Комментарии 32
общество уже пришло к осознанию, что, закрывая исходные коды, коммерческие организации создают точно такие же барьеры для развития индустрии, как это делала AT&T
Именно поэтому вы городите закрытые поделки поверх свободного и открытого Debian?
А как тогда прибыль извлекать? Идея скорее в том, чтобы снизить затраты на конкуренцию.
С Астрой о конкуренции или конкурентном приемуществе речи не идёт. Support использует виртуалки, при решении проблем у клиентов...
А что не так с виртуалками?
А Вы там частый клиент ?:)
Прошу подсказать, а чем плоха технология виртуализации при стендировании и последующем воспроизведении проблем клиентов?
Не все проблемы можно воспроизвести, используя виртуальную среду, например, связанные с hardware частью, но подавляющее большинство проблем, связанных, например с некорректной настройкой того или иного сервиса — не составит никаких трудностей.
Я не представитель данной компании, но мне стало очень интересно.
Расскажите, пожалуйста, альтернативные способы решения.
Заранее благодарю за ответ!
Внести изменения в код открытых проектов даже при лояльном отношении к разработчикам может оказаться крайне непростой задачей. Например, для внесения своих изменений в основные ветки Heimdal и MIT Kerberos команде Samba потребовалось целых 15 лет. Чего это будет стоить российским разработчикам в текущих условиях - вопрос риторический. В том числе и по этой причине появляются форки, некоторые из которых иногда даже успешнее основных веток.
Внести изменения в код открытых проектов даже при лояльном отношении к разработчикам может оказаться крайне непростой задачей.
Даже если так. Кто вам мешает форкнуть и тащить в свою сторону открытый проект параллельно? Нет, вы намеренно городите закрытый Fly, закрытую и несовместимую с другими дистрами ALD Pro на основе FreeIPA и т.д. Где вклад в сообщество от вашей компании?
А если глянуть вашу фашисткую лицензию - еще меньше желания с вами связываться.
Уважаемые авторы Astra Linux, а почему ваша ос становится кирпичом после apt update && apt upgrade?
1. Делать это надо лучше без графической сессии
2. Предварительно отключить все системы безопасности (мандатки, целостность, зпс и кажется что-то ещё)
3. Есть утилита astra-update, которая как минимум пункт 2 сделает за вас.
4. Всё вышеописанное есть в документации.
P.S. В Астре не работаю.
Собственно, можно почитать в интернете разницу между upgrade и dist-upgrade. Вкратце - они по разному разрешают зависимости, например в части ситуаций, когда необходимо замена пакетов или их удаление. Upgrade некорректно отрабатывает в этих случаях.
На debian-based я всегда использую как раз dist-upgrade.
Но сам никогда не сталкивался с тем, что вот так linux легко просто поломать обновлением. Опыт не такой большой, чаще мои действия к этому приводили.
Поэтому без проблем и пробовали обновить свежие, как казалось нам, компьютеры. И вдвоём с помощником убили 2 компьютера.
Если ответить одним предложением, то это потому, что в Linux намного выше степень повторного использования кода, чем в Windows. Именно по этой причине и появились пакетные менеджеры с репозиториями программного обеспечения.
Для корректной работы Windows-приложений, конечно, тоже могут потребоваться DirectX, .NET или кодеки, но в Linux это доведено до абсолюта. При инсталляции одного приложения через зависимости могут быть установлены десятки или даже сотни вспомогательных пакетов. При этом разработчики могут использовать разные стратегии обновления своих продуктов.
Например, команда apt upgrade обновляет только уже установленные пакеты, а утилита astra-update использует под капотом среди прочего команду apt dist-upgrade, которая удаляет и заменяет пакеты, если это необходимо для разрешения конфликтов зависимостей. Могут быть отличия и в части работы с конфигурационными файлами, например, для обновления ALD Pro следует указывать опцию Dpkg::Options::=--force-confnew, которая позволяет переопределить содержимое конфигурационных файлов, даже если они были изменены вручную или скриптами автоматизации.
