2025 ж. 22 ақп.·3 мин

Microsoft AD-дан FreeIPA-ға көшу: проблема жоқ миграция жоспары

Microsoft AD-дан FreeIPA-ға көшу: пайдаланушылар мен топтарды, Kerberos пен саясаттарды қалай көшіру, Linux-ты баптау және Windows жұмыс орындарының жұмысы сақталуын қамтамасыз ету.

Microsoft AD-дан FreeIPA-ға көшу: проблема жоқ миграция жоспары

AD-тен FreeIPA-ға көшу кезінде не өзгереді

Active Directory әдетте төрт негізгі міндетті шешеді: біртекті кіру (есептік жазбалар мен парольдер), топтар мен құқықтар, қызметтер үшін Kerberos SSO және жұмыс орындарына арналған орталықтандырылған саясаттар. Microsoft AD-дан FreeIPA-ға көшу кезінде алдын ала анықтап алыңыз: не өзгеріссіз қалуы тиіс — кім қай жүйеге кіре алады, қай топтар рұқсат береді, қандай қосымшалар Kerberos-ке тәуелді және нақты қандай қауіпсіздік талаптары қолданыста.

FreeIPA-ның басты айырмашылығы — ол негізінен Linux-қа бағытталған сәйкестендіру және саясат платформасы. Ол әсіресе Linux-серверлер, SSH-құқықтар, sudo, веб‑қызметтер және ішкі қолданбалар көп болған ортаға жақсы келеді. Windows‑ке тән сценарийлер кейде қосымша шешімдер немесе компромистер талап етеді.

Егер дайындық болмаса, жиі бұзылады:

  • AD атрибуттарын немесе бұрынғы realm-ді қатты күтетін сервистерге кіру;
  • егер барлығы AD және SMB айналасында құрылған болса, файл шарлары мен принтерлерге қолжетімділік;
  • сервис есептік жазбаларын және SPN-дерді тексермей көшіргенде SSO бұзылуы;
  • жұмыс орындарындағы әдеттегі саясаттар, өйткені GPO-ның 1:1 аналоги жоқ.

FreeIPA жарайтын-жарамайтынын жылдам бағалау: қай жақта маңызды тәуелділіктер көбірек — Linux инфрақұрылымында ма, әлде Windows жұмыс орындарында ма. Егер негізгі жүйелер Linux-та (қолданба серверлері, базалар, CI, веб), FreeIPA әдетте тез нәтиже береді. Егер барлығы GPO және Windows домендік кіруге негізделсе, саясаттар мен SMB үшін бөлек стратегия жоспарлаңыз.

Пайдаланушылар үшін өзгерістер әдетте realm атауы, кейбір сервистердегі кіру терезесі және мүмкін парольді қайта орнату арқылы көрінеді. Қолдауға «SSO жұмыс істемейді», «топ арқылы қолжетімсіз», «хост тіркелмеген» сияқты типтік сұраулар пайда болады — алдын ала қысқа нұсқаулықтар мен диагностикалық сценарийлер дайындаңыз.

Талаптар жинау және ағымдағы AD инвентаризациясы

Көшу серверлерді орнатумен емес, доменде қазір не жұмыс істеп жатқанын нақты түсінуден басталады. Егер инвентаризацияны өткізіп жіберсеңіз, жиі «жоғалады» — сервис есептік жазбалар, Kerberos тәуелділіктері және ескіліктен қалған маңызды топтар.

Бастапқыда структураны тіркеңіз: домендер мен ормандар (лес), OU, негізгі топтар және құқық делегациясының моделі. Айрықша атап көрсетіңіз: администраторлар, break‑glass есептік жазбалары, сервис есептері және автоматтандыруға қатысты барлық нәрсе (скрипттер, жоспарлаушылар, интеграциялар).

Әрі қарай AD аутентификациясы немесе топтарды қолданатын сервистер тізімін жасаңыз. Әдетте бұл — файл ресурс және принт, пошталар, VPN, Wi‑Fi (802.1X), прокси, корпоративті қосымшалар, терминал фермалар және LDAP немесе Kerberos қолданатын кез келген жүйе. Әр сервис үшін иесін, қазіргі кіру әдісін және сәтті миграция критерийін көрсеткен жөн.

