Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) |
StasFomin (обсуждение | вклад) |
||
(не показаны 2 промежуточные версии этого же участника) | |||
…|}} |kGIM-hG0ONI}} {{SlidesSection}} [[File:Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022).pdf|left|page=-|300px]] {{----}} == Thesis == Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная школа №100, была построена в 2019 году. Оснащение школы обучающими материалами и компьютерной техникой соответствовало действующим на тот момент стандартам. В связи с этим компьютерный парк школы превышает 500 единиц. Для централизованного управления таким количеством техники возникла необходимость создания домена. Ввиду неизбежного перехода государственных и муниципальных организаций на отечественное ПО, в качестве основы доменной инфраструктуры была выбрана ОС «Альт Сервер». Средствами данной ОС, был создан домен <tt>Samba</tt>, являющийся аналогом <tt>Active Directory</tt>. Первоначально в составе домена работало 48 ПК с ОС «Альт Образование». После заключения договора о сотрудничестве с Базальт СПО и получения по этому договору дополнительных лицензий на Альт Образование, количество ПК в домене было увеличено до 168. Для ПК, не используемых непосредственно в учебном процессе, были куплены лицензии Альт Рабочая станция и Альт 8 СП (сертификат ФСТЭК). ПК с Альт Рабочая станция были сразу без проблем интегрированы в домен. С ОС Альт 8 СП возникли проблемы с работой групповых политик, исправленные после очередного обновления. Таким образом, на текущий момент, в состав домена входит 186 ПК с разными дистрибутивами ОС Альт. Поддержка групповых политик, реализованная в Альт Сервер, облегчает процесс настройки прав и рабочего окружения пользователей домена. В частности, активно используются инструменты установки домашней страницы браузеров, создания ярлыков программ, правил подключения usb-дисков, параметров удалённого доступа, и установки дополнительного ПО. В связи с тем, что большая часть пользователей ПК, на которых установлены ОС Альт — это школьники, которые часто очень склонны ко всяким экспериментам с настройками техники, которой они пользуются, самыми востребованными в школе групповыми политиками являются те, что задают ограничения на изменение графического оформления системы — обоев, заставки, темы и так далее. Но на данный момент, эти политики влияют только на ПК, с графической оболочкой Mate. В ОС «Альт Образование», установленной на ученические ПК, используются графические оболочки XFCE и KDE Plasma. Поэтому ведутся поиски альтернативных методов блокировки настроек рабочей среды на ученических ПК. Для управления доменом используется ОС «Альт Сервер 10» с установленной утилитой <tt>ADMC</tt>, и <tt>windows</tt> 7 с <tt>RSAT</tt>. Утилиты имеют схожий интерфейс, и внутреннюю логику, что очень упрощает их совместное использование. Возможности, заложенные в <tt>ADMC</tt> на данный момент перекрывают большую часть задач, возникающих в повседневной работе с доменом: cоздание/редактирование пользователей и компьютеров, настройка общих папок и так далее. <tt>RSAT</tt> используется для настройки групповых политик, в той части, которая пока не реализована средствами <tt>ADMC</tt>. Поскольку почти две трети компьютерного парка школы — это ноутбуки, весьма важным вопросом является ограничение доступа в сеть посторонних устройств. Никакие пароли не обеспечивают надёжную защиту доступа в сеть. Школьники начиная с 7-8 классов прекрасно осведомлены о способах подбора пароля — например, с помощью известной утилиты <tt>Reaver</tt>. Первоначально ограничение доступа обеспечивалось фильтрацией по белому списку <tt>mac</tt>-адресов. Но исчерпание ёмкости таблицы фильтра, вынудило перейти на другие способы аутентификации. В этом вопросе очень помогло наличие в Альт Сервер встроенного сервера <tt>Radius</tt>. Помимо авторизации пользователей в ОС, доменная авторизация используется в других программных комплексах, используемых в школе: системе облачного хранилища <tt>Nextcloud</tt>, системе управления компьютерным классом <tt>Veyon</tt>. В случае с <tt>Nextcloud</tt>, сквозная авторизация облегчает работу пользователей — нет необходимости запоминать различные учётные данные для ПК и облака. Использование доменной авторизации в <tt>Veyon</tt>, упрощает управление каталогом клиентских компьютеров, и обеспечивает более очевидную идентификацию управляемых ПК на компьютере учителя. Сейчас для школы закуплено ещё 360 лицензий Альт Образование, для замены ОС <tt>Windows</tt> на практически 100% ПК. Такое увеличение количества компьютеров в домене, влечёт за собой обновление технической части контроллера домена, в частности, переноса контроллера с обычного ПК, на стоечный сервер с существенно большими аппаратными ресурсами. Также, планируется введение вторичного контроллера. По мере увеличения функциональности встроенных в ОС Альт средств управления доменом, в частности <tt>ADMC</tt> и <tt>GPUI</tt>, есть желание отказаться от использования связки <tt>windows 7</tt> и <tt>RSAT</tt>. {{----}} [[File:{{#setmainimage:Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022)!.jpg}}|center|640px]] {{LinksSection}} <!-- <blockquote>[©]</blockquote> --> <references/> [[Категория:OSEDUCONF-2022]] [[Категория:Draft]] |
Текущая версия на 13:11, 4 марта 2024
- Докладчик
- Александр Клепалов
В докладе описывается опыт организации домена в ЛВС общеобразовательной школы. Приводится информация о структуре домена, операционных системах, используемых на ПК входящих в домен, программном обеспечении, используемом в процессе управления, дополнительном ПО, расширяющем функциональность контроллера домена.