Поэтому для того, чтобы не превратить свой Linux в тыкву, так важно понимать особенности работы пакетных менеджеров, использовать вспомогательные утилиты от разработчиков и следовать рекомендациям, изложенным в рабочей документации.
Извините, но мне кажется что тег "сарказм" тут необходим, после фразы "отечественные операционные системы, использующие в подавляющем большинстве ядро Linux".
Все хрень, нет ничего нормального на замену MSAD.
Самба глюкавая до безумия, надо в штате реально крутого админа держать или двух, которые сумеют разгребать косяки и делать припарки, FreeIPA на вид норм, работает хорошо, пока не подрубишь какой ни будь почтовик по лдапу и не осознаешь что всякие штуки типа password expire или или счетчик неправильно ваеденных паролей тупо не работают. Все эти фишки, политики паролей работают на уровне freeipa, через керберос, а ldap который опенлдап сам по себе ничего о freeipaшных темах не знает. В итоге, пароль просрочился, на тачке введенной в домен не авторизуешься, а к лдапу подрубайся наздоровье. Официальное решение - отказаться от ldap подключений, что совсем не прикольно. И если эту хрень как то можно обойти через ввод сервака в домен, что не всегда возможно, особенно на сетевом оборудовании, то хрень номер 2, а именно невозможность ввести винду в домен делает ситуацию еще более печальной. Мы конечно все теперь будем стремиться к линуксу и хоронить винду, но в ближайшей перспективе это маловероятно.
В справочном центре ALD Pro изложен способ ввода Windows машины в домен, который позволяет проводить аутентификацию локальных пользователей через контроллер домена, сопоставление учетных записей выполняется по имени.
Нашей команде R&I удалось разработать альтернативный способ, которому не требуются локальные учетные записи, а после входа пользователь олицетворяется своим доменным SID и может использовать прозрачную аутентификацию по протоколу Kerberos V5.
Поддержите эту публикацию лайками, и мы обязательно расскажем об этом решении уже в следующей статье )
Ситуация с альтернативными службами каталогов сейчас похожа на китайский автопром на экспорт. Вроде бы ездит и даже тиражируется, но всё равно это пока что пародия на нормальные машины.
Такое можно ставить в прод только от полной безнадёги. И, в отличии от китайской автомобильной промышленности, перспектив нет. Мир "свободныхх художников" никогда не договорится между собой, что оставить в стандарте и "куда и какие педали" размещать.
Ну, и самое главное, что проект Samba AD изначально был направлен на создание совместимости с Windows, а не разработку нативного доменного решения для Linux, поэтому участникам Samba Team навсегда уготована роль догоняющих.
Пардон, что там догонять-то?
Вы в курсе, что текущие функциональные уровни домена и леса AD DS для новейшей на сечас версии Windows Server 2022 - то, что определяет возможности AD DS как распределенной базы данных учетных записей - это уровни Windows Server 2016. Что касается клиентов, то они в большинстве случаев нечуствительны даже к таким изменениям этих самых функциональных уровней. То есть, спецификация продукта под названием Active Directory Domain Services не меняется уже почти 8 лет. Неужели за это время нельзя было (при нормальной работе) проапгрейдить роль догоняющих на роль догнавших и на это успокоившихся?
Ну, и прошу вас прояснить вопросы, которые у меня возникли к авторам обзора другой альтернативной службы каталога и централизованной аутентификации (ссылка), потому что упомянутые там возможности вашего продукта мне из этого обзора непонятны
Из обзора совершенно непонятно, что поддерживается каждым продуктом из возможнойстей AD, кроме базовых: каталог LDAP, хранение пользователей и групп в рамках одного домена, доступ к спискам пользователей и групп по протоколу Netlogon, аутентификация с передачей авторизационной информацией по протоколам Kerberos и NTLM. Интересует:
-возможность изменения содержимого каталога параллельно на нескольких контроллерах домена с репликацией этих изменений на другие контроллеры и разрешением конфликтов при репликации;
-возможность хранения в одном каталоге учетных записей и групп для нескольких разных доменов (поддержка леса доменов) с автоматическими доверительными отношениями между этими доменами;
-возможность установки доверительных отношений через протоколы NTLM (внешнее доверие) и Kerberos (межлесное доверие);
-возможность репликации с контроллерами AD под Windows (поддержка соответствующего протокола репликации)IMHO в техническом обзоре всё это должно быть.
