Программные средства аутентификации в неоднородных средах помогли многим компаниям удовлетворить базовую потребность в организации процедуры единой регистрации (single sign-on, SSO) во все ИТ-системы. Если государственные органы, регулирующие деятельность вашей компании, предписывают вам реализовать механизм SSO - некоторые компании, к примеру, полагают, что в Законе Сарбейнеса-Оксли (Sarbanes-Oxley Act, SOX) как раз содержится такое требование, - имеет смысл в подробно ознакомиться со всеми особенностями таких программных средств.
Для данного сравнительного обзора мы выбрали три приложения - Quest Software Vintela Authentication Services (VAS), Centeris Likewise Identity и Centrify DirectControl. Каждая из перечисленных программ обеспечивает аутентификацию системы Unix или Linux (в данной статье мы будем использовать термин "Unix" для обозначения любой системы Unix либо Linux) в службе Active Directory (AD). Однако эти приложения отличаются друг от друга, и в их различиях - а они касаются как принципиальных подходов, так и тонкостей - необходимо как следует разобраться. Только после этого вы сможете подобрать оптимальное решение для своей организации.
Как функционируют программные средства аутентификации в неоднородных средах
Возможно, вы задаетесь вопросом: так как же, в конце концов, платформа Unix может подтверждать свои права доступа к Windows и где в этом случае будет храниться вся информация? Ответ на оба вопроса один: все это осуществляется с помощью расширений схемы Active Directory. Если вам доводилось работать с сервером Microsoft Exchange Server, вы наверняка знакомы с концепцией расширений: команда специалистов Microsoft, разрабатывавшая Exchange, дополнила AD такими полями, как msExchHomeServer, чтобы администраторы могли следить за тем, где система хранит сообщения электронной почты. Каталог AD можно дополнить еще одним расширением, где будет храниться информация об учетных записях пользователей. Но в некоторых средах расширение схемы не допускается вообще, в других же его следует осуществлять с осторожностью. После расширения схемы отменить внесенные изменения бывает непросто. Если вас интересует проблема расширения AD, обратите внимание на то, как реализует эту возможность каждый поставщик, ибо все делают это по-разному.
После расширения AD таким образом, чтобы в этом каталоге можно было размещать сведения об учетных записях пользователей, поставщик должен наделить клиентскую систему способностью "понимать" эту новую функциональную возможность. С этой целью все три поставщика разработали клиентское программное обеспечение, которое устанавливается на каждой системе Unix. Возможно, важным фактором для вас будет простота установки клиента и последствия его появления в системе. Кому, к примеру, поручена установка клиентского программного обеспечения на системе Unix? Если эту операцию будет выполнять администратор, фактор простоты установки не так важен, как в ситуации, когда этим занимаются пользователи. Не упускайте из виду принятых в организации внутренних требований, чтобы потом они не стали для вас неприятным сюрпризом. Кроме того, если в компании уже создана инфраструктура серверов Unix с большим числом учетных записей пользователей, внимательно ознакомьтесь с тем, как каждый поставщик поддерживает такие инфраструктуры. Наконец, продукты разных поставщиков отличаются друг от друга не только базовыми компонентами средств аутентификации. Имеются и другие отличия - например, возможность применять к системам Linux и Unix объекты групповых политик (Group Policy Objects, GPOs)
Управление идентификаторами в Unix
При выборе средств аутентификации в неоднородных средах нужно обратить внимание на то, как тот или иной продукт обрабатывает несколько учетных идентификаторов Unix. Учетные идентификаторы в Unix - это идентификатор пользователя, подобный идентификатору безопасности SID или глобальному уникальному идентификатору (globally unique identifier, GUID) в Windows. В системе Windows мы редко принимаем во внимание глобальные уникальные идентификаторы пользователей - разве что при выполнении операций миграции или консолидации. Но в системе Unix эти данные размещаются в легко доступных текстовых файлах. Необходимо понять, каким образом используются идентификаторы пользователей Unix и как вы можете управлять различными идентификаторами Unix.
