Управление учетными записями пользователей и компьютеров в Linux-домене для идентификации, аутентификации и контроля доступа к ИТ-ресурсам организации.
АРМ: Групповые политики
Вендор: РЕД СОФТ
Вендор: Группа Астра
Вендор: НТЦ ИТ РОСА
Вендор: Базальт СПО
Управление: Служба каталога
Сервер: Контроллер домена
Вендор: Open Source
Описание
Пилот
Развертывание
Поддержка
Описание
При переходе ИТ-инфраструктуры, созданной на основе продуктов Microsoft к управляемой Linux-среде, актуальными становятся вопросы, связанные с выбором службы каталога взамен Active Directory Domain Services (ADDS):
Встраиваться в действующую инфраструктуру доменных служб или развертывать новый корпоративный домен?
Использовать отечественные или свободно распространяемые продукты?
Как адаптировать текущую инфраструктуру для работы службы?
Какую архитектуру службы выбрать, чтобы удовлетворить потребностям организации?
Как мигрировать учетные записи сотрудников, предотвратив отказы в доступе к корпоративным сетевым ресурсам?
Существуют два свободно распространяемых продукта, которые решают задачу централизованного управления учетными записями в Linux-среде – FreeIPA и Samba DC, оба включены в репозитории свободно распространяемых и отечественных операционных систем (ОС).
FreeIPA и производные
FreeIPA и продукты созданные на его основе, позволяют развернуть новый корпоративный домен (лес). В состав продукта включены службы, обеспечивающие его самодостаточность – DNS, NTP и CA (Certification Authority).
Совместная работа действующей службы каталога на основе Microsoft ADDS и FreeIPA обеспечивается созданием доверительных отношений между ними. Отношения доверия позволяют пользователям аутентифицированными одним доменом, получить доступ к сетевым ресурсам другого домена.
На основе FreeIPA созданы отечественные продукты – Dynamic Directory и ALD Pro, они расширяют возможности FreeIPA, добавляя глобальный каталог и иерархическую структуру организационных единиц.
Samba DC и производные
Samba DC и продукты созданные на его основе, позволяют бесшовно встроиться в существующий корпоративный домен на основе служб ADDS или развернуть новый домен (лес).
Легкость интеграции Samba DC в существующую инфраструктуру домена, имеет обратную сторону, которая не позволяет Samba DC быть самодостаточным для управления новым доменом без включения в контур управления служб DNS, NTP и CA.
На основе Samba DC созданы отечественные продукты – Альт Домен и РЕД АДМ, которые решают задачу «мягкой» миграции с ADDS.
Архитектуры службы каталогов
Архитектура службы каталога охватывает различные подходы к созданию и структурированию служб каталогов для удовлетворения потребностей в управлении идентификацией, аутентификации и контроле доступа.
— Централизованная служба каталогов – единый сервер или служба управляющая всеми данными и операциями каталога. Эта архитектура обычно используется в организациях малого и среднего размера, где один сервер каталогов может эффективно обрабатывать рабочую нагрузку. Централизованные службы каталогов обеспечивают единое представление идентификационных данных и ресурсов, упрощая администрирование и контроль доступа.
— Служба распределенных каталогов – данные каталогов распределяются по нескольким серверам или узлам каталогов, часто географически распределенным. Эта архитектура подходит для крупных организаций со сложной сетевой инфраструктурой и распределенными группами пользователей. Службы распределенных каталогов поддерживают масштабируемость, отказоустойчивость и балансировку нагрузки за счет распределения данных каталога и операций по нескольким серверам.
— Гибридная служба каталогов – сочетает в себе элементы централизованных и распределенных служб каталогов для удовлетворения потребностей современных организаций. Эта архитектура распространена в гибридных ИТ-средах, где организации поддерживают как локальные, так и облачные службы каталогов. Гибридные службы каталогов обеспечивают бесшовную интеграцию и взаимодействие между локальными серверами каталогов и облачными поставщиками удостоверений, позволяя организациям использовать преимущества обеих сред.
