ALD Pro — это как Microsoft Active Directory, только для Linux

fccl503wasutii8vkbxyjmvcm9y.jpeg

ALD Pro — софтверный продукт компании РусБИТех-Астра («Научно-производственное объединение Русские базовые информационные технологии»), которая разрабатывает и продвигает операционную систему Astra Linux. Это служба каталогов с групповыми политиками для управления и администрирования всеми устройствами и пользователями в компьютерной сети.

Система предполагает импортозамещение аналогичных зарубежных продуктов типа Microsoft Active Directory и Red Hat Directory Server (RHDS).
Функциональность крайних версий:

  • Управление иерархией организационной структуры
  • Управление объектами домена: компьютерами, пользователям и группами
  • Создание и назначение групповых политик на компьютеры и пользователей
  • Настройка параметров домена и репликации
  • Настройка доверительных отношений с доменом MS Active Directory
  • Автоматизированная установка ОС и ПО по сети на компьютеры в домене
  • Управление и настройка системных сервисов и служб
  • Журналирование событий и просмотр системных логов
  • Миграция данных из домена MS Active Directory
  • Удаленный доступ к рабочим столам пользователей домена
  • Мониторинг состояния домена и серверов


Но сначала стоит сказать пару слов о системе, на базе которой работает ALD Pro. Это Astra Linux, один из лучших отечественных Linux-дистрибутивов по результатам голосования пользователей Хабра.

Astra Linux


Сегодня ОС Astra Linux получила уже довольно широкое распространение. Она сертифицирована для использования в госучреждениях и признана пригодной для обработки и защиты информации, связанной с гостайной, в том числе особой важности. Astra Linux используется в министерстве обороны РФ, ФСБ, в Росатоме, Газпроме, РЖД и включена в единый реестр программ Минкомсвязи.

Astra Linux представляет собой основательно доработанную и модифицированную сборку Debian. Стандартный пакетный менеджер системы, Advanced packaging tool (используется в операционных системах Debian и основанных на них Ubuntu, Linux Mint и других) автоматически устанавливает и настраивает программы из предварительно собранных пакетов или из исходных кодов.

fjwxqjf9r6-ylgydglldoovx7os.jpeg

Помимо специализированных программ, репозиторий Astra Linux включает графический менеджер Fly, LibreOffice, браузер Firefox, почтовый клиент Thunderbird, графический редактор GIMP.

Fly — тоже разработка ООО «РусБИТех-Астра», которая позволяет использовать Astra Linux в похожем на Windows интерфейсе, к которому привыкли многие обычные пользователи, и поддерживает функции системы по мандатному контролю. Fly создан на основе графического сервера Xorg и утилит, написанных с помощью кроссплатформенного фреймворка QT 5, а также KF5 Framework (библиотеки оболочки рабочего стола KDE5).

Fly позволяет настраивать рабочее пространство в необходимом ключе, менять обои, иконки, шрифты и их размеры, звук и внешний вид. Кроме того, оболочка Fly работает со всеми элементами защиты информации в системе.

Astra Linuх, без проблем устанавливается на компьютер через VirtualBox, при инсталляции подключается графический менеджер, благодаря чему установить ОС на свой компьютер может любой, мало-мальски грамотный пользователь. Это большой плюс системы. Дальнейшая работа в ОС также не представляет каких-либо трудностей — выбор программ, папок, копирование, drag-n-drop, всё функционирует примерно как в Windows.

ОС настраивается в панели управления, где имеются все необходимые разделы: рабочий стол, сеть оборудование, безопасность, программы и система. Выбор программ осуществляется в процессе инсталляции, но какие-то, необходимые вам пакеты можно установить через менеджер пакетов Synaptic.

Система вполне устойчива, не потребляет большого количества ресурсов, имеет довольно приличный набор дополнительных пакетов.

exp3axv_7rn9ppnhq9oyxl-migc.jpeg

Стоит добавить, что конечному пользователю (если речь идет о сети), скорее всего, и не придется ничего настраивать: за него все сделает администратор ALD Pro.

Система защиты информации ОС основана на механизмах мандатного контроля целостности (аналогичные механизмы Windows — Mandatory Integrity Control и User Account Control), замкнутой программной среды (запуск исполняемых файлов в которой возможен, только если они подписаны ЭЦП) и мандатного контроля доступа (пользователь root в нем не имеет таких прав, как в традиционной системе, так как в Astra Linuх используется дополнительный механизм распределения прав по уровням целостности). Эти инструменты входят в подсистему безопасности PARSEC, разработанную на основе формальной модели безопасности управления доступом и информационными потоками.

В ОС Astra Linux разработаны и применяются три режима защиты информации — Базовый («Орел»), Усиленный («Воронеж») и Максимальный («Смоленск»).

Пересесть на Astra Linux и использовать ее в качестве домашней или рабочей системы можно, хотя это и не покажется слишком удобным для обычного пользователя Windows. Но тут уж надо выбирать: либо ехать, либо шашечки. То есть или внедрение отечественных разработок и импортозамещение, или привычная Windows с реально замаячившей возможностью в перспективе перспективой в час Ч получить вместо кареты тыкву с невозможностью поддержки и обновлений.

