Samba 4: домен Active Directory на Linux

Можно спорить о достоинствах и недостатках Linux и вообще open source, но нельзя не признать, что в определенных областях открытая ОС добилась несомненных успехов. К таковым, между прочим, относится и серверный рынок, где популярность Linux растет из года в год.

Данные IDC за 4 квартал 2012 г. свидетельствуют, что при общем росте серверного рынка на 3.1% (по сравнению с годом ранее), продажи оборудования с Linux выросли на 12.7%, с Windows — на 3.2%, а с Unix — снизились на 24.1%. Конечно, отсюда несложно понять, что Linux по-прежнему вытесняет Unix, а не Windows, но, в любом случае, доля рынка в 20.4% уже вполне весома.

Однако серверы — понятие обширное. IDC считает, что популяризации Linux в первую очередь способствуют облачные и высокопроизводительные вычисления. Аналитической фирме вторит и The Linux Foundation, утверждающая что 76% опрошенных ею крупных компаний уже используют Linux для построения «облаков» и 74% планируют сохранить или даже нарастить присутствие открытой ОС.

Linux также широко применяется для развертывания веб-серверов и различных внутренних интернет-сервисов, вроде proxy, почтовых и пр. Последнее исторически довольно популярно у малого бизнеса, в том числе и украинского, так как позволяет ощутимо сэкономить на лицензиях, а сопровождение, к примеру, отдать в аутсорсинг интернет-провайдеру. Главными аргументами в пользу Linux участники опроса The Linux Foundation назвали широту возможностей (75%), низкую общую стоимость владения (71%), высокую безопасность (69%).

Linux может применяться и для построения ИТ-инфраструктуры, благодаря независимым реализациям LDAP, и Samba. Однако, если учесть, что большинство рабочих мест в организациях по-прежнему основываются на Windows и кардинально эта ситуация уже вряд ли изменится, то приходится признать, что Linux в данном качестве выглядит довольно бледно. Однако недавно наметился прогресс и здесь.

Выпущенная в конце прошлого года Samba 4 реализует почти полноценный аналог Active Directory (AD), включая контроллер домена, службу DNS, Kerberos-аутентификацию, групповые политики. Естественно, это только первый релиз, содержащий ошибки и недоработки, исправление которых, впрочем, идет полным ходом. Кроме того, с помощью Samba 4 пока нельзя создавать сложные доменные структуры и иерархии и устанавливать доверительные отношения, что ограничивает применимость в крупных организациях.

Таким образом, на текущий момент наиболее реальными применениями Samba 4 являются построение тестовых инфраструктур и учебных классов, а также внедрения в малом бизнесе. Впрочем, западные обозреватели к последнему относятся достаточно скептически: перевесит ли экономия риски нестабильной работы инфраструктуры? В украинских реалиях, однако, система ценностей несколько иная, и финансово-правовые аргументы могут перевесить все прочие.

Тем более, что во многих случаях реальный выбор не так велик. Microsoft предлагает специальные редакции Windows Server 2012 для малого бизнеса — Essentials и Foundation. Первая при цене в $500 представляет собой довольно интересное интегрированное решение для 25 пользователей, вторая предлагается для установки OEM и готова поддерживать 15 пользователей. Но проблема в том, что для большего числа потребуется не только докупать CAL, но и менять серверную лицензию на Standard. Samba 4 таких ограничений лишена и может масштабироваться до любого необходимого уровня. Вероятно, для ее распространения также лучше подошла бы OEM-модель, гарантирующая полную совместимость с оборудованием и отсутствие неожиданностей хотя бы на первых порах.

Между тем само внедрение Samba 4 — дело достаточно нехитрое. Естественно, начать лучше с тестирования какого-нибудь специализированного дистрибутива. Таковой, к примеру, предлагает SerNet, немецкий интегратор и участник проекта Samba — SerNet Samba 4 Appliance. Дополнительно на нем можно развернуть ПО коллективной работы Zafara, в состав входит готовый скрипт для корректировки схемы AD.

Novell/SUSE предлагает свой вариант Excellent Samba4 Appliance, причем в виде как загрузочных образов, так и уже развернутых виртуальных дисков для всех популярных систем виртуализации. Данный дистрибутив периодически обновляется, вслед за выходом очередных исправлений к Samba 4.

Собственно, инициализация AD заключается в развертывании дистрибутива или создании и запуске соответствующей виртуальной машины и выполнения готового скрипта dcpromo, который запрашивает немногочисленные параметры (название домена, IP-адрес и пр.).

Поскольку Samba 4 создавалась на основе официально приобретенной документации Microsoft, ее совместимость обещает быть довольно высокой. Во всяком случае, можно использовать все стандартные административные инструменты Microsoft, которые в случае Excellent Samba4 Appliance даже доступны через внутренний веб-сервер.

Поскольку Samba 4 реализует все необходимые для AD процедуры RPC, также можно пользоваться утилитами командной строки и PowerShell-скриптами. Linux-сообщество разрабатывает и собственные инструменты, как графические, так и скриптовые, но степень их готовности пока неудовлетворительна.

В случае использования инструментов Microsoft дальнейшее администрирование домена происходит совершенно привычно для любого, хотя бы поверхностно знакомого с AD в Windows Server. Добавление учетных записей, создание групп, разграничение полномочий выполняется совершенно прозрачно.

Одним из наиболее ценных достоинств Samba 4 является поддержка механизма групповых политик, которые представляют собой удобное и эффективное средство администрирования рабочих мест на Windows. По сути, это первый шаг к управляемой инфраструктуре и благодаря Samba 4 сделать его стало еще проще.

Самый простой пример — включить на всех местах нужный режим Windows Update и заблокировать возможность его изменения пользователем. Задача решается совершенно одинаково как в Windows Server, так и в Samba 4:

Результат после перезагрузки рабочей станции или принудительного обновления групповых политик вполне предсказуемый:

Таким образом, Samba 4 позволяет организовать простой домен AD на Linux фактически без необходимости глубоких знаний собственно Linuх. К тому же, гибкость открытой ОС дает возможность создавать компактные монофункциональные дистрибутивы с Samba 4, которые будут надежно работать как в физической, так и виртуальной среде. Под вопросом пока остается стабильность и масштабируемость самой Samba 4, но команда разработчиков, похоже, на достигнутом останавливаться не собирается.