Программный комплекс ALD Pro (Astra Linux Directory Pro), если говорить официальным языком, — это «набор сетевых служб сервера Astra Linux для организации централизованного управления ИТ-инфраструктурой». А если говорить просто, то это отечественный аналог Microsoft Active Directory (MS AD) или Red Hat Identity Management (IdM), в отношении поддержки Linux-систем даже превосходящий их по возможностям.

Важным отличием от ряда конкурирующих продуктов является возможность гибридного развёртывания рядом с MS AD, что открывает путь к поэтапной миграции с зарубежных решений — домен ALD Pro может синхронизировать учётные записи пользователей вместе с их паролями и умеет устанавливать доверительные отношения с имеющимся доменом, который в этом случае отвечает за свои собственные службы, а для пользователей обоих доменов обращения к их службам работают совершенно прозрачно.

Второе важное отличие от решений конкурентов — это, по словам создателей, принципиально иной подход к выбору компонентов. Если первые чаще всего используют в качестве основы Samba, которая в большей степени ориентирована на управление Windows-компьютерами, то в ALD Pro за основу взята FreeIPA, которая в умелых руках позволяет сформировать полноценный домен для Linux, учитывающий особенности этой системы. Причём с групповыми политиками для настройки окружения пользователей и компьютеров, которые в поставке по умолчанию у FreeIPA отсутствуют. И если раньше разработчиков ALD Pro можно было обвинить в ориентированности только на один конкретный дистрибутив, имя которого прямо указывается в названии продукта, то теперь это не так. С релизом 3.0.0 появилась возможность ввести в домен ПК под управлением ALT Linux 10.4 и 10.2.1 (сертифицированная версия), РЕД ОС 7.3 и 8, а не только защищённой Astra Linux от 1.7.3 до 1.7.7.UU2 или от 1.8.1 до 1.8.1.UU2.

Кроме того, ALD Pro совместим с полусотней различных продуктов, включая даже Microsoft Exchange, и этот список постоянно растёт. В основном речь идёт, конечно, об аутентификации с использованием доменных учётных записей посредством Kerberos V5, что само по себе немало. Для контроллеров домена ALD Pro, правда, всё равно требуется Astra Linux 1.7.6.UU2 или 1.7.7.UU2, причём в редакции «Смоленск», т.е. с максимальным уровнем защищённости (для клиентов такого требования нет). А чтобы можно было попробовать базовые возможности, у ALD Pro 3.0.0 впервые появилась бесплатная редакция Free. Её основные ограничения — можно развернуть только один контроллер домена (плюс доверительные отношения с одним доменом MS AD), получить централизованную аутентификацию для 25 пользователей и управлять групповыми политиками для 25 ПК.

В целом ALD Pro предоставляет централизованное управление учётными записями пользователей и компьютеров, а также управление конфигурациями систем в домене через применение групповых политик. Посредством последних возможна установка и удаление ПО на машинах, а также использование собственных репозиториев. Для пущего удобства реализовано автоматическое развёртывание ОС на машинах в локальной сети с последующим введением в домен и включением функции удалённого доступа даже в редакции Free. Традиционно имеется управление печатью и общим доступом к файлам в сети предприятия. Базовые сетевые службы представлены собственными серверами DNS, DHCP и NTP. Естественно, доступны мониторинг и журналирование, в том числе с выгрузкой данных сторонним системам обеспечения информационной безопасности.

Платформа ALD Pro опирается на проверенное open source ПО: FreeIPA, 389 Directory Server, MIT Kerberos, Bind9, ISC DHCP, NTP, SSSD, CUPS, Samba, Zabbix, Syslog-NG, SaltStack, Reprepro, TFTP + PXE. Чисто гипотетически можно было бы попытаться самостоятельно собрать аналог ALD Pro из этих компонентов (что само по себе титанический труд), но полнофункционального решения из этого не выйдет. Во-первых, вендор изрядно доработал и подогнал друг к другу эти компоненты, и то не везде до сих пор всё идеально гладко. Во-вторых, он же создал и проприетарные составляющие, которые просто так уже не скопируешь. В-третьих, ALD Pro предоставляет единый портал управления, а также дополнительные GUI-утилиты: aldpro-join для присоединения компьютеров под Astra Linux к домену с возможностью обновления пароля компьютера и рядом других востребованных функций и aldpro-setfacl для добавления доменных пользователей и групп в списки доступа на файловом сервере.

Сам по себе домен ALD Pro использует ролевую модель управления доступом администраторов к тем или иным параметрам или модулями, т.е. областям действия. Для управления каждым типом объектов каталога задаётся отдельный набор привилегий: чтение (Read), создание (Create/Add), изменение (Modify), удаление (Drop/Delete) или же даются полные права Manage. Роли включают набор заданных (из коробки или вручную) привилегий. Таким образом, можно назначать права доступа администраторов с довольно высокой гранулярностью, в том числе на управление объектами конкретных организационных подразделений.

Но этим дело не ограничивается. В Astra Linux реализован мандатный контроль доступа с аудитом посредством отдельной службы PARSEC, да ещё и сертифицированный ФСТЭК, ФСБ и Минобороны России, что позволяет добиться максимального уровня защищённости при работе с «чувствительной» информацией. Это касается как самих хостов, где развёрнут ALD Pro, так и клиентских машин и пользователей, для которых необходимые настройки автоматически применяются в рамках групповых политик. Администраторы (и только они, в отличие от традиционного дискреционного доступа, когда права могут раздавать и обычные пользователи — владельцы файлов) задают уровни и категории конфиденциальности (МКЦ/МРД) и назначают допустимые значения конкретным сотрудникам, для которых при входе применяются разрешённые метки.

