Skip to content

Альт Домен

Подходы к миграции доменной структуры

Универсального алгоритма миграции не существует. Выбор стратегии определяется результатами аудита исходной системы. Ниже приведены основные подходы, применяемые на практике.

1. Развёртывание чистой инсталляции «Альт Домен»

  • Выполняется установка нового домена на базе «Альт Домен».
  • Настраиваются отношения доверия (trust) с существующим доменом Microsoft Active Directory (MS AD).
  • Осуществляется постепенный перенос объектов (пользователей, групп, политик) из исходного домена в целевой.

Недостатки:

  • Требуется изменение имени домена, что может повлечь необходимость обновления конфигураций клиентских систем и приложений.

2. Интеграция контроллера домена «Альт Домен» в существующий домен MS AD

  • Контроллер домена на базе «Альт Домен» добавляется в качестве реплики в действующий домен MS AD.
  • После синхронизации данных выполняется вывод контроллеров MS AD из домена, перенос ролей FSMO на контроллер «Альт Домен».

Рекомендуемая практика:

  1. Развернуть дополнительный контроллер домена на базе MS AD.
  2. Перенести данный контроллер в изолированную тестовую сеть.
  3. Назначить ему роли FSMO.
  4. Добавить контроллер «Альт Домен» (на базе Samba) в качестве реплики к тестовому контроллеру.
  5. Провести отладку процесса репликации, проверить целостность переноса данных.
  6. После успешного тестирования выполнить миграцию в продуктивную среду с учётом накопленного опыта.

2.1. Импорт базы MS AD через samba-tool

В качестве альтернативы допускается прямой импорт базы данных домена MS AD в Samba с использованием механизма резервного копирования и утилиты samba-tool. Данный метод требует предварительного тестирования в изолированной среде.

3. Миграция с использованием сторонних инструментов

Для переноса объектов домена могут применяться специализированные средства:

  • ADMT (Active Directory Migration Tool);
  • PagmaticTools Migrator и аналогичные решения.

Выбор инструмента определяется совместимостью с целевой инфраструктурой, объёмом миграционных данных и требованиями к минимизации простоев.

Ограничение доступа пользователей через SSSD

Контекст применения

  • Типы входа: интерактивный вход и вход по SSH.
  • Клиентская система введена в домен с использованием SSSD в соответствии с официальным руководством.
  • Активирована поддержка групповых политик.

Настройка фильтра доступа через LDAP

Для ограничения доступа пользователей на основе принадлежности к группам домена используется параметр ad_access_filter в конфигурационном файле /etc/sssd/sssd.conf (или в файлах секции /etc/sssd/conf.d/).

Пример конфигурации

Исходные данные:

  • Домен: test.alt
  • Группа: workers
  • Члены группы: domainuser1, domainuser2

Задача: разрешить доступ всем членам группы workers, за исключением пользователя domainuser1.

Вариант 1: Правка основного файла конфигурации

ini
[domain/TEST.ALT]
ad_access_filter = (&(memberOf=CN=workers,CN=Users,DC=test,DC=alt)(!(sAMAccountName=domainuser1)))

Вариант 2: Вынос правила в отдельный файл Файл: /etc/sssd/conf.d/forbid_users.conf

ini
[domain/TEST.ALT]
ad_access_filter = (&(memberOf=CN=workers,CN=Users,DC=test,DC=alt)(!(sAMAccountName=domainuser1)))

После внесения изменений необходимо перезапустить службу SSSD:

bash
systemctl restart sssd

Важно. Синтаксис фильтра должен соответствовать стандарту LDAP. Ошибки в формулировке фильтра могут привести к блокировке легитимных пользователей.

Разграничение типов входа: интерактивный вход и SSH

Для независимого управления разрешениями на интерактивный вход и вход по SSH рекомендуется использовать конфигурацию демона sshd.

Ограничение доступа по группам через sshd_config

Файл конфигурации: /etc/openssh/sshd_config

Использование директивы AllowGroups:

ini
AllowGroups workers ssh-users

Данная директива разрешает вход по SSH только пользователям, входящим в указанные группы. Все остальные пользователи будут отклонены.

Гибкая настройка через Match Group:

ini
Match Group workers
    AllowTcpForwarding yes
    PermitTTY yes
Match Group ssh-admins
    PermitRootLogin yes

Директива Match позволяет применять настройки условно, в зависимости от группы пользователя, что обеспечивает более тонкое управление политиками доступа.

Управление настройками через утилиту control

В системе ALT Linux для управления сервисами и их параметрами рекомендуется использовать утилиту control.

Примеры команд:

bash
control sshd-allow-groups
control sshd-allow-groups-list
control | grep ssh

Дополнительная информация доступна по ссылке: https://www.altlinux.org/Control

Контакты: bystrovno@basealt.ru