Lösningar med öppen källkod för centraliserad hantering av tillgång till resurser. Teknik som använder eDirectory
Många tror att det idag finns en fullfjädrad integrerad analog av MS Active Directory, och gruppolicy finns ännu inte i GNU/Linux-världen. Utvecklare från hela världen gör dock försök att implementera liknande teknologier inom UNIX-system. Ett slående exempel är eDirectory från Novell, vars funktioner vi kommer att diskutera vidare.
Intressant nog implementerades stöd för Group Policies i Samba 4, varefter effektiva verktyg för att sätta upp grupppolicyer började utvecklas. Men tidigare var de flesta systemadministratörer tvungna att begränsa sig till inloggningsskript eller NT4-systempolicyer.
Vad tillåter Samba4 dig att uppnå? Många har idag fått kläm på att använda denna lösning som AD, det vill säga en domänkontrollant i samband med filservrar baserade på samma lösning. Som ett resultat får användaren åtminstone ett par konfigurerade servrar med Samba4, varav en fungerar som domänkontrollant och den andra fungerar som en medlemsserver med användarfiler.
Idag löses problem i samband med underhåll och registrering av nätverksanvändare inom peer-to-peer-nätverk ansvarsfullt av flera ledande företag som producerar modern mjukvara. Favoriterna bland sådana utvecklare idag är Microsoft med dess tidigare nämnda Active Directory och Novell med dess eDirectory, som också nämns i början av denna artikel.
Lösningen på ovanstående problem i det här fallet ligger i skapandet av katalogiseringstjänster eller en databas, som gör att du kan spara information i en fast lagring om alla användarkonton, och också, vilket avsevärt kan underlätta kontrollen av nätverk.
Tänk på ovanstående och andra tekniker för att organisera arbetet med användarnätverk i samband med deras fördelar och funktioner.
Active Directory - tekniska funktioner
I huvudsak är AD en organiserad databas som ger tillräckligt bekväm väg tillgång till information om alla typer av nätverksobjekt. Detta hjälper också applikationer och användare att hitta dessa objekt.
AD använder ett distribuerat namnutrymme eller DNS (Domain Name System) för att fastställa platsen. För att arbeta med en databas har AD en uppsättning speciell programvara, samt verktyg som är utformade för applikationsprogrammering.
Även med en heterogen struktur av system i nätverket tillåter AD dig att enkel registrering genom ett förenklat protokoll relaterat till LDAP-katalogtjänsten.
Det här systemet är bra eftersom det är skalbart och lätt att bygga ut. Active Directory lagrar sitt eget schema, eller en uppsättning exempelklasser för ett objekt och dess attribut, direkt i katalogen. Således innebär schemat förmågan att göra ändringar i schemat dynamiskt.
En viktig egenskap hos AD är dess feltolerans, såväl som närvaron av en distribuerad databas. Katalogtjänsten kan täcka flera eller en domän samtidigt.
Noterbart är delegeringsfunktionen, det vill säga tillhandahållandet av administrativa rättigheter från administratören till separata grupper och användare på träd och containrar, samt möjlighet till arv.
AD-katalogtjänsten låter dig enkelt och snabbt distribuera högkvalitativa och pålitliga nätverk som kan byggas i enlighet med en mängd olika individuella krav.
Teknik som använder eDirectory
Redan innan tillkomsten av MS Active Directory användes andra metoder för databashantering aktivt.
Så det är värt att notera tjänsten "Bindery" från Novell, som är en homogen databas. Inom en sådan databas har vissa poster inget uppenbart samband med andra poster. Denna databas är främst inriktad på att arbeta med servern. Detta innebär att varje server i detta fall kommer att förses med en unik binder som innehåller åtkomsträttigheter och inställningar för nätverksobjekt. Detta alternativ databashantering förutsätter att nätverksresurser betraktas som objekt som har direkt kommunikation med serverns rotkatalog.
Bildandet av bindemedlet är baserat på följande komponenter:
Egenskaper - karaktäristiska egenskaper för varje objekt i bindemedlet (adresser av internettyp, restriktiva faktorer och lösenord);
Objekt – fysiska och logiska komponenter i nätverket som kan tilldelas namn (filservrar, användargrupper, användare).
Infosetegenskaper är former av informationsdata som lagras i en pärm (nummer, tabeller, text, tid, datum, nätverksadress, etc.)
När NetWare4xx föddes introducerade Novell världen för ny tjänst eDirectory-kataloger, som ursprungligen kallades NDS i den här versionen av NW. Sedan version 6.x har det blivit känt som eDirectory.
Inom denna tjänst, såväl som i Active Directory, implementerades en databas som byggdes på en hierarkisk princip. Detta gör det möjligt för vissa nätverksobjekt att interagera med andra.
Möjligheten att eliminera behovet av att underordna sig hierarkisk ordning är en av de betydande fördelarna detta beslut. På vissa områden av trädet kan fålla användas, vilket naturligtvis många tycker är en mycket bekväm lösning.
Det är också värt att notera att eDirectory-servern även kan fungera på plattformar som skiljer sig från NetWare.
På många sätt sammanfaller funktionerna i denna lösning med liknande funktioner som presenteras i MS Active Directory. Till exempel genom att använda eDirectory du kan replikera till automatiskt läge, samt arv och delegering.
Den största svårigheten i nätverksinstallationsprocessen, med eDirectory installerad på nätverket, är valet av specialister som måste ha lämplig kompetens för att arbeta med denna lösning.
Philip Torchinsky: God eftermiddag Idag ska jag inte prata mycket om Open Solaris, även om det vanligtvis är det jag pratar om.
Idag ska vi prata om hur och varför du kan använda vissa tjänstealternativ Aktiva kataloger Katalog i UNIX. Detta kommer strängt taget inte att vara exakt alternativ till AD. Men jag ska återigen framföra min åsikt om hur situationen kommer att utvecklas i framtiden, i vilken riktning. Jag ska berätta lite om hur du konfigurerar de lösningar som kommer att bli populära i framtiden - igen, enligt min mening. Rapporten innehåller en separat del om Identity Manager.
