ALD Pro 3.0 — это тот редкий случай, когда отечественная служба каталога перестала быть «отечественной альтернативой» и стала самостоятельным решением. На базе FreeIPA и 389 Directory Server построена система, которая выдерживает миллион пользователей и сотни контроллеров, централизует управление учетными записями, а теперь еще и администрирует доменные компьютеры через SaltStack. В статье расскажем, какие еще улучшения внесли разработчики в версию 3.0.
ALD Pro — это российский программный комплекс на базе FreeIPA, обеспечивающий централизованное управление учетными записями, единую точку аутентификации и автоматическую настройку окружения пользователей через групповые политики.
Решение включает не только службу каталога, но и набор востребованных ИТ-сервисов: репозиторий пакетов, файловый сервер, сервер печати, DHCP, установку ОС по сети, аудит и мониторинг.
Новая мажорная версия ALD Pro 3.0 стала результатом накопленных улучшений и сохранила обратную совместимость с версией 2.5.0. Система прошла комплексные испытания на 1 000 000+ пользователей и масштабирование до 400+ контроллеров, что подтверждает ее готовность к работе в инфраструктурах крупнейших предприятий.
Продукт построен на базе LDAP-сервера 389 Directory Server, изначально созданного для нагрузок телеком-операторов. В нем реализован механизм групповых политик на базе системы конфигурирования SaltStack, и это позволяет централизованно администрировать доменные компьютеры.
В ALD Pro «из коробки» предусмотрены более 100 готовых параметров групповых политик, с их помощью можно настраивать более 1000 разных аспектов работы ОС, а еще создавать дополнительные параметры для решения уникальных задач, специфичных для конкретного заказчика.
В новой версии продукта реализованы инструменты для упрощения миграции: графические утилиты для развертывания домена и присоединения компьютеров, обновленный модуль синхронизации с улучшенной архитектурой обработки данных. Для знакомства с системой доступна бесплатная версия ALD Pro Free для 25 пользователей.
Основные улучшения
Мультивендорность, как опция
В релизе 3.0 появилась поддержка ОС различных вендоров, теперь клиентскую часть ALD Pro можно установить на ALT Linux 10.4, РЕД ОС 7.3 и РЕД ОС 8. Также добавлена поддержка планшетов на архитектуре ARM с ОС ALSE 4.7.6. Это позволяет строить гетерогенные среды без привязки к одному поставщику.
Для новых ОС доступно полноценное управление через групповые политики на базе Salt-скриптов: установка принтеров, настройка службы времени Chrony, параметров загрузчика GRUB2, назначение приложений по типам файлов. Проведена адаптация и подтверждена кроссплатформенность соответствующих скриптов. Это позволяет гибко подходить к проектам миграции, снижает риски и операционные затраты на сопровождение гибридных инфраструктур.
Улучшенный модуль синхронизации
Модуль синхронизации — ключевой компонент для поэтапной миграции, и теперь он позволяет переносить 10 000 учетных записей за 2 часа. В версии 3.0 реализована новая архитектура:
- появилось сопоставление объектов по уникальным идентификаторам (objectGUID и nsUniqueId);
- выделен отдельный высокоприоритетный поток для синхронизации паролей;
- журнал событий разделен на три независимых потока (сервисный, операционный и синхронизации данных);
- существенно повышена устойчивость к сетевым сбоям.
Эти улучшения обеспечивают предсказуемую производительность и сокращают простои в период миграции.
Централизованное управление функциями мандатного контроля для Astra Linux
В ALD Pro 3.0 реализовано централизованное управление функциями мандатного контроля доступа, которые основаны на комплексе СЗИ PARSEC. Через портал управления администраторы могут определять уровни и категории конфиденциальности (МКЦ/МРД) и назначать их конкретным сотрудникам.
Дополнительно добавили централизованное управление учтенными USB-накопителями: администратор может регистрировать устройства в службе каталога с указанием дискреционных и мандатных прав доступа. Это обеспечивает безопасное использование внешних устройств и защиту от несанкционированного проникновения вредоносного ПО.
Обновленные инструменты администрирования
Графическая утилита aldpro-join и утилита продвижения сервера до контроллера домена aldpro-dcpromo предоставляют привычный для Windows-администраторов интерфейс. Их можно скачать в личном кабинете в виде deb-пакетов с инструкциями.
Также реализована проверка паролей по словарю запрещенных слов для повышения уровня безопасности.
Высокопроизводительная архитектура
Использование 389 Directory Server изначально обеспечивает высокую производительность операций чтения, а в новом релизе ALD Pro портал управления дополнительно оптимизировали для работы с большими каталогами: устранили задержки при работе с 300 000+ пользователей, ускорили массовые операции.