Когда в системе Unix мы создаем учетную запись нового пользователя, система создает уникальный цифровой идентификатор. Но разные поставщики выбирают для этих идентификаторов различные стартовые значения. В одних системах эти значения начинаются с числа 100, в других - с 500. В одной системе идентификатор того или иного пользователя может равняться числу 107, а в другой - числу 517. Такое положение называют "несколько идентификаторов Unix".
Дело осложняется еще и тем, что различные поставщики используют разные идентификаторы групп. Пользователь может быть членом группы DEV с групповым идентификатором 37 в одной системе и с групповым идентификатором 104 - в другой.
Вообразите, как сложно было бы найти соответствие одной учетной записи пользователя AD всем этим различным пользовательским и групповым идентификаторам. Управление идентификаторами Unix - ключевая функция всех трех представленных в данном обзоре продуктов - позволяет решать эту проблему и осуществлять аутентификацию нескольких идентификаторов средствами AD.
Испытание продуктов
Наша тестовая лаборатория состояла из простой сети: один контроллер домена AD Windows Server 2003 SP1 и компьютер с Linux. Для облегчения дублирования и обеспечения возможности отмены изменений мы реализовали обе системы в виртуальных системах (VM) VMware. Поскольку в версию Windows 2003 R2 включены средства обработки учетных записей пользователей Unix, мы специально решили не использовать эту новую версию Windows 2003, так как считаем, что в большинстве компаний контроллеры доменов еще не модернизированы до уровня R2. Нам хотелось посмотреть, какие возможности предусматривает каждый поставщик для более типичных ситуаций, когда компьютеры функционируют под управлением более ранних версий Windows. Но если вы все-таки решите модернизировать свою схему до уровня R2 или использовать одно из коммерческих средств модернизации, не забудьте первым делом подготовить подробный план этого мероприятия.
Все без исключения приложения обзора показали неплохие результаты. Все они помогли нам быстро наделить контроллер домена необходимыми функциональными возможностями, установить небольшой клиент на компьютер с Linux и затем войти в домен Windows с системы Linux в течение нескольких минут. На этом, однако, сходство заканчивается.
Quest Software Vintela Authentication Services
Установочный сценарий VAS выполняется с помощью простого текстового мастера. Эта процедура занимает всего несколько минут. Установка клиента Unix принимает форму Red Hat Package Manager. На наших испытаниях операция установки проходила быстро и не вызывала никаких затруднений. По завершении установки мы выполнили основные настройки.
При установке Windows мы имеем в своем распоряжении привлекательный графический интерфейс, с помощью которого находим мастеров установки, руководства и другие сведения. Установка Windows проходит гладко и не вызывает осложнений. Если у вас нет схемы Windows 2003 R2, для расширения AD (чтобы работать с атрибутами учетных записей Unix) потребуется запустить мастер Schema Wizard. Это важный совет; отнеситесь к нему со всей серьезностью. Мы уверены, что, работая над сценариями для расширения AD, специалисты Quest приложили максимум усилий, но все же не следует приступать к расширению AD без должного предварительного планирования и без заготовленного заранее добротного плана восстановления. Лучшее решение - модернизировать систему до уровня R2 и расширить схему именно в этой среде - хотя бы потому, что расширения R2 были написаны сотрудниками Microsoft. При наличии выбора мы выступаем за "стандартный" вариант AD, а не за тот, что создан независимыми поставщиками.
Quest позволяет осуществлять не только расширение атрибутов учетных записей Unix, но и расширение схемы, чтобы обеспечить поддержку компонента Personality Management Schema Extension. И здесь, надо полагать, использование расширений Quest не таит никакой угрозы безопасности, но если организация не допускает такого рода кардинальных вмешательств в AD, вам, пожалуй, стоит поискать решение, не связанное с расширением схемы. Впрочем, справедливости ради надо отметить, что необходимые изменения, по-видимому, довольно незначительны. Дополнительная информация об этих расширениях содержится в файле PDF, прилагаемом к пробной версии программы.
