Недавно «Группа Астра», ведущий российский разработчик инфраструктурного ПО, представила ALD Pro 3.0 — мажорный релиз службы каталога корпоративного класса для Linux на базе FreeIPA и 389 Directory Server. Решение рассчитано на крупные и географически распределённые домены, в которых количество контроллеров исчисляется сотнями, а объектов — миллионами, и при этом обеспечивает быструю миграцию и синхронизацию с Microsoft Active Directory без остановки бизнес-процессов.
Новый релиз переосмысливает архитектуру системы под сценарии Enterprise-плюс: устранены прежние ограничения на связанность между контроллерами, для управления достаточно LDAP-доступа к одному КД, а суммирование групповых политик перенесено на рабочие станции, что устраняет «бутылочное горлышко» на стороне сервера. Портал управления оптимизирован под высокие нагрузки: запросы адаптированы для схемы хранения данных LDAP, добавлены индексы по ключевым атрибутам, изменена логика постраничной навигации с учётом лучших практик AD — интерфейс остаётся отзывчивым даже в больших доменах на сотни тысяч пользователей.
Возможности масштабирования
Модуль синхронизации с MS Active Directory значительно улучшен: сопоставление объектов выполняется по уникальным идентификаторам objectGUID и nsUniqueId, синхронизация паролей вынесена в отдельный поток, а журнал событий разделён на сервисный, операционный и поток синхронизации данных — это существенно повышает скорость синхронизации критичных изменений и упрощает отладку. На практике миграция порядка 10 000 учётных записей занимает около двух часов. Поддерживаются двусторонние доверительные отношения с распространёнными версиями AD, что обеспечивает кросс-доменный доступ к ресурсам в обе стороны, включая сетевые папки и принтеры. Настройка прав доступа к ресурсам возможна с использованием привычных оснасток Windows, так как на контроллерах домена ALD Pro доступна служба глобального каталога, обеспечивающая доступ к информации каталога в схеме Active Directory.
Простота перехода на ALD Pro
Особое внимание уделено вопросам кибербезопасности и требованиям регуляторов. Через портал ALD Pro теперь можно централизованно управлять встроенными в Astra Linux функциями мандатного контроля, которые реализованы в модуле PARSEC (МКЦ/МРД), а допустимые значения мандатных меток проверяются службой SSSD при входе пользователя в систему. Так же на портале управления администратор может теперь регистрировать учтённые USB-накопители с указанием желаемых дискреционных и мандатных прав доступа; правила монтирования распространяются в домене через механизм LDAP-репликации и доставляются на рабочие станции по запросу службы SSSD в момент входа пользователя в систему. Для паролей пользователей добавлена проверка по словарю запрещённых слов с проверкой на стороне сервера. Словарь редактируется из веб-интерфейса и реплицируется в домене через LDAP. Алгоритм хеширования паролей в каталоге переведён на PBKDF2-SHA256 (реализация на Rust), что даёт существенный прирост производительности LDAP-аутентификации при сохранении желаемой криптостойкости. Решение LAPS встроено в продукт: ротация паролей локальных администраторов конфигурируется через штатный параметр групповой политики, а все необходимые атрибуты и правила доступа уже присутствуют в схеме каталога. Дополнительно закрыт ряд уязвимостей и реализовано порядка сорока запросов на повышение безопасности.
Управление функциями мандатного контроля OC Astra Linux
ALD Pro 3.0 обеспечивает работу мультивендорных инфраструктур. Для ALT Linux 10.4/10.2.1 и РЕД ОС 7.3/8 доступны клиентские части, позволяющие управлять системами через групповые политики на базе Salt-скриптов; опубликованы методики для партнёров-интеграторов по разработке собственных параметров. В базовый набор политик для альтернативных систем вошли настройки принтеров, Chrony/NTP, параметров загрузчика GRUB2 и ассоциации файлов с приложениями. Для упрощения доступа к файловым ресурсам реализовано централизованное управление картами автоматического монтирования (automount), которые являются аналогом DFS Namespaces для Linux; это позволяет скрывать от пользователей физическое расположение SMB-ресурсов и поддерживать логическое пространство имён распределенной файловой системы.
Заметно упростилась установка и эксплуатация системы. Мастер aldpro-dcpromo предоставляет понятный графический интерфейс для установки первого контроллера домена, расширяет набор проверок предварительных требований и реализует возможность возврата системы к первоначальному состоянию, если в ходе установки продукта возникнут какие-либо проблемы. Графическая утилита aldpro-join реализует привычный для Windows-администраторов интерфейс для присоединения компьютера к домену, а также позволяет обновлять пароль компьютера и проверять наличие доверия между компьютером и доменом. Утилита aldpro-setfacl позволяет добавлять пользователей домена в списки ACL во время настройки прав доступа на файловых серверах. Аутентификация портала управления переведена на связку mod_auth_gssapi + mod_session с сессионными cookie, что повышает надежность, сокращает количество GSSAPI-обращений и уменьшает сетевой трафик. Механизм очистки репозиториев автоматически удаляет артефакты незавершённых загрузок ISO-образов. Добавлены утилиты для экспорта/импорта объектов групповых политик, разработана инструкция по выполнению резервного копирования и восстановления контроллера домена с строганием СРК RuBackup, объясняющая особенности авторитативного восстановления. Разработаны витрины для контроля целостности каталога (мониторинга репликации).
Для возможности быстрого старта теперь доступна бесплатная редакция ALD Pro Free: один контроллер домена, до 25 пользователей и 25 компьютеров, групповые политики, функция подключения к удаленному рабочему столу по VNC для оказания технической поддержки, доверительные отношения с одним лесом AD и гарантированная возможность установки обновлений. Этого количества функций достаточно, чтобы на реальных сценариях оценить возможности продукта, что позволяет проводить пилотные проекты без капитальных затрат.
ALD Pro 3.0.0 доступен действующим клиентам через личный кабинет; там же размещены утилиты и дополнительные параметры групповых политик. Бесплатная редакция Free выдаётся через ЛК или по заявке на сайте: https://www.aldpro.ru/#connect
Источник: habr.com