PS Особенно интересует первый пункт: возможность изменения содержимого каталога параллельно на нескольких контроллерах домена с репликацией этих изменений на другие контроллеры и разрешением конфликтов при репликации. Потому что в те времна, когда я смотрел возможности Netscape Directory Server, этой возможности в нем не было.
Вот да(насчет 8 лет), я даже больше скажу, 2003 домен прекрасно работает, а это уже 20 лет, неужели за 20 лет нельзя было создать аналогичное по стабильности и функционалу решение? Недавно пытались добавить trusted домен на самбе к виндовому домену - обплевались, наигрались с разными версиями самбы и забили.
Со своей стороны можем точно уверить, что Samba AD позволяет создавать доверительные отношения с Microsoft Active Directory как домен к домену (External trust), так и лес к лесу (Forest trust), где Samba AD выступает в роли леса с одним доменом. Для создания доверительных отношений вы можете воспользоваться как оснасткой Microsoft Windows Active Directory Domains and Trusts, так и утилитой из состава Samba (samba-tool domain trust create). Возможно, журнал ошибок утилиты samba-tool даст вам больше подсказок.
Неужели за это время нельзя было (при нормальной работе) проапгрейдить роль догоняющих на роль догнавших и на это успокоившихся?
Коммерческие организации, такие как Microsoft, могут в моменте привлечь большое количество ресурсов, поэтому имеют значительное преимущество перед открытыми проектами, где финансирование носит менее стабильный характер, а лиц, принимающих решение, значительно больше. Как говорится, любой проект можно сделать совершенно невыполнимым, если поставить достаточное количество согласующих.
возможность изменения содержимого каталога параллельно на нескольких контроллерах домена с репликацией этих изменений на другие контроллеры и разрешением конфликтов при репликации;
Обе службы каталога, и FreeIPA и Samba AD, поддерживают репликацию в мульти-мастер режиме, т.е. с несколькими ведущими серверами. Механизмы реализации во многом похожи и опираются на RFC 3384. В FreeIPA протокол называется «DS 5.0 multi-supplier incremental replication protocol», версия 5.0 указывает на то, что впервые этот протокол был реализован еще Netscape Directory Server версии 5.0, но после того, как компания Red Hat приобрела кодовую базу Netscape, репликация многократно дорабатывалась, и в коде можно встретить указания на версии Red Hat DS 7.0, 7.1 и 9.0.
За работу репликации отвечает плагин Multimaster Replication Plugin, алгоритм основан на так называемых RUV'ах (Replica Update Vector) с использованием журнала изменений, который хранится в отдельной базе данных, настройки этого журнала можно найти в записи с DN «cn=changelog5,cn=config». Для работы механизма репликации требуются заранее установленные соглашения о репликации, за управление которыми отвечает плагин IPA Topology Configuration.
Конфликты репликации в обеих службах каталога решаются похожим образом с использованием временных меток, поэтому алгоритм чувствителен к синхронизации времени. При создании двух записей с одинаковым именем DN на двух разных серверах выигрывает та, что была создана первой. При изменении одного и того же атрибута выигрывает то изменение, которое было выполнено последним. При создании записи в удаленной родительской записи последняя извлекается из "надгробия".
возможность хранения в одном каталоге учетных записей и групп для нескольких разных доменов (поддержка леса доменов) с автоматическими доверительными отношениями между этими доменами;
Лес доменов все-таки не предполагает, что на одном контроллере будут храниться учетные записи сразу нескольких доменов. Глобальный каталог собирает информацию из леса, но он не хранит учетные записи, то есть паролей в нем нет, это своего рода кэш для быстрого поиска объектов по всему лесу.
