Active Directory в облаке и филиалы через VPN?

Question

[vittmann]

Привествую!

Суть. Планирую развертывание AD для компании.

• Основное требование к AD - аутентификация, т.к. основной парк машин это MacOS.
  
• Процент машин на Windows в будущем может вырасти (сейчас минимален), соотвественно, может появится необходимость в GPO (но не в ближайшем будущем). Обеспечение локального входа на машины.
  
• Также синхронизация юзеров/груп в MDM-систему (управление маками) + интеграция с IdM (для входа тем же кредами на веб ресурсы) + плюс еще ряд систем, которые могут интегрироваться с LDAP/AD. Всяких сетевых шар не планируется.
  

Пока филиалы - это офисы в том же городе (3 шт, общее кол-во юзеров, работающих одновременно, до 250 человек) ,с хорошими каналами связи (до 500Mбит/c в обе стороны) и дублированием провайдеров.
Кроме того ,есть удаленщики и рассматривается ввод в домен техники, за которой они работают (в основном, корпоративные ноуты). Таких еще может набраться до 100 одновременно работающих юзеров.
В будущем планируется открытие филиалов в других городах (потенциально - в других странах, Европа, к примеру). Но откровенно плохих каналов не будет, ибо в целом для работы офиса нужна хорошая связь.

Пришла идея развернуть AD в облаке (VMware Cloud, дата-центр в том же городе что и филиалы) на 2х виртуализированных DC. Канал 100/50 (страна/мир.) Доступ организовать путем создания VPN с каждого Mikrotik на филиале до виртуального маршрутизатора в облаке (а дальше маршрутизировать его до сети с домен контроллерами). Собственно, пришла она из-за отсутствия желания покупать в каждый офис железо под DC и лицензию на WinServer.

На каждом филиале клиентам по DHCP отдавать в качестве DNS ip адреса контроллеров + ip самого микротика (что бы пережить без неудобств те моменты, когда/если VPN падает-тупит и не доступен основной DNS. Рабочие станции тогда будут юзать DNS Mikrotik-а). На самих машинах создавать мобильную учетную запись каждому юзеру (для кеширования креденшиалов и возможности залогиниться на машину, даже если связь с AD на данный момент нарушена).

Как правило, в любой доке/книге про AD обязательно упоминается, что мол-де при распределенной территориально/географически структуре предприятия надо обязательно ставить в каждом филиале свой DC (в, основном, в контексте того, что wan канал он тонкий и вообще нестабильный). Т.е. эта идея явно не следует рекомендациям MS.

• Насколько это сейчас эта рекомендация имеет ту же ценность, когда каналы и широкие и стабильные и вообще никто не мешает иметь по 2-3 штуки в офисе и автопереключение, при падении любого из них?
  
• Какой объем трафика примерно генерируется при обращении к контроллеру домена при авторизации? Надо бы закладывать пиковые моменты (утром все пришли и активно логинятся на машины), да как его высчитать?
  
• Какие вообще требования к производительности серверов DC в зависимоси от кол-ва юзеров?
  
• Может ли помочь приоритезация трафика и DNS, может и по портам, через которые клиентские машины обращаются к DC? (но вероятно после установления соединения могут обратные коннекшены от DC к рабочим станциям будут на рандомные порты, тут не приоритезируешь)
  
• Насколько вообще идея не размещать контроллеры в филиалах жизнеспособна? Есть еще подводные камни?
  

Comments

[ru6ak]

Извините за оффтоп, у меня пару вопросов, у вас не дешевые 500мб накалы в дубле и Mac-и, откуда микротики взялись ? Почему не брать классику cisco или поновей fortigate (есть и VM ), checkpoint. Что за экономия на спичках ?
Ну а свой DC и (и не только, и всё сопутствующие ) это бессмертная классика.

Или на azure (облака в целом) делайте

[vittmann]

ru6ak, каждой задаче - свои инструменты. Зачем брать cisco, если в разрезе тех задач, где микротиков CCR класса с головой хватало (и пока хватает)?

По azure не понял. Вы про Azure AD? Ками образом возможна реализация локальной аутентификация на не Window 10 машинках? Да и насчет цены, тоже стоит обратить внимание, решение весьма не дешевое. $6 или $9 в месяц за юзера, когда юзеров сотни - ну такое себе. Тогда можно смело ставить на филиалах локальные DC , выйдет гораздо дешевле.

[ru6ak]

vittmann, Простота масштабируемости, централизованная настройка антивирус IPS и прочие прочие в пару кликов.
Примерно как брать мак, вместо самосбора. Или AD вместо настроек машинок по одной с флешки.

