20 февраля 2013 г.

15 лет назад в России слово Apple в основном ассоциировалось только с яблоком как таковым, а компьютеры одноименной фирмы были экзотикой, и найти их можно было только в офисах дизайн-студий, студий видео- и аудиозаписи, а также в издательских и полиграфических компаниях. Высокая стоимость и отсутствие технической поддержки не способствовали широкому распространению техники Apple.

Авторы: Рожков Иван, компания «Онланта» и Курилов Владимир - компания «ЛАНИТ».

Ситуация начала кардинально меняться в 2003 — 2006 годах. За четыре года компания Apple придумала iTunes и iPod, перевела свои компьютеры с процессоров PowerPC на Intel. В последующие 2007 — 2010 годы в России наблюдался рост спроса на продукцию Apple. Большую роль в росте популярности сыграли следующие факторы:

  • выпуск ряда продуктов, которые открыли совершенно новые рынки: ультрабуков (MacBook Air), смартфонов (iPhone) и планшетов (iPad);
  • преимущества операционной системы Mac OS X;
  • активное использование открытых стандартов для разработки ПО;
  • решение сделать доступной среду разработки Xcode;
  • поддержка русского языка операционными системами устройств Apple.

Mac OS X содержит также встроенные средства для взаимодействия с Windows инфраструктурой, которая имеет очень широкое распространение в России. Сегодня у нас в стране продукция Apple ассоциируется с техническим прогрессом, простотой эксплуатации и надёжностью, а работа с этими устройствами ассоциируется с удовольствием. Мы используем их, потому что нам предоставляется удобный и красивый интерфейс, для них имеется большое количество приложений, а для использования этих устройств нужен минимум проводов. В силу ряда особенностей платформы мы не боимся вредоносного ПО. Наконец, мы держим в руках изящное и прочное устройство из металла и стекла.

В общем, количество пользователей Apple в России постоянно растёт. У сотрудников отечественных компаний появились не только MacBook, iMac, но и iPhone, iPod и iPad. Появление новых приложений позволяет с помощью этих устройств решать всё больше задач, в том числе, рабочих, в простой, удобной и просто красивой среде операционных систем OS X или iOS.

И всё бы хорошо, но владельцы этой техники почти всегда сталкиваются с недоумевающими взглядами сотрудников служб ИТ-поддержки, в перечень поддерживаемых устройств которых не входит продукция Apple. Конечно, всё зависит от гибкости ИТ-руководства компаний. В одних организациях ставится жёсткий запрет на Apple, так как это «плохо управляемые» устройства и, вообще, они не соответствуют корпоративным стандартам и требованиям. В других компаниях ИТ-руководители понимают, что невозможно предотвратить распространение новых технологий и поступают согласно старой истине — «если что-то нельзя предотвратить, то надо это возглавить». Что в итоге, на наш взгляд, приводит к повышению эффективности использования ИТ на предприятии.

Эта статья адресована ИТ-руководителям, администраторам корпоративных сетей, которые согласны с нашим утверждением, что включение Apple-пользователей в корпоративную инфраструктуру нужно и полезно обеим сторонам.

Как встроить технику Apple в корпоративную ИТ-инфраструктуру

Итак, что необходимо сделать, чтобы пользователи Apple стали «своими» для корпоративной инфраструктуры?
Для начала нужно решить задачу доступа Apple-пользователей к корпоративным ресурсам с соблюдением корпоративной политики информационной безопасности и доступа.

Для этого компания Apple предлагает решение, которое кроме реализации основной задачи имеет много полезных дополнительных функций. Для удобства мы будем называть это решение «Инфраструктура Apple».
Далее мы расскажем о том, что представляет собой «Инфраструктура Apple» и как внедрить её в существующую ИТ-инфраструктуру на базе Windows Server, перечислим возможности, которые предоставляет OS X Server, поясним, каким образом можно управлять и администрировать парк техники Apple, покажем преимущества, получаемые от внедрения.

Принципы построения «Инфраструктуры Apple»

Компания Apple использовала наработанный рынком опыт в области инфраструктурных сервисов и реализовала в своей серверной версии операционной системы самое необходимое:

  • пользовательская информация о сетевых пользователях, компьютерах, принтерах и т.д. хранится в сетевом каталоге Open Directory (OD);
  • доступ к каталогу осуществляется с использованием сетевого протокола LDAPv3;
  • организационная структура сетевой инфраструктуры имеет название Open Directory domain;
  • сетевая служба реализована на базе OS X Server, где располагается каталог пользователей Open Directory domain;
  • основной сервер, обладающий каталогом Open Directory пользователей, называется Open Directory Master;
  • резервные сервера, обладающие копиями каталога Open Directory пользователей, называются Open Directory Replica или Relay Replica, в зависимости от местоположения в иерархии сетевого дизайна.

Как видно, ничего нового в данной области создано не было, используется лишь немного другая терминология. По аналогии c Microsoft Active Directory (MS AD) употребляется и название Apple Open Directory (Apple OD).

