Привет, Хабр! Меня зовут Никита, и я из тех, кого принято называть импортозамещенцами. Я работаю в компании-интеграторе по ИБ «Экстрим безопасность», которая помогает заказчикам как с банальным PaperSec'ом, так и в вопросах результативного кибербеза. В нашем арсенале широкий спектр решений: начиная с SecretNet Studio, Dallas Lock, защищённых сетей, и до NGFW и продуктов из экосистемы Positive Technologies. И тем не менее, не смотря на ИБ-шный профиль компании, нам все-таки не удалось увернуться от тотального импортозамеса, который начался в 2022 году.
С каждым годом проблема санкций становилась все острее: сначала с рынка ушли зарубежные вендоры и патчи безопасности оказались за семью VPN'ами, затем начали протухать купленные ранее лицензии; поэтому отечественные компании, руководствуясь здравым смыслом требованиями регуляторов, стали пытаться внедрять Open Source решения. И тут совершенно неожиданно оказалось, что в стране не так много сильных Linux-админов, которых можно было бы легко переманивать набирать с рынка, просто поднимая зарплаты, что увеличило спрос на аутсорс. К нам стали обращаться за помощью наши постоянные заказчики, и руководство решилось впрягаться в такие проекты; а для инженеров начались темные интересные времена…
Учитывая текущий уровень информатизации, проекты импортозамещения затрагивают практически всех сотрудников предприятий и замещение рабочих станций становится одним из самых больших вызовов. Операционные системы и клиентское ПО — это первое, о чем задумываешься, когда слышишь про импортозамещение. К счастью на удивление, системным администраторам доступен огромный выбор софта: уже сейчас в реестре российского ПО более 50 записей только по классу «02.09 Операционные системы общего назначения», и с каждым годом их становится только больше.
Если посмотреть на отечественные ОС внимательнее, то можно заметить, что все они работают на ядре Linux. И это логично, поскольку ядро GNU Hurd, на которое многие возлагали надежды, не имеет перспектив, т. к. этот долгострой до сих пор не дошел до промышленной эксплуатации; реальной альтернативой могло бы стать, пожалуй, только ядро BSD, которое не получило широкого распространения исключительно из-за того, что долгое время было обременено судебными тяжбами. Определенный интерес создал выход KasperskyOS на рынок тонких клиентов в 2025 году; но его ядро все-таки не предназначено для систем общего назначения, поэтому больше про IoT и Embedded, а не серверы и рабочие станции. Вот и получается, что выбор огромный, но все новинки, как жены футболистов, — на одно лицо, — и по характеристикам недалеко ушли от Open Source, на базе которого они сделаны. Емкость рынка и окупаемость инноваций — не, не слышали!
И тут мы подобрались к самому интересному: когда предприятия начали массово замещать рабочие станции, причем не на бумаге, а в продуктивной среде, возникла необходимость управления всем этим хозяйством. Строгих нормативов по количеству компьютеров на голову сисадмина не существует, но когда их становится больше 100, голова почему-то начинает гудеть и, чтобы не засвистеть флягой столь же хорошо выполнять свою работу, поневоле задумаешься о внедрении средств автоматизации.
В экосистеме Microsoft эту задачу решают в первую очередь службы домена Active Directory, которые дают централизованную базу пользователей, единую точку аутентификации и позволяют через групповые политики автоматически настраивать тысячи компьютеров. А если этого окажется недостаточно, то всегда есть возможность добавить еще System Center Configuration Manager. А какой подорожник предлагают обитателям Linux-джунглей? Тема крайне непростая, но очень интересная, и начнем мы её с того, как обеспечить в Linux централизованную аутентификацию.
Разработчики Linux много чего скопипастили умело позаимствовали у UNIX, в том числе и подходы к аутентификации и авторизации. Еще со времен Sun Microsystems аутентификация пользователей была вынесена в отдельный стек подключаемых модулей (Pluggable Authentication Modules, PAM), что позволило расширять способы входа без изменения прикладных приложений. По аналогии с PAM были реализованы и модули NSS для доступа к базам пользователей, групп, хостов и других объектов. Столь удачным опытом не побрезговали вдохновиться и разработчики Windows: у них этот механизм реализован в локальном центре безопасности (Local Security Authority, LSA). Но как ты технологию не назови, а новый метод аутентификации в современную ОС может добавить любой разработчик.
Копнув поглубже в эту тему, удалось разобраться, что сразу с выходом PAM в 1995 году стал доступен модуль аутентификации, использующий службы сетевой информации (Network Information Service, NIS), которые долго и упорно разрабатывались самой Sun, а теперь уже практически не используются. Чуть позднее, в 1996 году появился модуль для аутентификации по протоколу Kerberos от Frank Cusack, а в 1998 году стал доступен модуль для аутентификации через LDAP от PADL Software. Но всё это были довольно примитивные модули, которые работали только с указанными серверами без возможности кэширования информации, что не соответствовало реальным сценариям использования компьютеров в Enterprise-сегменте.
Первой серьезной попыткой экспансии Linux в корпоративную среду стало создание службы Winbind в рамках проекта Samba. Как файловый сервер продукт был известен еще с 1992 года, но клиентская часть, позволяющая Linux-компьютеру быть полноправным участником домена NT4, стала доступна только к выходу Линолеума Windows ME, и по словам самих разработчиков, нужна была для переосмысления технологий Microsoft в рамках открытого кода.
