Active Directory (AD) Group Policy (GPO) əsasən Windows mühitində istifadə olunan güclü idarəetmə alətidir. Lakin bəzi hallarda Linux sistemlərinin də AD ilə inteqrasiyası və Group Policy-lərin müəyyən dərəcədə tətbiqi tələb oluna bilər. Bu məqalədə, AD GPO-nun Linux sistemlərində necə işlədiyini və hansı vasitələrlə tətbiq oluna biləcəyini araşdıracağıq.
Active Directory və Group Policy nədir?
Active Directory (AD), Microsoft tərəfindən hazırlanmış mərkəzləşdirilmiş domen idarəetmə sistemidir. Group Policy (GPO) isə administratorlara istifadəçilər və kompüterlər üçün siyasətlər təyin etməyə imkan verən AD komponentidir.
Windows sistemlərində GPO-lar müxtəlif parametrlərin konfiqurasiyası üçün istifadə olunur, məsələn:
- Şəbəkə parametrlərinin tənzimlənməsi
- İstifadəçi icazələrinin idarə edilməsi
- Təhlükəsizlik siyasətlərinin tətbiqi
Linux sistemlərində isə GPO-ların eyni funksionallıqla tətbiq olunması çətinlik yaradır, çünki GPO əsasən Windows Group Policy Client (gpupdate, gpedit.msc və s.) ilə işləyir.
Linux-u Active Directory-yə qoşmaq üçün Linux sistemlərində AD GPO-larından istifadə etməyin ilk addımı onu Active Directory domeninə qoşmaqdır. Bunun üçün müxtəlif metodlar mövcuddur
SSSD və Realmd vasitəsilə qoşulma üçün SSSD (System Security Services Daemon) Linux sistemlərini AD-yə qoşmaq və domen istifadəçilərini doğrulamaq üçün istifadə edilən populyar bir həll yoludur. realmd isə AD və ya digər identifikasiya xidmətlərinə qoşulmağı asanlaşdırır
Adım 1 Vacib paketləri quraşdırmaq lazımdır.
sudo apt update sudo apt install realmd sssd sssd-tools samba-common-bin adcli
Redhat ailəsi üçün
sudo yum install realmd sssd sssd-tools samba-common adcli
AD domeninə qoşulun
sudo realm join LinuxOyren.com -U admin
Burada LinuxOyren.com Active Directory domen adını, admin isə domen administrator istifadəçisini təmsil edir
Qoşulmanı yoxlamaq laızmdır.
realm list
AD Group Policy-ləri Linux sistemlərinə necə tətbiq etmək olar? Active Directory GPO-larını Linux-a tətbiq etməyin bir neçə fərqli yolu var.SSSD konfiqurasiya faylında GPO dəstəyini aktivləşdirmək üçün /etc/sssd/sssd.conf faylını redaktə edin
- SSSD AD Group Policy-lərindən aşağıdakı siyasətləri dəstəkləyir
- Host-Based Access Control (HBAC)
- Parol siyasətləri
[domain/LinuxOyren.com] ad_gpo_access_control = enforcing
Komandanı yazdıqdan sonra servisi yenidən başladın
sudo systemctl restart sssd
Növbəti yol isə PUL-GPO (Policy Update for Linux – GPO) üçüncü tərəf həllidir və Linux sistemlərində AD Group Policy-lərin tətbiqinə kömək edə bilər.Quraşdırmaq üçün
git clone https://github.com/example/PUL-GPO.git cd PUL-GPO sudo ./install.sh
Daha sonra GPO-ların sinxronizasiyasını işə salmaq olar
pul-gpo update
Ansible və Skriptlər ilə GPO tətbiqi
Əgər birbaşa AD Group Policy istifadə edə bilmirsinizsə, alternativ olaraq Ansible playbook və ya Bash skriptləri ilə bu siyasətləri Linux sistemlərinə tətbiq etmək olar.Məsələn, müəyyən istifadəçiləri bloklamaq üçün Ansible playbook
- name: Block unauthorized users hosts: linux_servers tasks: - name: Disable user account user: name: unauthorized_user state: absent
FreeIPA və ya OpenLDAP ilə Alternativ İdarəetmə
Əgər tam idarəetməni AD üzərindən həyata keçirmək mümkün deyilsə, FreeIPA və ya OpenLDAP AD ilə inteqrasiya olunaraq Group Policy-lərə alternativ həll kimi istifadə edilə bilər.FreeIPA AD Trust funksiyası vasitəsilə istifadəçiləri və qrupları idarə etməyə imkan verir
ipa trust-add --type=ad LinuxOyren.com --admin Administrator --password
PBIS (PowerBroker Identity Services) ilə GPO tətbiqi PBIS (əvvəllər Likewise Open) Active Directory inteqrasiyası üçün istifadə edilən başqa bir vasitədir.Quraşdırılması üçün koamndaya baxaq
wget https://LinuxOyren.com/pbis-open-x.x.x.x.linux.x86_64.rpm sudo rpm -ivh pbis-open-x.x.x.x.linux.x86_64.rpm sudo domainjoin-cli join LinuxOyren.com Administrator
GPO-ları sinxronizasiya etmək üçün aşağıdakı komandanı işə salaq
/opt/pbis/bin/gpupdate
Yekunda isə Active Directory Group Policy-lərini Linux sistemlərində tətbiq etmək üçün birbaşa dəstək yoxdur, lakin SSSD, PUL-GPO, Ansible, FreeIPA, və PBIS kimi vasitələrlə müəyyən siyasətləri tətbiq etmək mümkündür. Ən uyğun həll yolu istifadə olunan Linux distributivi və infrastruktur tələblərinə bağlıdır.
Əgər Linux sistemlərinizdə Active Directory ilə inteqrasiyanı tam avtomatlaşdırmaq istəyirsinizsə, SSSD və Ansible kimi vasitələri birləşdirərək avtomatik idarəetmə sistemləri qurmaq tövsiyə olunur.