Som regel pratar jag om saker som jag ställer upp med mina egna händer och som jag kan berätta allt om. Idag blir det lite annorlunda. Jag kommer att prata om konceptet och nämna vad jag själv satt upp. Jag har använt den här tjänsten ganska mycket. Jag kan berätta hur det ser ut ur användarens synvinkel och vad som kan vara bra eller dåligt med det.
En av huvuduppgifterna för alla designers av alla system är att undvika en situation där vi använder något mycket kraftfullt verktyg för att göra ganska enkelt arbete. Även om det är precis vad som händer i livet.
Säkerligen har många av er observerat en uppsättning primitiva texter, till exempel i Microsoft Word eller in OpenOffice Writer. I princip är dessa texter värda att skrivas in i en textterminal, i Notepad eller någon av dess analoger. Men dessa texter är så lyckliga att de skrivs i mycket kraftfulla redigerare.
Jag tänker faktiskt ofta på det här. Eftersom vi är här med människor som gör skillnad i den här världen hoppas jag att vi tillsammans kan föra situationen till ett tillstånd där våra kunder, våra anställda och alla associerade med oss kommer att lägga mindre tid och resurser på prestation enkla åtgärder med komplexa medel.
Nu skulle jag vilja ta av hatten för utvecklarna av Microsoft Corporation. Mina kollegor och jag var överens om att Active Directory totalt sett är en bra sak. Det är bra att den här lösningen finns, du kan verkligen använda den. En annan sak är att Active Directory-katalogtjänsten ofta används på platser där det inte skulle vara värre utan den.
Vad är bra med Active Directory? Vad kan den användas till?
Först och främst är Active Directory lämplig för att hantera användare (grupper, användarroller och så vidare). Strängt taget är Active Directory-lösningen direkt relaterad till detta, men är inte ett sätt att säkerställa detta. Active Directory-katalogtjänsten ger dig åtkomst till nätverket från olika datorer och ger dig funktioner för roamingprofiler.
Dessa profiler blev min huvudvärk i 2 år. Jag var chef för IT-avdelningen på ett företag där alla kontor över hela landet använde samma roamingprofiler. De kunde vara 2 eller 3 gigabyte stora och mirakulöst sträcka sig från kontoret i St. Petersburg till Moskvakontoret, eftersom den anställde kom hit på en affärsresa och bestämde sig för att arbeta.
Detta är bara ett typiskt exempel på ineffektiv användning av ett bra koncept, där det visar sig vara fruktansvärt obekvämt.
Dessutom används Active Directory naturligtvis för att styra åtkomsten, eftersom det står vem som kan gå vart. Active Directory används också ganska flitigt i system där nätverket är heterogent. I det här fallet konfigurerar vi åtkomst via PAM, autentisering, åtkomst genom Active Directory till vissa resurser som fysiskt finns på datorer som inte på något sätt är anslutna till Active Directory. Till exempel har vi en server som kör Linux på vilken vi behöver distribuera några filer. Naturligtvis kan du använda Active Directory för webbautentisering.
Det finns en sak till som jag inte kommer att uppehålla mig vid i detalj i dag. Jag säger bara att detta görs med Active Directory. Jag kan gissa hur man implementerar detta för UNIX-applikationer på UNIX-system, men detta har ingenting att göra med ämnet för rapporten.
Dessa är så kallade grupppolicyer och i synnerhet applikationshantering, där vi kan konfigurera specifika applikationers "beteende" olika för olika grupper eller användare.
Den här saken i funktionaliteten som jag ska prata om idag har inte implementerats på något sätt, vad jag vet. Detta måste göras antingen på annat sätt eller genom att lägga till något annat till de befintliga medlen.
I allmänhet, vad används datorer till (oavsett om UNIX eller inte)? Det finns många mål, men för varje grupp av uppgifter finns det flest bekvämt protokoll. Vi har SSH-protokollet - det uppfanns för mina andra systemadministratörer. Det är tydligt att vanligt folk det behövs knappast.
FTP- och HTTP-protokollen behövs av nästan alla som någonsin har laddat upp något till hosting.
Naturligtvis behöver alla post. När jag till exempel ställer in mig några nytt system till en dator eller jag startar en LiveCD och inte ser någon fungerande e-post där, det här irriterar mig redan. Fast för fem år sedan skulle jag inte ha blivit förvånad över detta. En mobiltelefon som inte kan läsa e-post är bara någon form av skam. Även om vi som regel inte förväntar oss detta från en hemtelefon.
Ytterligare en funktionalitet som i regel krävs i alla företag där antalet personer är fler än två. Detta är möjligheten att använda densamma arbetsmiljö på olika datorer. Detta krävs överallt - från sådana läroboksalternativ som en grupp operatörer som sitter i en bank eller i ett callcenter (det senare kan vara upp till 400 personer i rad), och slutar med mindre vanliga alternativ - som en universitetsadministration, där anställda flyttar från en kropp till en annan. Alla dessa människor behöver ha en skrivbordsmiljö på vilken dator som helst.
Jag ska nu berätta om medlen för att säkerställa denna arbetsmiljö. Den här delen av rapporten har inget med Active Directory-analoger att göra. Det här är snarare en sorts lösning som låter dig implementera det som ofta görs med Active Directory, men som inte belastar systemet hårt. Detta är en mycket enkel lösning. Troligtvis har många av er redan använt det, eller åtminstone sett det, eller till och med sålt det - jag vet inte.
Det finns en så gammal sak som en terminal. De fanns redan före 1969. 1969, när UNIX uppfanns, fanns terminaler redan. Föga överraskande fungerar allt ganska bra från terminaler. En modern version av terminalen är det som exempelvis Sun-företaget kallade Sun Ray. Nu heter den fortfarande Sun Ray, men produceras av Oracle.
Hårdvaran består av en X-Terminal med en internetport och en USB-port. Det finns även ljudutgångar och ingångar. Du kan ansluta hörlurar, lyssna på din favoritmusik, du kan slå på en flash-enhet - allt kommer att fungera utmärkt. Dessutom kan den också läsa smartkort, så att du kan göra autentisering med smartkort.
Förutom Sun Ray finns det en annan produkt (jag kommer inte ihåg dess namn) som är en del av Virtual Desktop Infrastructure-familjen.
