Привет, Хабр! Меня зовут Денис Мурунов, я руководитель практики построения ИТ-инфраструктуры К2Тех. Cегодня хотел бы поговорить о базовом ПО для инфраструктуры каждой компании — службе каталогов. Мы видим, что все больше компаний сталкиваются с трудностями при закупке лицензий и продлении поддержки на продукты Microsoft. В такой ситуации задача импортозамещения распространенной MS Active Directory стоит сегодня перед многими организациями.
Конечно, на рынке уже есть альтернативы российского производства, которые мы с командой К2Тех активно внедряем заказчикам — это ALD Pro и Альт Домен. Но найти полезные материалы об этих продуктах вам не составит труда, поэтому сегодня я хочу рассказать вам о новых решениях на рынке — РЕД АДМ Промышленная редакция и Атом.Домен.
Два лагеря
Microsoft Active Directory долгое время оставался стандартом де-факто для решения задач организации корпоративной службы каталогов. И хотя ничто не вечно под луной, развитие альтернативных решений на базе Linux происходило не такими темпами, чтобы догнать лидера. Но сегодня ситуация изменилась, потребность в аналогах выросла многократно, и мы уже видим на рынке целый ряд подрастающих технологий, способных заменить AD если не сегодня, то уже завтра.
Глобально на рынке есть два лагеря решений — одни из них используют Samba DC (фактически клон AD для Linux, который появился в результате реверс-инжиниринга AD группой энтузиастов), а вторые — созданную специально для линуксовых сред систему FreeIPA. Плюсом Samba DC является совместимость с AD, хотя и не полная. А FreeIPA может похвастаться более зрелым состоянием, потому что ее разработку спонсировал RedHat. С Samba DC и FreeIPA мы работаем уже довольно давно (еще до появления отечественных решений на их основе) и за это время накопили приличный опыт их внедрения.
Уже ближе ко дню сегодняшнему в России появились две службы каталогов — ALD Pro, созданная разработчиком Astra Linux на базе FreeIPA, и Альт Домен, которую развивает компания Базальт (разработчик операционных систем Альт) на базе Samba DC. Они вышли на рынок в 2022 году, поэтому я бы отнес их к относительно молодым продуктам. Однако за это время они успели прочно закрепиться, обзавестись боевыми внедрениями (благодаря нам в том числе) и обрести определенную популярность среди заказчиков.
«Новички» рынка — РЕД АДМ и Атом.Домен — также используют разные базовые технологии (Samba DC и FreeIPA соответственно), и это делает продуктовое предложение на рынке еще более разнообразным.
РЕД АДМ Промышленная редакция
Начнем с РЕД АДМ. Это служба каталогов, которую разработала компания «РЕД СОФТ». Они же развивают собственную операционную систему РЕД ОС и другие продукты. Учитывая, что РЕД ОС является потомком CentOS, переход на РЕД будет намного удобнее для тех, кто в той или иной мере использовал соответствующие форки Linux.
Что касается службы каталогов РЕД АДМ, то в своей Стандартной редакции, включающей базовую функциональность, она была выпущена еще в 2022 году, а о выходе более функциональной Промышленной редакции было объявлено в марте 2023 года. Но служба каталога — не такая уж простая вещь, и ее разработка потребовала времени. Поэтому рынок достаточно долго ждал, когда же, наконец, появится готовый релиз. Мы, например, приступили к изучению бета-версии в июле этого года.
Несомненным плюсом РЕД СОФТ является доступность информации о решениях на официальном сайте. Например, о разнице между Стандартной и Промышленной редакциями РЕД АДМ.
