Программный продукт ALD Pro (Astra Linux Directory Pro), согласно официальной терминологии, представляет собой «комплекс сетевых серверных служб Astra Linux, предназначенный для централизованного администрирования ИТ-инфраструктуры». Если же выражаться более доступно, это российский аналог Microsoft Active Directory (MS AD) или Red Hat Identity Management (IdM), который в части работы с Linux-системами обладает даже более широким функционалом.
Существенным преимуществом перед многими аналогами является поддержка гибридного внедрения совместно с MS AD, что позволяет постепенно переходить с иностранных платформ — домен ALD Pro способен синхронизировать пользовательские учётные записи вместе с паролями и выстраивать доверительные связи с существующим доменом, который продолжает управлять собственными службами, обеспечивая при этом прозрачный доступ к ресурсам для пользователей обоих доменов.
Источник изображения: ALD Pro
Ещё одной ключевой особенностью, по заявлению разработчиков, является кардинально иной принцип подбора компонентов. В то время как конкуренты обычно применяют Samba, больше адаптированную для администрирования Windows-устройств, в основе ALD Pro лежит FreeIPA, позволяющая опытным специалистам создавать полноценный Linux-домен с учётом специфики этой платформы. При этом реализованы групповые политики для настройки пользовательских окружений и компьютеров, которые отсутствуют в базовой поставке FreeIPA. Если ранее ALD Pro критиковали за ориентацию исключительно на определённый дистрибутив, отражённый в названии продукта, то сейчас ситуация изменилась. С выходом версии 3.0.0 появилась поддержка интеграции в домен компьютеров под управлением ALT Linux 10.4 и 10.2.1 (сертифицированная редакция), РЕД ОС 7.3 и 8, помимо защищённых версий Astra Linux от 1.7.3 до 1.7.7.UU2 и от 1.8.1 до 1.8.1.UU2.
Изображение предоставлено: ALD Pro
ALD Pro также поддерживает интеграцию с пятью десятками различных решений, в том числе с Microsoft Exchange, и этот перечень постоянно расширяется. Основной механизм взаимодействия строится на аутентификации через доменные учётные записи с применением протокола Kerberos V5, что уже представляет значительную ценность. Для развёртывания контроллеров домена ALD Pro необходима операционная система Astra Linux версий 1.7.6.UU2 или 1.7.7.UU2 в модификации «Смоленск», обеспечивающей наивысший уровень защиты (требования к клиентским машинам менее строгие). Для ознакомления с основным функционалом в ALD Pro 3.0.0 впервые представлена бесплатная версия Free. Её ключевые ограничения: возможность установки лишь одного контроллера домена (плюс настройка доверительных отношений с одним доменом MS AD), централизованная аутентификация для 25 пользователей и управление групповыми политиками для 25 компьютеров.
Изображение предоставлено: ALD Pro
В целом ALD Pro предлагает централизованное администрирование учётных записей пользователей и компьютеров, а также настройку конфигураций систем в домене через механизм групповых политик. С их помощью осуществляется установка и удаление программного обеспечения на рабочих станциях, включая работу с собственными репозиториями. Для повышения удобства предусмотрена автоматическая установка операционной системы на компьютеры локальной сети с последующим присоединением к домену и активацией функций удалённого доступа — даже в бесплатной версии Free. Стандартно реализовано управление сетевыми принтерами и общим доступом к файлам в корпоративной сети. Базовые сетевые службы включают встроенные серверы DNS, DHCP и NTP. Естественно, система обеспечивает мониторинг и ведение журналов событий, в том числе с возможностью экспорта данных в сторонние системы информационной безопасности.
В основе платформы ALD Pro лежат популярные открытые технологии: FreeIPA, 389 Directory Server, MIT Kerberos, Bind9, ISC DHCP, NTP, SSSD, CUPS, Samba, Zabbix, Syslog-NG, SaltStack, Reprepro, TFTP + PXE. Теоретически можно было бы предпринять попытку самостоятельной сборки аналогичной системы из перечисленных компонентов (что представляет собой колоссальную задачу), однако полноценного решения таким образом не получить. Прежде всего, разработчик существенно модифицировал и интегрировал эти элементы между собой, причем даже сейчас не везде достигнута абсолютная безупречность. Кроме того, были созданы закрытые модули, которые невозможно просто воспроизвести. Наконец, ALD Pro предлагает централизованную панель управления, а также вспомогательные графические инструменты: aldpro-join для включения компьютеров под Astra Linux в домен с функцией обновления компьютерных паролей и другими полезными возможностями, и aldpro-setfacl для добавления доменных пользователей и групп в списки контроля доступа на файловом сервере.
Домен ALD Pro построен на ролевой модели, регулирующей доступ администраторов к различным параметрам и функциональным модулям, то есть к зонам ответственности. Для каждого типа объектов каталога определяется отдельный набор разрешений: просмотр (Read), создание (Create/Add), редактирование (Modify), удаление (Drop/Delete) или предоставляются полные права Manage. Роли объединяют заранее определённые (штатные или настроенные вручную) привилегии. Это позволяет гибко настраивать административные права, вплоть до управления объектами определённых организационных единиц.
Однако функциональность на этом не заканчивается. В Astra Linux внедрён мандатный контроль доступа с системой аудита через отдельную службу PARSEC, имеющую сертификаты ФСТЭК, ФСБ и Минобороны России, что обеспечивает высочайший уровень защиты при обработке конфиденциальных данных. Это относится как к серверам с установленной ALD Pro, так и к клиентским рабочим станциям и пользователям, для которых необходимые параметры автоматически применяются через групповые политики. Администраторы (и только они, в отличие от классического дискреционного управления, где права могут назначать обычные пользователи — владельцы файлов) устанавливают уровни и категории секретности (МКЦ/МРД) и назначают допустимые значения конкретным сотрудникам, для которых при авторизации активируются разрешённые метки доступа.