— Облачная служба каталогов – использует платформы облачных вычислений для размещения служб каталогов и управления ими, предоставляя масштабируемые, гибкие и экономически эффективные решения для управления идентификацией и контролем доступа. Эта архитектура хорошо подходит для организаций, стремящихся снизить операционные издержки, связанные с управлением локальными серверами каталогов, и воспользоваться преимуществами облачных служб идентификации.
Совместимость и варианты интеграции
Совместимость служб каталогов с десктопными ОС: — FreeIPA: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — Samba DC: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — Dynamic Directory: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — ALD Pro: Astra Linux; — Альт Домен: ALT Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — РЕД АДМ: РЕД ОС, ALT Linux, AlterOS, РОСА ХРОМ, РОСА КОБАЛЬТ.
Варианты интеграции служб каталогов с Microsoft ADDS: — Новый домен и отношения доверия: FreeIPA, Samba DC, Dynamic Directory, ALD Pro, Альт Домен, РЕД АДМ; — Встраивание в текущий домен ADDS: Samba DC, Альт Домен, РЕД АДМ.
Пилот
Услуга позволяет получить полную информацию о решении, оценить применимость технологии в условиях работы организации, разработать архитектуру решения, провести бюджетную и временную оценку реализации проекта, в целом подготовиться к внедрению.
Цели оказания услуги: — Повышение эффективности и снижение рисков при внедрении решения; — Получение практических навыков администраторами организации; — Возможность протестировать решение на своей площадке.
Перечень конфигураций
Демо-стенд (Новый домен)
Ожидаемые результаты:
— В инфраструктуре Заказчика на серверах демо-стенда установлен сервер службы каталога;
— Развернут новый домен, создана базовая структура каталога;
— Выполнена настройка DNS-зон;
— Настроены доверительные отношения с текущей службой каталога;
— Настроена аутентификация пользователей по протоколу Kerberos для доступа к сетевому файловому ресурсу, в сеть Интернет или к корпоративному веб-приложению;
— Для Dynamic Directory, ALD Pro, Альт Домен или РЕД АДМ настроены групповые политики для управления рабочим окружением (настройка браузера, изменение заставки и обоев рабочего стола);
— Проведена демонстрация возможностей решения;
— Подготовлено техническое предложение с оценкой готовности инфраструктуры, рекомендациями по архитектуре решения и бюджетной оценкой (стоимости лицензий и проектных работ);
— Проведена презентация технического предложения.
Требования к оказанию услуги:
— Используемые продукты: В составе репозитория производителя, триальная версия;
— Сервер службы каталога: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС серверная редакция триальная версия;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям демо-стенда;
— Демонстрация решения и презентация предложения осуществляются в формате видео-конференции.
Демо-стенд (Встраивание в ADDS)
Ожидаемые результаты:
— В инфраструктуре Заказчика на серверах демо-стенда установлены серверы службы каталогов ADDS и Samba DC / Альт Домен или РЕД АДМ;
— Развернуты два домена, создана базовая структура каталогов;
— Samba DC / Альт Домен или РЕД АДМ включен в состав контроллеров ADDS;
— Проверена аутентификации пользователей по протоколу Kerberos для доступа к сетевому файловому ресурсу;
— Для Альт Домен или РЕД АДМ, настроены групповые политики для управления рабочим окружением (настройка браузера, изменение заставки и обоев рабочего стола);
— Проведена демонстрация возможностей решения;
— Подготовлено техническое предложение с оценкой готовности инфраструктуры, рекомендациями по архитектуре решения и бюджетной оценкой (стоимости лицензий и проектных работ);
— Проведена презентация технического предложения.
Требования к оказанию услуги:
— Используемые продукты: В составе репозитория производителя, триальная версия;
— Сервер службы каталога ADDS: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС серверная редакция триальная версия;
— Сервер службы каталога (Linux): Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС серверная редакция триальная версия;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям демо-стенда;
— Демонстрация решения и презентация предложения осуществляются в формате видео-конференции.