Инфрақұрылымдық тәуелділіктерді бөлек тексеріңіз: DNS, NTP және сертификаттар. Kerberos бірнеше минуттық уақыт айырмашылығынан-ақ бұзылуы мүмкін, ал AD-дегі «мурасты» DNS жиі ауыстырғанда ғана көрінеді.

Қауіпсіздік талаптарын алдын ала келісіңіз: пароль және блоктау саясаттары, есептік жазбалардың өмір сүру мерзімі, аудит, MFA міндеттілігі (бар болса) және салалық талаптар. Мемлекеттік, медицина және қаржы секторында кіру журналдары мен әкімшілік әрекеттер бақылауы ерекше маңызды.

Қысқа сұрақ‑жауап инвентаризация үшін:

  • Қай домендер, OU және топтар нақты рұқсат беруде қатысады?
  • Қай сервистер LDAP, Kerberos немесе DNS қолданады және ол жердегі есептер кімде?
  • Сертификаттар қайда сақталады және қалай шығарылады (LDAPS, Wi‑Fi, VPN, веб)?
  • Қай пароль, аудит пен MFA талаптары міндетті?
  • Қандай техникалық терезелерді қолайлы және қандай тоқтату қабылданады?

Этап нәтижесі — объектілер мен сервистер тізімі, приоритеттерімен. Бұл әдетте пилотқа күндер сақтайды және ауыстырудан кейінгі «жасырын» ақаулар тәуекелін айтарлықтай төмендетеді.

FreeIPA мақсатты схемасы: DNS, realm, репликация және сенім

Дұрыс FreeIPA схемасы миграция мәселелерінің жартысын шешеді. Есептерді көшіру алдында серверлер қайда тұратынын, қай DNS авторитативті болатынын, realm және домен атауларын қалай атау керектігін және AD-пен көпір (bridge) қажет пе екенін анықтаңыз.

Қанша сервер және қайда орналастыру

FreeIPA әдетте кем дегенде екі инстанцияда орналастырылады, бір түйіннің істемеуі пайдаланушы кіруін және Kerberos билет беруді тоқтатпау үшін. Оларды әртүрлі стойкада немесе сайттарда, желі сегменттеріне жақын орналастыру дұрыс.

Көп ұйымға практикалық схема:

  • бір сайтта 2 FreeIPA сервері (негізгі + реплика);
  • филиалдар болса және байланыс үзілуіне төзімділік қажет болса — 3 сервер;
  • өзгерістерді қауіпсіз тексеру үшін бөлек тест ортасы (түйін немесе VM).

DNS‑ті дереу ойластыру керек. FreeIPA ішкі DNS басқаруға ыңғайлы — зоналарды бір жерден басқаруға және қызмет жазбаларын тез көтеруге болады. Сыртқы DNS инфрақұрылымы егер DNS қатал регламенттелген болса жарайды. Көбінесе схема: сыртқы DNS негізгі болып қалады, ал FreeIPA жеке поддоменді толығымен басқарады.

Trust, атаулар және AD-пен үйлесімділік

Егер көшу кезең-кезеңмен болса, AD-пен сенім орнату қажет болуы мүмкін, сонда кейбір пайдаланушылар мен сервистер әлі де ескі доменде жұмысын жалғастыра береді. Бұл Windows жұмыс станциялары жаңа аутентификация көзіне дайын болғанға дейін жеңіл көшуге көмектеседі.

Атау жоспарын орнатуды құжаттаңыз:

  • realm (әдетте бас әріптерде) және DNS‑домен (кіші әріптерде);
  • логин форматы мен UPN, пошта мен қосымшаларда тосынсый болмас үшін;
  • сервис есептер мен SPN ережелері;
  • хосттар мен сервистердің атау келісімдері.

Уақыт пен бэкапты ұмытпаңыз. Kerberos уақытқа сезімтал, сондықтан барлық серверлер мен клиенттерде NTP орнатыңыз және рұқсат етілген дрейфті тексеріңіз. Алдын ала FreeIPA-ның резервтік көшірмесін қалай жасайтыныңызды (кілттер, сертификаттар және DNS зоналары қосылған) және қалпына келтіру жылдамдығын анықтаңыз.