Добавление дополнительных идентификаторов Unix нельзя назвать интуитивно понятным процессом. Когда мы пытались создать учетную запись Unix, на экране постоянно появлялось сообщение об ошибке "There are no personality containers defined. Create a personality container, then retry the operation". Мы изрядно помучились, соображая, как же создается индивидуальный контейнер. В конце концов проблема была решена: оказывается, персональный контейнер Unix нельзя создать в контейнере AD - например, в стандартном общем имени пользователя (common name, CN). Его нужно создавать в организационной единице (organizational unit, OU). На экране 1 показано используемое для этого диалоговое окно.
Наряду с этим в VAS предусмотрена возможность расширения групповых политик AD с тем, чтобы проводить политики на уровне клиентов Unix. По умолчанию можно изменять следующие настройки: сценарии, файлы, приглашение к регистрации в систему, сообщение дня, символические ссылки и системный журнал. Что ж, совсем неплохо для механизма, который можно использовать без какой-либо предварительной подготовки. Если у вас возникнет необходимость доводить политику до уровня клиентов Unix и эта политика не определена по умолчанию, можете написать ее сами. В документации есть раздел с подробным описанием процедур написания и применения политик пользователя.
Продукт VAS совместим со многими клиентами Unix, включая Red Hat Linux, SuSE Linux, Tru64 и VMware ESX Server. Полный перечень совместимых клиентов опубликован в Internet по адресу http://www.quest.com/vintela-authentication-services.
Резюме
Quest software Vintela authentication services
ЗА: При добавлении в AD новых систем Unix VAS дает возможность выбирать CN или OU, не совпадающие с принимаемым по умолчанию значением "Computers"; при регистрации пользователь не должен использовать "доменное имя пользователя"; в продукт интегрирована групповая политика Vintela Group Policy (Group Policy for UNIX).
ПРОТИВ: Процедура создания контейнера идентификаторов для нескольких идентификаторов трудна для понимания; если в системе установлена версия, отличная от Windows Server 2003 R2, то требуется AD Schema Extensions.
РЕЙТИНГ: 4 из 5
ЦЕНА: для сервера Unix - 325 долл., для рабочей станции Unix - 45 долл.
РЕКОМЕНДАЦИЯ: Если вам требуется мощное средство поддержки для систем Unix, мы рекомендуем Quest Software Vintela Authentication Services.
КОНТАКТ: Quest Software, http://www.quest.com/unix-linux
Centeris Likewise Identity
Осуществляемая с помощью графического пользовательского интерфейса установка в среде Unix пакета Likewise Identity на наших испытаниях прошла без каких-либо осложнений. Когда установка была завершена, перед развертыванием клиентов программа предложила нам на выбор графический интерфейс пользователя или интерфейс командной строки. Мы выбрали графический интерфейс и были удивлены тем, как похожи и процесс, и интерфейс на то, с чем мы привыкли иметь дело, работая на системах Windows.
Установка Likewise Identity на стороне Windows заняла чуть больше времени. Дело в том, что в ходе процедуры установки нам пришлось загружать Microsoft.NET Framework 2.0 и Microsoft Management Console (MMC) 3.0. Мы не думаем, что эта задержка имеет большое значение, но вы должны быть к ней готовы, особенно если локальная сеть не имеет выхода в Internet. После того как система позаботилась об установке необходимых компонентов, инсталляция прошла без осложнений.
Как мы уже говорили в начале данной статьи, к изменениям схемы AD необходимо относиться со всей серьезностью. В отличие от VAS пакет Likewise Identity допускает установку без расширения схемы. Отсутствие необходимости расширения схемы как раз и отличает этот продукт от конкурентов. Если два других приложения могут использовать стандартные расширения схемы учетных записей Unix из R2 вместо того чтобы добавлять собственные, то Likewise Identity обеспечивает эту функциональную возможность без использования R2 или каких-либо обновлений схемы от независимых поставщиков. Данная операция осуществляется без занесения в стек или размещения данных в неиспользуемых областях AD. Но недостаток решения, не предусматривающего обновления схемы AD, состоит в том, что при добавлении в AD учетных записей пользователей, обладающих средствами для работы с Unix, производительность системы может снижаться. Мы не имели возможности протестировать в нашей лаборатории большое количество компьютеров Unix со множеством пользователей, чтобы сравнить данные в расширенной и нерасширенной среде, так что не можем сообщить вам, где именно происходит снижение производительности. Если у вас много пользователей, работающих с Unix, рекомендую рассмотреть возможность добавления стандартных расширений схемы R2; так вы сможете воспользоваться преимуществами реализованных в них средств индексирования. Но в любом случае данный продукт отличается значительной гибкостью в реализации.