Интеграция с Microsoft AD

Суть интеграции сводится к настройке доступа к базе пользователей существующей ИТ-инфраструктуры со стороны «Инфраструктуры Apple». В качестве примера рассмотрим интеграцию с уже существующей на предприятии Microsoft Active Directory (далее MS AD). Все действия производятся на OS X Server, который имеет необходимые инструменты интеграции, и администратору не потребуется производить каких-либо изменений в существующей MS AD инфраструктуре. Ему достаточно будет запустить сервис Open Directory и настроить коннектор к MS AD. После чего базовая интеграция будет выполнена.

Рис.1. Работа общей интегрированной инфраструктуры

Вышеупомянутый коннектор умеет создавать все атрибуты, необходимые для аутентификации в OS X. Коннектор получает из MS AD политики аутентификации, включая изменение пароля, истечение срока действия, принудительное изменение и параметры безопасности — таким образом, записи пользователей в базе Apple OD будут соответствовать политикам MS AD.

Схематично работа интегрированной инфраструктуры показана на рис.1. Аутентификация пользователей (3) при доступе к сетевым ресурсам обеспечивается сервером Microsoft Active Directory (1), на котором хранятся учётные записи. Авторизация же пользователей в зависимости от того, каким устройством они пользуются, происходит, соответственно, в MS AD (1) или Apple OD (2). После авторизации пользователи MS AD и Apple OD получают сквозной доступ ко всем ИТ-ресурсам в общей интегрированной инфраструктуре.

Основные плюсы такой интеграции:

  • учётные записи всех пользователей создаются и хранятся в Active Directory. Таким образом, Apple-пользователи наравне с MS-пользователями получают возможность сквозной авторизации ко всем корпоративным ресурсам;
  • для процедуры сетевой аутентификации «по умолчанию» используется протокол kerberos, обладающий высокой степенью защиты. Kerberos известен для администраторов инфраструктуры и реализован в Mac OS практически по стандартной и известной схеме;
  • присоединённая OD-инфраструктура автоматически привяжется к используемому в AD серверу времени, что обеспечит работу протокола Kerberos и других сетевых протоколов, критичных ко времени;
  • Open Directory имеет права только на чтение базы данных Active Directory. Как следствие, в существующей инфраструктуре не надо ничего менять, то есть риск каких-либо нежелательных изменений в существующей инфраструктуре практически равен нулю;
  • отказоустойчивость дизайна Apple OD не уменьшает отказоустойчивость общей интегрированной инфраструктуры. В частности, серверы OS X имеют функции репликации уровня Master — Relay — Replica, что обеспечивает отказоустойчивость;
  • прозрачная система лицензий. Одна лицензия Mac OS X Server или Apple Remote Desktop распространяется на неограниченное количество клиентских компьютеров, то есть их не нужно лицензировать отдельно.

Интеграцию можно сделать и более «тонкой», прописав более детально настройки доступа к сервисам OS X Server, указав типы шифрования при аутентификации и т.д. Но это уже нюансы, на которых в этой статье мы останавливаться не будем.

Управление устройствами и сервисы Apple OS X Server

Общие сервисы

Выход операционной системы на корпоративный рынок обязывает компанию предоставить максимум функций для управления устройствами. И Apple OS X Server имеет для этого полный перечень сервисов:

При этом для управления устройствами или реализации тех или иных функций не всегда обязательно задействовать функции, заложенные в ОС OS X Server, — можно использовать аналогичные, уже задействованные в ИТ-инфраструктуре до интеграции с «Инфраструктурой Apple». Например, базовые IP-сервисы, такие как DHCP, DNS. OS X также умеет работать с ресурсами по протоколу smb, позволяя подключаться к файловому серверу и сетевым дискам. Корпоративный почтовый сервер, портал, VPN, защищенная Radius wifi сеть — это и многое другое можно не менять.

Ниже приведена таблица взаимозаменяемых сервисов и функций, реализуемых как на Apple OS X Server 10.8, так и на Microsoft Windows Server 2k8. Выбор используемой платформы для того или иного сервиса — дело вкуса и удобства администратора.

Apple OS X Server 10.8 Microsoft Windows Server 2k8
Calendar, Contacts, Mail Exchange
File Sharing Windows file sharing
FTP Internet Information Services (IIS)
DNS DNS Service
Messages Microsoft Lync Server
VPN Routing and Remote Access Services
Websites Internet Information Services (IIS)
Wiki SharePoint
Xsan iSCSI Software target / Storage Server
Radius Windows Radius Service

Таким образом для наших заказчиков мы можем комбинировать сервисы от Apple и Microsoft из существующей инфраструктуры на базе Microsoft Windows Server, делая их общедоступными для сотрудников компаний.

К примеру, мы можем использовать web-сервис Apple Wiki, к которому можно выдать доступ как Apple OD, так и MS AD пользователям. С помощью этого инструмента пользователи могут создавать и редактировать вики и вести блоги, проставлять теги и перекрёстные ссылки, загружать файлы и изображения, а также создавать таблицы и добавлять комментарии. В данном сервисе имеется также поиск по страницам и содержанию, трекинг последних действий. Всякий раз, когда страница была обновлена или были добавлены новые комментарии, пользователь будет получать автоматическое уведомление по электронной почте. Wiki Server оптимизирована для iPad и имеет поддержку WebDAV.