Деректерді дайындау: пайдаланушылар, топтар және атрибуттар

Сюрпризсіз миграция жоспары
Талаптарды жинап, жұмыс терезелері мен откатпен кезең-кезең жоспар құрамыз.
Жоспарды талқылау

Көшірмес бұрын деректерді жинастырыңыз. "Керісінше көшірсеңіз", бұрынғы қиындықтарды жаңа жүйеге алып келесіз: қажетсіз аккаунттар, түсініксіз топтар және бақылаусыз құқықтар.

Алдымен AD‑тағы тазалау: бұрынғы қызметкерлердің ұмытылған аккаунттары, тесттік логиндер, дубликаттар мен «қай уақытта да керек» топтар шығады. Қарапайым ережелер көмектеседі: 90–180 күн бойы кірмеген аккаунттарды өшіру, иесі жоқ бос топтарды жою, дубликаттарды шешу және сервис аккаунттарын міндетті түрде белгілеу (қайда қолданылады, кім иесі).

Содан кейін атрибуттарды нормализациялау қажет. FreeIPA-да әдетте маңыздысы — uid, mail, givenName/sn және көрсетілетін атау. Кейбір қызметкерлердің e‑mail мекенжайында ескі домен қалып қойғаны немесе логиндердің әртүрлі форматта болуы (ivanov, i.ivanov, ivanov_i) жиі кездеседі. Оны алдын ала шешіп, сәйкестік кестесін дайындаңыз.

Әкімшілік құқықтарды бөлек тексеріңіз. AD-да кім privileged топтарға кіретініне және кірістірілген рольдер қайда қолданылатынына қараңыз. Көп жағдайда "Domain Admin" құқықтары файл немесе принтерге қол жету үшін беріледі — оны таррақ құқықпен алмастыруға болады.

Соңында сәйкестік жоспарын жасаңыз: AD-дегі OU‑лар бірдей тұрмайды, сондықтан алдын ала шешіңіз — не топ болады, не HBAC және FreeIPA құқықтарына өтеді. Пилотқа 20–30 түрлі бөлімнен пайдаланушылар мен 2–3 сервис есептік жазбасын алыңыз — нақты кескінді көру үшін бұл жеткілікті.

Пайдаланушылар мен топтарды көшіру: не көшіру және қалай

Ең маңыздысы — қандай аккаунттар расында қажет екенін келісу. Көбіне қызметкерлер мен мердігерлер, рұқсат топтары және пайдаланушысы бар сервис есептері көшіріледі. AD‑дағы компьютерлік аккаунттарды көбіне бір‑біріне көшірудің мағынасы жоқ: Linux‑хосттарды FreeIPA-ға қайта қосу оңай, ал Windows жұмыс станциялары үшін үйлесімділік сценарийін алдын ала таңдау керек.

Не көшіру қажет

Минималды жиынтық:

  • пайдаланушылар (логин, толық аты, почта, бөлім, телефон, статусы);
  • топтар (аттары, мақсаттары, иелері, мүшеліктер);
  • пайдаланылып жатқан және иесі бар сервис есептері;
  • егер бар болса — мерзім және блоктау ережелері.

Құпиясөз — жиі тосынсый. AD-тен ағымдағы парольдерді тікелей көшіру көбінде мүмкін емес, сондықтан сценарий таңдау керек: бірінші кіргенде мәжбүрлі өзгертпе, ауыстыру күнінде жаппай қалпына келтіру немесе бөлім бойынша кезең-кезеңімен өзгерту. Хабарландыру мәтіні мен қолдау терезесін дайындаңыз, жұмыс күнін бұзбау үшін.

Топтар мен вложеносты прагматикалық қараңыз. Құрамдастар кейде сақталады, бірақ құрылымды жеңілдету арқылы артық деңгейлерді азайту, түсінікті аттар және «қолжетім топтары» мен «рассылкалар» бөлу ұсынылады.

