П.О.
Импортная независимость

Российские компании сейчас активно переходят с зарубежных ИТ-решений на отечественные продукты, заменяя не только прикладное, но и системное программное обеспечение, в том числе службы каталогов. Помните, что он предлагает единую точку входа, централизованное управление учетными записями пользователей, автоматическую настройку компьютера и многое другое. Раньше в этом сегменте полностью доминировала Microsoft и ее Active Directory, но теперь компаниям нужна альтернатива, и одним из таких решений является продукт ALD Pro от группы Astra, над которым в последнее время работает большая команда (более 100 сотрудников). три года. С подробностями – Анатолий Лысов, менеджер по продукту ALD Pro, Astra Group.

Продукт создан на основе компонентов с открытым исходным кодом, к выбору которых разработчики подошли очень тщательно. Одним из самых сложных решений был выбор между Samba AD и FreeIPA. Следует понимать, что Samba AD была разработана для интеграции с Windows, поэтому она может предложить некоторые преимущества на ранних этапах миграции, когда в инфраструктуре еще много компьютеров с Windows. Сервис FreeIPA в основном ориентирован на нужды мира Linux, поэтому стратегически это был наиболее правильный выбор, ведь по целевому образу импортозамещения в инфраструктуре компании больше не должно быть компьютеров под управлением Windows.

Участвуя в крупных проектах, предъявляющих высокие требования к масштабируемости, отказоустойчивости и безопасности, команда продукта находит все больше подтверждений того, что выбор в пользу FreeIPA был правильным. Некоторые наши аргументы станут понятны только в контексте истории создания этих двух технологий.

Самба АД

Когда дело доходит до Samba, вам необходимо решить, в каком контексте обсуждается продукт, поскольку этот «швейцарский армейский нож» может предоставлять услуги совместного использования файлов, принтеров и доменов в любом формате.

Эндрю Триджелл начал работу над созданием файлообменной службы в конце 1991 года, когда он был аспирантом и отвечал за администрирование сети. Университет приобрел у DEC программное обеспечение eXcursion, и Триджеллу необходимо было обеспечить доступ из системы к файлам, расположенным на других серверах под управлением ОС Sun. На тот момент ни одно программное обеспечение не могло решить эту проблему и Триджелл, анализируя сетевой трафик, повторил реализацию одного из самых успешных продуктов DEC, хотя позже выяснилось, что протокол все еще имеет открытую спецификацию.

ЧИТАТЬ   15 неудачных фото, которые безжалостно дарят нам лишние годы, как бы мы ни заботились о себе

Первоначально проект назывался SMB Server, но это название было принято, и Триджелл выбрал новое имя. Впоследствии работа над Samba стала основным направлением деятельности Триджелла. С 1994 года он руководил в университете проектом по созданию распределенной файловой системы HiDIOS. В 2001 году Триджелл начал работать в VA Linux Systems над сетевыми устройствами хранения данных и разработал Samba с точки зрения оптимизации для ядра Linux. Работая над корпоративными системами хранения в Quantum с конца 2001 года, Триджелл добавил в Samba возможность запускать компьютер с Linux как часть домена Active Directory. В январе 2003 года Триджелл начал работу над разработкой системы хранения данных в Исследовательском центре IBM; в том же году была выпущена Samba 3, в которой появилась поддержка протоколов SMB 2.2 и SMB 3.

Самое значимое событие для проекта Samba произошло в 2004 году, когда Европейская комиссия признала Microsoft виновной в злоупотреблении монопольным положением и оштрафовала ее на 500 миллионов евро, потребовав полной информации о протоколах, используемых для разработки совместимых решений. Команда Samba решила воспользоваться этой ситуацией и запросила необходимые спецификации Active Directory, но сотрудничество с Samba теперь оказалось в интересах Microsoft, и компания даже наняла своего разработчика Криса Хартеля для составления документации, что помогло Microsoft усилить свою позицию. в споре.

Благодаря открытости Microsoft, спустя 7 лет разработчики выпустили Samba 4 с возможностью работы в качестве контроллера Active Directory с Heimdal Kerberos. Несмотря на то, что была заявлена ​​возможность промышленной эксплуатации, на момент релиза было доступно не более 40% необходимого функционала, но этого оказалось достаточно для того, чтобы ряд компаний начал вести с ними бизнес. Французская компания Tranquil IT является самой продвинутой в переходе на Samba AD, ее портфолио насчитывает около 300 проектов. На конференции SambaXP в 2017 году основатели компании подчеркнули, что единственной проблемой при миграции небольших инфраструктур на Samba AD является нехватка квалифицированного персонала. Опытные инженеры хвалят возможности Samba AD, но указывают на проблемы с документацией и на тот факт, что некоторые функции могут работать не так, как ожидалось, или вообще не работать.

Долгое время крупные проекты на Samba были возможны только при условии значительных улучшений продукта, которые Tranquil IT реализовывала посредством коммерческих заказов компании Catalyst, которая является одним из крупнейших разработчиков Samba. Например, в рамках проекта миграции Министерства окружающей среды Франции в версиях 4.7.0 и 4.9.0 появилась поддержка дополнительных протоколов шифрования, регистрация событий безопасности в формате json и «экспорт/импорт объектов групповой политики».

