбачає імпортозаміщення аналогічних зарубіжних продуктів типу Microsoft Active Directory та Red Hat Directory Server (RHDS).

Функціональність крайніх версій:

  • Управління ієрархією організаційної структури
  • Керування об'єктами домену: комп'ютерами, користувачам та групами
  • Створення та призначення групових політик на комп'ютери та користувачів
  • Налаштування параметрів домену та реплікації
  • Налаштування довірчих відносин із доменом MS Active Directory
  • Автоматизована установка ОС та ПЗ по мережі на комп'ютери в домені
  • Управління та налаштування системних сервісів та служб
  • Журналування подій та перегляд системних логів
  • Міграція даних із домену MS Active Directory
  • Віддалений доступ до робочих столів користувачів домену
  • Моніторинг стану домену та серверів

Astra Linux

Сьогодні ОС Astra Linux набула вже досить широкого поширення.Вона сертифікована для використання в держустановах та визнана придатною для обробки та захисту інформації, пов'язаної з держтаємницею, зокрема особливої ​​важливості. Astra Linux використовується в міністерстві оборони РФ, ФСБ, Росатомі, Газпромі, РЖД і включена в єдиний реєстр програм Мінкомзв'язку.

Astra Linux являє собою ґрунтовно доопрацьовану та модифіковану збірку Debian. Стандартний пакетний менеджер системи, Advanced packaging tool (використовується в операційних системах Debian і заснованих на них Ubuntu, Linux Mint та інших) автоматично встановлює та налаштовує програми із попередньо зібраних пакетів або вихідних кодів.

Крім спеціалізованих програм репозиторій Astra Linux включає графічний менеджер Fly, LibreOffice, браузер Firefox, поштовий клієнт Thunderbird, графічний редактор GIMP.

Fly – теж розробка ТОВ «РусБІТех-Астра», яка дозволяє використовувати Astra Linux у схожому на Windows інтерфейсі, до якого звикли багато звичайних користувачів, і підтримує функції системи з мандатного контролю. Fly створено на основі графічного сервера Xorg та утиліт, написаних за допомогою кросплатформового фреймворку QT 5, а також KF5 Framework (бібліотеки оболонки робочого столу KDE5).

Fly дозволяє налаштовувати робочий простір у необхідному ключі, змінювати шпалери, іконки, шрифти та їх розміри, звук та зовнішній вигляд. Крім того, оболонка Fly працює з усіма елементами захисту в системі.

Astra Linuх, без проблем встановлюється на комп'ютер через VirtualBox, при інсталяції підключається графічний менеджер, завдяки чому встановити ОС на свій комп'ютер може будь-який, більш-менш грамотний користувач. Це великий плюс системи.Подальша робота в ОС також не становить жодних труднощів – вибір програм, папок, копіювання, drag-n-drop, все функціонує приблизно як у Windows.

ОС налаштовується на панелі керування, де є всі необхідні розділи: робочий стіл, мережа обладнання, безпека, програми та система. Вибір програм здійснюється в процесі інсталяції, але якісь необхідні пакети можна встановити через менеджер пакетів Synaptic.

Система цілком стійка, не споживає велику кількість ресурсів, має досить пристойний набір додаткових пакетів.

Варто додати, що кінцевого користувача (якщо йдеться про мережу), швидше за все, і не доведеться нічого налаштовувати: за нього все зробить адміністратор ALD Pro.

Система захисту інформації ОС заснована на механізмах мандатного контролю цілісності (аналогічні механізми Windows – Mandatory Integrity Control і User Account Control), замкнутого програмного середовища (запуск виконуваних файлів в якому можливий тільки якщо вони підписані ЕЦП) і мандатного контролю доступу (користувач root в ньому не має таких прав, як у традиційній системі, тому що в Astra Linuх використовується додатковий механізм розподілу прав за рівнями цілісності). Ці інструменти входять до системи безпеки PARSEC, розробленої на основі формальної моделі безпеки управління доступом та інформаційними потоками.

В ОС Astra Linux розроблені та застосовуються три режими захисту інформації – Базовий (Орел), Посилений (Воронеж) і Максимальний (Смоленськ).

Пересісти на Astra Linux і використовувати її як домашню або робочу систему можна, хоча це і не здасться занадто зручним для звичайного користувача Windows. Але тут треба вибирати: або їхати, або шашечки.Тобто або впровадження вітчизняних розробок та імпортозаміщення, або звична Windows з реальною перспективою за перспективу в годину Ч отримати замість карети гарбуз з неможливістю підтримки та оновлень.

Ну а як безпечна ОС забезпечена численними системами захисту Astra Linux відмінно підходить.

