Часто задаваемые вопросы (FAQ)
Что такое ALD Pro?
ALD Pro (Astra Linux Directory Pro) - это система централизованного управления ИТ инфраструктурой (набор сетевых служб сервера Astra Linux для организации централизованного управления ИТ-инфраструктурой). Программный комплекс построен на хорошо известных компонентах с открытым исходным кодом, использующих стандартные протоколы обмена информацией: FreeIPA, 389 Directory Server, MIT Kerberos, Bind9, ISC DHCP, NTP Chrony, SSSD, Reprepro, CUPS Print server, Samba File server, Zabbix.
В основе лежит служба каталога, которая обеспечивает централизованное хранения данных о пользователях, хостах, сервисных учетных записях, и обеспечивает доступ к этой информации по открытым протоколам. Управление системой можно осуществлять из веб-интерфейса, командной строки или через REST API.
Какие ключевые преимущества ALD Pro?
Мы делаем акцент на следующих ключевых преимуществах:
Простое управление службой каталога - управление осуществляется через простой и современный веб-интерфейс без необходимости обращения к командной строке при выполнении повседневных задач администрирования.
Новый подход к администрированию Linux - продукт предоставляет возможность организовать единое пространство пользователей и централизованно управлять Linux- хостами с помощью групповых политик и заданий автоматизации.
Решение собственной разработки - связующее программное обеспечение является собственной разработкой компании РусБИТех-Астра.
Инструменты миграции - продуктовая команда уделяет значительные усилия проработке сценариев миграции и вспомогательных инструментов, чтобы помочь предприятиям в решении задачи импортозамещения.
Удобство развертывания - установка подсистем выполняется в несколько кликов из веб-интерфейса путем назначения серверу соответствующей роли.
Отказоустойчивость и возможность масштабирования - все ключевые подсистемы продукта, такие как служба каталога, центр распространения ключей, DNS, DHCP допускают резервирование, что дает возможность строить отказоустойчивые и масштабируемые системы.
Возможность работы с уже существующими системами - продукт легко интегрировать с существующими системами по открытым протоколам, таким как LDAP v3, Kerberos V5, DNS.
Встроенный справочный центр - продукт поставляется с встроенным справочным центром и набором сопроводительной документации. Планируется уделять значительные усилия разработке документации, чтобы дополнительно упростить освоение системы.
Какой технологический стек используется в ALD Pro?
Портал управления ALD Pro представляет из себя web-приложение, разработанное с использованием Django – свободного фреймворка для веб-приложений на языке Python3. В качестве базы данных используется PostgreSQL, на фронте используется js-библиотека ReactJS, а в роли веб-сервера выступает Apache.
Портал ALD Pro управляет следующими подсистемами:
Подсистема «Контроллер домена»
В основе лежит служба каталога (FreeIPA), которая, в свою очередь, базируется на таких продуктах как 389 Directory Server (LDAP), MIT KDC (Kerberos) и BIND9 (DNS).
Мы автоматически устанавливаем на контроллерах службу Chrony для организации иерархии серверов времени.
Возможности службы каталога дополняются функциями групповых политик на базе скриптов Salt. Портал управления ALD Pro позволяет создавать объекты групповых политик, используя параметры для компьютеров и пользователей, и сохранять эту информацию в LDAP-каталоге. На всех компьютерах в домене работает автономная служба Salt Minion, которая извлекает из LDAP-каталога назначенные на пользователя/компьютер параметры, суммирует их и применяет на компьютере с использованием универсальных salt-скриптов.
Подсистема репозиториев (RepRepro)
Подсистема общего доступа к файлам (Samba)
Подсистема общего доступа к принтерам (CUPS)
Подсистема динамичного конфигурирования хостов (ISC DHCP)
Подсистема установки ОС по сети (TFTP-HPA)
Подсистема журналирования (Syslog-NG)
Подсистема мониторинга (Zabbix, Grafana, Fluentd, Flentbit)
Все компоненты являются открытым программным обеспечением. Интеграция сторонних приложений возможна по протоколам LDAP v3 и Kerberos V5.