Тексеру және откат жоспары

Импорттан кейін пайдаланушылар іздеуін, негізгі топтардағы мүшелікті, блокталған есептер мен мерзімдерді тексеріңіз. Тестілеу сценарийін практикалық етіп жасаңыз: бухгалтерия жүйеге кіріп, қажетті серверлер мен папкаларға қатынау алуы тиіс, ал жұмыстан кеткендердің кіруі тоқтатылуы қажет.

Откат жоспарын алдын ала құжаттаңыз: пилот кезінде AD қолжетімді болсын, AD объектілерін өшірмеңіз және жүйелерді кезекпен ауыстырыңыз. Егер бірдеңе бұзылса, нақты сервисті AD арқылы қайта қосып, мәселені тоқтатпай шешуге мүмкіндік болсын.

FreeIPA-дағы Kerberos: SSO және сервис есептері

Миграциядан кейін SMB қолжетімділігі
Құқықтар болжамды болсын деп Samba арқылы файл шарлары мен топтарды жобалаймыз.
SMB баптау

FreeIPA-дағы Kerberos бірреттік кіруді (SSO) ұйымдастырады: пайдаланушы билет алып, сервистерге қайта пароль жазбай кіреді. Миграциядан кейін бұл тұрақты жұмыс істеуі үшін алдымен негізді тексеріңіз: realm дұрыс па, KDC қолжетімді ме және барлық түйіндер мен клиенттерде уақыт синхрондалған ба. Тіпті 5 минуттық айырмашылық кіруді бұзуы мүмкін.

Әрі қарай қандай сервистер Kerberos аутентификациясын қабылдауы керек екенін анықтаңыз. Әр сервис үшін сервис принципалдары және кілттер (әдетте keytab арқылы) жасалады. Бұл көбінесе SSH, веб‑қосымшалар (HTTP) және файл қызметтері.

Типтік SSO сценарийлері

Linux-та пайдаланушы сессияға кіргенде билет алады да, кейін SSH арқылы басқа хосттарға GSSAPI арқылы өтеді. Веб‑қосымшаларда SPNEGO пайдаланылады: шолғыш Kerberos қолданады және сервис пайдаланушыны форма сұрамай көреді. Ішкі порталдарда бұл пароль қалпына келтіру сұрауларын айтарлықтай азайтады.

Keytab: сақтау және ротация

Keytab — сервис «паролі» секілді, сондықтан оны құпия ретінде сақтаңыз. Keytab тек қажет болған хостта болсын, оны пошта арқылы жібермеңіз және ортақ желі папкаларында сақтамаңыз. Қай жерде қандай keytab қолданылатынын тіркеп жүріңіз және ротация жоспарын жасаңыз. Құпия бұзылған жағдайда сервис кілттерін қайта шығару керек.

Диагностика үшін қарапайым логика пайдалы: егер kinit билет алмайтын болса, алдымен DNS (атау және кері зона), содан соң уақыт (clock skew) және тек соңында есептік жазба құқықтары мен күйін тексеріңіз. Көп жағдайда мәселе Kerberos-та емес, сервис принципалының атты қате жазылуы немесе кілттердің жаңартылғаннан кейін ескі keytab болуы.

FAQ

AD-тен FreeIPA-ға көшуге нақты қайдан бастау керек, ештеңе бұзбау үшін?

Миграцияны нақты іске қосар алдында алдымен инвентаризация жасаңыз: қандай сервистер LDAP/Kerberos қолданады, қандай топтар шынымен рұқсат береді, қай жерде сервис есептік жазбалар пайдаланылады. Осыны білмейінше жасырын тәуелділіктер жиі «жоғалып», ауыстыру күні маңызды жүйелерге кіру бұзылады.

AD-тан FreeIPA-ға көшкенде әдетте не бұзылады?

Ең жиі бұзылатындар — Kerberos/SSO (DNS пен уақыт мәселелері салдарынан), топтар бойынша құқықтар (атрибуттар мен қосымшалардың күтулері сәйкес келмегенде), сондай-ақ GPO және домендік кіруге тәуелді Windows-сценарийлері. Қауіп аймағы — сервис есептік жазбалар мен олардың кілттері, олар тексерусіз көшірілсе, жүйелер істен шығар.