После Winbind было еще несколько открытых и коммерческих попыток решения данной задачки, среди которых выделяют PBIS (BeyondTrust AD Bridge Open), Vintela (Vintela Authentication Services), Likewise (Likewise Enterprise) и Centrify; но все они успешно загнулись завершили свое развитие в 2009 году с выходом нативной службы SSSD, которая стала спин-оффом проекта FreeIPA. И тут, наверно, важно подчеркнуть принципиальное отличие SSSD: эта служба является собственным проектом разработчиков Linux, на который они делают теперь основную ставку.
Службу SSSD выгодно отличает в первую очередь современная архитектура: это не монолит, как у Winbind, который может зависнуть по любому поводу, а набор отдельных сервисов, за работой которых следит один общий наставник. Для взаимодействия между компонентами используется шина данных, написанная по мотивам передовой системы межпроцессного взаимодействия DBUS. В службе реализована двухуровневая система кэширования: локальный кэш из папки /var/lib/sss/db доступен только для собственных компонентов службы SSSD, а быстрый кэш из папки /var/lib/sss/mc не содержит чувствительных данных, поэтому открыт для всех клиентских библиотек, что обеспечивает многопоточный доступ к этой информации.
Взглянем на несколько функциональных преимуществ службы SSSD в сравнении с Winbind:
Динамическое обновление DNS-записей. Служба SSSD обеспечивает динамическое обновление DNS-записей через интеграцию с утилитой nsupdate. Вы сможете автоматически изменять A-, AAAA- и PTR-записи по инициативе компьютера, постоянно поддерживая информацию DNS в актуальном состоянии. В случае Winbind обновление DNS-записей возможно только средствами DHCP-сервера.
Нативный контроль доступа к хостам. Служба SSSD предоставляет нативный контроль доступа к хостам через тесную интеграцию с PAM-стеком. С помощью HBAC-правил (Host Based Access Control), которые настраиваются в домене FreeIPA, вы можете управлять доступом пользователей к любому приложению, если оно использует PAM-контекст для авторизации. Стоит отметить, что этот контроль доступен (в усеченном виде) даже когда компьютер находится в домене Active Directory, т. к. служба SSSD умеет извлекать объекты групповых политик из AD и транслировать отдельные параметры, такие как «Allow/deny log on locally», в свои HBAC-правила. В службе Winbind нет централизованного управления доступом и вам будут доступны только локальные параметры для PAM-модуля.
Является поставщиком правил для утилиты sudo. Служба SSSD поставляет правила для утилиты sudo, что позволяет делегировать права на выполнение отдельных команд от имени других пользователей, в том числе и root'а. Правила для утилиты sudo централизованно настраиваются в LDAP-каталоге, извлекаются утилитой sudo через NSS-модуль и кэшируются службой SSSD на диске.
Имеет тесную интеграцию с приложениями из проекта OpenSSH При установке SSSD на компьютере появляются утилиты sss_ssh_knownhostsproxy и sss_ssh_authorizedkeys, с помощью которых клиент и сервер OpenSSH в момент удаленного подключения извлекают из домена открытые ключи для проведения взаимной аутентификации, что исключает возможность кибератак методом «человек посередине» (Man in the middle, MITM).
Поддержка autofs. Служба SSSD поддерживает работу с файловой системой autofs и позволяет настроить на рабочих станциях пространство имен для общего доступа к файлам, что в Windows называется DFS Namespace.
Продвинутый оффлайн-режим. У службы SSSD более продвинутый оффлайн-режим, который позволяет не только обеспечить вход пользователей в автономном режиме, но и получение TGT-билета при выходе в онлайн. При этом пароль пользователя хранится в связке ключей Linux, откуда его не сможет выцарапать даже root, если запрещен системный вызов ptrace.
Защита аутентификации по технологии Kerberos Armoring. Kerberos Armoring позволяет устранить угрозу кибератак методом полного перебора (brute force). В мире Linux эту технологию обычно называют FAST (Flexible Authentication Secure Tunneling), и она позволяет дополнительно шифровать данные Kerberos-запросов с помощью сессионных ключей компьютера. При использовании Kerberos Armoring взломать ответ сервера с TGT-билетом будет практически невозможно, даже если пользователь использует очень простой пароль.
Поддержка двухфакторной аутентификации HOTP и TOTP. Еще SSSD поддерживает двухфакторную аутентификацию по одноразовым паролям HOTP и TOTP, если компьютер находится в домене FreeIPA. Собственно, возможность реализации этой функции напрямую связана с поддержкой FAST.
Правильное сопоставление идентификаторов безопасности. Ну и немаловажно, что служба SSSD реализует правильное сопоставление идентификаторов безопасности Windows (SID) с идентификаторами безопасности операционных систем POSIX (UID и GID), что обеспечивает согласованность значений на всех хостах при работе в домене Active Directory. При использовании службы Winbind у одного и того же пользователя на разных хостах могли быть совершенно разные идентификаторы.
Если всё вышеперечисленное перевести на простой язык, то это вам не какой-то ржавый жигуль раритетный Fiat 124, а вполне современный УАЗ-3163.
Благодаря указанным выше причинам служба SSSD из проекта FreeIPA ныне стала мировым лидером в корпоративном сегменте, и ее рекомендуют все отечественные разработчики, будь то ALD Pro на базе FreeIPA или Эллес, у которой под капотом Samba. Даже в случае Avanpost DS, где разработка ведется практически с нуля, в качестве клиентской части предлагается SSSD. Кэширование учетных данных и политик, беспрецедентный уровень безопасности, надежность и отказоустойчивость в крупных инсталляциях, — это именно те качества, которые нужны современным предприятиям для обеспечения работы ИТ-инфраструктуры в режиме постоянной доступности, и служба SSSD успешно справляется с этими вызовами.
