Часто задаваемые вопросы (FAQ)

Что такое программный комплекс ALD Pro?

Программный комплекс ALD Pro (Astra Linux Directory Professional) - это набор сетевых служб сервера Astra Linux для создания службы каталога и организации централизованного управления ИТ-инфраструктурой, что крайне важно для снижения дрейфа настроек и уменьшения расходов на техническое сопровождение при переходе на отечественные операционные системы. Продукт построен на хорошо известных компонентах с открытым исходным кодом, которые используют только открытые протоколы для обмена информацией.

Чем помогает продукт ALD Pro на предприятиях?

Продукт ALD Pro решает следующие основные задачи:

  • Централизованное управление учётными записями. Хранение и управление учётными записями пользователей, компьютерами и сервисами в одном месте и, как следствие, снижение расходов на администрирование.

  • Единая точка сквозной аутентификации Kerberos V5. Освобождает пользователей от необходимости повторного ввода пароля и его хранения в открытом виде в диспетчерах паролей.

  • Делегирование полномочий. Реализована возможность распределения зон ответственности между администраторами.

  • Групповые политики. Централизованное управления параметрами компьютеров и пользователей при помощи групповых политик на базе SaltStack.

  • Автоматическое развертывание сервисов. Возможно выполнять автоматическое развёртывание следующих сервисов: репозитории deb-пакетов, файловый сервер SMB, север печати IPP, DHCP, установка ОС по сети, мониторинг.

Какие ключевые преимущества у продукта ALD Pro?

Преимущества перед решением Microsoft Active Directory:

  • Исключает санкционные риски и возможность вендор-атак.

  • Продукт включен в реестр отечественного ПО.

  • У продукта выше совместимость с отечественными ОС на базе ядра Linux.

Преимущества перед службами каталога на базе Samba AD:

  • Продукт основан на базе службы каталога FreeIPA, которая имеет более полную поддержку клиентской части SSSD и является лучшим решением для обеспечения работы Linux-компьютеров в составе домена. Если для SSSD бэкендом выступает Samba AD, то вам будут доступны только базовые функции аутентификации и авторизации.

  • Продукт Samba AD не имеет перспектив дальнейшего развития, тем более для управления Linux-хостами.

  • Более подробное сравнение этих служб каталога вы сможете найти в нашей статье.

Преимущества перед службами каталога на базе FreeIPA:

  • Реализован удобный веб-портал с русскоязычным интерфейсом, который позволяет выполнять типовые заявки на обслуживание из современного графического интерфейса без необходимости обращения к командной строке и написания скриптов автоматизации. В портал управления встроен справочный центр, чтобы у пользователей под рукой всегда был доступ к рабочей документации.

  • Реализована иерархия структурных подразделений и высокопроизводительный механизм групповых политик как в MS AD, позволяющий управлять десятками тысяч Linux-хостов из графического интерфейса в несколько кликов. На компьютерах в домене устанавливается автономная служба Salt Minion, которая как служба GPSVC от Microsoft извлекает параметры из каталога через LDAP, выполняет их суммирование в соответствии с положением пользователя/компьютера в иерархии структурных подразделений, применяет их с использованием скриптов одной из лучших систем конфигурирования SaltStack.

  • Автоматизировано управление несколькими наиболее востребованными подсистемами: сервер репозиториев, файловый сервер, сервер печати, DHCP, PXE, аудит, мониторинг. Установка подсистем выполняется из веб-интерфейса в несколько кликов путем назначения серверу соответствующей роли. Настройка подсистем может быть осуществлена с любого контроллера домена вне зависимости от топологии сети, настройки будут доставлены до ближайшего сервера через LDAP-репликацию.

  • Разработаны инструменты миграции и гибридного развертывания, такие как модуль синхронизации и глобальный каталог, чтобы помочь предприятиям в решении задач импортозамещения. Продуктовая команда ALD Pro первой в мире реализовала возможность установления доверительных отношений между доменами FreeIPA.

  • Более 40+ готовых интеграций с продуктами сторонних вендоров, список которых постоянно расширяется.

  • Создан открытый курс по продукту, который включает в себя более 30 учебных модулей, раскрывающих наиболее важные аспекты работы с системой. Планируется и дальше уделять значительные усилия развитию документации, чтобы максимально упростить освоение используемых технологий.

Какой технологический стек используется в ALD Pro?

