Сучасні підприємства працюють у гібридному світі, де локальна інфраструктура співіснує з хмарними послугами, і загрози безпеці еволюціонують щодня. Адміністратори IT стикаються з складним завданням: підтримання традиційних локальних робочих процесів у той час, як вони управляють неминучим переходом до хмарних архітектур. В ідентичності виникла нова безпека, яка заміняє традиційні захисні механізми на мережному рівні.

У Canonical ми розробили комплексну базу для підвищення безпеки управління ідентичностями в розгортаннях Ubuntu на серверах та робочих столах, що спрощує інтеграцію між застарілими середовищами Active Directory і сучасними хмарними постачальниками ідентичності.

У цій статті ми розглянемо, як фреймворк Canonical підвищує безпеку контролю доступу та аутентифікації, ліквідуючи прогалини між традиційними середовищами Active Directory та сучасними хмарними постачальниками ідентичності.

Основи: локальна аутентифікація та її обмеження

Традиційно механізми аутентифікації Linux спиралися на облікові дані, що зберігаються в локальних файлах /etc/passwd та /etc/shadow. Хоча цей підхід функціонує для невеликих, ізольованих розгортань, зростання масштабів підприємства робить його незручним для управління. Ручне внесення користувачів ймовірно може викликати помилки та вимагає багато часу. Це також створює значні вразливості нерівноправності, особливо коли права доступу працівників змінюються або користувачі залишають організацію.

Щоб забезпечити захист сучасних підприємств, організаціям важливо перейти за межі цих ізольованих острівців ідентичності. Щонайменше організації повинні мати централізовану аутентифікацію для авторитетних джерел, щоб забезпечити узгодженість, коли користувачі звертаються до робочих столів, SSH-серверів або виконують привілейовані команди.

Перехід до хмари: модернізація аутентифікації Linux з authd

Для організацій, що приймають хмарні постачальники ідентичності, такі як Microsoft Entra ID (колишній Azure Active Directory) і Google Cloud IAM, Canonical розробила authd. Це рішення усуває історичні бар’єри, що заважали інтеграції Linux з хмарними ідентичностями.

Authd функціонує на основі модульної архітектури. Дизайн відокремлює основну функцію аутентифікації в демоні від логіки інтеграції, що дозволяє Ubuntu підтримувати кілька постачальників ідентичностей одночасно. Однією з основних інновацій є впровадження OAuth 2.0 Device Authorization Grant. Це дозволяє користувачам аутентифікуватись на окремому пристрої, наприклад, на смартфоні, що особливо корисно для безголових серверів або SSH-з’єднань, де немає доступу до веб-браузера.

Через Authd ви можете активувати:

• Мультифакторна аутентифікація (MFA): на робочих столах та серверах, використовуючи рідні можливості та політики безпеки IdP.
• Офлайн-доступ: кешування облікових даних дозволяє користувачам аутентифікуватись навіть за відсутності з’єднання з інтернетом або ідентичним провайдером.
• Гнучкість посередника ідентичності: адміністратори можуть встановлювати специфічні посередники (як authd-msentraid або authd-google) у вигляді snap-пакетів.
• Управління привілеями: централізоване надання або відкликання привілеїв sudo на основі членства групи ідентифікаційного провайдера.
• Централізований аудит та управління: події аутентифікації Ubuntu реєструються разом з вашими SaaS-додатками.

Міст між підприємством: Ubuntu Pro та Active Directory System Services (ADSys)

Для підприємств, які активно використовують локальну інфраструктуру, ми надаємо Active Directory System Services. ADSys заповнює прогалину, залишену традиційними реалізаціями System Security Services Daemon (SSSD), працюючи як повнофункціональний клієнт групової політики для Ubuntu.

Сканування ADSys, доступний за підпискою на Ubuntu Pro, дозволяє адміністраторам керувати Ubuntu-установками, використовуючи ті ж інструменти та робочі процеси, що й для Windows.

Ключові технічні переваги ADSys включають:

• Підтримка об’єктів групової політики (GPO): ми надаємо пряме співвідношення між Windows GPO та параметрами Ubuntu.
• Управління привілеями: адміністратори можуть надавати або відкликати привілеї sudo для користувачів Active Directory централізовано.
• Автоматизоване виконання скриптів: підтримка виконання скриптів при завантаженні системи.
• Управління Dconf: адміністраторам можна заборонити зміни параметрів робочого столу.
• Управління профілями AppArmor: ми забезпечуємо строго контрольовані профілі AppArmor.
• Авто-регистрація сертифікатів: менеджер політики сертифікатів дозволяє клієнтам реєструватись для сертифікатів з Active Directory Certificate Services.

Висновки

Управління ідентичністю є основним елементом безпеки в сучасних розгортаннях Ubuntu. Чи ваша інфраструктура спирається на стабільну Active Directory, чи на гнучку природу хмари, ми надаємо інструменти для покращення безпеки.

У нашому новому випущеному документі надаються практичні рекомендації та технічні специфікації для архітектури, визначення та забезпечення потужних механізмів управління ідентичністю у всьому серверах та робочих процессах, незалежно від операційної системи.

Ми пропонуємо технічний огляд сучасних парадигм ідентичності, включаючи детальні конфігурації для управління доступом до хмарної та локальної Linux інфраструктури, а також практичні стратегії для безперешкодної та безпечної інтеграції з застарілими послугами AD.

Додатково пропонуються детальний аналіз переваг та етапів реалізації використання SSH сертифікатів для плавної, контрольованої аутентифікації SSH, що перевершує просте управління ключами.