Comments 19
Я так понимаю, что это для того чтобы изучающие курс понимали как это делать в Астре и не понимали как это все используется в остальных дистрибутивах.
Наследие FreeIPA. Там в HBAC описывается кто куда может заходить а поверх sudo-rules описывают кто может поднимать привилегии. Такая вот архитектура.
Ну, это вы далеко забрались. Там полная терминологическая вакханалия и, мягко говоря спорные утверждения, с первых строк и далее практически в каждом абзаце:
В системе Windows есть понятие дисков или логических томов
Всё ж наборот: это в Linux есть Logical Volume Manager с логическими томами, а в Windows тома обычные, те же, что, к примеру, в спецификации UEFI. Логические были диски, но это давно выпиленное (так же платформенное) наследие еще от IBM.
Если подушнить, то логическими разделами в Windows называют расширенные разделы на MBR-дисках. Изначально эта разметка предполагает, что на диске может быть не более 4 разделов, но операционные системы на программном уровне научились работать с любым количеством расширенных разделов. Не смотря на то, что разметка MBR устарела, дисков с такой разметкой используется еще очень много. Подробнее об этом рассказывается в двух модулях: "17. Загрузка системы и управление службами systemd" и "Модуль 19. Файловая система в Linux. Работа с блочными устройствами и LVM".
Вы сейчас путаете 2 механизма. HBAC относится к sssd и pam-стеку и определяет, может ли тот или иной пользователь выполнить логин на тот или иной клиент домена (т.е. хост, вход на который обслуживает sssd). RBAC определяет тоже самое, только через механизм ролей. RBAC - это надстройка над HBAC. Это не подмена понятий, а реализация одной и той же задачи разными подходами. В курсе говорится именно о классическом HBAC
HBAC-правила позволяют ограничить пользователей правами на запуск определенных PAM-служб по их идентификаторам, что создает дополнительный слой авторизации на уровне операционной системы. Это не имеет никакого отношения к работе межсетевого экрана и тем более к вопросам RBAC, firewall или мандатного контроля. Если вы хотите в них действительно разобраться, то материалы курса вам очень помогут.
Для Red Hat IdM служба каталога FreeIPA является апстримом. В продукте ALD Pro мы значительно расширяем возможности FreeIPA: добавляем иерархию структурных подразделений, реализуем механизм групповых политик на базе salt-скриптов, интегрируем целый ряд дополнительных подсистем, которые позволяют быстро предоставить сотрудникам типовые ИТ-сервисы, такие как репозиторий ПО, файловый и принт-сервер, DHCP, PXE, аудит и мониторинг.
Для того чтобы устранить возможные конфликты с другими продуктами компании, мы реализовали нашу автономную службу Salt Minion в изолированном окружении Python. Поэтому у вас не возникнет проблем с установкой агентов ALD Pro и ACM на один компьютер. Более того, при необходимости вы сможете установить дополнительно и ванильный Salt Minon.
Вместе с тем вы правы, что одновременное конфигурирование одного и того же параметра с помощью нескольких систем конфигурирования сразу будет приводить к коллизиям, и значение этого параметра будет меняться во времени в зависимости от того, какая из систем применила свои настройки последней. Но в случае использования групповых политик MS AD и системы SCCM ситуация была такой же
Поэтому проблему конфликтов следует решать организационно: нужно просто разделить зоны ответственности между системами, какие параметры должна администрировать каждая из них.
.
Открытый курс по российской службе каталога ALD Pro для массового обучения администраторов