В составе продукта используются следующие компоненты:

  • Контроллер домена:

    • FreeIPA - служба каталога, которая обеспечивает интеграцию DNS-сервера (Bind9) и Kerberos KDC (MIT KDC) с LDAP-каталогом, предоставляет общее API, веб-интерфейс и инструменты командной строки.

    • 389 Directory Server - LDAP-каталог, который обеспечивает централизованное хранения данных о пользователях, хостах, сервисных учетных записях, и обеспечивает доступ к этой информации по открытому протоколу LDAP. Именно 389 Directory Server обеспечивает мультимастер-репликацию данных между всеми контроллерами в домене.

    • MIT KDC - центр распространения ключей Kerberos (Key Distribution Center), обеспечивает аутентификацию по протоколу Kerberos V5.

    • Bind9 - DNS-сервер, обеспечивает работу в домене службы доменных имен.

    • NTP Chrony - сервер времени, обеспечивает синхронизацию времени между всеми участниками в домене.

    • Компоненты ALD Pro:

      • Портал управления - веб-приложение, которое расширяет базовые возможности службы каталога FreeIPA, реализуя групповые политики и механизм управления всеми остальными подсистемами продукта. Указанное приложение разработано с применением фреймворка Django, в качестве встроенной базы данных используется PostgreSQL, фронтенд реализован на ReactJS, а в роли веб-сервера выступает Apache.

      • Модуль глобального каталога - набор программного обеспечения, который позволяет установить на контроллере домена еще один экземпляр LDAP-каталога с неполным набором атрибутов в схеме MS AD и сделать его доступным для Windows-клиентов по порту 3268/TCP. Глобальный каталог обеспечивает возможность полноценного использования двухсторонних доверительных отношений, позволяя администраторам MS AD настраивать доступ к ресурсам своего домена для пользователей и групп из домена ALD Pro с использованием стандартных оснасток Windows. В ванильной службе каталога FreeIPA нет модуля глобального каталога, поэтому поддержка двусторонних доверительных отношений без доработок от ALD Pro оказывается неполной.

      • Модуль синхронизации - дает возможность поддерживать консистентность информации между двумя доменами MS AD и ALD Pro в части пользователей (включая их пароли), групп и структурных подразделений, что позволяет обеспечить сотрудникам доступ по логину/паролю к любой системе, вне зависимости от того, к какому домену она подключена. С помощью этого модуля можно реализовать плавную миграцию ИТ-инфраструктуры, в которой используется много информационных систем, подключенных к службе каталога через LDAP-коннекторы.

  • Клиентская часть:

    • SSSD - клиентская служба, обеспечивающая работу компьютеров в составе домена.

    • Компоненты ALD Pro:

      • Salt Minion - автономная служба с дополнительными скриптами от продуктовой команды ALD Pro, обеспечивающая извлечение параметров групповых политик из LDAP-каталога и их применение на компьютерах в домене.

      • Агент Zabbix - служба подсистемы мониторинга Zabbix для сбора метрик (используется только на серверах подсистем).

      • Агент Syslog-NG - штатная служба операционной системы Astra Linux для сбора событий и передачи их в подсистему журналирования (на сервер аудита).

  • Подсистемы:

    • Reprepro - служба, которая лежит в основе подсистемы репозиториев (сервера репозиториев). Предназначена для управления Debian-репозиториями, в которых можно хранить deb-пакеты для установки приложений.

    • Samba - служба, которая лежит в основе подсистемы общего доступа к файлам (файлового сервера). Предоставляет общий доступ к файлам по протоколу SMB.

    • CUPS - служба, которая лежит в основе подсистемы общего доступа к принтерам (принт-сервера). Предоставляет доступ к принтерам по протоколу IPP.

    • ISC DHCP - служба, которая лежит в основе подсистемы динамической настройки хостов (DHCP-сервера).

    • TFTP-HPA - служба, которая лежит в основе подсистемы установки ОС по сети (PXE-сервера).

    • Syslog-NG - служба, которая лежит в основе подсистемы аудита (сервера журналирования).

    • Zabbix - служба, которая лежит в основе подсистемы мониторинга.

Портал управления ALD Pro представляет собой web-приложение, созданное с использованием Django - свободного фреймворка на языке Python3 для разработки веб-приложений. В качестве базы данных используется PostgreSQL, фронтенд реализован с помощью ReactJS, а в роли веб-сервера выступает Apache.

Возможно ли заменить ALD Pro установкой отдельных компонентов?