Возможно ли заменить ALD Pro установкой отдельных компонентов?
В состав ALD Pro входит связующее программное обеспечение, являющееся разработкой компании РусБИТех-Астра, без которого у вас не будет следующих функций:
иерархия организационных подразделений в службе каталога;
механизм групповых политик и заданий автоматизации (привязка скриптов конфигурирования к подразделениям, реализация наследования и суммирования групповых политик);
более 100 запрограммированных параметров групповых политик, содержащих порядка 1000 настроек, для конфигурирования хостов под управлением ALSE;
автоматизация развертывания подсистем (сервер репозиториев, файловый сервер, принт-сервер, DHCP, установка ОС по сети, аудит, мониторинг);
единый интерфейс для управления всеми подсистемами.
Все подсистемы ALD Pro устанавливаются на один сервер?
Во избежание проблем с зависимостями пакетов каждая подсистема ALD Pro устанавливается на отдельном сервере. Вместе с лицензией на контроллер домена в подарок идет 8 лицензий ALSE для развертывания контроллера домена и любых подсистем, поэтому приобретать дополнительные лицензии не требуется.
В домене ALD Pro может быть только один контроллер?
Домен ALD Pro поддерживает горизонтальное масштабирование, поэтому вы можете создать в домене несколько контроллеров, и они будут работать в мульти-мастер режиме, т.е. изменения можно вносить на любом их них. Контроллеры можно закрепить за сайтами, чтобы обеспечить географическую балансировку нагрузки.
База данных каталога автоматически реплицируется между серверами, поэтому на всех серверах в домене содержится примерно одна и та же информация. Репликация работает по стандартному протоколу LDAP. Из соображений отказоустойчивости на каждом контроллере рекомендуют создавать от двух до четырех соглашений о репликации.
Обратите внимание, что вы можете создать и более четырех соглашений о репликации, но это целесообразно только в тех случаях, когда вы оптимизируете этим топологию репликации. Следует понимать, что соглашения работают по очереди, поэтому большое количество соглашений может создавать задержки в выполнении репликации.
Будет ли работать аутентификация если контроллер домена выйдет из строя?
На рабочих станциях пользователей можно настроить до трех DNS-серверов, которые будут использоваться по очереди, что гарантирует отказоустойчивость на уровне трех девяток.
Если сайт содержит более трех контроллеров домена, то остальные сервера будут участвовать в распределении нагрузки по обращениям к службам KDC и LDAP. Клиент SSSD выбирает активный контроллер путем автоматического обнаружения сервисов по SRV-записям.
При недоступности контроллеров домена служба SSSD сможет выполнять автономную аутентификацию пользователей, если ей не запрещено хранить хеши паролей.
Можно ли зайти на ноутбук, введенный в домен, вне офиса?
Для первого входа пользователя в систему компьютер должен иметь доступ к контроллеру домена. В дальнейшем пользователь сможет входить в систему без подключения к локальной сети офиса, т.к. в соответствии с настройкой cache_credentials = True
в файле /etc/sssd/sssd.conf
хеш пароля будут закэширован в службе SSSD. Время кэширования не ограничено, т.к. в файле sssd.conf
не определен параметр offline_credentials_expiration
.
Если администратору потребуется передать сотруднику ноутбук через курьерскую службу, он может выполнить предварительную настройку кэша службы SSSD для конкретного сотрудника с помощью команды sss_seed
.
Все вышеуказанное достоверно только для входа в компьютер. Получение Kerberos-билетов возможно только путем обращения к службе KDC на контроллере домена.
Где хранится каталог, какая используется база данных?
В качестве бэкенда служба каталога ALD Pro (FreeIPA) использует компонент 389 Directory Server, который известен так же под названиями Netscape Directory Server, Fedora Directory Server и Red Hat Directory Server.
Продукт 389 Directory Server является продолжением развития slapd от мичиганского университета, от которого также ответвился и OpenLDAP, но по мнению экспертов эта реализация превосходит другие форки по надежности и масштабируемости. В сети Интернет есть упоминания об инсталляциях на тысячи реплик.
