Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) |
StasFomin (обсуждение | вклад) (→Thesis) |
||
== Thesis ==
Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная школа №100, была построена в 2019
году. Оснащение школы обучающими материалами и компьютерной техникой соответствовало действующим на тот
момент стандартам. В связи с этим компьютерный парк школы превышает 500 единиц. Для централизованного управления таким
количеством техники возникла необходимость создания домена.
Ввиду неизбежного перехода государственных и муниципальных организаций на отечественное ПО, в качестве основы доменной
инфраструктуры была выбрана ОС «Альт Сервер». Средствами данной ОС, был создан домен <tt>Samba</tt>, являющийся аналогом <tt>Active Directory</tt>.
Первоначально в составе домена работало 48 ПК с ОС «Альт Образование». После заключения договора о сотрудничестве с
Базальт СПО и получения по этому договору дополнительных лицензий на Альт Образование, количество ПК в домене было
увеличено до 168.
Для ПК, не используемых непосредственно в учебном процессе, были куплены лицензии Альт Рабочая станция и Альт 8 СП (сертификат ФСТЭК).
ПК с Альт Рабочая станция были сразу без проблем интегрированы в домен. С ОС Альт 8 СП возникли проблемы с работой групповых
политик, исправленные после очередного обновления. Таким образом, на текущий момент, в состав домена входит 186 ПК с
разными дистрибутивами ОС Альт.
Поддержка групповых политик, реализованная в Альт Сервер, облегчает процесс настройки прав и рабочего окружения
пользователей домена. В частности, активно используются инструменты установки домашней страницы браузеров, создания
ярлыков программ, правил подключения usb-дисков, параметров удалённого доступа, и установки
дополнительного ПО.
В связи с тем, что большая часть пользователей ПК, на которых установлены ОС Альт — это школьники, которые часто
очень склонны ко всяким экспериментам с настройками техники, которой они пользуются, самыми востребованными в школе
групповыми политиками являются те, что задают ограничения на изменение графического оформления системы — обоев,
заставки, темы и так далее. Но на данный момент, эти политики влияют только на ПК, с графической оболочкой
Mate. В ОС «Альт Образование», установленной на ученические ПК, используются графические оболочки
XFCE и KDE Plasma. Поэтому ведутся поиски альтернативных методов блокировки настроек
рабочей среды на ученических ПК.
Для управления доменом используется ОС «Альт Сервер 10» с установленной утилитой <tt>ADMC</tt>, и
<tt>windows</tt> 7 с <tt>RSAT</tt>. Утилиты имеют схожий интерфейс, и внутреннюю
логику, что очень упрощает их совместное использование. Возможности, заложенные в <tt>ADMC</tt> на данный
момент перекрывают большую часть задач, возникающих в повседневной работе с доменом: cоздание/редактирование
пользователей и компьютеров, настройка общих папок и так далее. <tt>RSAT</tt> используется для настройки
групповых политик, в той части, которая пока не реализована средствами <tt>ADMC</tt>.
Поскольку почти две трети компьютерного парка школы — это ноутбуки, весьма важным вопросом является ограничение
доступа в сеть посторонних устройств. Никакие пароли не обеспечивают надёжную защиту доступа в сеть. Школьники начиная
с 7-8 классов прекрасно осведомлены о способах подбора пароля — например, с помощью известной утилиты
<tt>Reaver</tt>. Первоначально ограничение доступа обеспечивалось фильтрацией по белому списку
<tt>mac</tt>-адресов. Но исчерпание ёмкости таблицы фильтра, вынудило перейти на другие способы
аутентификации. В этом вопросе очень помогло наличие в Альт Сервер встроенного сервера <tt>Radius</tt>.
Помимо авторизации пользователей в ОС, доменная авторизация используется в других программных комплексах, используемых в
школе: системе облачного хранилища <tt>Nextcloud</tt>, системе управления компьютерным классом
<tt>Veyon</tt>. В случае с <tt>Nextcloud</tt>, сквозная авторизация облегчает работу пользователей
— нет необходимости запоминать различные учётные данные для ПК и облака. Использование доменной авторизации в
<tt>Veyon</tt>, упрощает управление каталогом клиентских компьютеров, и обеспечивает более очевидную
идентификацию управляемых ПК на компьютере учителя.
Сейчас для школы закуплено ещё 360 лицензий Альт Образование, для замены ОС <tt>Windows</tt> на практически
100% ПК. Такое увеличение количества компьютеров в домене, влечёт за собой обновление технической части контроллера
домена, в частности, переноса контроллера с обычного ПК, на стоечный сервер с существенно большими аппаратными
ресурсами. Также, планируется введение вторичного контроллера.
По мере увеличения функциональности встроенных в ОС Альт средств управления доменом, в частности
<tt>ADMC</tt> и <tt>GPUI</tt>, есть желание отказаться от использования связки
<tt>windows 7</tt> и <tt>RSAT</tt>.
