Ubuntu AD: управління ідентичністю з Active Directory
Гібридний флот – це реальність, з якою стикаються організації. Вони різноманітять операційні системи, і при цьому Microsoft Active Directory (AD) залишається домінантним джерелом ідентифікації. ІТ-адміністратори повинні забезпечити, щоб Linux-інструменти, такі як Ubuntu робочі станції та сервери, функціонували на одному рівні з іншими системами. Для ефективного управління Linux потрібне єдине управління ідентичністю та політиками, що забезпечує, щоб локальні механізми аутентифікації та конфігурації системи на кінцевих Ubuntu-пристроях відповідали центральному авторитету AD.
AD і System Security Services Daemon (SSSD)
Для Ubuntu SSSD є основною технологією інтеграції з Active Directory. Замість розрізнених конфігураційних файлів або застарілих LDAP сценаріїв, SSSD протягом тривалого часу забезпечує модульну архітектуру, яка спрощує складнощі бекенд-постачальників.
Коли SSSD налаштовано з постачальником AD, він взаємодіє з контролерами домену, використовуючи стандартні протоколи: Kerberos для аутентифікації та LDAP для запитів до каталогу. SSSD автоматично відображає SID на UID/GID, перетворюючи ідентифікатори безпеки Windows (SIDs) на сумісні з Linux числові ідентифікатори користувачів (UIDs) та груп (GIDs) для доступу до файлів. Це виключає необхідність ручного розширення схеми AD атрибутами Portable Operating System Interface (POSIX), що значно спрощує впровадження.
Корпоративні флоту, зокрема мобільні робочі станції, потребують надійного офлайн-доступу. SSSD забезпечує це шляхом кешування відбитків паролів локально через cache_credentials та offline_credentials_expiration, зберігаючи користувачів аутентифікованими – навіть при відключенні від корпоративної мережі.
Потужність Group Policy Objects (GPOs) з Active Directory System Services (ADSys)
SSSD керує ідентичністю (“хто”), але історично не міг управляти конфігурацією (“що”) так глибоко, як клієнти Windows. Саме в цьому ADSys стає основним ціннісним пропозицією для підприємства.
ADSys є рідним клієнтом Group Policy Object (GPO) для Ubuntu, дозволяючи ІТ-адміністраторам використовувати наявні знання та інфраструктуру AD для управління флотами Ubuntu. Політики Active Directory застосовуються в двох точках: комп’ютерні політики під час завантаження та політики користувачів під час входу в систему. Це повторює досвід управління Windows, забезпечуючи взаємодію між Linux і Windows без потреби в паралельних інструментах управління інфраструктурою.
Швидкий огляд: можливості ADSys
ADSys підтримує такі можливості управління:
| Функція | Опис |
| Управління правами | Централізовано надавайте або відкликати права sudo для користувачів і груп AD без ручного редагування локальних файлів /etc/sudoers на окремих машинах. |
| Виконання скриптів | Автоматизуйте конфігурацію, запланувавши виконання оболонкових скриптів під час завантаження системи, завершення роботи, входу користувача або виходу з системи для виправлення відхилення конфігурації. |
| Конфігурація робочого столу | Забезпечте конкретні налаштування робочого столу (наприклад, тайм-аут блокування екрану, шпалери, доступ до додатків) через dconf settings framework. |
| Управління AppArmor | Забезпечте спеціальні профілі AppArmor для обмеження можливостей додатків на всій системі, покращуючи рівень безпеки кінцевого пристрою. |
Дізнайтеся більше в нашій технічній документації.
Вимоги до відповідності та безпеки з авто-реєстрацією сертифікатів
Інтеграція локальної аутентифікації з Active Directory є не тільки вимогою для підприємств щодо відповідності та безпеки, але також зручністю. Централізація ідентичності забезпечує дотримання політик безпеки та управління, складності паролів і порогів блокування облікових записів на всіх рівнях.
ADSys також підтримує авто-реєстрацію сертифікатів з Active Directory Certificate Services (AD CS). Клієнти реєструються на сертифікати машин, які демонструють, що демон certmonger постійно моніторить і оновлює їх, підвищуючи безпеку спілкування та підтримуючи дотримання стандартів шифрування в рамках застарілих корпоративних мереж.
Переваги Ubuntu Pro
Всі можливості ADSys надаються через Ubuntu Pro. Передплата на Ubuntu Pro забезпечує доступ до клієнта ADSys та адміністративних шаблонів (.ADMX/.ADML), які потрібні для відкриття специфічних для Ubuntu налаштувань у Консолі управління груповою політикою Windows.
Aутентифікація SSSD у поєднанні з виконанням політик ADSys дає рішенню Canonical явну перевагу: воно максимізує інвестиції в існуючу інфраструктуру AD та веде системи Ubuntu до відповідності, підкріпленої підтримкою на тривалий термін (LTS), яку потребують підприємства.
Дізнайтеся більше про управління ідентичністю
У нашому нещодавно випущеному документі під назвою “Управління ідентичністю в підприємствах” ми пропонуємо дієві схеми та технічні специфікації для архітектури, визначення та виконання надійних контролів управління ідентичністю для вашого серверного та робочого флоту, незалежно від операційної системи.
Ми проводимо технічний аналіз сучасних парадигм ідентичності, включаючи детальні конфігурації для управління доступом до хмарної та локальної Linux-інфраструктури, а також практичні стратегії для безшовної та безпечної інтеграції з застарілими службами доменів AD. Крім того, документ пропонує детальний аналіз переваг і етапів впровадження використання сертифікатів SSH для безперешкодної, підзвітної SSH-аутентифікації, переходячи від простого управління ключами.
Читати документ “Управління ідентичністю в підприємствах”.
Подальше читання
Корпоративний Linux для всіх
Ubuntu підтримує мільйони ПК та ноутбуків по всьому світу.
Ubuntu поєднує безпеку, зручність використання та стабільність, пропонуючи вам платформу для інновацій разом зі свободою, яку надає прозорий код з відкритим вихідним кодом.
Принесіть Ubuntu до вашої організації
Ubuntu Desktop об’єднує підтримку корпоративного рівня, безпеку та функціональність із найкращими в відкритому коді.
Легко інтегруйте машини Ubuntu з вашою існуючою інфраструктурою та інструментами.