ЧИТАТЬ   Представляем смартфон среднего класса Realme 12+ 5G с Dimensity 7050, 50-мегапиксельной камерой и зарядкой на 67 Вт.

Большинство улучшений Samba вносят сотрудники коммерческих компаний. Catalyst, Red Hat, SerNet, SUSE и другие, которые имеют личную заинтересованность и иногда даже конкурируют друг с другом. При этом Microsoft не ушла и будет ставить палки в колеса настолько, насколько это целесообразно в рамках установленных правил, поэтому члены команды Samba всегда будут зависеть от политической ситуации и будут иметь за это право. роль догоняющего. вверх.

Бесплатный IPA

Red Hat, не желая отставать, в 2007 году запустила проект по созданию службы каталогов, ориентированной на нужды компьютеров с Linux. В то время как Microsoft позаимствовала передовые технологии, такие как LDAP, DNS и Kerberos, у Unix для создания своей службы каталогов в 1990-х годах, Red Hat решила позаимствовать лучшие бизнес-практики у Microsoft.

Подготовка к этому шагу началась гораздо раньше, в 2004 году, когда Red Hat вместе с командой разработчиков приобрела у AOL права на код своих LDAP-серверов Netscape Directory Server. В первые годы основным драйвером развития технологии LDAP были телекоммуникационные компании, которые должны были предоставлять лицензированные услуги сотовой связи и подключения к Интернету миллионам абонентов, но после того, как Microsoft показала другой способ «использования технологии для создания бизнес-доменов», развитием технологий занялись гиганты ИТ-индустрии.

На момент сделки программный код Netscape DS включал в себя последние разработки крупнейших игроков рынка. Таким образом, в бэкэнде FreeIPA все еще есть много скрытого потенциала, который еще не использован в продукте. Например, 389 Directory Server позволяет создать трехуровневую архитектуру, состоящую из мастеров, хабов и потребителей, в которой практически нет ограничений на количество запросов на чтение.

Усилия FreeIPA по развитию клиентской части были еще более значительными. Переосмысление потребностей аутентификации Linux привело к созданию SSSD (System Security Services Daemon), работа которого была выделена в отдельный проект в 2009 году. Проекту потребовалось некоторое время, чтобы взлететь, но сегодня «сегодня» этот сервис вытеснил Winbind и является наиболее правильным ответом на вопрос, как обеспечить работу компьютера с Linux внутри домена. Используя SSSD, вы можете подключить Linux к домену Samba AD, домену Kerberos и даже к классическому каталогу LDAP v3, но полный объем продукта, конечно, раскрывается при работе в составе домена FreeIPA. Следует отметить, что при использовании операционной системы Astra Linux, оснащенной подсистемой безопасности PARSEC, в рамках домена FreeIPA репозиториев Astra Linux можно централизованно управлять обязательным доступом для защиты конфиденциальной информации.

ЧИТАТЬ   Чиновники Xiaomi India, 3 банка получили уведомление ED о нарушении FEMA

FreeIPA также выгодно отличается по качеству кода. В то время как разработка Samba 4 проходила в условиях большой нехватки ресурсов, исходный код предыдущей версии приходилось добавлять поспешно и практически без изменений, в случае с FreeIPA разработчики постоянно вкладывают средства в рефакторинг кода. Например, с выпуском Python 3 весь код был переписан для этого языка, чтобы использовать его новые возможности. Еще более показательным будет сравнение динамики изменений. Если посмотреть на количество добавленных/удаленных строк, то становится очевидным, что в проект FreeIPA в последние годы было вложено гораздо больше усилий, чем в Samba.

выводы

Службу каталогов действительно можно построить как на FreeIPA, так и на Samba AD. Кроме того, если вы хотите заменить только группу серверов, не затрагивая службы и рабочие станции, выбор Samba AD может оказаться абсолютно безальтернативным. Но если вы пойдете по этому пути, обязательно выделите достаточно времени и финансовых ресурсов для проверки совместимости с другими компонентами инфраструктуры и устранения связанных с этим проблем. Также следует учитывать, что если в домене присутствуют как контроллеры Samba AD, так и контроллеры Microsoft Active Directory, то работа такой инфраструктуры потребует от системных администраторов высоких навыков, как при проектировании Active Directory в целом, так и в каждом конкретном случае. выполнение.

Если вы делаете ставку на развитие своей ИТ-инфраструктуры, а также планируете полностью перейти на отечественные операционные системы с использованием преимущественно ядра Linux, то внедрение службы каталогов на базе FreeIPA будет более чем оправдано, а преимущества от создания такой решение очевидный.




эрид:2SDnjdkUTDzРекламодатель: Общество с ограниченной ответственностью «РусБИТех-Астра»ЭТИН/ОГРН: 7726388700/5167746207459Сайт: www.gk-astra,ru

Source

От admin