Добрый день, Уважаемые коллеги и просто интересующиеся!
Хочу немного рассказать про попытки импортозамещения Microsoft Active Directory. Статья будет в виде вопрос - ответ.
0. Есть ли техническое задание?
Пока нет, но есть понимание того что мы хотим, а хотим мы ни много ни мало, а полное замещение MS AD со всеми его возможностями.
1. Почему решили сменить MS AD на другое решение?
Долгое время Microsoft Active Directory оставался стандартом для решения задачи организации корпоративной службы каталогов, но с введением санкций Microsoft отказалась поставлять свои решения на российский рынок. Таким образом появилась необходимость в переходе с MS AD на другие решения и в идеале решение должно быть российским. На рынке есть два глобальных лагеря предлагающих решения для замены MS AD - одни используют в своих разработках специально созданную для линуксовых сред FreeIPA, другие используют - SambaDC.
SambaDC -это фактически клон MS AD для Linux, который появился в результате разработки Эндрю Триджеллом. Начиная с версии 4.0 (выпущенной в 2012 г.) Samba может выступать в качестве контроллера домена (DC) Active Directory (AD). Samba может работать на функциональном уровне леса Windows Server 2008 R2, которого более чем достаточно для управления сложными предприятиями, использующих Windows 10/11.
FreeIPA - разработка осуществлялась сообществом разработчиков при спонсорской поддержке RedHat. Серверная часть разработана только для дистрибутивов Linux основанных на коде RedHat(Centos, Fedora и прочих), клиентская же часть, реализована и для других дистрибутивов Linux, таких как Debian, Ubuntu, openSUSE и прочих.
Я беру во внимание, только крупных игроков рынка, т.к. вероятность "схлопывания", их разработок меньше чем у менее заметных игроков рынка.
Решения на основе SambaDC:
АО "РусБИТех-Астра" с ALD PRO
ООО "Ред Софт" с Ред АДМ Промышленная редакция
Решения на основе FreeIPA:
ОАО "НПО "Базальт" с Альт Сервер
АО "Гринатом Простые Решения" с Атом.Домен
Все предлагают примерно одинаковый набор функций(если судить по презентациям), с незначительными отличиями и ограничениями, так например, на презентации ALD PRO разработчики заявили что, пока будет поддерживаться управление только операционными системами Астра Линукс. Но наша задача была подобрать такую систему, которая позволит вводить в домен и управлять не только ПК пользователей с Linux(РедОС, АльтЛинукс, AstraLinux) в качестве ОС, но и с Windows.
2. Тестирование или сразу в продакт?
Задам Вам встречный вопрос:
- А Вы, сразу после презентации, разворачиваете решение в продакт?
Мы пока проводим тестирование.
3. Что тестируем?
Решено было протестировать Ред Адм.
4. Какие системные требования у Ред Адм?
Обратимся для этого в документацию от РедСофт.
Для контроллера домена Ред Адм и для Ред Адм Сервер системные требования разные.
В инструкции сказано:
Для установки контроллера домена Ред Адм:
Центральный процессор - 8 ядер по 2 ГГц
Оперативная память - 32 Гб
Хранилище - 150 Гб
Сетевой адаптер - порт Ethernet 10/25 Гбит/с
Для построения отказоустойчивой конфигурации при одновременной работе не более 100 000 пользователей необходимо не менее четырёх серверов контроллера домена.
Для построения отказоустойчивой конфигурации при одновременной работе не более 300 000 пользователей необходимо не менее восьми серверов контроллера домена.
Допускается уменьшение количества серверов при кратном увеличении мощности их характеристик. Перед этим необходимо провести дополнительные испытания на соответствие требованиям отказоустойчивости.
Для установки Ред Адм Сервер:
Центральный процессор - 4 ядра по 2 ГГц
Оперативная память - 4 Гб
Хранилище - 100 Гб(желательно SSD)
Думаю тут всё понятно. Мы решили что, для тестирования будет достаточно двух серверов, т.к. у нас даже в продакте нет 100 000 пользователей, не говоря уже о тестировании.
5. Что такое контроллер домена Ред Адм?
Не стану выдумывать, вот цитата из инструкции:
Контроллер домена РЕД АДМ – это подсистема единой службы каталогов, предоставляющая возможность централизованного хранения и управления ресурсами домена.
