Заміна Active Directory Частина 3
Серія контенту:
Цей контент є частиною # із серії # статей: Заміна Active Directory
Цей контент є частиною серії: Заміна Active Directory
Слідкуйте за виходом нових статей цієї серії.
Отже, якесь гіпотетичне підприємство використовує GNU/Linux та MS Windows як серверні ОС. На робочих станціях також встановлені Windows та Linux. Відповідно, адмініструвати доведеться комп'ютери, які працюють під управлінням різних операційних систем. Оскільки основний обсяг робіт системного адміністратора посідає обслуговування Windows-комп'ютерів, з них ми і почнемо.
Групові політики (Group Policy) Active Directory
Компанія Microsoft пропонує використовувати групові політики для централізованого керування комп'ютерами у домені Active Directory. Ця технологія специфічна для Windows (потрібна Windows 2000 або пізніші версії) і не може бути використана для робочих станцій під керуванням GNU/Linux через архітектурні відмінності операційних систем. За допомогою групових політик можна дозволяти користувачам запуск лише певних програм, налаштовувати мінімальну довжину пароля та безліч інших параметрів. Усі настройки знаходяться в об'єктах групової політики (GPO) Active Directory, які зберігаються на контролері домену і можуть бути пов'язані з сайтом, доменом або OU (Organizational Unit, підрозділ або організаційна одиниця). Прив'язка GPO визначає сферу його дії. Будь-який об'єкт містить два розділи – Computer Configuration та User Configuration. Налаштування першого використовуються під час завантаження Windows. Другий розділ містить настройки облікового запису, які застосовуються учас входу користувача до системи. Далі вони оновлюються кожні півтори години з варіацією в 30 хвилин. Політика діє лише на об'єкти, що знаходяться на рівні ієрархії каталогу (сайт, домен, підрозділ), з яким пов'язаний GPO і нижче по дереву (якщо не заборонено наслідування). Порядок застосування політик такий: локальні політики, політики сайту, політики рівня домену, політики рівня OU. На всіх рівнях GPO містять однакові налаштування, і чинним буде останнє значення. Це правило поширюється на всі параметри, крім визначених як «Not Defined». Для останніх Windows не робить жодних дій. Єдиний виняток – параметри налаштування облікових записів та паролів можуть бути визначені лише на рівні домену. Оскільки ми не маємо на меті написати посібник з налаштування групових політик у Windows, докладніше розповідати про них не будемо. Натомість відразу перейдемо до налаштування служби каталогів та контролера домену, що працюють під керуванням GNU/Linux.
Підтримка групових політик AD у Linux
Тема підтримки групових політик AD у «серверному» ПЗ для GNU/Linux обговорюється вже давно. На жаль, ця технологія у вільних програмах поки що не реалізована, а саму її необхідність багато фахівців піддають сумніву. Дозволю собі з ними не погодитись – у корпоративних мережах часто виникає ситуація, коли Linux-сервери обслуговують робочі станції під керуванням Windows. У такому разі можливість роботи з груповими політиками буде не зайвою.
Другий спосіб надає системному адміністратору більші можливості, тому зупинимося на ньому докладніше. Налаштування системних політик вносяться до Реєстру кожної робочої станції. Для цього використовується спеціальний сценарій (файл із розширеннямpol). Створити його можна програмою "Редактор системних правил (Poledit)" від Microsoft. З її допомогою ми визначаємо правила для користувача, доменної групи або комп'ютера. Усі налаштування зберігаються в одному файлі «ntconfig.pol», який потрібно скопіювати в папку netlogon нашого домену Samba. Програма Poledit є в офіційному Sp4 до Windows 2000 і на сайті Microsoft пропонують розпакувати її звідти. Якщо не хочете завантажувати сервіспак повністю, програму можна взяти окремо: ftp://ftp.microsoft.com/Services/TechNet/samples/PS/Win98/Reskit/NETADMIN/POLEDIT/. Крім неї, вам знадобляться теми common.adm та winnt.adm, які необхідно скопіювати до каталогу %SystemRoot%\inf робочої станції. Ці файли відсутні на офіційних серверах, тому посилання на них ми не даватимемо – шукайте теми через будь-яку пошукову систему, або викачуйте та розпаковуйте сервіспак (команда servicepackname /x).