Продукт ALD Pro представляет собой связующее программное обеспечение для объединения множества opensource-компонентов. Вы можете собрать систему на тех же компонентах без использования программного кода компании Астра, но в этом случае вам будут недоступны следующие функции:

  • Распределение объектов каталога по иерархии организационных подразделений и делегирование полномочий по их управлению.

  • Централизованная настройка рабочих станций через механизм групповых политик и возможность использования более 100 готовых параметров групповых политик, содержащих порядка 1000 настроек для конфигурирования хостов под управлением Astra Linux Special Edition.

  • Автоматическое развертывание подсистем, предоставляющих наиболее востребованные ИТ-сервисы (сервер репозиториев, файловый сервер, принт-сервер, DHCP, установка ОС по сети, аудит, мониторинг).

  • Удаленное управление рабочим столом пользователя для оказания технической поддержки.

  • Глобальный каталог для полноценной поддержки двусторонних доверительных отношений.

  • Синхронизация между двумя доменами MS AD и ALD Pro в части пользователей (включая их пароли), групп и структурных подразделений, что позволяет обеспечить сотрудникам доступ по логину/паролю к любой системе, вне зависимости от того, к какому домену она подключена. Синхронизация дает возможность организовать плавную миграцию ИТ-инфраструктур, в которых используется много информационных систем, подключенных к службе каталога через LDAP-коннекторы.

  • И многое другое.

Все подсистемы ALD Pro устанавливаются на один сервер?

Во избежание проблем с зависимостями deb-пакетов каждая подсистема ALD Pro устанавливается в отдельном экземпляре операционной системы, поэтому вместе с лицензией на контроллер домена в подарок идет 8 лицензий ALSE для развертывания одного контроллера и семи подсистем. Вы можете установить как по одному экземпляру каждой подсистемы, так и семь файловых серверов по своему усмотрению.

Для обеспечения отказоустойчивости системы рекомендуется приобретать не менее двух лицензий на установку контроллеров домена. В этом случае у вас будет возможность установить до 14 подсистем.

Сколько контроллеров может быть в домене ALD Pro?

Домен ALD Pro построен на базе службы каталога FreeIPA и поддерживает горизонтальное масштабирование. Вы можете создать любое количество контроллеров, и они все будут работать в режиме мульти-мастер, т.е. изменения можно будет вносить на любом их них. Инженеры продуктовой команды проводили успешное тестирование очень крупных доменов, в которых одновременно работало более 400 контроллеров.

База данных каталога автоматически реплицируется по протоколу LDAP, обеспечивая целостность «в конечном итоге», поэтому на всех серверах в домене будет содержаться примерно одна и та же информация. Для обеспечения отказоустойчивости на каждом контроллере рекомендуют создавать от двух до четырех соглашений о репликации, но это значение не является техническим ограничением. Инженеры продуктовой команды проводили успешное тестирование серверов, у которых было одновременно более 150 соглашений о репликации с другими контроллерами домена.

В случае географически распределенных инфраструктур вы можете объединить контроллеры в сайты, чтобы обслуживать клиентов только ближайшими к ним серверами. Количество сайтов не ограничено, вы можете создать любое число сайтов в соответствии с потребностями вашего предприятия.

Есть ли ограничение на количество пользователей/компьютеров в домене?

В программном комплексе ALD Pro сервер LDAP реализован на базе 389 Directory Server, который для хранения информации использует встраиваемую высокопроизводительную базу данных Berkeley DB (BDB). Максимально допустимый размер базы BDB зависит от размера страницы данных, но составляет не менее 2ТБ, что для службы каталога означает отсутствие каких-либо ограничений.

В то же время, чем больше объектов в базе, тем больше оперативной памяти требуется серверу, чтобы обрабатывать запросы на чтение без обращения к медленным дискам. В среднем нужно выделять 1 ГБ на каждые 20 тысяч объектов, поэтому для каталога на 2 млн. пользователей нужно порядка 100 ГБ ОЗУ. Инженеры продуктовой команды проводили успешное тестирование домена с каталогом, в котором было более 30 млн. объектов.

Примечание: Для экономии памяти при работе с большими каталогами рекомендуется отключать плагин Schema Compatibility, который строит виртуальную копию каталога для совместимости с устаревшими UNIX-клиентами.