План работ
День 1: — Предоставление удаленного доступа к серверам демо-стенда; — Заполнение опросных листов специалистами Заказчика; — Настройка ОС на серверах стенда, развертывание систем (службы каталога и сопутствующие службы); День 2: — Настройка служб каталога и их структур; — Разработка групповых политик; — Анализ информации по результату интервьюирования и заполнения опросных листов; День 3: — Завершение настроек систем; — Проверка доступа к сетевым ресурсам; — Подготовка предложения по архитектуре системы и бюджетной оценки; День 4: — Демонстрация функциональных возможностей решения; — Завершение подготовки документа «Техническое предложение»; День 5: — Презентация и обсуждение документа «Техническое предложение». — Финальная сессия ответов на вопросы.
Развертывание
Целью оказания услуги является развертывание и стабилизация решения в ИТ-инфраструктуре организации для передачи отделам эксплуатации и технической поддержки.
Совместимость и варианты интеграции
Совместимость служб каталогов с десктопными ОС: — FreeIPA: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — Samba DC: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — Dynamic Directory: ALT Linux, Astra Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — ALD Pro: Astra Linux; — Альт Домен: ALT Linux, AlterOS, РЕД ОС, РОСА ХРОМ, РОСА КОБАЛЬТ; — РЕД АДМ: РЕД ОС, ALT Linux, AlterOS, РОСА ХРОМ, РОСА КОБАЛЬТ.
Варианты интеграции служб каталогов с Microsoft ADDS: — Новый домен и отношения доверия: FreeIPA, Samba DC, Dynamic Directory, ALD Pro, Альт Домен, РЕД АДМ; — Встраивание в текущий домен ADDS: Samba DC, Альт Домен, РЕД АДМ.
Перечень конфигураций
Центральный сайт (Новый домен)
Ожидаемые результаты:
— На месте размещения центрального сайта проведен аудит ИТ-инфраструктуры;
— Разработаны документы «Техническое задание на развертывание службы каталога» и «Программа и методика испытаний»;
— Развернут контроллер домена и произведена настройка службы каталога;
— Произведена настройка DNS-зон (текущих и новых);
— Произведена настройка доверительных отношений с текущим корпоративным доменом на основе ADDS;
— Произведена настройка службы сертификатов (или интеграция с существующим Центром сертификатов);
— Создана структура службы каталогов и наполнена объектами управления;
— Произведена пилотная миграция учетных записей пользователей и групп;
— Настроен базовый набор групповых политик;
— Настроены права доступа к общим папкам на файловых серверах домена ADDS;
— Произведено тестирование работы RDP-подключений для мигрированных учетных записей;
— Произведена настройка ролевого деления для администраторов Организации;
— Проведена демонстрация решения с целью обучения администраторов центрального сайта организации;
— Разработаны документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
— Проведены приемо-сдаточные испытания, служба каталога передана в эксплуатацию;
— В течение 1 года оказана гарантийная поддержка решения.