Служба каталогов РЕД АДМ Стандартная редакция поставляется вместе с ОС. Промышленная редакция покупается отдельно. Система работает на базе Samba DC, групповые политики реализованы с использованием Ansible. Стоит отметить, что РЕД АДМ, по сути, представляет собой систему управления каталогом, в частности Samba DC, которую разработчики РЕД СОФТ серьезно доработали. Например, сделали ее совместимой с уровнем леса AD 2012R2, в то время как «ванильная» Samba DC поддерживала только уровень 2008R2 (примечание: 4 сентября 2023 года вышла версия Samba 4.19.0, в которой появилась поддержка уровня леса 2016). Даже ходили слухи, что РЕД СОФТ планировал включить в РЕД АДМ также поддержку FreeIPA в качестве службы управляемого каталога, но в официальных источниках подтверждения данной информации мы не нашли. Контроллеры домена Samba DC, управляемые РЕД АДМ, можно включить в существующий домен AD, что в ряде случаев может существенно упростить процесс миграции.
Отмечу, что консоль управления РЕД АДМ представляет собой приятный и светлый веб-интерфейс. Он особенно порадует тех, кто жаловался на темно-синий UX у ALD Pro.
Конечно, у РЕД АДМ есть и свои нюансы. Так, схема применения групповых политик требует доработки — то есть сейчас политики применяются только при входе пользователя. Либо это надо делать вручную, запуская утилиту `gpupdate`. А такие функции, как делегирование прав на подразделения или добавление нового сайта, не реализуемы средствами веб-интерфейса РЕД АДМ. Для выполнения данных операций необходимо использовать консоли Microsoft (RSAT) с компьютера на Windows. Это мешает решить задачу отказа от Windows на 100%.
Пока что в РЕД АДМ совсем немного подсистем. Да, в дорожной карте (презентация на странице «Документация») обозначены амбициозные планы развития, очень хочется увидеть их реализованными. Имеется ролевая модель, но она распространяется непосредственно на консоль управления РЕД АДМ. И, как упоминалось ранее, делегирование прав на уровне организационных подразделений или настройку сайтов не выполнить без оснасток на Windows. Консоли управления для реализации данных функций сейчас в разработке у РЕД СОФТ.
В планах у разработчиков РЕД АДМ есть также инструменты управления DNS, NTP, файловыми папками, но пока для настройки этих сервисов необходимо использовать штатные инструменты операционной системы, что доступно по большей мере опытным администраторов Linux. Преднастроенных шаблонов групповых политик в РЕД АДМ около 100, а также можно добавлять собственные сценарии на языках Ansible и bash. Отмечу, что Ansible однозначно намного популярнее, чем SaltStack, используемый, например, в ALD Pro. Групповые политики РЕД АДМ выполняют конфигурирование операционок РЕД ОС, для других ОС групповые политики можно разработать самостоятельно или привлечь на эту задачу интегратора (у нас такой опыт есть).
Стоит отметить, что Samba DC и, соответственно, РЕД АДМ не поддерживают расширения схемы AD, сделанные, например, для Exchange, Skype, SCCM. Для работы данных систем потребуется иметь хотя бы один контроллер домена на Windows, пока вы окончательно не откажетесь от данных решений от Microsoft. Также не поддерживаются многодоменные леса — пока придется довольствоваться лесом из одного домена.
Вообще, вендор радует тем, что активно допиливает модули, которые реализуют функционал, недоступный в области Open Source, но востребованный пользователями. Более того, у нас в К2Тех уже есть опыт пилотирования РЕД АДМ Промышленная редакция в заказчиках. И как раз во время одного из таких пилотов мы выявили несколько недочетов в ПО, которые РЕД СОФТ очень оперативно исправил. Поэтому, кажется, что крупные внедрения РЕД АДМ не заставят себя долго ждать.
Атом.Домен
Второй «новичок» рынка — это Атом.Домен, продукт компании «Гринатом Простые Решения». По сути, решение представляет собой набор софта, как собственной разработки, так и Open Source, объединенных в единое инфраструктурное решение. К собственным разработкам «Гринатом Простые Решения» относится графический интерфейс управления службой каталогов, называемый Dynamic Directory. К компонентам на базе Open Source относятся FreeIPA (каталог), Puppet (движок групповых политик), Foreman (инструмент централизованного управления, в планах его замена на собственное решение), NextCloud (файлообменник с веб-интерфейсом), а также инфраструктурные сервисы операционной системы (DNS, DHCP).