Далі запускаємо на робочій станції POLEDIT.EXE та вибираємо пункт меню «File -> New Policy». Політика, що з'явилася, за замовчуванням розділена на дві частини - параметри комп'ютера і параметри користувача. Політики з префіксом Default діють для всіх об'єктів (за замовчуванням немає активних правил), крім користувачів з правами адміністраторів. Створити політику для конкретного користувача можна за допомогою меню «Edit -> Add User». Політики для груп та комп'ютерів створюються аналогічно через пункти меню: «Edit -> Add Group» та «Edit -> Add Computer». Після того, як політика створена, її необхідно зберегти (File-> Save As) під ім'ям «ntconfig.pol» і скопіювати в каталог «netlogon» нашого Samba-домену. Зрозуміло, користувачі повинні мати права на читання папки «netlogon» і файлу «ntconfig.pol», інакше правила не працюватимуть. На цьому налаштування завершено. При вході користувача всистему, описані в «ntconfig.pol», налаштування будуть застосовані на його робочій Windows-машині.
Як говорилося вище, підтримка групових політик AD у GNU/Linux поки що не реалізована. Тому, якщо вам потрібна ця технологія для керування робочими станціями Windows – є сенс задуматися про встановлення доменного контролера на Windows Server. Комусь ця ідея може здатися крамольною, проте кращого контролера домену AD, ніж Windows Server, поки що не придумали. І якщо вам потрібні всі можливості служби каталогів Microsoft (наприклад, групові політики), іншого виходу немає. Налаштувати поєднання сервісів Linux з доменом AD не так складно. Наприклад, файловий сервер Samba включається до Active Directory без особливих проблем (на цю тему написано вже чимало статей та повідомлень у тематичних форумах).
Наступне завдання, про яке хотілося б поговорити – централізоване керування Linux-клієнтами. На перший погляд, тут все просто – існує безліч вільних програм, що дозволяють віддалено адмініструвати ОС Linux. Автоматизація процесу не викликає труднощів у досвідчених фахівців, але тільки в тому випадку, якщо комп'ютерів не дуже багато. Коли парк машин збільшується до кількох десятків, для їх адміністрування потрібно щось серйозніше від звичайного віддаленого доступу по протоколу ssh і скриптів, що запускаються через cron. На жаль, серед вільних програм для GNU/Linux потрібний засіб виявити не вдалося. Тому ми говоритимемо про комерційні розробки.
Централізоване керування Linux-клієнтами через групові політики AD
У GNU/Linux поки немає інтегрованого аналога Microsoft AD (Active Directory) і групових політик (Group Policy), але спроби розробити подібні технології робляться. Ми хочемо розповісти про компаніюLikewise Software (раніше вона називалася Centeris) і продукт Likewise Enterprise, який дозволяє налаштувати аутентифікацію та управління Unix-станціями через Microsoft Active Directory. Програма складається з двох частин: Likewise Console та Likewise Agent. Консоль управління встановлюється на Windows-станцію системного адміністратора і не потребує виділення Unix-сервера. Вона розширює схему домену AD, включаючи до неї специфічні для Linux атрибути. Після встановлення на комп'ютер Linux-агента адміністратор може приєднати робочу станцію до «розширеного» домену AD. Це рішення дозволяє налаштовувати через засоби Group Policy параметри XML-системи конфігурування GNOME, керувати інфраструктурами контролю повноважень SELinux (Security-Enhanced Linux), AppArmor та sudo. Крім того, можна використовувати сценарії та настроювати конфігураційні файли операційної системи (наприклад, оновлення Linux із віддалених репозиторіїв). За вартістю $50 за керований клієнт і $250 – за сервер, Likewise Enterprise допоможе здійснити «великі» інсталяції GNU/Linux у корпоративних мережах на базі Active Directory. Аналогічні можливості мають продукти Vintela Authentication Services фірми Quest Software і DirectControl компанії Centrify, що дозволяють адміністраторам налаштувати автентифікацію Unix-систем через AD. Розробка Centrify також підтримує керування робочими станціями за допомогою Group Policy. За вартістю обидва продукти близькі до Likewise Enterprise. На жаль, жоден із продуктів не дозволяє реалізувати роботу з груповими політиками за допомогою «серверного» програмного забезпечення для Unix/Linux – всі вони вимагають наявності в мережі доменного контролера під керуванням Windows Server. Це не дивно, розробка Likewise (і їй подібні) є лише адміністративними надбудоваминад існуючим сервером каталогів. Підприємствам, які з якихось причин не бажають використовувати серверні ОС від Microsoft, доведеться чекати виходу Samba 4.