Требования к оказанию услуги:
— Сервер контроллера домена: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС, Заказчик предоставляет лицензию на право использования;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Администраторы организации самостоятельно настраивают маршрутизацию и пропуск трафика на межсетевых экранах и фаерволах в ИТ-инфраструктуре для взаимодействия компонент решения;
— Администраторы организации предоставляют наименование нового домена (леса);
— Развертывание службы каталога осуществляется на одном сервере;
— Доверительные отношения настраиваются для одного текущего домена (леса);
— Базовая структура каталога зависит состоит до 10 организационных единиц;
— Настройка базового набора групповых политик службы каталога осуществляется на основе штатных шаблонов системы до 5 экземпляров;
— Размер пилотной группы для миграции учетных записей пользователей и групп до 100 объектов;
— Настраивается до двух ролей для работы в службе каталогов;
— Демонстрация решения и приемо-сдаточные испытания осуществляются в формате видео-конференции;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Центральный сайт (Встраивание в ADDS)
Ожидаемые результаты:
— На месте размещения центрального сайта проведен аудит ИТ-инфраструктуры;
— Разработаны документы «Техническое задание на развертывание службы каталога» и «Программа и методика испытаний»;
— Приведена в соответствие с требованиями к интеграции текущая служба каталога на основе ADDS;
— Развернут контроллер домена и произведена настройка службы каталога;
— Произведена настройка службы сертификатов (или интеграция с существующим Центром сертификатов);
— Настроен базовый набор групповых политик;
— Проведена демонстрация решения с целью обучения администраторов центрального сайта организации;
— Разработаны документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
— Проведены приемо-сдаточные испытания, служба каталога передана в эксплуатацию;
— В течение 1 года оказана гарантийная поддержка решения.
Требования к оказанию услуги:
— Сервер контроллера домена: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС, Заказчик предоставляет лицензию на право использования;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Администраторы организации самостоятельно настраивают маршрутизацию и пропуск трафика на межсетевых экранах и фаерволах в ИТ-инфраструктуре для взаимодействия компонент решения;
— Развертывание службы каталога осуществляется на одном сервере;
— Настройка базового набора групповых политик службы каталога осуществляется на основе штатных шаблонов системы до 5 экземпляров;
— Демонстрация решения и приемо-сдаточные испытания осуществляются в формате видео-конференции;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Дополнительный сайт (Новый домен)
Ожидаемые результаты:
— На месте размещения дополнительного сайта проведен аудит ИТ-инфраструктуры;
— Разработаны документы «Техническое задание на развертывание службы каталога на дополнительном сайте» и «Программа и методика испытаний»;
— На дополнительном сайте развернут контроллер домена и произведена настройка службы каталога;
— Создана структура службы каталогов и наполнена необходимыми объектами администрирования;
— Произведена пилотная миграция учетных записей пользователей и групп;
— Настроен базовый набор групповых политик;
— Настроены права доступа к общим папкам на файловых серверах домена ADDS;
— Произведено тестирование работы RDP-подключений для мигрированных учетных записей;
— Произведена настройка ролевого деления для администраторов дополнительного сайта организации;
— Проведена демонстрация решения с целью обучения администраторов дополнительного сайта организации;
— Модернизированы документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
— Проведены приемо-сдаточные испытания, служба каталога на дополнительном сайте организации передана в эксплуатацию;
— В течение 1 года оказана гарантийная поддержка решения.
Требования к оказанию услуги:
— Сервер контроллера домена: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС, Заказчик предоставляет лицензию на право использования;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Администраторы организации самостоятельно настраивают маршрутизацию и пропуск трафика на межсетевых экранах и фаерволах в ИТ-инфраструктуре для взаимодействия компонент решения;
— Развертывание службы каталога осуществляется на одном сервере;
— Базовая структура каталога зависит состоит до 5 организационных единиц;
— Настройка базового набора групповых политик службы каталога осуществляется на основе штатных шаблонов системы до 5 экземпляров;
— Размер пилотной группы для миграции учетных записей пользователей и групп до 100 объектов;
— Настраивается не более двух ролей для работы в службе каталогов;
— Демонстрация решения и приемо-сдаточные испытания осуществляются в формате видео-конференции;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Дополнительный сайт (Встраивание в ADDS)
Ожидаемые результаты:
— На месте размещения дополнительного сайта проведен аудит ИТ-инфраструктуры;
— Разработаны документы «Техническое задание на развертывание службы каталога на дополнительном сайте» и «Программа и методика испытаний»;
— Развернут контроллер домена и произведена настройка службы каталога;
— Настроен базовый набор групповых политик;
— Проведена демонстрация решения с целью обучения администраторов дополнительного сайта организации;
— Модернизированы документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
— Проведены приемо-сдаточные испытания, служба каталога на дополнительном сайте передана в эксплуатацию;
— В течение 1 года оказана гарантийная поддержка решения.