Det här är en sådan virtuell Sun Ray. När du kommer till din chef och säger: "Hör här är fallet, Pyotr Petrovich, vi måste flytta över vår grupp teknisk support till terminalerna, för istället för att snabbt svara på frågor spelar de Solitaire på vad de har där.” Eller: "Vi är trötta på att laga deras strömförsörjning eftersom de går sönder varje vecka för att vi inte kan fixa luftkonditioneringen."
Detta gör naturligtvis inte Pyotr Petrovich så glad, för utrustningen behöver bytas, utrustningen verkar ha köpts nyligen... Datorn måste hålla i fem år tills den skrivs av, annars är den inte bra för bokföring .
Du kan använda virtuella solstrålar istället för teknik. Installera virtuella arbetsstationer. Lösningen kommer att fungera på det befintliga systemet och "låtsas" att det är som en terminal.
Vi är klara med terminaler. Låt oss nu se hur det fungerar och varför vi kan behöva ett system som på sätt och vis är en analog till Active Directory. Jag betonar än en gång att det inte är en strikt funktionell analog.
Applikationsservrar
Glassfish är en standardapplikationsserver, som generellt sett liknar Tomcat, men till skillnad från den kan den också spela rollen som inte bara en webbcontainer utan även en JB-container (som är Enterprise Java...). Förresten, det som tidigare kallades helt enkelt Glassfish heter nu Oracle Glassfish Server.
Till exempel kan den köras på Oracle Solaris. Det fungerar för mig i Open Solaris.
Denna applikationsserver låter dig distribuera en mängd olika webbapplikationer, inklusive Liferay. Jag ska inte prata så mycket om honom idag. För er som ännu inte vet att det finns är mitt råd att vara uppmärksam. Det här är coola grejer. Jag inbillar mig att det inom en ganska snar framtid kommer att bli betydligt mer av detta än vad det är nu.
Jag tror att efter en tid - inom ett eller två år - kommer Java-hosting förmodligen att dyka upp i Ryssland (de finns redan utomlands). Liferay är en ganska bekväm plattform för att göra alla slags webbplatser. I princip gjorde jag en hemsida på Liferay – enkel, 5 sidor, med innehåll, med bilder, med minimal design – på ungefär en halvtimme.
Det finns också en implementering av samma portal som kallas WebSpace. Den är baserad på ungefär samma kod, men gjordes inuti Sun. Liferay är en gemenskapsprodukt som har liten koppling till Sun - Sun lade väldigt lite pengar eller ansträngning på att skapa det.
Detta var ett exempel på en applikationsserver.
Låt oss nu se vad som finns bakom applikationsservern. Bakom applikationsservern finns det som gör att vi kan autentisera till den applikationsservern, och som även låter den servern och applikationerna som körs på den bestämma våra åtkomsträttigheter till olika objekt.
Dessa är Identity Manager, Directory Server och Access Manager. I princip kan det finnas fler komponenter som ger autentisering och åtkomstkontroll till vissa webbresurser, men det här är det mest intressanta.
För att göra det bekvämt för människor är det ganska naturligt att tillhandahålla centraliserad åtkomst, att kombinera webbresurser logiskt (som regel) eller organisatoriskt, ekonomiskt. Det är nödvändigt att människor har möjlighet att gå till en webbresurs och automatiskt få tillgång till alla andra. För att göra detta kom de på en välkänd sak som heter single sign-on-teknik (SSO, Single Sign On). När du väl har loggat in så fungerar allt. Du behöver inte logga in längre.
Detta liknar det vi är vana vid, till exempel i system Windows-klient Och Windows Server, när vi "loggat in" en gång går vi sedan igenom alla filer.
En rimlig fråga uppstår: hur ofta behöver vi "gå" igenom filer? Från praktiken i gruppen där jag har arbetat de senaste 3 åren (ännu mer) ser jag att det faktiskt ofta inte krävs att "gå" genom filer och lagra filer i mappar. Jag har min egen bärbara dator som har allt jag behöver. Allt som våra grupper delar sinsemellan ligger på den gemensamma wikin.
Existera olika varianter wiki implementeringar. Detta kan vara en gratis motor som heter TWiki. Det finns många fler lösningar som fungerar på samma sätt. Fungerar mycket gratis hosting, där du till exempel kan lägga upp några projekt - där tillhandahålls wikin gratis som ett projektledningselement.
Det här är en ganska populär sak. Därför, särskilt när du funderar på vilken typ av infrastruktur du ska bygga i ditt företag, är alternativet när du inte har fil server, men det finns en viss webbresurs där alla laddar upp filer och tar dem därifrån också (i enlighet med deras tilldelade behörigheter) - detta är ett ganska logiskt schema. Dessutom tas frågan om att överföra resurser till webben upp mer och mer.
Förresten, jag hade en stor förfrågan till utvecklarna av 1C-produkter: vi måste snarast komma på en sådan sak som kallas webbaserad redovisning. Jag saknar henne fruktansvärt.
Svar:- Ät. Philip Torchinsky:— Är det verkligen webbaserat? Har jag missat något? Hur länge har den legat där? Svar:– Det har redan dykt upp. Philip Torchinsky:- Bra. Tack så mycket! Tydligen har jag missat något under de senaste månaderna och inte sett det. För sex månader sedan, enligt min mening, fanns det inte ännu. Har redan. Bra. Tack för de goda nyheterna!Låt oss nu återgå till tekniken för enkel inloggning. Det är bekvämt att se till att det finns två alternativ för klienten att komma åt servern för enkel inloggning.
Det första alternativet är när vi kommer åt en viss webbresurs, till exempel som körs på samma Glassfish. Det är helt enkelt en Java-applikation som ger enkel inloggning (autentisering och ytterligare åtgärder). Det vänder sig till PAM, som "drar" information från de vanliga autentiseringskällorna.
Det är bra om det finns ett omvänt alternativ: vi kontaktar PAM, och han kontaktar singel inloggningsservern och lyckas fråga honom något.
Det andra alternativet har tyvärr inte implementerats ännu - jag har åtminstone inte sett dess genomförande. Det första alternativet har implementerats, jag har till och med provat det. Jag ska försöka förklara hur man implementerar det.
