Likewise строит мост к Linux

Различные варианты ОС Linux отличаются рядом впечатляющих функций управления, в частности детально проработанными средствами контроля конфигурации для настольной среды GNOME и унифицированной средой управления компонентами ПО, намного превосходящей по своим возможностям функции обновления Windows с массой разрозненных аплетов.

Однако отсутствие в Linux интегрированного аналога Microsoft AD (Active Directory) и групповой политики (Group Policy), связывающей компоненты операционной системы в одно целое, является существенным административным изъяном, зачастую перевешивающим сумму достоинств отдельных частей этой ОС с открытым исходным кодом.

Обратите внимание на компанию Likewise Software (ранее называвшуюся Centeris) и ее продукт Likewise Enterprise 4.0, который позволяет администраторам взять под свою опеку большинство систем на базе Linux, Unix и Mac OS X, наладив их аутентификацию через AD и управление с помощью тех же средств Group Policy, что обслуживают Windows-системы.

Протестировав Likewise Enterprise 4.0, я убедился, что продукт прост в инсталляции и имеет массу удобных возможностей для интегрирования с существующими средами и политиками. Например, я смог по своему желанию расширить схему AD-домена, чтобы включить в действие Unix-специфические атрибуты, или поручить Likewise Enterprise 4.0 работать без расширений с уже заданной схемой AD.

Присоединить Linux-клиент к AD-домену с Likewise Enterprise 4.0 так же легко, как присовокупить к AD клиент Windows, и меня очень обрадовала широта охвата родных конфигурационных установок Linux, которыми я мог распоряжаться и применять к тестовым клиентам через средства Group Policy. Я смог использовать XML-систему конфигурирования GNOME для управления большинством настроек настольных систем; управлять инфраструктурами контроля полномочий SELinux (Security-Enhanced Linux), AppArmor и sudo; а также задействовать сценарии и текстовые файлы для управления компонентами, зависящими от конкретного Linux-дистрибутива, например конфигурациями репозитория ПО.

Если AD является нервным центром вашей сети или сетей ваших клиентов, а в обслуживаемых вами проектных или конструкторских отделах появляется все больше не-Windows-систем, вам стоит оценить возможности программного продукта Likewise Enterprise 4.0, который поможет привязать этих пришельцев к структуре управления Windows. Более того, при лицензионных расценках 50 долл. за управляемый клиент и 250 долл. за управляемый сервер комбинация Likewise Enterprise 4.0 и Windows Server может послужить достаточно недорогой базой для крупных инсталляций дешевых Linux-клиентов.

Аналогичными возможностями обладают продукты Vintela Authentication Services фирмы Quest Software и DirectControl компании Centrify (их я, правда, не тестировал), позволяющие администраторам аутентифицировать не-Windows-системы через AD. ПО Centrify поддерживает и управление посредством Group Policy. По стоимости оба этих продукта близки к Likewise Enterprise 4.0.

Одним из специфических плюсов Likewise Enterprise является наличие Likewise Open — нового компонента с открытым исходным кодом (ОИК), включающего, в отличие от фирменного предложения Likewise (которое само использует ОИК-проект Samba), только функции, связанные с AD-аутентификацией. Компонент Likewise Open должен войти в новые версии Red Hat Enterprise Linux и Ubuntu Linux, которые смогут послужить плацдармом для внедрения ПО Likewise Software у пользователей, работающих с этими популярными разновидностями Linux.

Likewise Enterprise 4.0 поддерживает большое разнообразие систем, включая 11 версий Novell SUSE Linux, 21 версию Red Hat Enterprise и Fedora Linux, а также ряд недавних версий Linux-систем Ubuntu, Debian и CentOS. Помимо этого Likewise Enterprise 4.0 поддерживает AIX, Solaris, HP-UX и еще Mac OS X 10.3 и 10.4.

Likewise Open сегодня доступен в форме готового к установке пакета для Ubuntu 7.10, Fedora 8 и OpenSUSE 10.3. Хотя Likewise Open, по-видимому, также начнут включать в опции других дистрибутивов (его исходный код находится в свободном доступе), компании Likewise Software следовало бы приложить и собственные силы для расширения доступности пакета.

Я проводил свои тесты в AD-домене Microsoft Windows Server 2003 Service Pack 2, к которому присоединил с помощью Likewise Open клиент Ubuntu 7.10. При этом выяснилось, что для выполнения операции присоединения желательно присвоить Ubuntu-клиенту статический сетевой адрес, так как процесс потребовал рестарта Ubuntu-сервиса NetworkManager и после него DHCP (Dynamic Host Configuration Protocol) надолго затормозил с распознаванием установок Likewise Open.

Временный переход на статический адрес удачно решил проблему, и после присоединения к домену я уже мог входить в систему клиента Ubuntu как пользователь AD и в онлайновом, и в автономном режиме благодаря кэшированию аутентификационных данных. Не исключаю, что проблему с DHCP можно было бы решить и с помощью установки более длительного времени ожидания для процесса присоединения клиента.

Далее я попробовал обновить мою конфигурацию Likewise Open до Likewise Enterprise 4.0, что свелось к установке на мой контроллер домена ПО, добавившего к диалогам настройки AD пару вкладок для Likewise, и расширению прежних средств управления Group Policy на Linux, Unix и Macintosh. Продукт предложил мне опцию расширения схемы AD для добавления Unix-специфических атрибутов, включенных в AD версии Windows Server 2003 Release 2. Я решил расширить свою схему, но для работы с продуктом это действие не является обязательным, что будет полезно для организаций с консервативной политикой расширения схемы AD.

Likewise Enterprise 4.0 создает мост между Unix Network Information Service (NIS) и AD через ячейки (Cells), отображающие данные идентификации пользователей из AD в одно или несколько хранилищ NIS. В своих тестах я не собирался интегрировать AD с существующей инфраструктурой аутентификации Unix и Linux, и поэтому создал только одну формируемую по умолчанию ячейку, соответствующую в AD моему единственному организационному подразделению. Затем я авторизовал в Likewise одного из пользователей моего домена через одну из новых конфигурационных вкладок, появившихся в сервере после инсталляции ПО, и предоставил ему доступ к моему тестовому Linux-клиенту.

Далее я установил клиентское ПО Likewise на ПК с CentOS 5, открыл в брандмауэре группу портов, указанных в документации к продукту, и присоединил клиент CentOS к своему тестовому домену. Было бы удобнее, если Likewise Enterprise 4.0 во время инсталляции предложил бы открыть порты за меня — на манер Windows. В случае CentOS и Likewise Enterprise 4.0 проблемы с большим временем ожидания, которая возникала с Likewise Open и Ubuntu, у меня не наблюдалось.

Оставив в стороне элементарные вопросы аутентификации, я вернулся к моему доменному серверу для задания ряда объектов Group Policy, приложимых к клиенту CentOS. Я запустил консоль Microsoft GPMC (Group Policy Management Console), где наряду с родными инструментами Windows Group Policy обнаружил новые группы Linux- и Macintosh-специфических средств управления для пользователей и систем.

Используя Likewise-расширенную GPMC, я для начала предписал, чтобы Linux-системы в моей стандартной Cell работали с активизированной инфраструктурой SELinux, в рамках “целевой” SELinux-политики с режимом Permissive, когда система регистрирует ошибки использования полномочий, но не реагирует на них.

Затем я вернулся к клиенту CentOS, запустил команду Likewise Enterprise 4.0 для немедленного обновления Group Policy и убедился, что мои настройки SELinux вошли в силу. Я попытался, действуя от имени root, сломать свою политику SELinux и изменить заданные установки, однако после обновления Group Policy на клиентской машине выбранные ранее политики снова оказались на прежнем месте.

Я смог также использовать Likewise Enterprise 4.0 и Group Policy для досконального контроля среды GNOME моего клиента CentOS. Большинство GNOME-приложений снабжено файлами XML-схемы для задания их параметров, доступными пользователю или администратору через редактор GNOME GConf Editor. Я задействовал Likewise-расширенную GPMC, чтобы выбрать, какие из GNOME-файлов схем будут включены в мой объект политики и потом смогут модифицироваться по моему желанию. Как пример, я смог заменить режим “spatial”, в котором по умолчанию действует менеджер файлов Nautilus, на режим классического браузера.