Однією з важливих конкурентних переваг Likewise Enterprise є наявність Likewise Open – компонента з відкритим вихідним кодом, який включає лише функції аутентифікації в домені AD. Компонент Likewise Open незабаром увійде до нових версій Red Hat Enterprise Linux та Ubuntu Linux. Likewise Enterprise підтримує Novell SUSE Linux, Red Hat Enterprise та Fedora Linux, а також Ubuntu, Debian та CentOS. Крім того, Likewise Enterprise працює під AIX, Solaris, HP-UX та Mac OS X.
На сайті проекту доступні бінарні пакети Likewise Open для Ubuntu, Fedora та OpenSUSE. Оскільки його вихідні тексти доступні, можна запустити Likewise Open і в інших дистрибутивах.
Linbox Rescue Server (LRS)
Модуль LSC дає адміністратору можливість керувати файлами та каталогами робочої станції, передавати дані з LRS на робочу станцію, а також запускати скрипти та програми на цільових комп'ютерах. Крім того, модуль забезпечує віддалений доступ до комп'ютерів користувачів (екран/клавіатура/миша) та веде логи всіх операцій адміністратора. Для організації взаємодії із сервером LRS використовується OpenSSH. При цьому сервіс sshd має бути встановлений кожному комп'ютері, яким необхідно управляти. Модуль LSC працює з MS Windows (NT, 2000, XP, 2003), MacOS X або будь-якою UNIX системою, де є SSH. Всі функції доступні через простий у використанні та зручний Web-інтерфейс. Перенесення файлів, запуск програм та встановлення програмного забезпечення можна запустити як на одному, так і на безлічі клієнтів, відібраних за певним критерієм (група, підгрупа або профіль). Використання LSC разом із іншими модулями LRS дозволяєвикористовувати інші цікаві можливості, наприклад здійснювати автоматичне розгортання робочих станцій з підготовленого образу диска.
Висновок
Ми визначили коло типових завдань, які доведеться вирішити системному адміністратору налаштування системи автоматизованого управління клієнтськими комп'ютерами. Давайте ще раз поглянемо на ці завдання та оцінимо переваги та недоліки запропонованих способів їх вирішення. Перша та головна проблема – адміністрування Windows-комп'ютерів. Оптимальний спосіб її вирішення – використання групових політик AD. Перевага способу полягає у простоті налаштування. Головний недолік – технологія не працює, якщо Ви використовуєте серверне програмне забезпечення під Linux. Варіантів рішення два. Можна використовувати системні політики або організувати контролер домену на Windows і включити Unix-сервіси до домену (за допомогою відкритого ПЗ або розробок, подібних до Likewise Enterprise). Є ще один варіант – дочекатися виходу 4-ї версії Samba (якщо вірити анонсам, у ній з'явиться підтримка GP). Наступне завдання стосується автоматизованого адміністрування Linux-машин. Тут у адміністратора теж особливого вибору немає – всі існуючі розробки корпоративного рівня є платними, а налаштувати систему автоматизованого обліку та контролю, використовуючи лише штатні середовища GNU-Linux, у великій мережі дуже непросто. З централізованою установкою/оновленням ПЗ і аудитом комп'ютерів справи кращі – як приклад ми розглянули популярний пакет програм LRS. Є й інші розробки для управління корпоративною ІТ-інфраструктурою.
До речі, злі мови стверджують, що Linux-розробники намагаються повторити технології, розроблені Microsoft. Насправді це не зовсім так – у Linux є свої технології, а тут мовашвидше йдеться про сумісність різних рішень. І потрібна ця сумісність в основному для керування Windows-комп'ютерами. Як би там не було, процес розробки йде, і навіть якщо зараз системному адміністратору не вистачає якихось технологій, вони будуть реалізовані в найближчому майбутньому. Скажімо, підтримка горезвісних групових політик AD у серверному ПЗ для Linux ось-ось з'явиться. У наступній статті ми докладно розглянемо процес встановлення та налаштування однієї з найпопулярніших вільних реалізацій сервера каталогів Fedora Directory Server (або, як його тепер називають, 389 Directory Server).