I februari i år beslutade ForgeRock att man skulle "smida" OpenSSO-projektet eftersom Oracle, som ni vet, officiellt slutförde sitt köp av Sun i februari.
Ur ForgeRocks synvinkel skulle det vara intressant att hämta OpenSSO-koden för projektet från förvaret och sedan göra något med det (eftersom licensen tillåter det). Bra. Än så länge finns det inga bevis för att Oracle kommer att göra något dåligt med OpenSSO. Dessutom finns det bevis på att han kommer att må bra.
Varför rekommenderar jag att du laddar ner OpenAM, som är samma sammansättning, endast från ForgeRock? Eftersom ForgeRock-webbplatsen har den bästa beskrivningen av hur man installerar den. Jag såg den bästa beskrivningen av hur man installerar OpenSSO där.
Nu måste du installera Glassfish. I Open Solaris, när du packar upp, måste du markera kryssrutan "installera Glassfish" - den kommer att installeras. Du kan helt enkelt ladda ner Glassfish och köra installationsprogrammet.
Därefter måste du starta demonen amunixd, och systemet kan redan användas. OpenSSO kommer att fungera via PAM. Du vet inte om du behöver det här – du kanske behöver något annat. Men om du behöver allt för att fungera genom PAM, så görs detta som jag beskrev.
Jag berättade hur du installerar Glassfish korrekt och snabbt i OpenSolaris. Mer exakt, hur man uttrycker det är tydligt. Mer intressant är hur man skapar en domän.
Låt mig kort förklara vad en domän är i förhållande till Glassfish. Vi har en applikationsserver och vi vill distribuera någon applikation på den. Denna applikation kan inte distribueras i ett vakuum. Han behöver skapa något slags skal där alla filer som är associerade med honom och vissa inställningar kommer att skrivas. Inuti detta skal kommer det att vecklas ut mer ytterligare komponenter applikationer och så vidare.
Denna sak kallas en domän. Det har ingenting att göra med domänen i betydelsen något.ru. Detta har inget med Internetdomäner att göra. Det är helt enkelt ett namn för en samling kombinerade, sammankopplade komponenter. I grund och botten kommer domänen att ha några Domän namn(ur internetdomänens synvinkel), men det kommer senare. Du kan konfigurera den om det behövs.
Nu kommer den viktigaste punkten. När du ställer in enkel inloggning måste du ange ett fullständigt kvalificerat domännamn.
Faktum är att instruktionerna från ForgeRock säger med stora bokstäver på en gul bakgrund: "Skriv FQDN till filen /etc/hosts." Om detta inte görs kommer ett dunkelt fel att kastas. Resultatet blir en konstig diagnos. Vad som är fel kommer att vara helt oklart.
Det kommer att säga att du inte kommer att kunna komma åt port 80. Varför kan du inte? Okänd. Viktig poäng. När du ställer in den här konfigurationen, se till att inkludera det fullständiga namnet på din värd i filen /etc/hosts.
Gå till adressen, logga in (som standard är administratörens namn amadmin), välj Auktorisering->Unix. Du kan välja andra auktoriseringsalternativ om det behövs. Men i Unix kommer allt att fungera genom PAM, respektive.
Varför behöver du Identity Manager och vad är det?
Identity Manager från Oracle "vet hur" man arbetar med en massa olika informationskällor. Dessutom, i en informationskälla kallas ett visst objekt Ivan Petrovich, i en annan är han Vanya, i den tredje är han Ivan. Dessa informationskällor säger något annat om honom.
Vad är viktigt? Att dessa informationskällor inte är skyldiga att innehålla information som en primärnyckel. Det finns ingen unik identifierare som finns i var och en av dessa källor. Helt enkelt med hjälp av Identity Manager-hanteringsverktyg du kan olika sätt länka samman olika register från olika informationskällor.
Dessutom tillhandahåller Identity Manager synkronisering. Om någon till exempel blir uppsagd från jobbet, raderas hans konto från listan över anställda och från någon annan lista - till exempel gäldenärer eller fordringsägare i organisationen. I allmänhet raderas posten från alla tillgängliga informationskällor.
Följaktligen, om en modifiering inträffar, till exempel vissa fält ändras, så synkroniseras detta också mellan olika informationskällor, om dessa fält finns där.
Som ett strategiskt projekt behöll Oracle Oracle Identity Manager, som fanns tidigare. Även projektet, som kallades Sun Identity Manager, finns kvar. Den kommer att fortsätta att finnas, men huvudprodukten som Oracle säljer kommer att vara Oracle Identity Manager.
Identity Manager är faktiskt en sak som kostar en del meningsfulla pengar. Jag vet att olika Sun- och Oracle-klienter i Ryssland faktiskt köper det.
Det finns också en enhet som heter Directory Server, som vi pratade om lite tidigare. Detta är helt enkelt ett av alternativen för informationskällan för Identity Manager. Som regel är detta en vanlig LDAP-server. Det finns en specifik produkt, den heter OpenDS, som Oracle lovar att stödja. Det är helt enkelt en LDAP-server skriven i Java.
Det är bekvämt att använda. Om du inte vill samla in något extra kan du bara ta denna OpenDS och distribuera den på samma Glassfish.
Jag ska berätta om interaktionen mellan klienten, applikationsservern, Access Manager och Identity Manager.
Det finns en klient som begär åtkomst till en fil, till exempel från en DEP-applikationsserver med ett webbgränssnitt som kallas webbbehållare. Fel åtkomsträttigheter är definierade för filen. Applikationsservern "frågar" programmet Access Manager om den kan ge åtkomst till denna fil.
Access Manager vänder sig till Identity Manager: "Vad har vi med identiteten på en sådan kamrat?" Informationen skickas tillbaka till honom om att hans vän har rollen som superadministratör i systemet. Access Manager säger "Du kan göra det här." Informationen skickas till applikationsservern, till exempel Glassfish: "Ja, det kan du." Filen är utfärdad.
Du vet förmodligen att i nsswitch.conf, på system som har det, som Debian och OpenSolaris, kan du skriva ordet ldap på den plats där det bestäms varifrån autentiseringsinformationen ska hämtas. Det finns information om hur man ställer in detta på opennet, som beskriver det nödvändiga tillägget till LDAP-schemat.
