Програмне забезпечення

Управління ідентичністю для Ubuntu: безпечні рішення

Сучасний бізнес працює в гібридному світі, де локальна інфраструктура співіснує з хмарними сервісами, а загрози безпеці розвиваються щодня. ІТ-адміністратори стикаються з труднощами, намагаючись підтримувати традиційні локальні робочі процеси, одночасно управляючи неминучим переходом до хмарних архітектур. Особистість стала новим периметром безпеки, замінивши традиційні мережеві захисти.

У Canonical ми розробили всебічну систему управління ідентичністю для підвищення безпеки на серверах і робочих столах Ubuntu, заповнюючи прогалину між застарілими середовищами Active Directory та сучасними хмарними провайдерами ідентичності.

У цій статті ми розглянемо, як система Canonical покращує безпеку управління доступом і автентифікації, з’єднуючи традиційні середовища Active Directory з сучасними хмарними провайдерами ідентичності.

Основи: локальна автентифікація і її обмеження

Традиційно механізми автентифікації Linux спиралися на облікові дані, що зберігаються в локальних файлах /etc/passwd і /etc/shadow. Хоча цей підхід працює для невеликих, ізольованих розгортань, він стає незручним на підприємствах. Ручне оброблення користувачів схильне до помилок і забирає багато часу. Це також створює значні вразливості безпеки, особливо, коли змінюються права доступу співробітників або користувачі залишають організацію.

Щоб забезпечити захист сучасних підприємств, організаціям необхідно перейти за межі цих ізольованих островів ідентичності. Організації повинні мати централізовану автентифікацію для авторитетних джерел, забезпечуючи узгодженість доступу до робочих столів, сервісів SSH або виконання привілейованих команд.

Active Directory довгий час була основним рішенням, що призвело до інтеграції всіх кінцевих пунктів в розширювані ліси. Однак цей підхід втрачає свою життєздатність через обмеження безпеки Kerberos, збільшення кількості підключених пристроїв, труднощі з впровадженням багатофакторної автентифікації (MFA) та неможливість ефективної роботи через публічний Інтернет. Хоча ми зробили значні інвестиції в екосистему з ADsys, ми почали шукати способи впровадження автентифікації Linux у сучасність.

Перехід до хмари: модернізація автентифікації Linux з authd

Для організацій, які приймають хмарних провайдерів ідентичності (IdPs) таких як Microsoft Entra ID (раніше Azure Active Directory) та Google Cloud IAM, Canonical розробила authd. Цей рішення усуває історичні бар’єри, які заважали нам інтегрувати Linux-системи з хмарними ідентичностями.

Authd працює за модульною архітектурою брокера. Цей дизайн відокремлює основну функціональність автентифікації в демоні від специфічної логіки інтеграції провайдера, що дозволяє Ubuntu підтримувати кілька провайдерів ідентичності одночасно. Ключовим нововведенням є впровадження нами OAuth 2.0 Device Authorization Grant (RFC 8628). Цей потік дозволяє користувачам автентифікуватися на окремому пристрої, наприклад, на смартфоні, що особливо корисно для безголових серверів або при підключенні за допомогою SSH, коли веб-браузер недоступний.

За допомогою Authd ви можете:

  • Багатофакторна автентифікація (MFA): на робочих столах і серверах, використовуючи вбудовані можливості провайдера ідентичності.
  • Офлайн-доступ: кешування облікових даних дозволяє користувачам автентифікуватися, навіть коли вони вимкнені від Інтернету чи провайдера ідентичності, що є необхідністю для мобільних робочих станцій.
  • Гнучкість брокера ідентичностей: адміністратори можуть встановлювати конкретні брокери (як authd-msentraid або authd-google) у вигляді snap-пакетів.
  • Управління привілеями: централізовано надавати або відкликати привілеї sudo на основі членства в групах провайдера ідентичності, без необхідності редагувати локальні файли /etc/sudoers на окремих машинах.
  • Централізований аудит та управління: події автентифікації Ubuntu записуються разом з вашими SaaS-додатками.