Нагрузка по обслуживанию доменных компьютеров в части аутентификации и авторизации пользователей распределяется равномерно между всеми контроллерами в пределах сайта (рабочие станции выбирают активный контроллер случайным образом по результатам процедуры автоматического обнаружения, используя SRV-записи). Однако чем больше компьютеров нужно обслуживать конкретному контроллеру, тем больше серверу нужно ядер центрального процессора, в среднем по одному ядру на каждую тысячу обслуживаемых хостов.

Инженеры продуктовой команды проводили успешное тестирование контроллеров на серверах до 32 ядер включительно, и зафиксировали, что производительность растет линейно с коэффициентом 1.8, т.е. при увеличении числа ядер в 2 раза производительность в среднем возрастает на 80%. Мы рекомендуем эксплуатировать контроллеры, рассчитанные на 3-5 тысяч обслуживаемых хостов (8 ядер).

Если резюмировать, то домен ALD Pro на базе службы каталога FreeIPA не имеет ограничений по количеству пользователей, но для обеспечения высокой производительности системы вам требуется крайне тщательно подойти к вопросу планирования ресурсов, чтобы рассчитать необходимое количество контроллеров, их производительность и общую топологию домена.

Будет ли работать доменная аутентификация, если контроллер домена выйдет из строя?

Для аутентификации доменных пользователей клиентская служба SSSD выбирает три ближайших контроллера, выполняя автоматическое обнаружение сервисов по SRV-записям. Если активный контроллер окажется недоступен, то через минуту служба SSSD переключится на следующий сервер по списку. Если все контроллеры домена окажутся недоступны, то служба SSSD перейдет в автономный режим и сможет выполнить аутентификацию доменного пользователя, используя информацию из кэша.

Можно ли войти в операционную систему ноутбука, который введен в домен, если я нахожусь вне офиса?

Для первого входа пользователя в систему компьютер должен иметь доступ к контроллеру домена, а в дальнейшем пользователь сможет входить без подключения к локальной сети офиса, т.к. в соответствии с настройкой cache_credentials = True в файле /etc/sssd/sssd.conf хеш пароля будет сохранен в кэше службы SSSD. Продолжительность кэширования не ограничена, т.к. в файле sssd.conf по умолчанию не определен параметр offline_credentials_expiration.

Если администратору потребуется передать сотруднику ноутбук через курьерскую службу, он может выполнить предварительную настройку кэша службы SSSD для конкретного пользователя с помощью команды sss_seed, чтобы сотрудник смог войти в операционную систему, не имея подключения к VPN.

Для удаленной смены пароля доменные пользователи могут использовать утилиту fly-passwd, которая позволяет не только изменить пароль в домене, но и обновить информацию в кэше службы SSSD.

Все вышеуказанное достоверно только для входа в компьютер. Получение Kerberos-билетов возможно только путем обращения к службе распространения ключей KDC на контроллере домена.

Где хранится каталог, какая используется база данных?

В качестве бэкенда служба каталога ALD Pro (FreeIPA) использует компонент 389 Directory Server, который известен так же под названиями Red Hat Directory Server, Fedora Directory Server и Netscape Directory Server.

Продукт 389 Directory Server является продолжением развития slapd от мичиганского университета, от которого также ответвился и OpenLDAP, но по мнению экспертов реализация 389ds превосходит другие форки по надежности и масштабируемости. В сети Интернет есть упоминания об инсталляциях на тысячи реплик.

Для работы с данными 389 Directory Server использует Sleepycat Berkeley DB (BDB) — высокопроизводительную встраиваемую систему управления нереляционными базами данных, которая хранит пары «ключ — значение» в виде бинарного дерева и поддерживает множество значений для одного ключа.

Текущая производительность BDB абсолютно сопоставима с производительностью базы MS AD, а в ближайшее время ожидается переход на бэкенд LMDB, который в большинстве операций показывает скорость выше в несколько раз.

Для прямого взаимодействия с базой администраторам доступны такие утилиты как dsconf и dbscan, но основное взаимодействие с каталогом осуществляется все же по открытому протоколу LDAP(S).

Где хранится организационная структура?

Организационная структура, как совокупность подразделений с их вложенностью, хранится в LDAP-записи каталога с DN cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan.

Для обеспечения обратной совместимости пользователи и компьютеры физически не перемещаются в этот контейнер, а их принадлежность к подразделениям определяется значением атрибута rbtadp (от RusBiTech Astra Division Path, OID 1.3.6.1.4.1.52616.100.2.3.1000).

Информация о структуре организации используется для назначения групповых политик и делегирования полномочий на управление объектами каталога.

Поддерживает ли ALD Pro протокол аутентификации Kerberos V5?