Det är det viktigaste – hur framtiden kommer att se ut om vi inte pressar det för hårt för att se annorlunda ut. Alternativ ett är vad jag verkligen hoppas att alla statliga tjänster bör byta till, och nu säger jag till mig genom fönstret: "Tyvärr, vi kan inte göra någonting. Vår dator är frusen och systemadministratören kommer imorgon.” På sådana ställen behöver man förstås installera terminaler så att det finns en server där systemadministratören alltid är närvarande.
Dessutom finns det uppenbarligen situationer när man arbetar med CAD, när man måste skapa en server och vissa arbetsstationer, och där applikationer med eventuella klienter (till exempel med mobiltelefoner) för allt annat.
Tack så mycket för informationen att 1C: Accounting redan har gjort det jag saknade.
Tack! Jag tror att jag har 30 sekunder kvar på mig att svara på frågorna.
Frågor och svar
Fråga: Varför är OpenSSO bättre än traditionella Kerberos? Philip Torchinsky: – Det här är bra fråga. Faktum är att OpenSSO och i allmänhet alla typer av enkel inloggning, så långt jag kan föreställa mig omfattningen av deras användning, främst används i webbprojekt. Låt oss bara säga att jag inte är säker på att detta är svaret på den här frågan exakt. Men jag tror att tillämpningsområdet för Kerberos redan är bredare. Fråga: - Fråga om OpenSolaris. När väntas släppet? Så vitt jag vet har det inte funnits några nybyggen där på ganska länge. Philip Torchinsky: — Färska konstruktioner dyker upp varannan vecka och är fortfarande tillgängliga på webbplatsen www.genunix.org. Därför är det inga problem med sammansättningar. Utgivningen förväntades ursprungligen i mars. Aktuellt läge: det har meddelats att det kommer att dyka upp under första halvåret 2010. Tyvärr vet jag inte mer detaljerad information. Det var allt jag fick höra. Tack så mycket!I ett modernt nätverk är ofta hundratals användarkonton organiserade, dussintals tjänster körs. För att säkerställa att ett stort antal kontrollpunkter inte orsakar inkonsekvens, behöver du enda bas konton och applikationer. Nyligen har ett antal intressanta projekt med öppen källkod dykt upp som utökar standardkapaciteten för LDAP och som är ganska kapabla att ersätta Active Directory.
389 Katalogserver
- Projektets webbplats: directory.fedoraproject.org.
- Licens: GNU GPL.
- OS: Fedora/ röd hatt/CentOS, kommer att köras på Linux (Debian, Ubuntu, Gentoo), Solaris, HP/UX 11, Irix, AIX, Windows och OSF/1.
En företagskatalogserver byggd av communityn och sponsrad av Red Hat. Grunden för det var Netscape Directory Server, utvecklad sedan 1996. Den fick ett nytt namn - Fedora Directory Server - efter att Red Hat förvärvade rättigheterna till den 2005. 2009 bytte projektet namn igen till 389 Directory Server (389 är LDAP-tjänstens portnummer). Anledningen är enkel: FDS var oupplösligt förknippat med Fedora, vilket, enligt utvecklarna, hämmade utvecklingen, särskilt integreringen i andra distributioner. Baserat på 389DS släppte Red Hat en kommersiell version av Red Hat Directory Server (RHDS) med teknisk support dygnet runt. 389DS-funktioner inkluderar fullt stöd för LDAPv3-protokollet, SSL/TLS och SASL-autentisering, datasynkronisering (användare, grupp, lösenord) med Active Directory (förutsatt att Win2k3/2k8 är installerad på CD:n Windows-komponent Sync), åtkomstkontroll ner till individuella attribut (namn, grupp, IP, etc.) NSS-biblioteket från Mozilla Project används som en kryptomotor. Strukturellt består 389DS av en katalogserver (Core Directory Server, CDS) och en administrationsserver (Admin Server). Den senares uppgift är att hantera alla tillgängliga CDS, för vilka en grafisk konsol (389-konsol) och kommandoradsverktyg erbjuds. På Linux installeras konsolen automatiskt (skriven i Java). För att styra från Win2k3/2k8 på projektwebbplatsen bör du ladda ner Windows-paket Trösta.
Utvecklare noterar den höga prestanda och skalbarhet hos 389DS. Upp till fyra lika stora masterservrar kan fungera i ett nätverk med automatisk konfliktlösning, lastbalansering och serverredundans. Servrar som arbetar i skrivskyddat läge stöds, en sorts analog av Read Only Domain Controller i Active Directory Win2k8.
Projektet erbjuder för närvarande officiellt ett arkiv och paket för RHEL/Fedora (även lämplig för CentOS). Dessutom är installation på andra Linux (Debian, Ubuntu, Gentoo), Solaris, HP/UX 11 möjlig. Vissa versioner stöder även Windows, Irix, AIX och OSF/1. Men distribution och efterföljande support i "inofficiella" system kräver viss förberedelse från administratören.
389DS-komponenterna släpps under GNU GPL-licensen, men servern är baserad på ett antal produkter med andra licenser (MPL/LGPL/GPL/X). Det är också värt att notera att 389DS är en del av FreeIPA, en centraliserad lösning för hantering och revision av användar- och policyinformation. Denna produkt kommer att diskuteras nedan.
FusionDirectory
Eftersom det var svårt att få tillgång till GOsa-källkoden för de som inte var associerade med Gonicus GmbH, bestämde sig utvecklarna för att skapa en mer öppen och helt community-stödd gaffel för att attrahera tredjepartsspecialister, samt ge förutsättningar för att skriva plugins för fler applikationer. Nytt projekt kallas FusionDirectory. Utvecklarna lovade inte bara att skapa den mest "kraftfulla och mångsidiga" hanteringslösningen med mer bekväma utvecklingsverktyg, utan också att förbättra dokumentationen. I oktober 2011 släpptes version FusionDirectory 1.0.2, men eftersom arbetet med projektet började ganska nyligen finns det inga speciella funktionella skillnader Det finns inget behov av att prata från GOsa ännu. Dokumentationen består i huvudsak av ett par handledningar, men med tanke på dess relation till GOsa kan du använda dokumentationen för moderprojektet under bekantskapsstadiet med FusionDirectory. Listan över stödda distributioner är tydligt definierad (Debian, CentOS 5/RHEL 5, Fedora 14/15, openSUSE 11.3/11.4, SLES 11), och, viktigast av allt, ett arkiv har skapats för var och en av dem, vilket säkerställer enkel installation.