При этом главный плюс Атом.Домен — гетерогенность. Служба каталога поддерживает различные операционные системы, включая опенсорсные. Официально заявлены российские Astra Linux, РЕД ОС, Альт, ROSA Linux для поддержки групповых политик. Остальные решения на рынке нацелены на реализацию групповых политик только под свои собственные операционные системы. Однако на практике бывает так, что в одной организации могут использоваться несколько разных ОС (на серверах так уж наверняка). Ведь и раньше мы видели у Заказчиков разнообразные дистрибутивы на базе Red Hat, Suse, CentOS, Debian, даже Mint и т.д. в рамках одной инфраструктуры. Так вот в Атом.Домен «из коробки» присутствуют групповые политики для нескольких отечественных ОС, а в других российских службах каталога для «чужих» ОС будет поддерживаться аутентификация в домене, но не групповые политики.
В целом Атом.Домен предлагает удобный десктопный интерфейс управления, похожий на оснастки Microsoft. Отмечу еще, что, как и у Альт.Домена, интерфейс управления у Атома (Dynamic Directory) включает в себя функции поиска, настройки групповых политик и даже системные организационные подразделения, которые очень похожи на системные контейнеры в AD. И это, бесспорно, удобно и упрощает адаптацию администраторов к новой службе каталогов.
Так как Атом.Домен реализован на FreeIPA, миграция на него с Active Directory выполняется путем создания нового домена и переноса в него объектов из каталога AD. Для миграции АРМ с Windows на отечественные ОС «Гринатом Простые Решения» разработал отдельный продукт — Атом.ПОРТ. Однако стоит учитывать, что двусторонние доверительные отношения в этой службе каталога доступны с ограничениями. Во FreeIPA нет глобального каталога, и полноценного взаимодействия с Атом.Домен со стороны MS AD не получается.
Система уже обкатана внедрениями и прошла проверку реально придирчивых безопасников и требовательных ИТ-шников в таких крупных организациях, как Росатом, РЖД и НИЯУ МИФИ. В Атом.Домен уже есть большое количество групповых политик, которые решают множество административных задач. Вендор заявляет о 1,5 тыс. уже реализованных параметрах политик.
Но нужно помнить, что Атом.Домен — это решение, которое разрабатывалось интегратором. Оно собирается из множества компонентов, и в документации Атом.Домен описано, как выполнить их интеграцию.
Для сравнения, ALD Pro, который также работает на базе FreeIPA, предлагает намного больше в области автоматизации. Astra самостоятельно развивает функционал, ведет доработку самой FreeIPA, тогда как «Гринатом Простые Решения» официально сообщает, что будет дожидаться следующих релизов FreeIPA и уже тогда внесет новшества на свой продукт. В этом есть свои плюсы, но есть и минусы — ведь ни для кого не секрет, что в опенсорсном ПО есть пробелы, которые не исправляются в течение нескольких лет.
Заключение
Подводя итог, для каждой ситуации можно рекомендовать свою альтернативу Microsoft Active Directory. Выбор решения будет зависеть от используемых операционных систем, требований к безопасности, сроков миграции с AD, возможности какое-то время параллельно использовать продукты от Microsoft.
Тем не менее появление на рынке Атом.Домен и РЕД АДМ сделали хороший вклад в расширение доступных на сегодняшний день решений для организации службы каталогов. Сегодня идут проекты пилотирования и внедрения всех этих решений, мы активно взаимодействуем с вендорами и заказчиками, чтобы сделать отечественные службы каталога более функциональными.
Все упомянутые в этой статье производители продолжают развивать свои службы каталогов, в том числе создавая решения, которых раньше просто не было в Open Source. И это все более делает возможным замещение MS AD на отечественные аналоги. Если у вас будет интерес, я расскажу о новых обновлениях и сравнении всех 4 служб каталогов в следующей статье.
А если вам интересно получить более подробную информацию о службах каталогов, можете отправить запрос мне на почту DMurunov@k2.tech.