Міст для підприємств: Ubuntu Pro та Active Directory System Services (ADSys)

Для підприємств, які глибоко інвестували в локальну інфраструктуру, ми пропонуємо Active Directory System Services (ADSys). ADSys заповнює прогалину, залишену традиційними реалізаціями System Security Services Daemon (SSSD), виступаючи як повнофункціональний клієнт групової політики для Ubuntu.

ADSys доступний з підпискою Ubuntu Pro, що дає можливість адміністраторам керувати флотами Ubuntu за допомогою тих же інструментів і робочих процесів, що й для Windows. Встановивши адміністративні шаблони на контролерах домену, ви можете застосовувати політики нативно через Консолі управління груповою політикою.

Основні технічні переваги ADSys включають:

  • Підтримка об’єктів групової політики (GPO): ми відображаємо GPO Windows безпосередньо на налаштування Ubuntu, застосовуючи комп’ютерні політики під час завантаження та політики користувачів під час входу.
  • Управління привілеями: адміністратори можуть централізовано надавати чи відкликати привілеї sudo користувачам та групам Active Directory без модифікації локальних файлів /etc/sudoers на окремих машинах.
  • Автоматичне виконання скриптів: підтримуємо планування виконання скриптів під час запуску системи, завершення роботи, входу або виходу, що дозволяє автоматизувати виправлення проблем конфігурації.
  • Управління Dconf: адміністратори можуть блокувати налаштування робочого столу, наприклад, примусово встановлювати тайм-аути для блокування екрану або налаштовувати специфічні конфігурації шпалер.
  • Управління профілями AppArmor: дозволяємо впроваджувати користувацькі профілі AppArmor на клієнтах для обмеження можливостей додатків усюди.
  • Автоматична реєстрація сертифікатів: менеджер політики сертифікатів дозволяє клієнтам реєструвати сертифікати від Active Directory Certificate Services (AD CS). Сертифікати постійно моніторяться та оновлюються демоном certmonger.

Висновок

Управління ідентичністю є основним елементом безпеки для сучасних розгортань Ubuntu у підприємствах. Незалежно від того, чи ваша інфраструктура заснована на надійних і добре апробованих ієрархіях Active Directory, чи на гнучкій, децентралізованій природі хмари, ми надаємо інструменти для підвищення її безпеки.

У нашій новітній випущеній технічній документації представлено практичні схеми та технічні специфікації для архітектури, визначення та впровадження надійних контролів управління ідентичністю на всіх ваших серверах і робочих столах, незалежно від операційної системи.

Ми надаємо технічний аналіз сучасних парадигм управління ідентичністю, включаючи детальні конфігурації для управління доступом до хмарної та локальної Linux інфраструктури, а також практичні стратегії для безшовної та безпечної інтеграції з застарілими послугами доменів AD. Крім того, документ містить детальний аналіз переваг та етапів імплементації використання сертифікатів SSH для безперешкодної, контрольованої автентифікації SSH, замість простого управління ключами.

Хочете дізнатися більше про управління ідентичністю підприємств для Ubuntu Server та Desktop?

Додаткові матеріали для читання

Ubuntu

Корпоративний Linux для всіх

Ubuntu живить мільйони ПК та ноутбуків по всьому світу.

Ubuntu поєднує безпеку, зручність та стабільність, пропонуючи вам платформу для інновацій разом з свободою прозорого, відкритого коду.

Досліджуйте Ubuntu Desktop ›

Ubuntu

Принесіть Ubuntu у вашу організацію

Ubuntu Desktop поєднує підтримку на рівні підприємства, безпеку та функціональність з найкращими аспектами відкритого коду.

Безперешкодно інтегруйте машини Ubuntu з вашою існуючою інфраструктурою та інструментами.

Досліджуйте Ubuntu Desktop для організацій ›

Підписка на новини

Отримуйте останні новини та оновлення Ubuntu на вашу електронну пошту.

Відправивши цю форму, я підтверджую, що я прочитав і погоджуюсь з Політикою конфіденційності Canonical.