En annan skillnad är de officiellt stödda webbservrarna. Utvecklarna erbjuder färdiga konfigurationsfiler för Apache2 och Lighttpd är installation på nginx också möjlig, men du måste skapa inställningarna själv.
Mandriva Directory Server
- Projektets webbplats: mds.mandriva.org.
- Licens: GNU GPL.
- Distributioner: Mandriva, Debian/Ubuntu, CentOS/RHEL/Fedora, openSUSE, VMware-avbildning.
Mandriva Directory Server (MDS) är en lättanvänd lösning som låter dig hantera användar- och gruppkonton, åtkomst och nätverkstjänster med hjälp av ett tydligt gränssnitt. I huvudsak är detta ett bekvämt tillägg till LDAP - OpenLDAP, även om det också kan fungera tillsammans med 389DS. Kan funktionellt fungera som en PDC ( Windows nivå NT4), LDAP-server med konto- och lösenordssynkronisering, ersätt Active Directory helt eller integrera i den. Klientoperativsystem kan vara Windows, Linux och Mac OS X. Gränssnittet låter dig konfigurera konton och ACL:er i Samba, hantera delad åtkomst, CUPS-baserad utskrift, postleverans (Postfix), konfigurera Squid och DNS/DHCP-tjänster samt administrera GLPI-konton. Paketet innehåller Kerberos och kan användas för att tillhandahålla engångsautentisering (SSO). Åtkomstkontroll för objekt är inställd på individuella attribut: användare, grupp, IP-adress, tid, etc.
Det är särskilt trevligt att problemen som plågade Mandriva inte påverkade MDS och produkten utvecklas ständigt. I senaste versionerna till dessa funktioner har kontohantering av Zarafa-systemet lagts till, vilket ger arbetar tillsammans, centraliserad lagring av OpenSSH offentliga nycklar, revision, lösenordspolicyer och mycket mer. Modulär arkitektur låter dig lägga till nödvändig funktionalitet eller ta bort onödiga saker från gränssnittet. MDS är lätt skalbar och stöder flera tusen poster per server.
MMC-agentmodulen, skriven i Python och använder XML-RPC för datautbyte, är designad direkt för att hantera tjänster. Agenter konfigureras med ett mycket lättanvänt webbaserat MMC-gränssnitt (Mandriva Management Console). Administratören kan välja ett av två visningslägen: Normal eller Expert.
Till skillnad från 389DS erbjuds paket inte bara för den "native" distributionen: det finns Debians eget arkiv, sammansättningar för CentOS/RHEL/Fedora och openSUSE, samt färdig bild VMware. Således kan MDS-serverdelen installeras relativt snabbt och utan problem på vilket *nix-system som helst. Produkten ingår i Mandriva Enterprise Server. MDS är den enklaste att installera och konfigurera lösningen som omfattas av vår recension, men självmontering på andra system än MES kräver fortfarande vissa LDAP-kunskaper. Projektdokumentationen är mycket detaljerad och låter dig förstå alla dess nyanser.
FreeIPA
- Projektets webbplats: freeipa.org.
- Licens: GNU GPL.
- Distributioner: server - Fedora/CentOS, klient - Linux, AIX, HP-UX, Solaris, openSUSE.
Målet med FreeIPA-projektet (Free Identity, Policy and Audit) är att skapa en miljö för Linux-system som är ett alternativ till Active Directory och låter dig hantera användarautentisering, ställa in åtkomst- och revisionspolicyer centralt. Faktum är att FreeIPA är en symbios av flera projekt med öppen källkod, såsom Fedora-distributionen, 389DS, MIT Kerberos, NTP och BIND. Detta projekt, utvecklat med ekonomiskt stöd från Red Hat, är grunden för IPA-produkten som används i den kommersiella distributionen, som Red Hat introducerade för allmänheten sommaren 2008.
VARNING
FreeIPA till och med version 2.1.3 har en CSRF-sårbarhet (CVE-2011-3636). För att fixa det bör du uppdatera till 2.1.4.
FreeIPA-koden dök först upp som en del av Fedora 9 (maj 2008), men normal synkronisering med Active Directory hade ännu inte implementerats vid den tiden. Först kunde klienter ansluta manuellt, men detta var obekvämt. I oktober 2009 påbörjades arbetet med en ny gren 2.0. Dess slutliga version presenterades i slutet av mars 2011. Dagen då releasen tillkännagavs kom ihåg av många Linux-användare som "Fedora 15 Test Day", dedikerad specifikt till att testa FreeIPA2. För närvarande implementerad:
- centraliserad hantering av användar-, grupp-, dator- och tjänstekonton;
- hantera åtkomst till applikationer, ställa in lösenordspolicyer och Kerberos-inställningar, hantera SUDO-regler;
- Kerberos-autentisering för användare och noder;
- Värdbaserad åtkomstkontroll - hantering och lagring av roller i LDAP;
- certifikathanteringstjänst (Dogtag Certificate Server).
Ett nätverk byggt med FreeIPA kan funktionellt bestå av tre typer av system: en eller flera servrar, klientmaskiner och en administratörsdator. Det senare är faktiskt ett vanligt klientskrivbord med konsolverktyg för fjärrkontroll FreeIPA (förresten, det är inte alls nödvändigt att använda dem - du klarar dig enkelt med webbgränssnittet, som är skrivet i Java).
Autentiseringshanterare i Fedora låter dig välja FreeIPA
För att minska belastningen på kanalen använder klienten en lokal cache (LDB och XML), som tar emot inställningar från den även när det inte finns någon åtkomst till servern. SSSD (System Security Services Daemon) autentiseringshanteringsagent är installerad på klientsystemet. Klientdelen implementeras inte bara för Red Hat/Fedora och kloner, utan även för andra operativsystem och plattformar: AIX, HP-UX, Solaris, openSUSE. Intressant nog arbetar två Red Hat-anställda på att sätta ihop klientpaket för Ubuntu/Debian och säkerställa deras kompatibilitet.