Система мандатного контроля также охватывает зарегистрированные внешние накопители, что помогает предотвратить утрату данных (и при необходимости определить ответственных), а специальный компонент ядра в реальном времени отслеживает сохранность системных файлов. В ALD Pro реализована централизованная регистрация USB-устройств через службу каталогов (вместо индивидуальной настройки на каждом компьютере), что даёт возможность подключать их к любому узлу в пределах домена. В процессе регистрации для таких накопителей можно установить дискреционные и мандатные разрешения, обеспечивая безопасное использование без угрозы компрометации информации. Либо же полностью заблокировать подключение незарегистрированных устройств. Безусловно, эти функции требуются не каждой организации, но для крупных предприятий критической информационной инфраструктуры они станут серьёзным подспорьем: унифицированные и воспроизводимые политики доступа, ускорение процедур сертификации и проверок, а также упрощение подключения новых сотрудников и оборудования при одновременном снижении рисков, связанных с ошибочными настройками. Дополнительно групповыми политиками теперь можно активировать автоматическое подключение сетевых ресурсов (функциональный аналог DFS-N).
Если мандатный контроль доступа функционирует исключительно в среде Astra Linux, то для других систем предусмотрены два более универсальных подхода. Первый — правила sudo, загружаемые из центрального каталога (вместо локальных конфигурационных файлов). ALD Pro позволяет через групповые политики ограничить перечень приложений и служб, для запуска которых требуется временное повышение привилегий — это сохраняет пользователям доступ к необходимым инструментам, но не позволяет получить полные права администратора. Второй подход — правила HBAC (Host Based Access Control), которые разрешают определённым пользователям работать с конкретными службами на заданных узлах. Под службами здесь понимаются любые приложения, использующие PAM-стек для аутентификации. Это вновь способствует более детализированному разграничению доступа и централизованному управлению (для групп пользователей и/или узлов) без нарушения рабочего процесса. В документации ALD Pro приведены стандартные шаблоны для обоих механизмов.
Специалисты советуют деактивировать локальные аккаунты, предоставляя вход исключительно пользователям домена. Однако даже для локальных профилей предусмотрены дополнительные защитные механизмы. Теперь через групповые политики можно активировать обязательную регулярную смену паролей локальных администраторов (опционально идентичный пароль применяется для GRUB) и задать минимальные требования к длине и сложности паролей. Этот инструмент, аналогичный LAPS, исключает риски сохранения доступа к инфраструктуре у бывших сотрудников. Дополнительно в актуальной версии ALD Pro появилась опция проверки новых паролей на отсутствие запрещённых комбинаций (таких как часто используемые уязвимые варианты). В перспективе планируется внедрить сверку с базами компрометированных паролей, хотя, как отмечают разработчики, это сопряжено с техническими сложностями в части производительности.
В текущем обновлении также проведена значительная работа над оптимизацией платформы. Существенно улучшены отказоустойчивость и быстродействие модуля синхронизации, критически важного при поэтапном переходе пользователей в рамках импортозамещения. Миграция свыше 10 тысяч учетных записей выполняется за два часа с сохранением непрерывного доступа к системам через логин и пароль независимо от домена — ключевое требование при переходе. Производитель отдельно подчеркивает вынесение синхронизации паролей в автономный процесс и разделение журнала событий на три категории: сервисные, операционные и синхронизационные. Согласно заявлениям вендора, ALD Pro поддерживает масштабирование до 400+ контроллеров и 30 млн объектов. Для удобства работы с крупными доменами значительно модернизирован портал управления, который теперь стабильно обслуживает 300+ тысяч пользователей. Завершает обновление модуль «ACM 1.3.0 Инвентаризация» для ALD Pro 3.0.0, отвечающий за учет парка компьютеров, оборудования, ПО и лицензий ОС Astra Linux. Этот компонент кардинально упрощает администрирование инфраструктуры, становясь особенно ценным для крупных организаций.
Особого упоминания заслуживает инструмент aldpro-join. Он существенно облегчает процесс подключения компьютера с Astra Linux к доменной сети. От системного администратора потребуются лишь его учетные данные и название целевого домена, а остальные действия программа выполнит автоматически. Нельзя сказать, что графический интерфейс строго необходим — консольная версия тоже отлично справляется со своими задачами. Но для начинающих пользователей Linux, перешедших из среды Microsoft, это становится ценным помощником. Компания также разработала цикл обучающих программ и курсов переквалификации для специалистов по Windows с дальнейшей аттестацией, чтобы упростить переход на отечественную платформу. Параллельно «Группа Астра» регулярно обновляет документацию, включая справочные материалы, интегрированные в модернизированный портал управления ALD Pro.
фотографии (8)
Перечень улучшений на этом не заканчивается — программисты реализовали множество небольших и значительных доработок для оптимизации скорости работы и адаптивности, стабильности и отказоустойчивости, защищённости и эргономичности, универсальности и готовности к взаимодействию. Достигнуто ли абсолютное совершенство? Конечно нет, идеальных решений не существует. Однако компания активно учитывает обратную связь и практический опыт клиентов, а перед выходом ключевых версий организует тестовые группы из постоянных пользователей, получающих ранний доступ к обновлению. Уже определено, какие функции войдут в будущие второстепенные и основные апдейты. На текущий момент ALD Pro успешно справляется с двумя критическими задачами — это постепенный и максимально комфортный переход с Windows, а также обеспечение работы масштабных проектов развёртывания с учётом всех нормативов для инфраструктур КИИ. Подобными возможностями сегодня могут похвастаться единицы.
Источник:
