Интеграция системы управления учетными записями пользователей Linux и Windows систем в единую систему проверки подлинности на основе Active Directory

Описание задачи

Данное решение предназначено для средних и крупных компаний с масштабной сетевой инфраструктурой. Группировка серверных систем включает как Windows, так и Linux системы. В компании развернута система централизованного управления на основе Microsoft Active Directory. Обособленое подразделение использует Linux системы для запуска набора бизнес-приложений.

Развитие бизнеса требует тесной интеграции Linux-подразделения в информационную среду компании. При этом устанавливается требование к безопасности доступа к данным Linux приложений.

Предлагаемое решение

В качестве решения предлагается использовать интеграцию Linux систем в инфраструктуру Active Directory. В этом случае будет использована единая система управления учетными записями пользователей как для Windows, так и для Linux систем.

В качестве средства доступа к информации в AD предлагается использовать компонент Samba/winbind. Это средство, в отличие от классических процедур досупа к LDAP каталогу AD, позволяет упростить технические процедуры доступа к информации о пользователях и группах, хранимых в AD.

При этом не требуется модифицировать схему Active directory для хранения атрибутов Linux пользователей. Таким образом осуществляется минимальное воздействие на существующую Windows архитектуру.

Грамотная настройка компонентов winbind позволяет добиться минимального траффика репликации между серверами AD и Linux системами. Оптимизация кеширования позволит сократить задержки при входе пользователя в систему. Тщательная настройка политики согласования идентификаторов безопасности в паре Windows SID - Linux ID поволит добиться отсутствия рассогласованности идентификаторов пользвателей между Linux системами, присущей стандартной конфигурации winbind при развертывании обычными средствами.

Эффект от внедрения

• использование единой системы управления учетными записями снижает расходы на сопровождение систем и синхронизацию данных о пользователях. единый пароль пользователя не требует сложных процедур его синхронизации на Linux и Windows системах отдельно
• улучшенная безопасность достигается за счет использования единых политик безопасности учетных записей. Появляется возможность заблокировать доступ пользователя к обоим видам систем мгновенно через штатные средства AD. Единый механизм контробя доступа позволит блокировать учетных записи при обнаружении попыток подбора пароля в любой из систем
• полнота интеграции файловых служб и сисем печати позволяет не производить дополнительное обучение сотрудников для работы с информацией, хранимой на файловых серверах Linux. Прозрачность доступа ликвидирует затраты на копирование информации между Linux и Windows рабочими местами пользователя.

Требования к аппаратному и программному обеспечению

На Linux системы необходимо установить самую последнию версию пакета samba. Это достигается путем обновления соотвествующих копмонент системы штатными средствами, предусмотренными производителем ОС.

Дополнительные накладные расходы при использовании компонентов winbind незначительны и составляют не более 64Мб ОЗУ. Это позволяет не осуществлять модернизацию систем для выполнения подобной настройки.

При использовании многодоменной структуры Active Directory или конфигурации с множеством лесов AD требуется дополнительная настройка и тестирование для проверки функционирования системы доверия при работе с учетными записями.