Новая схема аутентификации через mod_auth_gssapi с сессионными cookie снизила нагрузку на сеть. Очистку хранилища сервера репозиториев автоматизировали, а валидацию входных данных улучшили, чтобы повысить степень защищенности.
Бесплатная редакция ALD Pro Free
Редакция Free включает один контроллер домена, поддерживает до 25 пользователей и компьютеров, предоставляет централизованное управление через групповые политики и удаленный доступ к рабочим столам, обеспечивает доверительные отношения с одним доменом MS AD и позволяет устанавливать обновления. С помощью этого решения можно быстро запустить базовую инфраструктуру и проверить возможности системы перед масштабированием.
Сферы применения
ALD Pro 3.0 находит применение в организациях различного масштаба — от критически важных инфраструктур до небольших компаний. Среди пользователей:
- Субъекты КИИ. Гибкие политики безопасности и управление мандатным контролем помогают выполнять требования регуляторов и обеспечивать безопасность ИТ-инфраструктуры. В состав продукта включены параметры групповых политик, разработанные по приказам ФСТЭК России №17 и №239.
- Крупные распределенные предприятия. Масштабируемая архитектура и обновленный модуль синхронизации обеспечивают поэтапную миграцию без простоев. Поддержка пространства имен распределенной файловой системы (аналог DFS Namespaces) упрощает управление файловыми ресурсами.
- Средний и малый бизнес. Бесплатная редакция позволяет начать пользоваться ALD Pro без затрат. LAPS, функционал для управления паролями локальных администраторов, теперь встроен в продукт и не требует дополнительной настройки.
В каждом случае решение помогает выстраивать надежную, управляемую и импортонезависимую ИТ-среду. Например, крупнейший авиаперевозчик Республики Саха «Якутия», входящий в двадцатку лидеров по пассажирским и грузовым перевозкам в России, в текущем году начал масштабный переход на отечественную службу каталога ALD Pro.
География деятельности авиакомпании охватывает не только регионы Дальневосточного и Центрального федеральных округов, но и международные направления в странах СНГ, Юго-Восточной Азии и дальнего зарубежья. При этом ключевые аэропорты базирования расположены в Якутске, Москве и Нерюнгри, а сеть представительств развернута в 20 городах России и за рубежом.
Успешный опыт миграции с MS Active Directory демонстрирует и Россотрудничество, где переход на ALD Pro завершился с охватом 200 рабочих мест и 15 серверных систем.
Не менее значимым проектом стало внедрение в АО «Международный аэропорт Иркутск» — одном из ключевых авиаузлов страны с пассажиропотоком почти 4 миллиона человек в 2024 году. Здесь импортонезависимые технологии стали основой цифровой трансформации, где замена Windows и MS Active Directory на ALD Pro обеспечила новый уровень управляемости ИТ-инфраструктурой.
В сфере образования Фрунзенского района Санкт-Петербурга внедрение ALD Pro позволило консолидировать управление ИТ-ресурсами 48 школ, 85 детских садов и 5 учреждений дополнительного образования. Общая материально-техническая база, объединяющая более 6500 единиц компьютерной и серверной техники, также переведена на единую систему каталогов.
Резюме
Практика показала, что ALD Pro 3.0 — это зрелое и проверенное отечественное решение для управления ИТ-инфраструктурами с самыми высокими требованиями. Однако в версии 3.0 еще есть несколько ограничений, которые вендор планирует устранить в будущих релизах:
- Из веб-интерфейса сейчас можно просматривать и редактировать только стандартный набор атрибутов, а при интеграции службы каталога с корпоративными приложениями может потребоваться расширить схему каталога, например, добавить пользователям идентификатор карт СКУД. Также администраторам нужна возможность управления этими дополнительными атрибутами непосредственно через веб-интерфейс без обращения к сторонним инструментам.
- Корзина работает сейчас только для учетных записей пользователей, что не позволяет восстанавливать в несколько кликов мышью другие объекты каталога.
- Не хватает возможности назначения объектов групповых политик на сайты и применения фильтров для уточнения их области действия.
- Отладка групповых политик возможна сейчас только из командной строки, что усложняет процесс для некоторых администраторов.
Несмотря на них, сочетание масштабируемости, расширенной мультивендорности, улучшенных инструментов миграции и глубокой интеграции с ИБ-механизмами делает платформу готовой к внедрению в организациях любого масштаба. Обновленная документация, включающая руководство «Быстрый старт», упрощает знакомство с ней и ускоряет развертывание.