Консоль Likewise Identity Console наделена добротным набором функциональных возможностей, включая средство для составления отчетов и средство миграции Unix Identity Migration Tool. Этот инструмент помогает переносить в AD существующие учетные записи Unix, файлы паролей и файлы групп. Он может также создавать сценарии для переопределения прав владения файлами на системе Unix, если они изменились в процессе миграции. На экране 2 показано диалоговое окно, используемое в процессе присоединения к домену AD.
Чтобы обеспечить поддержку нескольких идентификаторов для пользователей и групп, нам пришлось создать отдельную организационную единицу и активизировать объекты, которые специалисты Centeris именуют ячейками (cells) организационной единицы. Этот процесс был довольно сложен для понимания, так что нам пришлось отыскать в документации файл Likewise-Identity-Administrators-Guide.pdf. В конечном итоге эта функция реализована по тому же принципу, что и поддержка нескольких идентификаторов Unix в продуктах других поставщиков.
Наряду с этим в пакете Likewise Identity предусмотрены групповые политики Centeris Group Policies, но эти политики имеют ограничение в том, что именно они могут передавать клиентам Unix. Без предварительной подготовки эти политики могут вносить изменения в файл sudu, изменять файлы Automount, выполнять задачи cron и запускать сценарии регистрации.
Чисто случайно мы обнаружили, что при использовании Likewise Identity клиенты Unix загружаются без проблем, когда контроллер домена Windows 2003 AD отключен. Понятно, что при выключенном контроллере домена зарегистрироваться в этом домене невозможно, но если контроллер выключен, системы Unix с клиентом Centeris загружаются без проблем. Два других клиента, как нам показалось, чуть замедлили свою работу, когда искали контроллер домена в процессе загрузки (но в конечном итоге эта операция прошла без каких-либо осложнений).
Likewise Identity обеспечивает взаимодействие с множеством клиентов Unix, включая Mac OS X, Red Hat Linux, SuSE Linux и Ubunto. Полный перечень совместимых клиентов Unix опубликован в Internet по адресу http://www.centeris.com/products/likewise_identity/supported_platforms.php.
Резюме
Centeris likewise Identity
ЗА: Знакомый графический интерфейс процедуры установки для Unix, расширения AD Schema Extensions не требуются, в комплект поставки включены инструменты для составления отчетов и миграции
ПРОТИВ: Процедура создания ячейки для нескольких идентификаторов трудна для понимания
РЕЙТИНГ: 4 из 5
ЦЕНА: 249 долл. для сервера Unix, 49 долл. для рабочей станции Unix; рассчитывается по числу установленных агентов; допускается использование любого количества версий консоли на любом числе настольных систем.
РЕКОМЕНДАЦИЯ: Если вам нужно организовать аутентификацию систем Unix в AD, но вы не хотите расширять схему AD, мы рекомендуем использовать приложение Centeris Likewise Identity.
КОНТАКТ: Centeris, http://www.centeris.com/products
Centrify DirectControl
По простоте текстовой процедуры установки в среде Unix пакет DirectControl - явный лидер среди всех трех рассматриваемых продуктов. Приложение задало нам несколько простых вопросов, и установка завершилась за несколько минут. И как и в случае с двумя другими приложениями, установка DirectControl в среде Windows прошла без осложнений.
По завершении процедуры установки пользователь может либо открыть оснастку MMC AD Users and Computers и приступить к настройке DirectControl, либо обратиться непосредственно к оснастке Centrify DirectControl. В отличие от двух других продуктов продукт фирмы Centrify позволяет пользователю обратиться к полнофункциональному мастеру, который шаг за шагом помогает ему в настройке средств управления идентификаторами Unix в зонах, как это называется в документации DirectControl. На экране 3 представлен мастер Create New Zone. В том, что касается сложности установки и использования средств управления идентификаторами Unix, пакет DirectControl значительно превосходит другие продукты обзора, но с другой стороны, он является и самым мощным средством.
