ОС «Альт» — групповые политики в Linux, как в Windows

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Смешанной инфраструктурой надо управлять, в идеале — из единого центра на основе единых групповых политик. Задачу решили разработчики компании «Базальт СПО».

Они дополнили линейку операционных систем «Альт» набором инфраструктурного ПО, которое обеспечивает единое управление компьютерами с ОС «Альт» и Windows, и их пользователями. Решение позволяет избежать двойных затрат на поддержку ИТ-инфраструктуры в переходный период.

Сегодня тысячам государственных и коммерческих организаций необходимо перевести свои цифровые инфраструктуры на российское ПО. Многие зарубежные вендоры покинули российский рынок, приостановив продажу и поддержку своих систем. У заказчиков возникли трудности с обновлением программных продуктов, с приобретением дополнительных лицензий и продлением текущих, с получением техподдержки. Эти риски особенно опасны для критической информационной инфраструктуры (КИИ). На их устранение направлен Указ Президента Российской Федерации №166 от 30 марта 2022 г. «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», а также Постановление Правительства Российской Федерации № 1236 от 16 ноября 2015 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок перевод КИИ на российское программное обеспечение.

Проекты перехода на российское ПО длятся не один год, и в этот период в ИТ-инфраструктуре должны одновременно работать компьютеры с ОС Windows и какой-либо из российских ОС, большинство которых создано на ядре Linux. Как интегрировать их в единое информационное пространство, чтобы избежать потери работоспособности цифровых ресурсов и исключить двойные расходы на администрирование корпоративной сети и обучение ИТ-персонала?

Как устроено централизованное управление ИТ-инфраструктурой и пользователями

Корпоративная цифровая инфраструктура объединяет серверы, рабочие станции, периферийные и сетевые устройства, а также пользователей. Для управления всеми этими объектами существует база службы каталогов: в ней хранится информация о каждом из объектов и иерархических связях между ними. База размещена на специальном сервере – контроллере домена1.

1 Домен — это структурная единица (участок) сетевой инфраструктуры организации. Он объединят различные сетевые объекты: компьютеры, принтеры, пользователей и др. Управление доменом осуществляет контроллер домена — сервер, на котором размещена база данных с описанием всех объектов и инструменты управления ими, включая свод правил управления.

Первые проприетарные реализации службы каталогов появились еще в прошлом веке у Novell (Novell Directory Services) и Microsoft, есть также и свободные решения, построенные на openLDAP или Samba.

До недавнего времени практически все организации использовали службу каталогов Active Directory (MS AD) — проприетарное решение компании Microsoft. MS AD позволяет объединить пользователей и компьютеры в группы («Рабочие места в бухгалтерии», «Инженеры-проектировщики» и т. п.) и управлять ими по единым правилам. Такие правила называются групповыми политиками. Групповой подход существенно упрощает изменение существующих настроек — они применяются сразу ко всей группе компьютеров или пользователей, а добавленный пользователь автоматически получает установленные для его группы настройки.

Active Directory поддерживает файлообмен и служит для сквозной идентификации пользователей. Сотрудник вводит логин и пароль один раз — при входе в сеть, и получает доступ к программам и сервисам в соответствии с назначенными ему правами. Причем не важно, работает пользователь в офисе или удалённо.

Данные учетных записей хранятся на контроллерах домена, защищенных от внешнего доступа. Для идентификации пользователей применяется протокол Kerberos, который обеспечивает безопасную идентификацию, препятствующую перехвату паролей по сети.

Чем заменить инструменты Microsoft при переходе на российскую ОС

Когда встает задача миграции с Windows на российскую ОС на ядре Linux, требуется найти замену Active Directory. Причем такую, которая способна одновременно применять групповые политики к компьютерам с Windows и Linux, а также к их пользователям. Однако ни одна из свободных систем не позволяет решить эту задачу, в том числе и широко распространенные в мире свободного ПО Samba и FreeIPA.

FreeIPA разработан Red Hat – американской компанией, которая является одним из ведущих мировых производителей операционных систем на ядре Linuх. Решение работает только с компьютерами под ОС на ядре Linux, но не умеет управлять пользователями, а Samba предназначена для замены контроллера домена Windows и управления Windows-машинами и пользователями этой ОС. Для организации совместимого с Windows файлохранилища FreeIPA использует механизмы Samba. Как видим, ни одно из этих решений не является полноценной заменой Active Directory.

Проблему решили разработчики компании «Базальт СПО». Они дополнили линейку операционных систем «Альт» набором инфраструктурного ПО, которое реализует групповые политики для компьютеров и пользователей ОС «Альт», тем самым обеспечивая единое управление ОС «Альт» и Windows. Решение представляет собой модификацию свободной разработки проекта Samba, дополненную инструментарием управления групповыми политиками. Это современный российский, не имеющий аналогов на отечественном и международном рынке программный комплекс.

Инженеры «Базальт СПО» реализовали уже довольно большой список групповых политик. Среди них — управление внешним видом рабочего стола пользователя, выполнение скриптов при входе или выходе в систему, управление всеми политиками браузеров Firefox и Chromium, а также отечественным Яндекс-брузером, создание ярлыков общих папок, установкой и удалением ПО, управление службами и сервисами компьютера и многие другие. Список постоянно расширяется вслед за потребностями пользователей, которых становится все больше и больше.

Шаблоны групповых политик ОС «Альт» доступны международному сообществу разработчиков свободного ПО. Они размещены на международном ресурсе admx.help. Здесь публикуют свои политики Microsoft, Citrix, Google, VMware и другие компании.