[Алексей Черемисин]

Порекомендую присмотреться к apache DS, как ПО контроллера домена. Можно настроить и синхронизацию, есть и kerberos.

[Alexey Dmitriev]

vittmann, возможно имелось ввиду облако azure вместо vmware Cloud, но далековато оно от РФ

[vittmann]

Алексей Черемисин, тут такой момент, изначально его не расписывал детально, ибо не был как основной вопрос "...+ плюс еще ряд систем, которые могут интегрироваться с LDAP/AD". Одна из таких систем это Apple Business Manager, коротко говоря, позволяет более тесно интегрировать систему управления маками (MDM), создание корпоративных apple ID, накатывать настройики на устройства еще на этапе покупки. Так вот эта штука интегрируется только с Azure AD и единственный вариант сохранить концепцию SSO - это связать наземную (ну или в нашем случае облачную) AD DS c Azure AD, а уже из Azure пользователей засинкать в Apple Business Manager. И тогда они смогут использовать одни и те же креденшиалы как при локальной авторизации на машинках, так и для корпоративных apple ID.

Ну и есть еще причина для сомнения. Тут конечно, сугубо мое мнение. Active Directory хоть и очень сложный продукт (хотя никто не заставляет юзать все его возможности), но по нему гораздо больше документации, готовых кейсов и специалистов, в конце-концов, если уж совсем не выходит разобраться/реализовать какую то вещь или починить (например, AD сломали). А вот с другими реализациями LDAP (OpenLDAP, Apache DS) все куда нетривиальнее, и наверное, даже порог вхождения сильно выше. По крайне мере, в той схеме, которую я примерно описал. Поправьте, если ошибся

[Алексей Черемисин]

vittmann, Ну, а в чем тогда сама суть вопроса? Если интеграция только с конкретной системой, конкретной системы в конкретном облаке?! Альтернатив, похоже, что и нет.. Да и экономить тут вообще смысла не вижу.
При наличии не самого дешевого облака, не самого дешевого ПО, и не самых дешевых хомпухтеров.
Берите AD, много не сэкономите!

[vittmann]

Суть вопроса - получиться ли стабильная работа с AD, размещённого в частном облаке, на филиалах, подключённых через VPN, без размещения локальных DC, собственно.

Остальной текст - это те условия/переменные, которые, очевидно, надо дать, что бы можно на такой вопрос вообще что то ответить.

Answer 1

[Alexey Dmitriev]

Нормальный план - замечаний нет.
К вопросам:
1. Рекомендации размещения DC в каждом филиале устаревшие. Им следуют в основном в в двух случаях - при нестабильном канале и при наличии важных и работающих 24 часа в сутки сервисах, которым нужна AD - фабрики и т.п.
Для примера - один из бывших проектов, которыми занимался - транснациональная корпорация. Имеет по 2 DC в Франкфурте и ЮАР, которые накрывают собой все офисы в паре десятков стран на всем африканском континенте.
2. Трафик к контроллерам небольшой, 250 человек наверно мегабит в 5 влезут в пике. Репликация у вас будет в датацентре - так что этого трафика во внешних каналах не будет.
3. Для DC обычно хорошим тоном считается иметь достаточно ОЗУ, чтобы разместить ntds.dit весь в ОЗУ.
Вам хватит 4-8GB ОЗУ и каких-то core i3.
4. Приоритетизация по умолчанию не нужна.

Comments

[Valentin Barbolin]

> 2. Трафик к контроллерам небольшой, 250 человек наверно мегабит в 5 влезут в пике.
Повышенную нагрузку на канал может вызвать установка софта через GPO и перемещаемые профили (загрузит кто-то в Мои документы фотки с отдыха и поплывут они на DFS).

> Может ли помочь приоритезация трафика и DNS,
На микротике можно фильтром разделить запросы, все запросы для домена направить в VPN, остальное сразу в мир.

В остальном - хороший план)

[vittmann]

Andrey Barbolin, подскажите пожалуйста

На микротике можно фильтром разделить запросы, все запросы для домена направить в VPN, остальное сразу в мир.

А разве будут какие то, другие запросы в мир, которые мы может не адресовать контроллеру домена? Вроде как ip контроллера как основной DNS сервер в настройках клиента это обязательное условие нормальной работы домена?

[Valentin Barbolin]

vittmann, Вы поднимаете свой контроллер, на нем же DNS, присваеваете ему домен domain.local, ip 10.1.1.5. На микротике делаете фильтр, *.domain.local на 10.1.1.5, остальные домены на 8.8.8.8.

Все клиенты вводим в домен domain.local, в качестве DNS указываете IP микротика. Таким образом DNS не зависит от VPN и интернет работает когда не доступен домен.