Для работы с данными 389 Directory Server использует Sleepycat Berkeley DB (BDB) — высокопроизводительную встраиваемую систему управления нереляционными базами данных, которая хранит пары «ключ — значение» в виде бинарного дерева и поддерживает множество значений для одного ключа.
Текущая производительность BDB абсолютно сопоставим с производительностью базы MS AD, а в ближайшее время ожидается переход на бэкенд LMDB, который в большинстве операций показывает скорость выше в 5-10 раз.
Для прямого взаимодействия с базой администраторам доступны такие утилиты как dsconf
и dbscan
, но основное взаимодействие с каталогом осуществляется все же по открытому протоколу LDAP(S).
Орг структура ALD Pro хранится в LDAP каталоге?
Организационная структура, как набор структурных подразделений и их вложенность, хранится в контейнере LDAP-каталога «cn=accounts,cn=orgunits,dc=ald,dc=company,dc=lan».
Для обеспечения обратной совместимости пользователи и компьютеры физически не перемещаются в эти контейнеры, а их принадлежность к структурным подразделениям определяется значением атрибута rbtadp (от RusBiTech Astra Division Path, OID 1.3.6.1.4.1.52616.100.2.3.1000).
Есть ли ограничение на число пользователей/компьютеров в домене?
Для хранения данных ALD Pro использует BerkleyDB - высокопроизводительную встраиваемую систему управления нереляционными базами данных. Максимально допустимый размер этой СУБД зависит от размера страницы данных, но составляет не менее 2ТБ, что для службы каталога означает отсутствие каких-либо ограничений. Например, инженеры продуктовой команды проводили успешное тестирование домена с каталогом на 30 млн. объектов.
В тоже время, чем больше объектов в базе, тем больше оперативной памяти требуется серверу, чтобы обрабатывать запросы на чтение без обращения к медленным дискам. В среднем нужно выделять 1 ГБ на каждые 20 тысяч объектов. Например, для каталога на 2 млн. пользователей нужно порядка 100 ГБ ОЗУ.
Примечание: Для экономии памяти при работе с большими каталогами рекомендуется отключать плагин ``Schema Compatibility``, который строит виртуальную копию каталога для совместимости с устаревшими UNIX-клиентами.
Отметим так же, что возможности контроллеров по обслуживанию рабочих станций определяются количеством вычислительных ресурсов – чем больше компьютеров нужно обслуживать контроллеру, тем больше серверу нужно ядер центрального процессора, в среднем по одному ядру на каждую тысячу хостов.
Обычно рекомендуется эксплуатировать контроллеры, рассчитанные на 3-5 тысяч обслуживаемых хостов (8 ядер), но инженеры продуктовой команды проводили успешное тестирование контроллеров на серверах до 32 ядер включительно, и производительность растет линейно с коэффициентом 1.8, т.е. при увеличении числа ядер в 2 раза производительность в среднем возрастает на 80%.
Кроме вертикального масштабирования в домене доступно так же горизонтальное масштабирование за счет введения в домен дополнительных контроллеров домена. Рабочие станции выбирают активный контроллер случайным образом по результатам процедуры автоматического обнаружения, используя SRV-записи. Инженеры продуктовой команды проводили успешное тестирование доменов, в которых было до 400 контроллеров.
Если резюмировать, то домен ALD Pro (FreeIPA) не имеет ограничений по числу пользователей, но для обеспечения высокой производительности системы вам требуется крайне тщательно подойти к вопросу планирования ресурсов, чтобы рассчитать необходимое количество контроллеров, их производительность и общую топологию домена.
Какие есть протоколы аутентификации? Поддерживается ли Kerberos?
Служба каталога ALD Pro реализована на базе FreeIPA (389 Directory Server + MIT KDC) и поддерживает аутентификацию по протоколам LDAP v3 (bind) и Kerberos V5. В LDAP-каталоге хеш для аутентификации по протоколу LDAP хранится в атрибуте userPassword, а хеш для Керберос-аутентификации в атрибуте krbPrincipalKey, обновление этих ключей происходит автоматически при смене паролей по любым протоколам (LDAP, KPasswd).
