Представьте, что вы — сетевой администратор, прекрасно чувствующий себя среди серверов и ПК под управлением Windows. И вдруг главный технолог извещает вас, что художественный отдел переходит на “Макинтоши”, а главный финансовый директор хочет сэкономить немного денег за счет использования Linux. Вся работа ложится на вас. И поскольку вы предвидите, что система управления настольными ПК неминуемо будет разрушена, у вас возникнет вопрос, нет ли такого продукта, который позволил бы всем этим компьютерам работать с имеющимся у вас каталогом Active Directory (AD).
К счастью, такой продукт есть. Это Likewise Enterprise 5.3 компании Likewise Software. Он предоставляет администраторам возможность интегрировать системы Linux, Unix и Mac с Microsoft AD и управлять каталогом с компьютеров, на которых установлена не Windows, а другая операционная система. Но это только часть общей картины.
Такие функции, как перенос каталога, поддержка групповой политики, подготовка отчетов и однократная регистрация, превращают этот продукт в полноценный пакет управления идентификацией и политиками. Он создает основу для соблюдения закона о защите информации о состоянии здоровья пациентов (Health Insurance Portability and Accountability Act, HIPAA) и стандарта безопасности для платежных карт PCI DSS. Продукт справляется с этими сложными задачами благодаря своим мощным функциям подготовки отчетов и ведения журналов, а также плагинам MMC (Microsoft Management Console), своим инструментам управления и приборным доскам.
Тестирование Likewise Enterprise
Я тестировал Likewise Enterprise 5.3 в сети под управлением Windows Server 2008 R2 и был удивлен легкостью установки продукта. В нем используется модель клиент — сервер. При этом конфигурируется сервер Likewise, а клиентское приложение рассылается в конечные точки сети.
Один шаг в процессе инсталляции заставил меня задуматься. Возник вопрос, следует ли расширять схему AD для улучшения управления системами без Windows через групповую политику. Я решил расширить схему в своей тестовой системе, но рекомендую не делать этого в сложной многосерверной среде, особенно если у вас установлено несколько версий Windows Server.
Если бы я не расширил свою схему AD, мне пришлось бы управлять определенными вариантами групповой политики с помощью управляющей консоли Likewise, а не стандартных средств AD. Невелика потеря.
Чтобы добавить к AD мои тестовые системы без Windows, пришлось в каждой конечной точке (Ubuntu 10.04 PC, MacBook Pro и OpenSUSE 11.4 Virtual PC под управлением гипервизора VMware) установить программу-агент. Я устанавливал агенты вручную (для каждой поддерживаемой платформы Likewise предлагает отличные инсталляторы с графическим интерфейсом). Но администраторы крупных сетей, возможно, захотят изучить варианты автоматической установки.
После инсталляции агентов я смог без каких-либо трудностей войти в домен Windows. Вас поджидает небольшая неприятность при регистрации, которая может проходить довольно медленно. Это зависит от используемой инфраструктуры и, как я полагаю, от количества реализуемых политик. Чтобы устранить проблему с медленной регистрацией, Likewise работает над обновленной версией агента.
Покончив с первоначальной настройкой, я запустил редактор групповых политик и начал вносить изменения в те политики, которые можно привязать к клиентам Mac и ПК под управлением Linux, на которых запущены программы-агенты. Likewise Enterprise предлагает впечатляющий набор политик для пользователей Linux. На компьютерах с этой операционной системой (использовалась настольная среда GNOME) я создал политики, контролирующие функционирование ПК.
Однако все богатство возможностей управления раскрылось благодаря политикам авторизации и идентификации. Мне удалось обеспечить возможность регистрации в офлайновом режиме (это позволяет мобильным пользователям регистрироваться на своих компьютерах, когда те не подключены к сети), назначить сроки действия паролей и задать цифровую подпись.
Кроме того, мною были разработныл политики для создания домашних каталогов и хранения файлов .k5login, что позволяет предоставлять сервисы Kerberos нескольким пользователям. Политики применяются также для определения длины и сроков действия паролей, для исполнения сценариев или “демонов” Unix.
Включение Mac’ов в общую когорту
Если вам необходимо включить Mac’и в AD, вы обнаружите множество вариантов действий, политик и объектов, которые могут посоревноваться с поддержкой Windows-компьютеров в каталоге. Likewise позволяет AD взаимодействовать с Mac MCX (Managed Client Settings). Это значит, что групповые политики могут обновлять MCX (распространяя имеющиеся в AD средства защиты и управления напрямую на компьютеры Mac с OS X) без использования дополнительного ПО или внесения изменений в операционную систему.
Likewise Enterprise решает эту задачу посредством интеграции Workgroup Manager for Mac в AD и сохранения настроек MCX в виде стандартных объектов AD Group Policy без модификации существующей схемы AD. Имеются политики для предотвращения автоматической регистрации, управления брандмауэром, защиты системных приоритетов и т. д.
Я обнаружил также, что Likewise Enterprise предлагает “зеленые политики” для Mac OS X, которые предоставляют администраторам возможность погружать компьютеры в “спящий” режим, автоматически выключать их и решать другие задачи, связанные с экономией электроэнергии.
Инструмент для администрирования серверов Mac позволил сэкономить немало времени. Я воспользовался им, чтобы дистанционно управлять пользователями, группами и конфигурациями Mac-компьютеров, не прикасаясь к ним. Усовершенствованная поддержка Mac-клиентов устраняет многие препятствия, которые прежде мешали подключению Mac’ов к сетям Windows.
Likewise Enterprise решил проблемы аутентификации и управления, а также соблюдения требований регулирующих органов. “Макинтоши” часто не подключают к сети, поскольку аудиторы считают, что нет способа провести их полный аудит и подготовить отчет об их соответствии нормативным актам во время их сетевой работы. Для нашего пакета таких трудностей не существует. Он может подготовить отчет о соответствии указанным нормам, в котором будет содержаться вся необходимая аудиторам информация.
Отчеты (имеются заготовки, касающиеся соблюдения законов Сарбейнса — Оксли и HIPAA, а также стандартов PCI) охватывают компьютеры Mac, машины с Linux и практически любые другие, которыми управляет Likewise Enterprise. Продукт содержит сотни политик для систем Mac, Linux и Unix, и их можно различным образом комбинировать, чтобы добиться полного контроля.
Пакет позволяет использовать отчеты для обоснования политик, слежения за подключенными к сети машинами и сбора информации из системных журналов. Они могут создаваться в виде таблиц Excel или в формате PDF. Имеются заготовки для десятков отчетов, и каждую из них можно приспособить к своим потребностям.
Если у вас появилась необходимость включить Mac’и, компьютеры под управлением Linux или иные ПК в Windows-сеть, то у компании Likewise Software, возможно, имеется решение вашей проблемы.