Пайдаланушылардың бұрынғы парольдерін AD-тан қалай сақтау болады ма?

Көп жағдайда мүмкін емес: AD-тегі ағымдағы парольдерді тікелей FreeIPA-ға көшіру әдетте болмайды. Практикалық жол — алдын ала жоспарланған мәжбүрлі пароль өзгерту (кезең-кезеңімен немесе ауыстыру күні) және алғашқы күндерге арналған қолдау, себебі пайдаланушылар жиі жүгінеді.

Миграциядан кейін Kerberos SSO кенет жұмысын тоқтатқанда неге?

Алдымен NTP және DNS тексеріңіз: бірнеше минуттық десинхрон және қате DNS жазбалары SSO-ның күтпеген түрде істен шығуына әкеледі. Одан кейін realm, сервис принципалдары және keytab-тың өзектілігін тексеріңіз — егер кілттер жаңартылған болса, ескі keytab жарамсыз болады.

Keytab деген не және онымен неге абай болу керек?

Keytab — сервис құпиясы, негізінен парольдің баламасы, сондықтан оған өте сақтықпен қарау керек. Keytab тек қажет серверде сақталсын, поштамен немесе ортақ папкаларға жіберілмесін, файлға қолжетімділікті шектеңіз және ротация тәртібін бекітіңіз. Құпия бұзылды деп күдіктенсеңіз — кілттерді дереу қайта шығарыңыз.

FreeIPA-ға өткенде GPO-ды ненің орнына қою керек?

Тікелей «біреудің GPO-сы» тәрізді толық аналог жоқ, және бұл қалыпты жағдай: FreeIPA‑да басқару әдетте HBAC, sudo ережелері, хост топтары және әкімшілік рөлдердің комбинациясынан құралады. GPO-ның нақты әсерлерін анықтап, оларды қатынау ережелері мен клиент конфигурациясы арқылы қайта жасау дұрыс.

Егер Windows-стационарларға әдеттегі домендік кіру қажет болса, не істеу керек?

Көбінесе гибрид жасайды: Windows жұмыс станциялары мен саясаттар үшін AD сақталады, ал FreeIPA Linux пен сервистерге жауапты болады; немесе көшу кезінде домендер арасында сенім орнату қолданылады. Бұл жұмыс орындары үшін тәуекелді азайтады және пайдаланушыларды кезең-кезеңімен ауыстыруға мүмкіндік береді.

FreeIPA-ға өткеннен кейін SMB арқылы файлдарға қол жеткізуді сақтап қалуға бола ма?

Шарларға қол жеткізуді сақтап қалу әдетте Samba арқылы іске асады: Linux-та орналасқан шары болса, Samba FreeIPA-тағы пайдаланушылар мен топтарды Windows клиенттермен байланыстыратын нүкте болады. ACL-дарды «сол күйі» көшіруге тырыспаңыз — алдын ала кімнің қандай құқықтары болатынын, папка иелерін және жалпы модельді келісіп алыңыз.

Жаппай ауыстырудан бұрын пилот пен тестілеуді қалай дұрыс ұйымдастыру керек?

Кішкентай, бірақ типтік пилот жасаңыз және тек «кіру» емес, нақты жұмыс сценарийлерін тексеріңіз: топтар бойынша ресурстарға қол жеткізу, пароль өзгерту, маңызды сервистер үшін SSO, офлайн-режим және уақытша желі үзілуі. Егер пилотта инциденттер шегі асырылмаса және диагностика анық болса, кеңейту әлдеқайда қауіпсіз болады.

Егер ауыстырудан кейін бірдеңе дұрыс болмаса, қандай откат жоспары қажет?

AD-ты пилот аяқталғанға дейін қолжетімді сақтаңыз және сервистерді кезекпен ауыстырыңыз, сонда нақты сервиске қайта оралу оңай болады. Откат жоспары: кім шешім қабылдайды және нақты қандай әрекеттер орындалады — бұл сұрақтарға нақты жауаптар қажет, сонымен қатар администраторлар мен эскалация байланыстары белгіленсін.