Мандатный контроль распространяется и на зарегистрированные внешние носители, что позволяет предотвратить утечки (а при необходимости и найти виноватых), а отдельный модуль ядра динамически контролирует целостность системных файлов. В ALD Pro теперь есть централизованная регистрация USB-накопителей (а не на каждой машине по отдельности) в службе каталога, чтобы их можно было монтировать на любом хосте в рамках домена. При регистрации можно задать для таких накопителей дискреционные и мандатные права доступа, что позволяет использовать их без риска утечки данных. Или же полностью запретить монтирование неучтённых накопителей. Да, всё это нужно далеко не всем, но для крупных предприятий КИИ будет большим облегчением наличие единых и воспроизводимых политик доступа, ускорение аттестации и аудита, а также упрощение ввода в строй новых пользователей/машин и минимизация шансов появления проблем из-за ошибок конфигурирования. Кроме того, групповыми политиками теперь можно включить и автомонтирование сетевых томов (своего рода аналог DFS-N).

Если мандатный контроль доступа работает только с Astra Linux, то для остальных систем есть два более универсальных механизма. Первый — правила для sudo, которые берутся из каталога (а не из локальных файлов конфигурации). ALD Pro позволяет групповыми политиками ограничить список приложений и сервисов, для выполнения которых требуется временное повышение прав, не лишая пользователей нужных им инструментов, но и не позволяя получить все привилегии суперпользователя. Второй механизм — правила HBAC (Host Based Accees Control), разрешающие заданным пользователям использовать определённые службы на конкретных хостах. Службами в данном случае называются любые приложения, которые используют PAM-стек для авторизации пользователей. Это опять-таки позволяет сделать доступ более гранулярным и централизованно управляемым (для групп пользователей и/или хостов) без ущерба повседневной работе. В документации ALD Pro предлагаются типовые шаблоны для обоих механизмов.

Разработчики также рекомендуют отключать локальные учётные записи, оставляя доступ только для доменных пользователей. Впрочем, даже для локальных учётных записей предлагаются дополнительные меры безопасности. Так, теперь групповыми политиками можно включить принудительное периодическое обновление паролей локальных администраторов (опционально этот же пароль будет устанавливаться и для GRUB) и ограничить минимально возможные длину и сложность пароля. Этот аналог LAPS позволяет не беспокоиться о том, что уволенные сотрудники сохранят доступ к системам. Кроме того, в новой версии ALD Pro появилась функция проверки новых паролей на отсутствие запрещённых слов (например, наиболее часто используемых и уязвимых сочетаний). В будущем планируется добавить проверку по базам утёкших паролей, хотя это не совсем тривиальная задача с точки зрения производительности, признают разработчики.

Но и в текущем релизе создатели поработали над повышением производительности платформы. Были существенно повышены надёжность и скорость модуля синхронизации, незаменимого во время поэтапной миграции пользователей в процессе импортозамещения. Перенос более 10 тыс. учётных записей осуществляется за два часа, при этом у пользователей остаётся непрерывный доступ к системам по логину-паролю вне зависимости от домена, что важно при миграции. Вендор отдельно отмечает, что синхронизация паролей вынесена в отдельный процесс, а журнал событий разделён на три потока: сервисный, операционный и поток синхронизации. По словам производителя, ALD Pro может масштабироваться более чем до 400 контроллеров и 30 млн. объектов. Чтобы работа с действительно крупными доменами была комфортнее, существенно доработан и портал управления, который теперь без задержек справляется с 300+ тыс. пользователей. Наконец, для ALD Pro 3.0.0 был подготовлен модуль «ACM 1.3.0 Инвентаризация», который отвечает за инвентаризацию парка ПК, их оборудования и ПО, лицензий на ОС Astra Linux. Модуль кардинально упрощает управление инфраструктурой, а на крупных предприятиях может быть и вовсе незаменим.

Наконец, отдельного внимания заслуживает утилита aldpro-join. Она значительно упрощает ввод нового компьютера под управлением Astra Linux в домен. От администратора требуются только его логин и пароль да имя нужного домена, а всё остальное утилита сделает сама. Не то чтобы без GUI нельзя обойтись, нет, консольная версия не менее прекрасно справляется со своей работой. Однако для новичков в мире Linux, перешедших из экосистемы Microsoft, это полезное подспорье. Компания в целом организовала различные курсы по обучению и переподготовке Windows-специалистов с последующей сертификацией, чтобы людям было проще провести миграцию на отечественный продукт. Кроме того, «Группа Астра» постоянно совершенствует документацию, в том числе справочные материалы, встроенные непосредственно в обновлённый портал управления ALD Pro.

---

Этим список нововведений не ограничивается — разработчики внесли сотни малых и крупных изменений для повышения производительности и масштабируемости, надёжности и устойчивости, безопасности и удобства, совместимости и открытости к интеграции. Всё ли получилось, всё ли идеально? Нет, так не бывает. Но компания опирается на отзывы и опыт работы с продуктом собственных заказчиков, а перед каждым важным релизом формирует небольшие фокус-группы из реальных пользователей, которым даёт предварительный доступ к новой версии. И уже есть понимание, что будет включено в последующие минорные и мажорные обновления. Но уже сейчас ALD Pro решает две важные проблемы — это поэтапная и по возможности максимально безболезненная миграция с Windows и поддержка действительно крупномасштабных проектов развёртываний с соблюдением всех требований к инфраструктурам КИИ. Мало кто таким сейчас может похвастаться.

Источник:

• ALD Pro