Как разъясняют представители Centrify, зоны подобны доменам AD и помогают организовывать различные версии Unix, представленные в сети. Вы можете, к примеру, сгруппировать все системы Red Hat в одной зоне, а компьютеры Solaris - в другой, и затем назначить отдельным зонам при регистрации различные командные оболочки или назначить зоны разным группам. Поддержка групповых политик в DirectControl организована на тех же началах, что и в VAS. Для активизации этой поддержки на наших испытаниях было достаточно добавить в новый объект групповой политики (GPO) шаблон centrifydc.adm. Мы были просто изумлены обилием настраиваемых параметров, включая политики паролей и настройки регистрации Unix.
Интерес представляет функция разрешения конфликтов PAM (Personality Account Management Conflict Resolution). В каждой крупной организации используется множество идентификаторов пользователей, глобально уникальных идентификаторов и учетных записей, и неудивительно, что между этими объектами могут возникать конфликты. Но что должна делать система в случае обнаружения конфликта? Вы можете выбрать одну из настроек - Ignore (т.е. ничего не предпринимать), Warn (т.е. предупредить пользователя о конфликте после входа в систему), или Error (т.е. не позволять пользователю регистрироваться в системе). С помощью групповых политик администратор управляет всеми этими вариантами, включая текст сообщения об ошибке, которое будет предъявлено пользователю.
DirectControl обеспечивает взаимодействие со многими клиентами Unix, включая Mac OS X, Red Hat Linux, SuSE Linux и VMware ESX Server. Полный перечень совместимых клиентов Unix опубликован в Internet по адресу http://www.centrify.com/directcontrol.
Резюме
Centrify DirectControl
ЗА: При регистрации в системе пользователь не должен применять доменное имя пользователя; в документации разъясняется, как осуществлять аутентификацию различных платформ и баз данных; изготовитель поставляет комплект для разработки SDK, позволяющий расширить стандартный набор функциональных возможностей; средства для подготовки отчетов; мощные функции управления идентификаторами Unix
ПРОТИВ: Если вы не работаете в среде Windows 2003 R2, требуется использование расширений AD Schema Extensions.
РЕЙТИНГ: 5 из 5
ЦЕНА: Начальная цена трех узлов - 800 долл.
РЕКОМЕНДАЦИЯ: Если вам требуется проверенное временем решение с сильными средствами управления Unix и мощными функциями управления миграцией, смело выбирайте Centrify DirectControl.
КОНТАКТ: Centrify, http://www.centrify.com
Редакция советует
На наших тестах все три продукта показали превосходные результаты. Все они функционируют в соответствии с заявлениями изготовителей. Разработчики пакета Centeris Likewise Identity заслуживают похвалы за то, что изыскали способ аутентификации систем Unix в каталоге AD без изменения схемы AD. Если у вас много пользователей, такое усовершенствование может обернуться снижением производительности, но как бы то ни было, иметь подобную возможность приятно. Если говорить о функциях групповой политики, здесь мы выделяем пакет Centrify DirectControl. Нам очень понравилось, как DirectControl использует шаблоны ADM вместо того, чтобы добавлять дополнительный код в оснастку AD Users and Computers. В пакете Quest Software Vintela Authentication Services нас покорили такие замечательные средства, как возможность выбора организационной единицы, в которую будет помещен новый компьютер, а также то обстоятельство, что пользователь не должен перед своим именем, используемым при регистрации в систему, указывать свое доменное имя.
Теперь о том, что нам не понравилось. Во всех трех продуктах процедуры добавления или активизации средств управления идентификаторами Unix оказались не такими простыми, как предполагалось. Во многих случаях поставщикам следует просто сделать сообщения об ошибках более информативными: нужно не просто предложить пользователю создать ячейку либо зону, но и сообщить ему, где находится инструмент, используемый для решения этой задачи.
Все три пакета являются первоклассными продуктами, но отличие "Редакция советует" достается Centrify DirectControl, ибо он является самым надежным из всех трех. Выбирайте Centrify - и вы не ошибетесь.