Требования к оказанию услуги:
— Сервер контроллера домена: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС, Заказчик предоставляет лицензию на право использования;
— Виртуальная рабочая станция: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС десктопная редакция, триальная версия;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Администраторы организации самостоятельно настраивают маршрутизацию и пропуск трафика на межсетевых экранах и фаерволах в ИТ-инфраструктуре для взаимодействия компонент решения;
— Развертывание службы каталога осуществляется на одном сервере;
— Настройка базового набора групповых политик службы каталога осуществляется на основе штатных шаблонов системы до 5 экземпляров;
— Демонстрация решения и приемо-сдаточные испытания осуществляются в формате видео-конференции;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Дополнительный контроллер для сайта
Для повышения надежности функционирования службы каталога на центральном и дополнительных сайтах организации.
Ожидаемые результаты:
— Развернут дополнительный контроллер домена, произведена настройка службы каталога;
— В течение 1 года оказана гарантийная поддержка решения.
Требования к оказанию услуги:
— Сервер контроллера домена: Процессор 2 ядра, ОЗУ 4 ГБ, диск 40 ГБ, ОС, Заказчик предоставляет лицензию на право использования;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Развертывание дополнительного контроллера домена осуществляется на одном сервере сайта;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Настройка Kerberos аутентификации
Для каждого сетевого ресурса на сайте организации к которому необходимо организовать доступ учетных записей из Linux-домена.
Ожидаемые результаты:
— Проведен анализ веб-приложения для которого нужно настроить аутентификацию по протоколу Kerberos для учетных записей в новом домене;
— Настроена и проверена аутентификация в корпоративном веб-приложений по протоколу Kerberos;
Требования к оказанию услуги:
— Выполняется проверка и настройка работы с одним корпоративными веб-приложениями по протоколу Kerberos.
Дополнительные групповые политики
Общее количество групповых политик для Linux-домена примерно соотносится с количеством используемых групповых политик в ADDS.
Ожидаемые результаты:
— Настроен и протестирован дополнительный набор групповых политик;
— Модернизированы документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
Требования к оказанию услуги:
— Дополнительный набор включает до 5 групповых политик;
— Настройка дополнительного набора политик службы каталога производится на основе штатных шаблонов используемой системы службы каталога.
Файловый сервер для сайта
Предоставляет сетевой файловый ресурс по протоколу SMB, доступный для пользователей доменов Windows и Linux, с возможностью назначения прав доступа на файлы и папки, аналогично сетевому хранилищу Microsoft.
Ожидаемые результаты:
— Модернизированы документы «Техническое задание на развертывание службы каталога» и «Программа и методика испытаний»;
— Настроено файловое хранилище SMB;
— Проведена демонстрация решения с целью обучения администраторов сайта организации;
— Модернизированы документы «Паспорт автоматизированной системы» и «Инструкция по эксплуатации решения»;
— Проведены приемо-сдаточные испытания, файловый сервер передан в эксплуатацию;
— В течение 1 года оказана гарантийная поддержка.
Требования к оказанию услуги:
— Файловый сервер сайта: Процессор 2 ядра, ОЗУ 4 ГБ, размер диска уточняется на фазе анализа, ОС, Заказчик предоставляет лицензию на право использования;
— Для целей оказания услуги Заказчик предоставляет удаленный доступ к серверам и рабочим станциям сайта;
— Установка подсистемы файлового хранилища SMB осуществляется на одном сервере;
— Демонстрация решения и приемо-сдаточные испытания осуществляются в формате видео-конференции;
— Описание условий гарантийной технической поддержки приведены во вкладке «Сопровождение».
Поддержка
Услуга обеспечит вас 2й и 3й линиями поддержки, предоставляя прогнозируемое время решения проблем.
