Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022)
Материал из 0x1.tv
- Докладчик
- Александр Клепалов
В докладе описывается опыт организации домена в ЛВС общеобразовательной школы. Приводится информация о структуре домена, операционных системах, используемых на ПК входящих в домен, программном обеспечении, используемом в процессе управления, дополнительном ПО, расширяющем функциональность контроллера домена.
Также приведена информация о мерах по обеспечению информационной безопасности, резервирования данных и перспективах развития доменной инфраструктуры.
Содержание
Видео
Презентация
Thesis
Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная школа №100, была построена в 2019 году. Оснащение школы обучающими материалами и компьютерной техникой соответствовало действующим на тот момент стандартам. В связи с этим компьютерный парк школы превышает 500 единиц. Для централизованного управления таким количеством техники возникла необходимость создания домена.
Ввиду неизбежного перехода государственных и муниципальных организаций на отечественное ПО, в качестве основы доменной инфраструктуры была выбрана ОС «Альт Сервер». Средствами данной ОС, был создан домен Samba, являющийся аналогом Active Directory.
Первоначально в составе домена работало 48 ПК с ОС «Альт Образование». После заключения договора о сотрудничестве с Базальт СПО и получения по этому договору дополнительных лицензий на Альт Образование, количество ПК в домене было увеличено до 168.
Для ПК, не используемых непосредственно в учебном процессе, были куплены лицензии Альт Рабочая станция и Альт 8 СП (сертификат ФСТЭК). ПК с Альт Рабочая станция были сразу без проблем интегрированы в домен. С ОС Альт 8 СП возникли проблемы с работой групповых политик, исправленные после очередного обновления. Таким образом, на текущий момент, в состав домена входит 186 ПК с разными дистрибутивами ОС Альт.
Поддержка групповых политик, реализованная в Альт Сервер, облегчает процесс настройки прав и рабочего окружения пользователей домена. В частности, активно используются инструменты установки домашней страницы браузеров, создания ярлыков программ, правил подключения usb-дисков, параметров удалённого доступа, и установки дополнительного ПО.
В связи с тем, что большая часть пользователей ПК, на которых установлены ОС Альт — это школьники, которые часто очень склонны ко всяким экспериментам с настройками техники, которой они пользуются, самыми востребованными в школе групповыми политиками являются те, что задают ограничения на изменение графического оформления системы — обоев, заставки, темы и так далее. Но на данный момент, эти политики влияют только на ПК, с графической оболочкой Mate. В ОС «Альт Образование», установленной на ученические ПК, используются графические оболочки XFCE и KDE Plasma. Поэтому ведутся поиски альтернативных методов блокировки настроек рабочей среды на ученических ПК.
Для управления доменом используется ОС «Альт Сервер 10» с установленной утилитой ADMC, и windows 7 с RSAT. Утилиты имеют схожий интерфейс, и внутреннюю логику, что очень упрощает их совместное использование. Возможности, заложенные в ADMC на данный момент перекрывают большую часть задач, возникающих в повседневной работе с доменом: cоздание/редактирование пользователей и компьютеров, настройка общих папок и так далее. RSAT используется для настройки групповых политик, в той части, которая пока не реализована средствами ADMC.
Поскольку почти две трети компьютерного парка школы — это ноутбуки, весьма важным вопросом является ограничение доступа в сеть посторонних устройств. Никакие пароли не обеспечивают надёжную защиту доступа в сеть. Школьники начиная с 7-8 классов прекрасно осведомлены о способах подбора пароля — например, с помощью известной утилиты Reaver. Первоначально ограничение доступа обеспечивалось фильтрацией по белому списку mac-адресов. Но исчерпание ёмкости таблицы фильтра, вынудило перейти на другие способы аутентификации. В этом вопросе очень помогло наличие в Альт Сервер встроенного сервера Radius.
Помимо авторизации пользователей в ОС, доменная авторизация используется в других программных комплексах, используемых в школе: системе облачного хранилища Nextcloud, системе управления компьютерным классом Veyon. В случае с Nextcloud, сквозная авторизация облегчает работу пользователей — нет необходимости запоминать различные учётные данные для ПК и облака. Использование доменной авторизации в Veyon, упрощает управление каталогом клиентских компьютеров, и обеспечивает более очевидную идентификацию управляемых ПК на компьютере учителя.
Сейчас для школы закуплено ещё 360 лицензий Альт Образование, для замены ОС Windows на практически 100% ПК. Такое увеличение количества компьютеров в домене, влечёт за собой обновление технической части контроллера домена, в частности, переноса контроллера с обычного ПК, на стоечный сервер с существенно большими аппаратными ресурсами. Также, планируется введение вторичного контроллера.
По мере увеличения функциональности встроенных в ОС Альт средств управления доменом, в частности ADMC и GPUI, есть желание отказаться от использования связки windows 7 и RSAT.
!.jpg)