Specialapplikation(certmonger) förenklar skapande och hantering av certifikat genom att automatiskt generera och erhålla nytt certifikat vid utgången av den gamla. Alternativt är integration med en BIND-baserad DNS-server möjlig (du behöver plugin-programmet LDAP BIND med dynamisk uppdatering via GSS-TSIG). När du hanterar datorer och grupper av datorer verifieras auktoriteten med hjälp av en Kerberos-tangenttab eller -certifikat. Den modulära arkitekturen för server- och klientdelarna gör att du kan integrera FreeIPA och vilken produkt som helst utan problem. För närvarande används policyer också för att lagra åtkomstparametrar för lokala applikationer och skrivbordsinställningar. Inte alla policyhanterings-, revisions- och kontrollfunktioner som planeras ingå i projektet har ännu implementerats. Det finns inga SELinux-reglerinställningar, Samba-stöd, FreeRADIUS, centraliserad SSH- och LVM-nyckelhantering, OTP och mycket mer. Den uppenbara nackdelen med produkten är att den främst är inriktad på distributioner som härrör från Red Hat. Du kan installera FreeIPA-serverdelen från Fedora, CentOS, K12LTSP och kompatibla arkiv. Utvecklarna har gjort allt för att förenkla lokaliseringsprocessen i version 2.0 (använder gettext och UTF8). I install/po-katalogen finns en fil ru.po, i vilken endast en liten del av meddelandena översätts.
Projektet utvecklas aktivt och fel upptäcks. Den senaste versionen 2.1.4 åtgärdar CSRF-sårbarheten (Cross-Site Request Forgery), CVE-2011-3636.
Apache Directory Server
Katalogserver utvecklad av Apache Software Foundation. Helt skriven i Java, stöder LDAPv3, Kerberos och Change Password Protocol. Den är placerad som en lösning som kan byggas in i andra Java-applikationer, men ingen förbjuder att använda den fristående. Ger implementering av LDAP och Kerberos, stöd för alla protokoll är möjligt. Produkten är multiplattform. Paket för installation på Linux, Windows och Mac OS X finns på projektets webbplats. Källtexterna låter dig bygga ADS på alla system som Java är tillgängligt för. Förutom standard LDAP-funktioner implementeras lagrade procedurer, triggers, dynamiska Java-objekt och mycket mer. Distribueras under Apache-licensen. Projektet utvecklar Apache Directory Studio, som inkluderar en LDAP-webbläsare, en schemaläsare, LDIF- och DSML-redigerare samt klientprogram för administration.
GOsa2
- Projektets webbplats: oss.gonicus.de/labs/gosa.
- Licens: GNU GPL.
- Distributioner: paket - Debian/Ubuntu, RedHat/CentOS/Fedora, openSUSE/SLES, från källan - valfri *nix.
GOsa2-projektet, som är ett tillägg för populära applikationer med öppen källkod, ger administratören ett enda kontrollcenter för hela IT-infrastrukturen. Gränssnittet låter dig hantera *nix- och Samba-konton, användar- och grupprättigheter, datorer, e-postlistor, applikationer, inställningar för grundläggande nätverkstjänster: DHCP, DNS, HTTP, SMTP etc. Utveckling sker i Gonicus GmbH:s regi. , som använder GOsa i sina tjänster.
Alla funktioner ingår i plugins (principen om "en tjänst = en plugin"), så administratören sätter ihop konfigurationen i enlighet med sina behov.
För närvarande har mer än 30 plugins implementerats för att hantera tjänster som Squid, DansGuardin, Postfix, Courier-IMAP, Maildrop, GNARWL, Cyrus-SASL, OpenSSL, ISC DHCP, WebDAV, PureFTPd, PPTP, Kerberos, Asterisk, Nagios, OPSI , Netatalk, FAI, rsyslog och gruppservrar: SOGo, OpenGroupware, Kolab, Scalix. Dessutom behöver inte alla ovanstående plugins fungera på en server, några av dem kan installeras på separata värdar.
Användarkonton grupperas i grupper som tillåtna applikationer tilldelas. Vid skapande av nya konton används mallar (administratören skapar dem själv) med specificerade åtkomsträttigheter till objekt. En behörighetsuppsättning består av en synlighetstyp, objekt (användare/grupper) och behörigheter. Behörigheter definierar alla möjliga åtgärder: skapa, ta bort, flytta, läsa, skriva, etc.
GOsa är det enda projektet i vår granskning med ett lokaliserat hanteringsgränssnitt. Det är sant att det inte är helt lokaliserat ännu, men genom att använda gettext kan du göra det själv om det behövs.
Installation på alla Linux-distributioner stöds. Utvecklarna rekommenderar Debian, för vilket ett separat arkiv har skapats. Paket för Red Hat/CentOS/Fedora och openSUSE/SLES är också tillgängliga, men som regel har utvecklarna ingen brådska att kompilera dem, så versionerna är lite sena. Du kan använda vilken webbserver som helst, men Apache2 och nginx föredrar. Dokumentationen finns endast på engelska och hänger inte med i utvecklingen av projektet.
INFO
FreeIPA används för autentisering och auktorisering i oVirts KVM-baserade virtualiseringslösning.
För att synkronisera 389DS med Active Directory måste du installera Windows Sync.
Efter att ha installerat 389-ds-paketet för 389DS-konfigurationen bör du köra skriptet.
System-config-autentification-verktyget som ingår i Fedora innehåller en flik som låter dig aktivera autentisering genom FreeIPA.
Slutsats
Till och med blotta ögat kan se det mest multifunktionellt verktygär GOsa2. Denna lösning ger kontohantering och flera tjänster, stöder installation i de flesta Linux-distributioner, har ett lokaliserat gränssnitt. Det slutliga valet beror dock på den specifika uppgiften.
Man kan argumentera om fördelarna och nackdelarna med Linux och i allmänhet öppen källa, men det måste erkännas att på vissa områden har det öppna operativsystemet nått otvivelaktig framgång. Dessa inkluderar förresten servermarknaden, där populariteten för Linux växer från år till år.
