Управління Ubuntu з Active Directory завдяки ADSys
Гібридний флот – це реальність сьогоднішнього дня. Організації використовують різні операційні системи, а Microsoft Active Directory (AD) залишається домінуючим джерелом ідентичності. ІТ-адміністратори повинні забезпечити, щоб Linux-системи, такі як Ubuntu, працювали в цій середовищі на рівні рівноправності. Ефективне управління Linux вимагає єдиного управління ідентичністю та політиками, щоб локальні механізми аутентифікації та конфігурація системи на кінцевих пристроях Ubuntu поважали центральну владу AD.
AD та демон служб безпеки системи (SSSD)
Для Ubuntu SSSD є основною технологією для інтеграції з Active Directory. Натомість розрізнених конфігураційних файлів або застарілих LDAP-скриптів SSSD довгий час постачав модульну архітектуру, яка абстрагує складнощі бекенд-провайдерів.
Коли SSSD налаштовано з постачальником AD, він зв’язується з контролерами домену з використанням стандартних протоколів: Kerberos для аутентифікації та LDAP для запитів до каталогу. SSSD автоматично перетворює SID у UID/GID, перекладаючи ідентифікатори безпеки Windows (SID) у сумісні з Linux числові ідентифікатори користувачів (UID) та груп (GID) для доступу до файлів. Це усуває необхідність вручну розширювати схему AD за допомогою атрибутів Portable Operating System Interface (POSIX), значно зменшуючи тертя під час розгортання.
Підприємства, особливо мобільні робочі станції, потребують надійного оффлайн-доступу. SSSD забезпечує це, кешуючи паролі локально за допомогою cache_credentials і offline_credentials_expiration, що зберігає автентифікацію користувачів навіть при відключенні від корпоративної мережі.
Переваги об’єктів групової політики (GPO) з Active Directory System Services (ADSys)
SSSD відповідає за ідентифікацію (“хто”), але історично не міг керувати конфігурацією (“що”) на такому ж рівні, як клієнти Windows. Саме тут ADSys стає основною ціннісною пропозицією для підприємства.
ADSys є рідним клієнтом об’єктів групової політики (GPO) для Ubuntu, що дозволяє адміністраторам ІТ використовувати наявні знання та інфраструктуру AD для управління флотом Ubuntu. Політики Active Directory застосовуються у двох точках: політики комп’ютерів під час завантаження та політики користувачів під час входу. Це відображає досвід управління Windows, забезпечуючи взаємодію між Linux та Windows без необхідності паралельних інструментів управління інфраструктурою.
Швидкий довідник: можливості ADSys
ADSys підтримує наступні можливості управління:
| Особливість | Опис |
| Управління привілеями | Централізоване надання або відкликання привілеїв sudo для користувачів та груп AD без ручного редагування файлів /etc/sudoers на окремих машинах. |
| Виконання скриптів | Автоматизуйте конфігурацію, запланувавши виконання shell-скриптів під час запуску системи, вимкнення, входу або виходу користувача, щоб виправити розбіжності конфігурації. |
| Конфігурація робочого столу | Забезпечте конкретні налаштування робочого столу (наприклад, час блокування екрану, фон, доступ до додатків) через фреймворк налаштувань dconf. |
| Управління AppArmor | Забезпечте користувацькі профілі AppArmor, щоб обмежити можливості додатків в системі, покращуючи безпеку кінцевого пристрою. |
Відповідність та безпека з автоматичним реєстрацією сертифікатів
Інтеграція локальної аутентифікації з Active Directory є не лише вимогою відповідності та безпеки підприємства, а й зручністю. Централізація ідентичності забезпечує виконання політик безпеки та управління, складності паролів та порогів блокування облікових записів на всьому різноманітному флоті.
ADSys також підтримує автоматичну реєстрацію сертифікатів з Active Directory Certificate Services (AD CS). Клієнти реєструються для отримання машинних сертифікатів, які демон certmonger постійно моніторить та оновлює, покращуючи безпеку зв’язку та підтримуючи відповідність до стандартів шифрування у старих корпоративних мережах.
Переваги Ubuntu Pro
Усі функції ADSys надаються через Ubuntu Pro. Підписка на Ubuntu Pro надає доступ до клієнта ADSys та адміністративних шаблонів (.ADMX/.ADML), необхідних для відкриття специфічних налаштувань Ubuntu в консолі управління груповою політикою Windows.
Аутентифікація SSSD у поєднанні з виконанням політик ADSys дає рішення Canonical вирішальну перевагу: максимізацію інвестицій в існуючу інфраструктуру AD, забезпечуючи при цьому системи Ubuntu шляхом до відповідності, підтримуваного вимогами довгострокової підтримки (LTS) для підприємств.
Дізнайтеся більше про управління ідентичністю
У нашій новій випущеній білою книзі надаємо практичні плани дій та технічні специфікації для архітектури, визначення та виконання надійних контролів управління ідентичністю на вашому серверному та настільному флоті, незалежно від операційної системи.
Ми розглядаємо сучасні парадигми ідентичності, включаючи детальні конфігурації для управління доступом до хмарної та локальної інфраструктури Linux, а також практичні стратегії для безперешкодної та безпечної інтеграції зі старими службами доменів AD. Крім того, цей документ надає докладний аналіз переваг та етапів реалізації використання сертифікатів SSH для безперешкодної та звітної SSH-аутентифікації, що йде далі простого управління ключами.
Читати білу книгу про управління ідентичністю в підприємстві Ubuntu.
Додаткова інформація
Корпоративний Linux для всіх
Ubuntu використовує мільйони ПК та ноутбуків по всьому світу.
Ubuntu об’єднує безпеку, зручність та стабільність, пропонуючи вашу платформу для інновацій разом з свободою, яку надає прозорий, відкритий код.
Впровадьте Ubuntu у вашу організацію
Ubuntu Desktop об’єднує підтримку корпоративного рівня, безпеку та функціональність з кращими можливостями відкритого виходу.
Безперешкодно інтегруйте комп’ютери Ubuntu з вашою існуючою інфраструктурою та інструментами.