Ну, а в качестве безопасной ОС снабженная многочисленными системами защиты Astra Linux отлично подходит.

rchri6pvs1y9zrdvkvbe-6podpk.jpeg

ALD Pro


Служба каталога ALD Pro позволяет управлять парком компьютеров организации с помощью групповых политик. Дополнительно в ней реализованы функции автоматизированной установки ОС и ПО по сети на компьютеры в домене, удаленный доступ к рабочим столам пользователей, мониторинг состояния сервисов службы каталога и многое другое.

В основе ALD Pro лежит хорошо известное, надежное и эффективное open-source решение FreeIPA (Free Identity, Policy and Audit, система управления учетными записями и аутентификацией).

u82bixcfmkj3lhnd8uqiomhdyje.png

FreeIPA — инструмент для Linux/UNIX (аналогичный по функционалу MS Active Directory), который обеспечивает централизованное управление учетными записями и централизованную аутентификацию с помощью веб-интерфейса и командной строки. FreeIPA объединяет сразу несколько компонентов с открытым исходным кодом. Это 389 Directory Server (служба каталогов LDAP, предназначенная для централизованного управления доступом к ресурсам на множестве сетевых серверов), MIT Kerberos (служба сетевой аутентификации по протоколу Kerberos V5), Chrony (отказоустойчивый, масштабируемый сервис синхронизации времени по протоколу NTP), Bind9 (DNS), Dogtag (систему сертификатов).

FreeIPA — достаточно удобная и мощная система. Она дает возможность объединить множество серверов и рабочих станций в домене, обеспечить хранение данных, а также аутентификацию, управление сертификатами и возможность управления доменными именами с помощью встроенного DNS-сервера.

Open-source компоненты и протоколы, лежащие в основе FreeIPA обеспечивают возможность тесной интеграции компонентов для построения полнофункционального доменного решения и их дальнейшее развитие.

Например, в доработанной версии FreeIPA стала доступна возможность построения оргструктуры организации в виде иерархии и на базе этого работает делегирование полномочий и суммирование групповых политик.

Протокол Kerberos V5 (Цербер), например, создан специально для использования в незащищенных компьютерных сетях, где сетевые пакеты могут быть подслушаны и изменены злоумышленником. Он, эффективен, обеспечивает высокий уровень безопасности и широко применяется в сфере защиты информации.

w7jl9n58czgmlepmvlzqm_aztu0.jpeg

Основные элементы FreeIPA, после доработки и настройки для обеспечения отказоустойчивости и расширения функциональных возможностей, интегрированы в ALD Pro. Но у этих систем есть серьезные отличия.

В ALD Pro встроен мощный механизм настройки и управления групповыми политиками. Он достаточно гибок, удобен и легко настраивается при помощи визуального интерфейса. «Под капотом» — система управления конфигурациями SaltStack, одно из самых быстрых и эффективных решений для подобных задач. В ALD Pro система SaltStack используется для реализации групповых политик и заданий автоматизации.

knxxsb89nat7epcvssijkbvrviy.png

Хотя в интерфейсе ALD Pro есть все необходимые инструменты для администрирования каталога, можно получить и прямой доступ к каталогу, создавать, изменять и удалять любые объекты, будь то пользователи, компьютеры или группы. Для этого можно воспользоваться такими утилитами как ldapsearch, ldapadd, ldapmodify, ldapdelete и др. Доступ из графического интерфейса можно получить с помощью приложения Apache Directory Studio. Для его работы потребуется Java.

jog0ll2ktumyn1n1oma39tlcb_m.jpeg
Apache Directory Studio

Важный функционал, которым обладает ALD Pro — возможность настройки двусторонних доверительных отношений с AD DS (Active Directory Domain Services). Он позволяет обеспечить прозрачную аутентификацию при обращении к любым ресурсам с помощью протокола Kerberos.

Возможна в ALD Pro и миграция объектов домена из MS AD (Microsoft Active Directory). Для ее обеспечения используется свой модуль миграции и синхронизации данных. Он позволяет проводить миграцию с учетом всех необходимых требований и автоматически синхронизировать Microsoft Active Directory и ALD Pro.

e2pzodfip3ermpeftmpsurippzo.png
Справочный центр ALD Pro

Кроме того, в ALD Pro имеется возможность настроить дополнительные службы для домена: Zabbix — (система мониторинга сетевых сервисов, серверов и сетевого оборудования), Graphana (инструмент визуализации данных), Fluentd (система централизованного сбора и анализа журналов), ISC DHCP (динамической настройки сети узла), подсистема репозиториев ПО (Reprepo), автоматической установки ОС (TFTP + PXE), печати (CUPS), файловый сервер (Samba).

ALD Pro: перспективы


Внедрение ALD Pro повлечет необходимость изучения этой системы, ее элементов, логики работы и управления, так как это серьезный инструмент, обладающий множеством возможностей, постичь которые интуитивно сложновато. С другой стороны, разработчики позиционируют его как простой инструмент и делают всё, чтобы облегчить его освоение и начало работы. Это не такая уж большая проблема для хорошего администратора, с учетом того, что в системе присутствует визуальный интерфейс, который позволяет настроить все необходимые параметры.

ecui2fdb2vgdn7xehusob-qgdae.jpeg

Ясно одно: чем больше будет появляться основанных на ALD Pro проектов, тем быстрее и эффективнее будет развиваться это интересное решение.

© Habrahabr.ru