Для формирования и реализации групповых политик специалисты «Базальт СПО» разработали и включили в ОС «Альт» графические приложения, которые позволяют решать эти задачи так же, как в Windows. Администраторам понадобится минимум времени, чтобы их освоить.

Сценарии миграции доменной инфраструктуры на ОС «Альт»

Инструмент управления доменной инфраструктурой, интегрированный в ОС «Альт», позволяет выполнить переход плавно, бесшовно. Интеграция рабочих мест с российской ОС в инфраструктуру Active Directory выполняется с сохранением возможностей управления инфраструктурой и пользователями, которые предоставлял MS AD.

Преимущество плавного способа миграции в том, что он не требует «революционных» одномоментных замен компьютеров с Windows на компьютеры с ОС «Альт». Можно поэтапно переводить пользователей на «Альт», управляя рабочим окружением и правами доступа пользователей с помощью общего инструментария. Пользователи практически не заметят изменений.

Чтобы подобрать оптимальный сценарий миграции, необходимо проконсультироваться со специалистами «Базальт СПО» или системного интегратора, имеющими опыт внедрения ОС «Альт».

Инструментарий для создания и применения групповых политик, разработанный «Базальт СПО», успешно применяется в масштабных проектах миграции ИТ-инфраструктур на ОС «Альт». Министерство цифрового развития и связи Новосибирской области реализовало комплексный проект по переводу региональной инфраструктуры на отечественное ПО. В рамках проекта системный интегратор НТЦ «Галэкс» (Galex), партнер компании «Базальт СПО», сформировал программно-аппаратный комплекс «Патриот», в состав которого вошли ОС «Альт» и прикладные программы компаний «Р7-Офис» и «Лаборатория МБК». По мнению руководителей Минцифры Новосибирской области, применение средств миграции позволило осуществить перевод внутренней инфраструктуры на отечественное ПО плавно, без резких изменений, а также внедрить единый техстандарт для обслуживания всех рабочих станций, вне зависимости от установленной операционной системы. Это снизило затраты на обслуживание рабочих мест.

Федеральная таможенная служба России реализует пилотный проект по переводу доменной структуры единой службы каталогов Единой автоматизированной информационной системы таможенных органов на отечественную программную платформу. В рамках проекта отрабатывается схема постепенной замены доменной структуры управления, авторизации и аутентификации на основе Microsoft AD на аналогичную структуру с применением групповых политик ОС «Альт». Эту схему планируют применять в региональных подразделениях ФТС по всей стране.

Компьютерный парк Нижнетагильской школы №100 превышает 500 единиц, из них около 200 ПК работают под ОС «Альт». Для управления доменом ИТ-специалисты школы применяют программу ADMC, встроенную в ОС «Альт Сервер» 10, и инструментарий RSAT Windows 7. Обе программы имеют схожий интерфейс и внутреннюю логику, что очень упрощает их совместное использование. Заложенные в ADMC возможности уже сейчас перекрывают большую часть задач, возникающих в повседневной работе с доменом: создание и редактирование информации о пользователях и компьютерах, настройка общих папок и т. п. ИТ-специалисты школы планируют в дальнейшем совсем отказаться от использования Windows и RSAT.

Решение «Базальт СПО» для бесшовной миграции с Windows на ОС «Альт» снижает риски сбоев в работе систем и позволяет избежать двойной нагрузки на ИТ-департамент и двойные расходы на поддержку ИТ-инфраструктуры в переходный период. Протестировать решение можно прямо сейчас. Для этого достаточно бесплатно скачать дистрибутивы ОС с сайта «Базальт СПО» и воспользоваться документацией.

Справка

В 2021 году «Базальт СПО» получила грант «Российского фонда развития информационных технологий» (РФРИТ) на развитие инструментов управления групповыми политиками, которые входят в состав операционных систем «Альт Сервер», «Альт Рабочая станция», «Альт Образование». В 2022 году РФРИТ выделил вендору новый грант на проект разработки новых модулей системы управления групповыми политиками, а также инструментов администрирования, совместимых с Microsoft Activе Directory, и интеграции этих разработок в единый программный комплекс. Недавно «Базальт СПО» успешно завершила проект, выполненный при грантовой поддержке РФРИТ. Решение распространяется на условиях свободной лицензии, и в его развитии могут принять участие все желающие.

Источник: https://habr.com/ru/companies/basealtspo/articles/747568/


Интересные статьи

Интересные статьи

Анализируя отчеты по разбору вредоносного ПО приходишь к выводу, что одним из популярных методов для закрепления в системе является COM Hijacking (T1546.015). Примером такого вредоносного ПО является...
Привет, Хабр! Меня зовут Василий Буров, я — Senior Testing Engineer в департаменте Security Services «Лаборатории Касперского» и в общей сложности более 20 лет тестирую программное обеспечение. В том ...
Темы и наборы иконок Linux, вдохновлённые другими операционными системами, существуют с тех пор, как в Linux появился графический интерфейс. Иногда эти темы становятся очень похожими на оригинал. Но… ...
Для большинства пользователей, вопросы, связанные с переключением языков ввода, давно решены. Уже много лет, как не требуется устанавливать отдельную программу-переключатель: всё уже встроенно в систе...
В этой заметке я расскажу в общих чертах о том, как в Microsoft устраняют уязвимости, связанные с неинициализированной стековой памятью, и почему мы вообще этим занимаемся. ...