Поддержки леса доменов сейчас нет ни в Samba AD ни в FreeIPA. В продукте ALD Pro поддержка лесов появится в конце текущего года, мы сейчас активно разрабатываем механизм доверительных отношений FreeIPA-FreeIPA, эта функция позволит не только повышать безопасность инфраструктуры, но и снизить технические требования к отдельным контроллерам домена.
возможность установки доверительных отношений через протоколы NTLM (внешнее доверие) и Kerberos (межлесное доверие);
Доверительные отношения FreeIPA реализованы через интеграцию с продуктом Samba AD, поэтому в части этих функций службы каталога аналогичны, и "более того, именно сотрудники Red Hat помогают проекту Samba в развитии этой функциональности"
Доверительные отношения с Microsoft Active Directory можно создать как домен к домену (External trust), так и лес к лесу (Forest trust), где Samba AD или FreeIPA выступает в роли леса с одним доменом. Внешние доверительные отношения по умолчанию используют также Kerberos V5, переключение на NTLM происходит в случае проблем с Kerberos.
Подробнее о доверительных отношениях мы рассказывали в нашей статье "Одна миграция подобна двум пожарам: двусторонние трасты с AD DS и реализация глобального каталога в ALD Pro" https://habr.com/ru/companies/astralinux/articles/734788/
возможность репликации с контроллерами AD под Windows (поддержка соответствующего протокола репликации)
Такая возможность есть только в Samba AD, но "не стоит рассчитывать на надежную работу домена, в составе которого будут одновременно контроллеры Samba AD и Microsoft Active Directory: эксплуатация такой инфраструктуры потребует от сотрудников запредельных компетенций по устройству активной директории вообще и каждой реализации в частности, если такие вообще есть на рынке труда."
Вы написали очень много текста для вопроса, суть которого сводится к "где вы были 8 лет"...
По теме: меня больше смущает лицензионная чистота (как я понял, закрытых) доработок (частично извользуемой) Samba, которая идет под GPL!
"Просто к тому моменту общество уже пришло к осознанию, что, закрывая исходные коды, коммерческие организации создают точно такие же барьеры для развития индустрии"
Смешно это читать от разработчиков fly и ald pro)
В АЛД много интересных идей, но реализация сейчас далека от прода даже в небольшой конторе. Вопросы, заданные выше по лицензионной чистоте закрытых доработок тоже очень интересны. Может напишете развернутый пост, отвечающий на эти вопросы?
Архитектурные вопросы тоже имеются. К примеру, в группе серверов предлагается поднять сервер мониторинга zabbix для мониторинга КД и иных служб. Однако совсем не берется в расчет, что zabbix уже развернут и функционирует на благо организации. 2 инстанса ? Почему нельзя сделать шаблон(ы) для импорта в существующий инстанс или разрешить полноценно управлять установленным в группе серверов заббиксом ?
Полное отсутствие обратной совместимости (в основном по saltstack) мешает адекватному обновлению как серверов с ALD так и клиентов. Во всех мануалах написано, что версия должна совпадать, иначе ни за что не отвечаем. В ту же копилку - обновление ALD боль. В чате постоянно сообщения "я обновил по мануалу и все окирпичилось". ИМХО пока гарантированная обратная совместимость не появится хотя бы на пару версий назад, нормально ничего работать не будет...
Невозможность добавить в домен debian систему тоже конечно боль... Ну или возможность с полным отсутствием любой гарантии, что в целом одно и то же. Я бы понял если бы Fedora / FreeBSD нельзя было, но debian для астры...
Высокие материи в виде доверия между лесами/доменами ИМХО вторичны...
Ответов не прошу. Впишите лучше в свой чек лист разработки повышение стабильности каждой версии и процесса перехода между версиями.
FreeIPA vs Samba AD