ALD Pro

Служба каталогу ALD Pro дозволяє керувати парком комп'ютерів організації за допомогою групових політик. Додатково в ній реалізовані функції автоматизованої установки ОС та програмного забезпечення по мережі на комп'ютери в домені, віддалений доступ до робочих столів користувачів, моніторинг стану сервісів служби каталогу та багато іншого.

В основі ALD Pro лежить добре відоме, надійне та ефективне Open-source рішення FreeIPA (Free Identity, Policy and Audit, система управління обліковими записами та автентифікацією).

FreeIPA — інструмент для Linux/UNIX (аналогічний за функціоналом MS Active Directory), який забезпечує централізоване керування обліковими записами та централізовану автентифікацію за допомогою веб-інтерфейсу та командного рядка. FreeIPA об'єднує відразу кілька компонентів із відкритим вихідним кодом. Це 389 Directory Server (служба каталогів LDAP, призначена для централізованого керування доступом до ресурсів на безлічі мережевих серверів), MIT Kerberos (служба мережної автентифікації за протоколом Kerberos V5), Chrony (відмовностійкий, сервіс синхронізації часу, що масштабується, за протоколом NTP), Bind9 (DN ), Dogtag (систему сертифікатів).

FreeIPA – досить зручна та потужна система.Вона дає можливість об'єднати безліч серверів та робочих станцій у домені, забезпечити зберігання даних, а також автентифікацію, керування сертифікатами та можливість керування доменними іменами за допомогою вбудованого DNS-сервера.

Open-source компоненти та протоколи, що лежать в основі FreeIPA, забезпечують можливість тісної інтеграції компонентів для побудови повнофункціонального доменного рішення та їх подальший розвиток.

Наприклад, у доопрацьованій версії FreeIPA стала доступною можливість побудови оргструктури організації у вигляді ієрархії і на базі цього працює делегування повноважень та підсумовування групових політик.

Протокол Kerberos V5 (Цербер), наприклад, створений спеціально для використання в незахищених комп'ютерних мережах, де мережні пакети можуть бути підслухані та змінені зловмисником. Він, ефективний, забезпечує високий рівень безпеки та широко застосовується у сфері захисту інформації.

Основні елементи FreeIPA, після доопрацювання та налаштування для забезпечення відмовостійкості та розширення функціональних можливостей, інтегровані в ALD Pro. Але ці системи мають серйозні відмінності.

ALD Pro має потужний механізм налаштування та управління груповими політиками. Він досить гнучкий, зручний та легко налаштовується за допомогою візуального інтерфейсу. «Під капотом» — система управління конфігураціями SaltStack, одне з найшвидших і найефективніших рішень для подібних завдань. В ALD Pro система SaltStack використовується для реалізації групових політик та завдань автоматизації.

Хоча в інтерфейсі ALD Pro є всі необхідні інструменти для адміністрування каталогу, можна отримати і прямий доступ до каталогу, створювати, змінювати та видаляти будь-які об'єкти, будь то користувачі, комп'ютери чи групи.Для цього можна скористатися такими утилітами як ldapsearch, ldapadd, ldapmodify, ldapdelete та ін. Доступ з графічного інтерфейсу можна отримати за допомогою програми Apache Directory Studio.

Apache Directory Studio

Важливий функціонал, який має ALD Pro — можливість налаштування двосторонніх довірчих відносин з AD DS (Active Directory Domain Services).

Можлива в ALD Pro та міграція об'єктів домену з MS AD (Microsoft Active Directory). Для її забезпечення використовується свій модуль міграції та синхронізації даних.

Довідковий центр ALD Pro

Крім того, у ALD Pro є можливість налаштувати додаткові служби для домену: Zabbix — (система моніторингу мережевих сервісів, серверів та мережевого обладнання), Graphana (інструмент візуалізації даних), Fluentd (система централізованого збору та аналізу журналів), ISC DHCP (динамічного налаштування) мережі вузла), підсистема репозиторіїв ПЗ (Reprepo), автоматичної установки ОС (TFTP + PXE), друк (CUPS), файловий сервер (Samba).

ALD Pro: перспективи

Впровадження ALD Pro спричинить необхідність вивчення цієї системи, її елементів, логіки роботи та управління, оскільки це серйозний інструмент, що володіє безліччю можливостей, осягнути які інтуїтивно складно. і початок роботи. Це не така вже й велика проблема для хорошого адміністратора, з урахуванням того, що в системі є візуальний інтерфейс, який дозволяє налаштувати всі необхідні параметри.

Ясно одне: що більше з'являтиметься заснованих на ALD Pro проектів, то швидше й ефективніше розвиватиметься це цікаве рішення.

Related Posts

Новини

Конвектор або масляний обігрівач що краще: з'ясуємо та порівняємо їх характеристики

Як налаштувати автозапуск за часом томагавк 9020