Альт Домен
Подходы к миграции доменной структуры
Универсального алгоритма миграции не существует. Выбор стратегии определяется результатами аудита исходной системы. Ниже приведены основные подходы, применяемые на практике.
1. Развёртывание чистой инсталляции «Альт Домен»
- Выполняется установка нового домена на базе «Альт Домен».
- Настраиваются отношения доверия (trust) с существующим доменом Microsoft Active Directory (MS AD).
- Осуществляется постепенный перенос объектов (пользователей, групп, политик) из исходного домена в целевой.
Недостатки:
- Требуется изменение имени домена, что может повлечь необходимость обновления конфигураций клиентских систем и приложений.
2. Интеграция контроллера домена «Альт Домен» в существующий домен MS AD
- Контроллер домена на базе «Альт Домен» добавляется в качестве реплики в действующий домен MS AD.
- После синхронизации данных выполняется вывод контроллеров MS AD из домена, перенос ролей FSMO на контроллер «Альт Домен».
Рекомендуемая практика:
- Развернуть дополнительный контроллер домена на базе MS AD.
- Перенести данный контроллер в изолированную тестовую сеть.
- Назначить ему роли FSMO.
- Добавить контроллер «Альт Домен» (на базе Samba) в качестве реплики к тестовому контроллеру.
- Провести отладку процесса репликации, проверить целостность переноса данных.
- После успешного тестирования выполнить миграцию в продуктивную среду с учётом накопленного опыта.
2.1. Импорт базы MS AD через samba-tool
В качестве альтернативы допускается прямой импорт базы данных домена MS AD в Samba с использованием механизма резервного копирования и утилиты samba-tool. Данный метод требует предварительного тестирования в изолированной среде.
3. Миграция с использованием сторонних инструментов
Для переноса объектов домена могут применяться специализированные средства:
- ADMT (Active Directory Migration Tool);
- PagmaticTools Migrator и аналогичные решения.
Выбор инструмента определяется совместимостью с целевой инфраструктурой, объёмом миграционных данных и требованиями к минимизации простоев.
Ограничение доступа пользователей через SSSD
Контекст применения
- Типы входа: интерактивный вход и вход по SSH.
- Клиентская система введена в домен с использованием SSSD в соответствии с официальным руководством.
- Активирована поддержка групповых политик.
Настройка фильтра доступа через LDAP
Для ограничения доступа пользователей на основе принадлежности к группам домена используется параметр ad_access_filter в конфигурационном файле /etc/sssd/sssd.conf (или в файлах секции /etc/sssd/conf.d/).
Пример конфигурации
Исходные данные:
- Домен:
test.alt - Группа:
workers - Члены группы:
domainuser1,domainuser2
Задача: разрешить доступ всем членам группы workers, за исключением пользователя domainuser1.
Вариант 1: Правка основного файла конфигурации
[domain/TEST.ALT]
ad_access_filter = (&(memberOf=CN=workers,CN=Users,DC=test,DC=alt)(!(sAMAccountName=domainuser1)))Вариант 2: Вынос правила в отдельный файл Файл: /etc/sssd/conf.d/forbid_users.conf
[domain/TEST.ALT]
ad_access_filter = (&(memberOf=CN=workers,CN=Users,DC=test,DC=alt)(!(sAMAccountName=domainuser1)))После внесения изменений необходимо перезапустить службу SSSD:
systemctl restart sssdВажно. Синтаксис фильтра должен соответствовать стандарту LDAP. Ошибки в формулировке фильтра могут привести к блокировке легитимных пользователей.
Разграничение типов входа: интерактивный вход и SSH
Для независимого управления разрешениями на интерактивный вход и вход по SSH рекомендуется использовать конфигурацию демона sshd.
Ограничение доступа по группам через sshd_config
Файл конфигурации: /etc/openssh/sshd_config
Использование директивы AllowGroups:
AllowGroups workers ssh-usersДанная директива разрешает вход по SSH только пользователям, входящим в указанные группы. Все остальные пользователи будут отклонены.
Гибкая настройка через Match Group:
Match Group workers
AllowTcpForwarding yes
PermitTTY yes
Match Group ssh-admins
PermitRootLogin yesДиректива Match позволяет применять настройки условно, в зависимости от группы пользователя, что обеспечивает более тонкое управление политиками доступа.
Управление настройками через утилиту control
В системе ALT Linux для управления сервисами и их параметрами рекомендуется использовать утилиту control.
Примеры команд:
control sshd-allow-groups
control sshd-allow-groups-list
control | grep sshДополнительная информация доступна по ссылке: https://www.altlinux.org/Control
