Как перейти с Windows на российские ОС безопасно и экономно? Замена Active Directory от «Базальт СПО»

Разработчики ОС «Альт» создали решение для управления ИТ-инфраструктурой с операционными системами Windows и «Альт» из единого центра на основе единых групповых политик. Решение включено в каждый комплект поставки ОС и позволяет избежать двойных затрат на поддержку ИТ-инфраструктуры в переходный период.

Сегодня тысячам государственных и коммерческих организаций необходимо перевести свои цифровые инфраструктуры на российское ПО. Многие зарубежные вендоры покинули российский рынок, приостановив продажу и поддержку своих систем. У заказчиков возникли трудности с обновлением программных продуктов, с приобретением дополнительных лицензий и продлением текущих, с получением техподдержки. Эти риски особенно опасны для критической информационной инфраструктуры (КИИ). На их устранение направлен Указ Президента Российской Федерации №166 от 30 марта 2022 г. «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», а также Постановление Правительства Российской Федерации № 1236 от 16 ноября 2015 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок перевод КИИ на российское программное обеспечение.

Проекты перехода на российское ПО длятся не один год, и в этот период в ИТ-инфрастрктуре должны одновременно работать компьютеры с ОС Windows и какой-либо из российских ОС, большинство которых создано на ядре Linux. Как интегрировать их в единое информационное пространство, чтобы избежать потери работоспособности цифровых ресурсов и исключить двойные расходы на администрирование корпоративной сети и обучение ИТ-персонала?

Как устроено централизованное управление ИТ-инфраструктурой и пользователями

Корпоративная цифровая инфраструктура объединяет серверы, рабочие станции, периферийные и сетевые устройства, а также пользователей. Для управления всеми этими объектами существует база службы каталогов: в ней хранится информация о каждом из объектов и иерархических связях между ними. База размещена на специальном сервере — контроллере домена.

Первые проприетарные реализации службы каталогов появились еще в прошлом веке у Novell (Novell Directory Services) и Microsoft, есть также и свободные решения, построенные на openLDAP или Samba.

До недавнего времени практически все организации использовали службу каталогов Active Directory (MS AD) — проприетарное решение компании Microsoft. MS AD позволяет объединить пользователей и компьютеры в группы («Рабочие места в бухгалтерии», «Инженеры-проектировщики» и т. п.) и управлять ими по единым правилам. Такие правила называются групповыми политиками. Групповой подход существенно упрощает изменение существующих настроек — они применяются сразу ко всей группе компьютеров или пользователей, а добавленный пользователь автоматически получает установленные для его группы настройки.

Active Directory поддерживает файлообмен и служит для сквозной идентификации пользователей. Сотрудник вводит логин и пароль один раз — при входе в сеть, и получает доступ к программам и сервисам в соответствии с назначенными ему правами. Причем не важно, работает пользователь в офисе или удалённо.

Данные учетных записей хранятся на контроллерах домена, защищенных от внешнего доступа. Для идентификации пользователей применяется протокол Kerberos, который обеспечивает безопасную идентификацию, препятствующую перехвату паролей по сети.

Чем заменить инструменты Microsoft при переходе на российскую ОС

Когда встает задача миграции с Windows на российскую ОС на ядре Linux, требуется найти замену Active Directory. Причем такую, которая способна одновременно применять групповые политики к компьютерам с Windows и Linux, а также к их пользователям. Однако ни одна из свободных систем не позволяет решить эту задачу, в том числе и широко распространенные в мире свободного ПО Samba и FreeIPA.

FreeIPA разработан Red Hat — американской компанией, которая является одним из ведущих мировых производителей операционных систем на ядре Linuх. Решение работает только с компьютерами под ОС на ядре Linux, но не умеет управлять пользователями, а Samba предназначена для замены контроллера домена Windows и управления Windows-машинами и пользователями этой ОС. Для организации совместимого с Windows файлохранилища FreeIPA использует механизмы Samba. Как видим, ни одно из этих решений не является полноценной заменой Active Directory.

Проблему решили разработчики компании «Базальт СПО». Они дополнили линейку операционных систем «Альт» набором инфраструктурного ПО, которое реализует групповые политики для компьютеров и пользователей ОС «Альт», тем самым обеспечивая единое управление ОС «Альт» и Windows. Решение представляет собой модификацию свободной разработки проекта Samba, дополненную инструментарием управления групповыми политиками. Это современный российский, не имеющий аналогов на отечественном и международном рынке программный комплекс.

Инженеры «Базальт СПО» реализовали уже довольно большой список групповых политик. Среди них — управление внешним видом рабочего стола пользователя, выполнение скриптов при входе или выходе в систему, управление всеми политиками браузеров Firefox и Chromium, а также отечественным Яндекс-брузером, создание ярлыков общих папок, установкой и удалением ПО, управление службами и сервисами компьютера и многие другие. Список постоянно расширяется вслед за потребностями пользователей, которых становится все больше и больше.