Система централизованного управления ИТ-инфраструктурой

Очень мощные по возможностям Open Source-приложения часто проигрывают в больших сетях, требующих централизации управления. Проект GOsa2 (в дальнейшем просто GOsa) обеспечивает выполнение большинства требований и задач, выдвигаемых к подобным решениям.

Современная корпоративная сеть включает в себя десятки сервисов, которые используют в своей работе сотни пользователей. Отследить, что и с каким приложением может работать, позволяет единая база учетных записей. Поэтому централизация управления учетными записями и доступом к ресурсам позволяет решить большую часть проблем по администрированию и безопасности. Не секрет, что, используя Open Source-приложения, можно построить любую систему сервисов, в том числе и такой как складская программа, как из кирпичиков. Единой базой пользователей, объединяющей все, может стать LDAP-сервер.

К сожалению, на этом хорошая часть заканчивается. Тот, кто реально пытался привязать к LDAP почтовый сервер, Squid, VoIP, системные учетные записи, рабочие станции и прочее, столкнулся с необходимостью производить большое количество настроек. Но этого мало — необходим удобный инструмент управления, обеспечивающий дальнейшую работу с LDAP-каталогом. Функциональности популярного phpLDAPadmin недостаточно, что неудивительно, ведь основное его назначение — работа непосредственно с LDAP-атрибутами, которая хоть и выполняется в графической среде, однако не совсем наглядна.

Проект GOsa, предлагая единую систему управления для больших и малых сред, основанную на LDAP, обеспечивает нужный уровень абстракции данных, вроде учетных данных пользователя и параметров сервисов. Внедрение GOsa дает возможность администратору даже без должного уровня подготовки централизованно управлять ИТ-инфраструктурой, построенной на популярных Open Source-приложениях.

Сразу оговорюсь, статья не является руководством по GOsa, учитывая его возможности, это было бы просто нереально. Цель — познакомить читателя с действительно интересным продуктом, показав его особенности и порядок установки и работы.

Возможности варьируются от управления учетными записями, а также правами пользователей и групп UNIX и Samba, компьютерами, сетевыми службами: DHCP, DNS, HTTP, SMTP и приложениями, VoIP, списками рассылок, факсами и так далее. Реализованная система плагинов позволяет администратору собрать конфигурацию GOsa под любые требования.

В настоящее время реализовано более 30 плагинов, обеспечивающих централизованное управление GOsa такими сервисами, как Squid, DansGuardin, rsyslog, Postfix, Courier-IMAP, Maitdrop, GNARWL, Cyrus-SASL, OpenSSL Asterisk, Nagios, OPSI (система управления Windows-клиентами), Netatalk, FA! (развертывание и управление кластерами в Linux), SOGo (сервер коллективной работы, использующий в том числе и Open-Xchange), OpenGroupware, Kolab, Scalix, ISC DHCP (позволяющий использовать LDAP), WebDAV, PureFTPd, PPTPr Kerberos.

В качестве веб-сервера может использоваться любой, в зависимостях пакетов указан Apache2 или ngnix. Поддерживается Master/Slave OpenLDAP-репликация. Причем все вышеуказанное не обязательно должно работать на одном сервере, некоторые сервисы могут быть установлены на отдельные компьютеры.

Реализовано многослойное управление доступом на основе ACL В текущей версии набор разрешений ACL состоит из типа ACL (определяет видимость — дерево, поддерево, субъект и т.д.), собственно объектов (пользователей/ групп) и множества разрешений. Разрешения определяют действия над объектом — создание, удаление, перемещение, чтение, запись и т.д. Все соответствующие настройки доступны в дополнительных плагинах управления.