Протокол аутентификации NTLM считается устаревшим, но он доступен на контроллерах домена, т.к. они используют компоненты Samba и Winbind для совместимости с MS AD в доверительных отношениях. Хеш для NTLM-аутентификации хранится в атрибуте ipaNTHash.
За работу компьютера в составе домена отвечает служба SSSD, которая встраивает свои модули PAM и NSS в систему. Авторизационную информацию служба SSSD извлекает из каталога по протоколу LDAP, а для аутентификации пользователей использует протокол Kerberos V5. Локальные приложения могут получать Kerberos-билеты через GSSAPI, а пользователи могут оперировать билетами вручную с помощь утилит из пакета krb5-user, таких как kinit, kdestroy, klist.
Может ли домен ALD Pro работать с ОС других вендоров?
К службе каталога ALD Pro можно присоединять сервера и рабочие станции под управлением других операционных систем из семейств Linux и Windows, но функциональность будет отличаться.
Для операционных систем Linux сторонних вендоров, которые вводятся в домен с помощью службы SSSD, будет доступен базовый функционал:
аутентификация/авторизация доменных пользователей;
прозрачная аутентификация пользователей при обращении к керберизированным сервисам (например, к файловому серверу).
базовые политики безопасности (HBAC- и SUDO-правила, карты autofs)
Для операционных систем Windows доступны будут базовые функции аутентификации и авторизации. Если вы будете присоединять Windows-хосты с помощью утилиты aldpro-join.exe, то будут работать следующие функции:
у пользователя в системе будет Kerberos-билет для прозрачной аутентификации в керберизированных сервисах;
пользователь будет действовать в системе из-под своей доменной учетной записи, которая содержит как его собственный SID, так и идентификаторы всех его доменных групп.
Для основной системы, которой является ОС Astra Linux, помимо базового функционала доступны расширенные функции:
применение групповых политик ALD Pro и заданий автоматизации с использованием salt-скриптов;
централизованная настройка аудита событий безопасности;
возможность оказания технической поддержки путем подключения к рабочему столу пользователя по протоколу VNC.
В рамках дорожной карты развития продукта ALD Pro на 2025 год планируется реализация мультивенодрного подхода и выпуск клиентской части для двух операционных систем альтернативных вендоров, что даст возможность централизованно управлять настройками этих систем с помощью механизма групповых политик ALD Pro.
Как лицензируется ALD Pro?
Серверные лицензии ALD Pro приобретаются по количеству контроллеров в домене. Для установки основного или резервного контроллера домена вам требуется лицензия на сервер ALD Pro. Лицензия на операционную систему Astra Linux идет в комплекте с лицензией на сервер ALD Pro, приобретать ее дополнительно не требуется.
Лицензии на управляемые устройства приобретаются по количеству серверов и рабочих станций в домене. Для присоединения сервера или рабочей станции к домену вам требуется лицензия на управляемое устройство ALD Pro. Лицензию на управляемое устройство ALD Pro можно приобрести как в составе бандла вместе с лицензией на операционную систему Astra Linux, так и отдельно.
Для установки подсистем ALD Pro в комплекте с каждой лицензией на сервер ALD Pro идет 7 дополнительных лицензий на операционную систему Astra Linux и 7 управляемых устройств ALD Pro. Вы можете по своему усмотрению установить как все системы по одной, так и семь файловых серверов сразу. Если указанного количества вам окажется недостаточно, вам нужно будет приобрести лицензии на операционную систему Astra Linux и управляемые устройства ALD Pro по количеству дополнительных подсистем.
Решение ALD Pro приобретается отдельно от ОС?
Серверную лицензию ALD Pro можно приобрести только вместе с лицензией на операционную систему ALSE. Клиентскую лицензию ALD Pro можно приобрести как вместе с операционной системой ALSE в составе так называемого бандла, так и отдельно.