Также приведена информация о мерах по обеспечению информационной безопасности, резервирования данных и перспективах развития доменной инфраструктуры.
Содержание
Видео
Презентация
Thesis
Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная школа №100, была построена в 2019 году. Оснащение школы обучающими материалами и компьютерной техникой соответствовало действующим на тот момент стандартам. В связи с этим компьютерный парк школы превышает 500 единиц. Для централизованного управления таким количеством техники возникла необходимость создания домена.
Ввиду неизбежного перехода государственных и муниципальных организаций на отечественное ПО, в качестве основы доменной инфраструктуры была выбрана ОС «Альт Сервер». Средствами данной ОС, был создан домен Samba, являющийся аналогом Active Directory.
Первоначально в составе домена работало 48 ПК с ОС «Альт Образование». После заключения договора о сотрудничестве с Базальт СПО и получения по этому договору дополнительных лицензий на Альт Образование, количество ПК в домене было увеличено до 168.
Для ПК, не используемых непосредственно в учебном процессе, были куплены лицензии Альт Рабочая станция и Альт 8 СП (сертификат ФСТЭК). ПК с Альт Рабочая станция были сразу без проблем интегрированы в домен. С ОС Альт 8 СП возникли проблемы с работой групповых политик, исправленные после очередного обновления. Таким образом, на текущий момент, в состав домена входит 186 ПК с разными дистрибутивами ОС Альт.
Поддержка групповых политик, реализованная в Альт Сервер, облегчает процесс настройки прав и рабочего окружения пользователей домена. В частности, активно используются инструменты установки домашней страницы браузеров, создания ярлыков программ, правил подключения usb-дисков, параметров удалённого доступа, и установки дополнительного ПО.
В связи с тем, что большая часть пользователей ПК, на которых установлены ОС Альт — это школьники, которые часто очень склонны ко всяким экспериментам с настройками техники, которой они пользуются, самыми востребованными в школе групповыми политиками являются те, что задают ограничения на изменение графического оформления системы — обоев, заставки, темы и так далее. Но на данный момент, эти политики влияют только на ПК, с графической оболочкой Mate. В ОС «Альт Образование», установленной на ученические ПК, используются графические оболочки XFCE и KDE Plasma. Поэтому ведутся поиски альтернативных методов блокировки настроек рабочей среды на ученических ПК.
Для управления доменом используется ОС «Альт Сервер 10» с установленной утилитой ADMC, и windows 7 с RSAT. Утилиты имеют схожий интерфейс, и внутреннюю логику, что очень упрощает их совместное использование. Возможности, заложенные в ADMC на данный момент перекрывают большую часть задач, возникающих в повседневной работе с доменом: cоздание/редактирование пользователей и компьютеров, настройка общих папок и так далее. RSAT используется для настройки групповых политик, в той части, которая пока не реализована средствами ADMC.
Поскольку почти две трети компьютерного парка школы — это ноутбуки, весьма важным вопросом является ограничение доступа в сеть посторонних устройств. Никакие пароли не обеспечивают надёжную защиту доступа в сеть. Школьники начиная с 7-8 классов прекрасно осведомлены о способах подбора пароля — например, с помощью известной утилиты Reaver. Первоначально ограничение доступа обеспечивалось фильтрацией по белому списку mac-адресов. Но исчерпание ёмкости таблицы фильтра, вынудило перейти на другие способы аутентификации. В этом вопросе очень помогло наличие в Альт Сервер встроенного сервера Radius.
Помимо авторизации пользователей в ОС, доменная авторизация используется в других программных комплексах, используемых в школе: системе облачного хранилища Nextcloud, системе управления компьютерным классом Veyon. В случае с Nextcloud, сквозная авторизация облегчает работу пользователей — нет необходимости запоминать различные учётные данные для ПК и облака. Использование доменной авторизации в Veyon, упрощает управление каталогом клиентских компьютеров, и обеспечивает более очевидную идентификацию управляемых ПК на компьютере учителя.
Сейчас для школы закуплено ещё 360 лицензий Альт Образование, для замены ОС Windows на практически 100% ПК. Такое увеличение количества компьютеров в домене, влечёт за собой обновление технической части контроллера домена, в частности, переноса контроллера с обычного ПК, на стоечный сервер с существенно большими аппаратными ресурсами. Также, планируется введение вторичного контроллера.
По мере увеличения функциональности встроенных в ОС Альт средств управления доменом, в частности ADMC и GPUI, есть желание отказаться от использования связки windows 7 и RSAT.