Контроллер домена РЕД АДМ обеспечивает следующие возможности:
– предоставление единой точки авторизации и аутентификации пользователей на базе Kerberos;
– предоставление единого, безопасного, надежного и масштабируемого хранилища для всех объектов, размещенных в сети и поддерживающих интеграцию со службой каталогов (серверы, компьютеры пользователей и т.д.);
– репликация с другими серверами подсистемы;
– управление доступом к ресурсам инфраструктуры;
– централизованное управление политиками паролей и правилами;
– централизованное создание, изменение и удаление аккаунтов пользователей, групп и других сущностей;
– централизованное распространение корпоративных стандартов и конфигураций безопасности путем использования групповых политик;
– изменение структуры каталога при реорганизации;
– поддержка двунаправленных доверительных отношений с Microsoft Active Directory Domain Services;
– поддержка инструментов Microsoft для управления серверами (Remote Server Administration Tools) с компьютеров под управлением Windows;
– поддержка репликаций каталога sysvol;
– поддержка детальной настройки разрешений на уровне отдельных атрибутов и типов объектов;
– изменение атрибутов объектов службы и добавление новых атрибутов объектов службы.
Думаю что тут всё и без моих комментариев ясно.
6. Что такое Ред Адм Сервер?
Опять таки посмотрим что про это говорится в инструкции:
РЕД АДМ Сервер позволяет управлять контроллером домена и автоматизирует
типовые задачи администратора с парком рабочих станций и серверов на базе РЕД ОС. Система имеет веб-интерфейс управления.
Продукт имеет модульную структуру и может агрегировать в себе множество
модулей администрирования различного назначения.
РЕД АДМ комплексно решает задачи:
• администрирования доменных учетных записей;
• централизованного управления рабочими станциями;
• журналирования операций.
Дистрибутив РЕД АДМ Сервер представляет из себя rpm-пакет.
7. Как управляется вся система?
Система управляется из веб-интерфейса, который будет доступен после установки Ред Адм Сервер.
8. Как выглядит веб-интерфейс?
Веб-интерфейс выглядит вполне приятно.
Вводим логин Administrator и пароль который назначили при установке после чего попадаем в интерфейс управления:
Первым мы видим дашборд Ред Адм, слева расположено меню, по которому мы можем прогуляться:
В меню "Подразделения" мы управляем подразделениями компании. В терминологии MS AD, "Подразделения" - это OU. Думаю дальше нет смысла объяснять. Идём дальше.
Следующий пункт меню - Пользователи
В меню пользователи мы управляем учётными записями пользователей, тут полное подобие MS AD, мы можем создать, изменить, удалить. В общем всё тоже самое что и в MS AD.
Движемся далее. Далее у нас меню - Компьютеры.
В этом меню всё тоже очень похоже на MS AD. Поэтому не вижу останавливаться на этом пункте. Следующим у нас меню "Группы".
В этом меню также как и в предыдущих мы можем добавить, изменить и удалить объект.
Дальше переходим в меню "Конфигурации".
В меню "Конфигурации" мы можем создавать конфигурации что соответствует функционалу GPO в MS AD. Групповые политики в Ред Адм Промышленная редакция реализованы с использованием Ansible. К сожалению такие функции, как делегирование прав на подразделения или добавление нового сайта, не реализуемы средствами веб-интерфейса РЕД АДМ. Для выполнения данных операций необходимо использовать консоли Microsoft (RSAT) с компьютера на Windows. Будем надеяться что в дальнейшем ООО "РедСофт" доработает функционал и всё это появится в веб-интерфейсе. В дорожной карте(презентация на странице "Документация") у них обозначены грандиозные планы развития и хотелось бы увидеть эти планы реализованными. В планах у разработчиков РЕД АДМ есть также инструменты управления DNS, NTP, файловыми папками, но пока для настройки этих сервисов необходимо использовать штатные инструменты операционной системы, что доступно по большей мере опытным администраторам Linux.
Преднастроеных шаблонов конфигураций в РЕД АДМ около 100, а также можно добавлять собственные сценарии на языках Ansible и bash. Конфигурации РЕД АДМ выполняют конфигурирование только операционных систем РЕД ОС, для других ОС конфигурации можно разработать самостоятельно.
Так же стоит отметить, что РЕД АДМ не поддерживает расширения схемы AD, сделанные, например, для Exchange, Skype, System Center Configuration Manager (SCCM). Для работы данных систем потребуется иметь хотя бы один контроллер домена на Windows, до тех пор, пока вы окончательно не откажетесь от данных решений от Microsoft. Также не поддерживаются многодоменные леса — пока придется довольствоваться лесом из одного домена.
9. Заключение
В заключении хотелось бы отметить что, продукт хоть и молодой, но интересный, и если разработчики продолжат в том же духе и реализуют всё из дорожной карты, то такой продукт вполне можно будет пускать в продакт.