Все запросы гонять на домен не обязательно, только запросы типа *.domain.local.

И все будет гуд)

[Alexey Dmitriev]

Andrey Barbolin, обратные зоны еще нужно будет пересылать.

[Valentin Barbolin]

Alexey Dmitriev, Майки рекомендую делать обратную зону, типа некоторые приложения могут работать медленнее из-за этого. Я для своих филиалов не делал и на грабли пока не наступал, все работает.

Никому не рекомендую такой путь (без реверс зоны), просто делюсь опытом эксплуатации.

[vittmann]

Andrey Barbolin, понял. И правда, ведь это вполне логично, но мне не пришло в голову. Спасибо за совет! =)

[vittmann]

Alexey Dmitriev а что потенциально может не работать, без обратных зон?

[Alexey Dmitriev]

vittmann, сделать обратные зоны в DNS с возможностью регистрации в них компов - минутное дело.
Что не будет работать сказать сложно.

[vittmann]

Alexey Dmitriev Andrey Barbolin , благодарю за ответы!

Answer 2

[elbrus56]

Тенденция последних лет - это использование ADDS только для хранения каталога. Вовсе не обязательно заворачивать на него аутентификацию и заставлять устройства быть привязанными к домену, сейчас это решается с помощью Azure AD, Okta, Cisco Duo + MDM, которые также позволят настроить вам Federation к другим веб-службам. То, что вы пытаетесь реализовать - задача, которая в итоге была решена именно этими сервисами.

Comments

[vittmann]

Подскажите пожалуйста, имеете ли вы ввиду, что можно решить вопрос аутентификации на локальной машине при помощи какого-либо IdM (Okta, Azure AD)? Я смотрел эти варианты, но насколько смог понять, они все решают проблему аутентификации на веб- ресурсах (и решают ее хорошо, да). Но как юзер должен сначала разлочить комп и добраться до условного браузера, где он достучаться до какого нибудь IdM и получит свой токен для аутентификации в других системах? Получается, на компах должна быть какая то одна, локальная всем известная учетка, чтобы юзеры могли получить доступ к рабочему столу, а потом уже шли дальше (открывали браузер и т.д). Или есть изящные варианты решения этого вопроса?

[elbrus56]

vittmann, на компьютере ставится агент (через тот же MDM), который отвечает за связь с сервером IDM для аутентификации. На macOS идет подмена Login Window, а дальше сотрудник заходит в локальную учетную запись. На Windows похоже получается.

Мало того, можно настроить, чтобы локальная учетка автоматически создавалась для каждого пользователя.

[vittmann]

А не подскажите конкретные решения? Интересно детали почитать.Я встречал одно такое - Jamf MDM. Там был отдельный продукт Jamf Connect и вот он вроде как подменял Login Window своим агентом. Но он был и есть заточен только под Mac Os

Так то да, чем меньше запчастей (туннели к AD, ввод компов в домен) тем лучше.

[elbrus56]

Для macOS - Okta, OneLogin, Azure AD хорошо дружат с Jamf Connect. Там за все Jamf Connect и отвечает.
Но это деньги.

Для Windows - у Okta свой агент и там можно будет установить отдельный инфраструктурный сервер для связи с Okta.

[vittmann]

elbrus56, я так понимаю, у вас есть опыт реального использования MDM-систем, интеграций с Identity Managers.
Можете ли поделиться мнением что сами используете?

jamf vs workspace one UEM
Azure AD vs Okta

[elbrus56]

vittmann, скорее всего придется остановиться на Azure + Jamf

Azure AD. Уточнил, что Okta у нас, увы, не продается. Только юр. лицам в Европе.

Jamf нравится больше с точки зрения того, что из Apple можно выжать все, что можно + неплохой уровень настройки внутренних автоматизаций в самом Jamf + хорошее сообщество. С Workspace легче не будет.

[elbrus56]

Но самое крутое - это использование со всем этим 2FA / MFA

[vittmann]

Насчет юр лица - это не есть проблема (есть юр лицо в US)
Но немного запутался в их продуктах:
SSO, Authentication, Multifactor-Authentication
User management vs Universal Directory

Насчет 2(M)FA, да этот момент тоже интересен (для части сотрудников)

С Workspace легче не будет.

имете ввиду, что он более громоздок? (визуально мне показалось, что больше настроек в интерфейсе)

Офтоп ли, но что вы скажите насчет NoMAD и NoMAD Login ?

[elbrus56]

Okta - Провайдер Identity Management, который можно подключить к вашему каталогу AD. Там можно настраивать политики входа для сотрудников, в зависимости от того, в какой человек группе пользователей находится, находится ли он в офисной сети. Политика заключается в том, что вы можете использовать для входа на компьютер не только логин и пароль, но и СМС, Google Authenticator и так далее. Jamf Connect - это Framework для этого.