{{----}}
[[File:{{#setmainimage:Организация доменной инфраструктуры в общеобразовательной школе на базе решений Базальт СПО (Александр Клепалов, OSEDUCONF-2022)!.jpg}}|center|640px]]
{{LinksSection}}
<!-- <blockquote>[©]</blockquote> -->
<references/>
[[Категория:OSEDUCONF-2022]]
[[Категория:Draft]] | |||
Версия 18:39, 25 февраля 2024
- Докладчик
- Александр Клепалов
В докладе описывается опыт организации домена в ЛВС общеобразовательной школы. Приводится информация о структуре домена, операционных системах, используемых на ПК входящих в домен, программном обеспечении, используемом в процессе управления, дополнительном ПО, расширяющем функциональность контроллера домена.
Также приведена информация о мерах по обеспечению информационной безопасности, резервирования данных и перспективах развития доменной инфраструктуры.
Содержание
Видео
Презентация
Thesis
Муниципальное автономное общеобразовательное учреждение средняя общеобразовательная школа №100, была построена в 2019 году. Оснащение школы обучающими материалами и компьютерной техникой соответствовало действующим на тот момент стандартам. В связи с этим компьютерный парк школы превышает 500 единиц. Для централизованного управления таким количеством техники возникла необходимость создания домена.
Ввиду неизбежного перехода государственных и муниципальных организаций на отечественное ПО, в качестве основы доменной инфраструктуры была выбрана ОС «Альт Сервер». Средствами данной ОС, был создан домен Samba, являющийся аналогом Active Directory.
Первоначально в составе домена работало 48 ПК с ОС «Альт Образование». После заключения договора о сотрудничестве с Базальт СПО и получения по этому договору дополнительных лицензий на Альт Образование, количество ПК в домене было увеличено до 168.
Для ПК, не используемых непосредственно в учебном процессе, были куплены лицензии Альт Рабочая станция и Альт 8 СП (сертификат ФСТЭК). ПК с Альт Рабочая станция были сразу без проблем интегрированы в домен. С ОС Альт 8 СП возникли проблемы с работой групповых политик, исправленные после очередного обновления. Таким образом, на текущий момент, в состав домена входит 186 ПК с разными дистрибутивами ОС Альт.
Поддержка групповых политик, реализованная в Альт Сервер, облегчает процесс настройки прав и рабочего окружения пользователей домена. В частности, активно используются инструменты установки домашней страницы браузеров, создания ярлыков программ, правил подключения usb-дисков, параметров удалённого доступа, и установки дополнительного ПО.
В связи с тем, что большая часть пользователей ПК, на которых установлены ОС Альт — это школьники, которые часто очень склонны ко всяким экспериментам с настройками техники, которой они пользуются, самыми востребованными в школе групповыми политиками являются те, что задают ограничения на изменение графического оформления системы — обоев, заставки, темы и так далее. Но на данный момент, эти политики влияют только на ПК, с графической оболочкой Mate. В ОС «Альт Образование», установленной на ученические ПК, используются графические оболочки XFCE и KDE Plasma. Поэтому ведутся поиски альтернативных методов блокировки настроек рабочей среды на ученических ПК.
Для управления доменом используется ОС «Альт Сервер 10» с установленной утилитой ADMC, и windows 7 с RSAT. Утилиты имеют схожий интерфейс, и внутреннюю логику, что очень упрощает их совместное использование. Возможности, заложенные в ADMC на данный момент перекрывают большую часть задач, возникающих в повседневной работе с доменом: cоздание/редактирование пользователей и компьютеров, настройка общих папок и так далее. RSAT используется для настройки групповых политик, в той части, которая пока не реализована средствами ADMC.
Поскольку почти две трети компьютерного парка школы — это ноутбуки, весьма важным вопросом является ограничение доступа в сеть посторонних устройств. Никакие пароли не обеспечивают надёжную защиту доступа в сеть. Школьники начиная с 7-8 классов прекрасно осведомлены о способах подбора пароля — например, с помощью известной утилиты Reaver. Первоначально ограничение доступа обеспечивалось фильтрацией по белому списку mac-адресов. Но исчерпание ёмкости таблицы фильтра, вынудило перейти на другие способы аутентификации. В этом вопросе очень помогло наличие в Альт Сервер встроенного сервера Radius.
Помимо авторизации пользователей в ОС, доменная авторизация используется в других программных комплексах, используемых в школе: системе облачного хранилища Nextcloud, системе управления компьютерным классом Veyon. В случае с Nextcloud, сквозная авторизация облегчает работу пользователей
— нет необходимости запоминать различные учётные данные для ПК и облака. Использование доменной авторизации в
Veyon, упрощает управление каталогом клиентских компьютеров, и обеспечивает более очевидную идентификацию управляемых ПК на компьютере учителя.
Сейчас для школы закуплено ещё 360 лицензий Альт Образование, для замены ОС Windows на практически 100% ПК. Такое увеличение количества компьютеров в домене, влечёт за собой обновление технической части контроллера домена, в частности, переноса контроллера с обычного ПК, на стоечный сервер с существенно большими аппаратными ресурсами. Также, планируется введение вторичного контроллера.
По мере увеличения функциональности встроенных в ОС Альт средств управления доменом, в частности ADMC и GPUI, есть желание отказаться от использования связки windows 7 и RSAT.
!.jpg)