Служба каталога ALD Pro реализована на базе FreeIPA (389 Directory Server + MIT KDC + Samba + BIND9) и поддерживает аутентификацию по протоколам LDAP, Kerberos V5 и NTLM.

Для аутентификации по протоколу LDAP используется хеш пароля из атрибута userPassword, для Керберос-аутентификации ключи хранятся атрибуте krbPrincipalKey, а хеш пароля в формате NTLM находится в атрибуте ipaNTHash. Обновление всех этих атрибутов происходит автоматически при смене пароля по любому из протоколов, будь то LDAP или KPasswd.

Обратите внимание на то, что протокол NTLM считается устаревшим и предоставляется компонентом Samba на контроллерах домена исключительно для совместимости с доменом MS AD при работе в доверительных отношениях. Клиентская служба SSSD при обращении к домену использует только безопасную Kerberos-аутентификацию, которая дополнительно защищается технологией FAST (Kerberos Armoring).

Поддерживает ли ALD Pro работу с клиентскими ОС от других вендоров?

К службе каталога ALD Pro можно присоединять серверы и рабочие станции под управлением других операционных систем из семейств Linux и Windows, но функциональность будет отличаться.

Для компьютеров с операционными системами Linux сторонних вендоров, которые вводятся в домен с помощью службы SSSD, будут доступны только следующие базовые функции:

  • аутентификация/авторизация доменных пользователей;

  • прозрачная аутентификация пользователей при обращении к керберизированным сервисам (например, к файловому серверу);

  • базовые политики безопасности (HBAC- и SUDO-правила, карты монтирования autofs).

Для компьютеров с операционной системой Windows, которые вводятся в домен с помощью утилиты aldpro-join.exe, будут доступны следующие функции:

  • у пользователя в системе будет Kerberos-билет для прозрачной аутентификации в керберизированных сервисах;

  • пользователь будет действовать в системе из-под своей доменной учетной записи, которая содержит как его собственный SID, так и идентификаторы всех его доменных групп.

Для компьютеров с операционной системой Astra Linux помимо базового функционала доступны расширенные функции:

  • применение групповых политик ALD Pro и заданий автоматизации с использованием salt-скриптов;

  • централизованная настройка аудита событий безопасности;

  • возможность оказания технической поддержки путем подключения к рабочему столу пользователя по протоколу VNC.

В рамках дорожной карты развития продукта ALD Pro на 2025 год планируется реализация мультивенодрного подхода и выпуск клиентской части для двух операционных систем альтернативных вендоров (Ред ОС и Альт Линукс), что даст возможность централизованно управлять настройками этих систем с помощью механизма групповых политик ALD Pro.

Как лицензируется ALD Pro?

Для установки контроллера домена вам нужно приобрести лицензию на сервер ALD Pro, т.е. серверные лицензии приобретаются по количеству контроллеров в домене. Лицензия на операционную систему Astra Linux идет в комплекте с лицензией на сервер ALD Pro, поэтому приобретать ее дополнительно для установки контроллера домена не требуется.

Для присоединения сервера или рабочей станции к домену вам нужно приобрести клиентскую лицензию ALD Pro на управляемое устройство. Лицензию на управляемое устройство ALD Pro можно приобрести как в составе бандла вместе с лицензией на операционную систему Astra Linux (с дополнительной скидкой), так и отдельно, например, при необходимости использования в составе домена операционных систем сторонних вендоров.

Для установки подсистем в комплекте с каждой лицензией на сервер ALD Pro идет 7 дополнительных лицензий на операционную систему Astra Linux и 7 лицензий на управляемые устройства ALD Pro. Вы можете по своему усмотрению установить как все системы по одной, так и семь файловых серверов сразу. Если указанного количества лицензий окажется недостаточно, вам нужно будет приобрести дополнительные лицензии на операционную систему Astra Linux и управляемые устройства ALD Pro по количеству дополнительных подсистем.

Решение ALD Pro приобретается отдельно от операционной системы?

Серверную лицензию ALD Pro можно приобрести только вместе с лицензией на операционную систему ALSE. Клиентскую лицензию ALD Pro на управляемое устройство можно приобрести как вместе с операционной системой ALSE в составе так называемого бандла (со скидкой), так и отдельно. Предприятия могут приобретать лицензии на управляемые устройства без лицензий на операционную систему, если они приобрели лицензии на операционные системы ранее или используют операционные системы альтернативных вендоров.