Также вы можете подключить Okta и к другим сервисам, чтобы люди вообще везде заходили через Okta. Это даже проще, чем настраивать везде подключение по LDAP. да и вообще будете видеть кто когда и где логинился.

Workspace требует бОльше времени для настройки и там не такие крутые инструменты автоматизации (а еще они используют Munki) и в целом идея того, что вы рулите одним сервисом для управления всеми устройствами мне нравится меньше с точки зрения возможности все сломать на бОльшем количестве устройств вследствие человеческой ошибки. И опять же, вам все равно понадобятся знания и Windows, и macOS.
Зато такие штуки очень любят менеджеры.

NoMAD - это бесплатная версия Jamf Connect, которая работает только с локальным AD и не поддерживает 2FA.

[vittmann]

И опять же, вам все равно понадобятся знания и Windows, и macOS.

Увы, они все таки понадобятся. Есть еще нюанс, он напрямую к вопросу не относится. Есть ремоут-сотрудники. Они в, основном, юзают Windows (у них, как раз доля Mac OS мала) и это их персональные девайсы. В домен их вводить никто не будет. Но их тоже надо контролить, устанавливать обновления, применять политики. Тут вообще я не смог найти альтернативу лучше UEM (ну как бы видел какие-то связки Jamf + Intune, но почему то отзывы были в основном отрицательные на Intune)

Насколько я понял, Okta даже может предоставить LDAP как услугу. Можно и AD не разворачивать. Почитал детальнее - да концепция великолепная, на самом деле , особенно при условии комбинации с такими вещами как Jamf Connect. Спасибо за объяснения. В любом случае, стоит держать в голове, что такое решение есть и может закрыть требования бизнеса, когда они возникнут.

Только 2 момента омрачают

Цена выходит, конечно, солидная. Если я правильно понял, то продукт SSO - это минимум $2 за юзера в месяц. Прибавить MFA - это еще минимум $3 в месяц. Добавить Jamf Connect - это еще $2 в месяц за устройство. Даже на 300-350 человек примерно 300 девайсов (не учитывая пользователей с собственной техникой)

Apple Business Manager к сожалению не умеет работать с Okta (до сих пор только Azure AD). Или юзать azure, но он еще дороже Okta , если правильно понял. Или не получить управляемые apple ID, подтягивающиеся из IdM (мне показалось удобной штукой)

[elbrus56]

Если у вас юр лицо в штатах - заводите ABM, любой коммерческий MDM с ним работает. Сможете ставить приложения из App Store.

[elbrus56]

Я думаю, что вы на разбитые залитые устройства больше потратите.

[vittmann]

Если у вас юр лицо в штатах - заводите ABM

это уже. Сейчас в процессе выбора MDM. Поэтому ваше мнение и спрашивал об jamf vs ws one

Я думаю, что вы на разбитые залитые устройства больше потратите.

Вы о суммарной стоимости лицензирования jamf connect + okta? Но в месяц столько на залитые устройтства не было =)
Я просто насчитал от $1500 /месяц только за это. И только пока юзеры и маки в офисе. А парк растет, юзеры новые приходят.
А еще и без MDM никак - он тоже вылетает в такую же (или чуть меньшую сумму). Тут вылезают + 300 девайсов вне офиса
Отдельно траты на облако под AD (но тут хоть более-мнее постоянная величина)

Поправьте ,может я неправильно оценил порядок сумм, но у меня вышло именно так.

Меня могут начать упрекать (выше уже ругали за Miktotik вместо Cisco) мол компания маки купила, раскошеливаейтесь на все остальное, но обычно какие то лимиты все же есть (безлимитные бюджеты только в сказках).

[elbrus56]

Думаю, что в Jamf более гибкие автоматизации.

[vittmann]

elbrus56, Благодарю за ответы!
Вероятно, то что вы описывали это правильный путь для дальнейшего развития. Наверно мы к этому и придем, но не сразу

[elbrus56]

vittmann, С Богом!

Answer 3

[TOParh]

Вопрос вам очень надо управлять клиентским компами? Если ответ нет, то смотрите в сторону терминального сервера - пусть пользователи работают в системе удаленного рабочего стола. Вам же легче будет управлять и важные данные они пусть хранят тоже на серваке - но такой подход потребует более сильных материальных вложений на лицензии чем в вашем плане.

Comments

[vittmann]

К сожалению, да нужны именно персональные пк, т.к у пользователей телефония (webrtc через собственную crm) + использование целого ряда ПО доступного только под MacOS