IDC-data för fjärde kvartalet 2012 visar att med den totala tillväxten av servermarknaden med 3,1 % (jämfört med ett år tidigare), ökade försäljningen av utrustning med Linux med 12,7 %, med Windows - med 3,2 %, och med Unix - minskade med 24,1 %. Naturligtvis härifrån är det lätt att förstå att Linux fortfarande ersätter Unix, inte Windows, men i alla fall är en marknadsandel på 20,4% redan ganska betydande.
Men servrar är ett brett begrepp. IDC tror att populariseringen av Linux främst drivs av moln och högpresterande datoranvändning. Analytikerföretaget upprepas av The Linux Foundation, som hävdar att 76 % av de stora företagen som de undersökte redan använder Linux för att bygga "moln" och 74 % planerar att behålla eller till och med öka närvaron av ett öppet OS.
Linux används också flitigt för att distribuera webbservrar och olika interna internettjänster, såsom proxy, e-post, etc. Det senare har historiskt sett varit ganska populärt bland småföretag, inklusive ukrainska, eftersom det möjliggör betydande besparingar på licenser och underhåll, till exempel , outsourca till en internetleverantör. Deltagare i en undersökning av The Linux Foundation angav att bredden av kapacitet (75%) var låg total kostnadägande (71 %), hög säkerhet (69 %).
Linux kan också användas för att bygga en IT-infrastruktur, tack vare oberoende implementeringar och Samba. Men om vi anser att majoriteten av arbetsplatserna i organisationer fortfarande är baserade på Windows och det är osannolikt att denna situation kommer att förändras radikalt, så måste vi erkänna att Linux i denna egenskap ser ganska blek ut. Men på senare tid har det skett framsteg även här.
Samba 4 släpptes i slutet av förra året och implementerar en nästan fullfjädrad analog av Active Directory (AD), inklusive en domänkontrollant, DNS-tjänst, Kerberos-autentisering och grupppolicyer. Naturligtvis är detta bara den första utgåvan, som innehåller fel och brister, vars korrigering dock är i full gång. Dessutom med använder Samba 4 är det ännu inte möjligt att skapa komplexa domänstrukturer och hierarkier och installera förtroendefull relation, vilket begränsar tillämpbarheten i stora organisationer.
Alltså på det här ögonblicket mest riktiga applikationer Samba 4 är uppbyggnaden av testinfrastrukturer och utbildningsklasser, samt implementering i småföretag. Västerländska observatörer är dock ganska skeptiska till det senare: kommer besparingarna att uppväga riskerna med instabil infrastrukturdrift? I ukrainska verkligheten Värdesystemet är dock något annorlunda och ekonomiska och juridiska argument kan väga tyngre än alla andra.
Dessutom i många fall verkligt val inte så stor. Microsoft erbjuder speciella Windows utgåva Server 2012 för småföretag - Essentials och Foundation. Den första, till ett pris av $500, är ganska intressant för 25 användare, den andra erbjuds för OEM-installation och är redo att stödja 15 användare. Men problemet är att för Mer Du behöver inte bara köpa en extra CAL, utan även ändra serverlicensen till Standard. Samba 4 har inga sådana begränsningar och kan skalas till vilken nivå som helst. Förmodligen skulle en OEM-modell också vara bättre lämpad för sin distribution, vilket garanterar full kompatibilitet med utrustningen och frånvaron av överraskningar, åtminstone till en början.
Samtidigt är implementeringen av Samba 4 i sig ganska enkel. Naturligtvis är det bättre att börja med att testa någon specialiserad distribution. Detta erbjuds till exempel av SerNet, en tysk integratör och deltagare i Samba-projektet - SerNet Samba 4 Appliance. Dessutom kan du distribuera Zafara-samarbetsprogram på den, den innehåller ett färdigt skript för att justera AD-schemat.
Novell/SUSE erbjuder sin Excellent Samba4 Appliance och i form av: startbilder, och redan distribuerade virtuella diskar för alla populära virtualiseringssystem. Denna distribution uppdateras regelbundet efter lanseringen av nya korrigeringar för Samba 4.
I själva verket består initiering av AD av att distribuera distributionspaketet eller skapa och starta motsvarande virtuella maskin och exekvera det färdiga dcpromo-skriptet, som begär några parametrar (domännamn, IP-adress, etc.).
Eftersom Samba 4 skapades på basis av den officiellt köpta, lovar dess kompatibilitet att vara ganska hög. I alla fall kan du använda all standard administrationsverktyg Microsoft, som i fallet med Excellent Samba4 Appliance till och med är tillgängliga via en intern webbserver.
Eftersom Samba 4 implementerar allt som behövs för AD RPC-procedurer, kan du också använda kommandoradsverktyg och PowerShell-skript. Linux-gemenskapen utvecklar också sina egna verktyg, både grafiska och skriptade, men deras beredskapsnivå är fortfarande otillfredsställande.
När du använder Microsoft-verktyg är ytterligare domänadministration helt bekant för alla som till och med ytligt är bekanta med AD i Windows Server. Att lägga till konton, skapa grupper och avgränsa befogenheter görs helt transparent.
En av de mest värdefulla funktionerna i Samba 4 är dess stöd för grupppolicyer, som representerar en bekväm och effektivt botemedel administration av arbetsstationer på Windows. Detta är i huvudsak det första steget mot en hanterad infrastruktur och tack vare Samba 4 har det blivit ännu enklare.
Det enklaste exemplet är att aktivera på alla ställen önskat läge Windows uppdatering och blockera användaren från att ändra det. Problemet löses på exakt samma sätt i både Windows Server och Samba 4:
Resultat efter omstart arbetsstation eller en påtvingad uppdatering av grupppolicyer är ganska förutsägbar:
Således låter Samba 4 dig organisera en enkel AD-domän på Linux utan att egentligen behöva djup kunskap om själva Linux. Dessutom gör flexibiliteten hos ett öppet OS det möjligt att skapa kompakta monofunktionella distributioner med Samba 4 som kommer att fungera tillförlitligt både i fysiska och virtuell miljö. Stabiliteten och skalbarheten för Samba 4 i sig är fortfarande ifrågasatt, men utvecklingsteamet, det verkar, kommer inte att sluta där.