Cервисы OS X Server, предназначенные для Apple-инфраструктуры

Надо иметь в виду, что в «Инфраструктуре Apple» существуют сервисы, предназначенные только для Apple-инфраструктуры. Остановимся на них подробнее.

OS X Server Примечания / Функции
Profile Manager, Apple Remote Desktop Управления и администрирования парком техники Apple
NetInstall Подготовка / Mass deployment новой техники
Software Update, Caching Централизованное обновление ПО
Time Machine Резервное копирование данных

Главной задачей при интеграции «Инфраструктуры Apple» в существующую ИТ-инфраструктуру является администрирование техники Apple, которую пользователи будут использовать для доступа к корпоративным информационным ресурсам.

Profile Manager

Эту задачу в OS X Server решает сервис Profile Manager. Сам сервис состоит из трёх компонентов:

  • web-интерфейс администратора;
  • портал самообслуживания;
  • сервер управления мобильными устройствами.

Web-интерфейс администратора

Web-интерфейс администратора позволяет:

  • управлять OS X техникой (ноутбуки, рабочие станции) и iOS (iPhone, iPad) из единого интерфейса;
  • настраивать политики на зарегистрированное устройство / пользователя или группы устройств / пользователей;
  • управлять мобильными аккаунтами, паролями, сертификатами и т.д.;
  • поддерживать Payload Variables для облегчения процесса создания групповых политик (GPO).

Портал самообслуживания

Портал самообслуживания даёт возможность пользователю самостоятельно скачивать необходимые настройки, удалённо блокировать утерянное устройство или инициировать удаление информации на нём.

Сервер управления мобильными устройствами

Profile Manager позволяет централизованно администрировать и управлять зарегистрированными мобильными устройствами, работающими под OS X 10.7 и выше или iOS 4 и выше.

Следует отметить, что Apple предоставляет управление API своих устройств сторонним разработчикам MDM-решений, чтобы использовать их опыт.

Как правило эти системы управления мобильными устройствами (MDM — Mobile Device Management) имеют больше возможностей для настройки.

Для осуществления инициируемой со стороны сервера загрузки настроек, программного обеспечения понадобится push-сервис. Push сервер является частью OS X Server (иногда push-сервис реализуется как часть MDM-решения, в этом случае push-сервис от Apple не нужен). Push сервер будет выполнять функции по загрузке команд, связанных с конфигурацией или установкой ПО мобильных устройств, взаимодействуя с магазином приложений компании Apple. Это обеспечивает выполнение срочных действий, таких как блокировка похищенных устройств или удаление информации с них.

Если планируется управление только устройствами Apple, а какие-либо специальные требования отсутствуют, то Profile Manager — оптимальное решение по соотношению стоимость/функциональность. В этом случае для централизованной загрузки настроек корпоративного ПО следует использовать Apple Push Server.

Apple Push Notification Service (APNS)

С точки зрения безопасности, возможность администрирования техники, находящейся вне корпоративной сети — важнейшая функция, которая позволяет удалённо уничтожать данные в украденном устройстве, блокировать доступ «ненадёжного» сотрудника и т.д.

Рис.2. Схема работы APNS

Схема работы Apple Push Notification Service в упрощённом виде представлена на рис.2:

  • Profile Manager, получив задание на выполнение конфигурации, обращается к серверу APNS (находится в компании Apple) для получения уникального кода устройства (токен);
  • полученный токен запоминается в Profile Manager;
  • Profile Manager, используя токен, с помощью APNS отправляет устройству Apple политику/профиль/команду.

Apple Remote Desktop

Apple выпускает продукт для технической поддержки рабочих мест пользователей, работающих на Apple устройствах под Apple OS X, — Apple Remote Desktop. Данный продукт обеспечивает:

  • удалённую поддержку посредством VNC-подключения;
  • распространение пакетов ПО, созданных сторонними и собственными разработчиками;
  • управление «цифровыми» данными, в том числе, инвентаризация Apple-устройств в сети, мониторинг системных ресурсов, получение информации по парку техники, возможности поиска аппаратного и программного обеспечения;
  • выполнение UNIX shell скриптов и терминальных команд на удалённой пользовательской системе;
  • автоматизацию рутинных задач, создание кастомизированных рабочих процессов (workflows) посредством языка AppleScript. К примеру, регулярную выгрузку данных на серверы, синхронизацию с базами данных и т.д.;
  • функции task-сервера для хранения невыполненных задач для отключенных от сети устройств до момента, когда они появятся в онлайне.

NetInstall

Netinstall — сетевой сервис, используется для подготовки и хранения операционных систем для дальнейшего централизованного распространения на клиентские компьютеры Apple. Служит аналогом Microsoft Windows Deployment Services (WDS). Netinstall позволяет подготовить к работе значительное количество устройств в сжатые сроки, используя сеть.

Netinstall использует отличный от WDS протокол загрузки устройств по сети (Netboot). Другими словами, эти две технологии не пересекаются при своей работе. Следовательно, их можно использовать одновременно в одной сети, избегая лишних настроек сетевого оборудования, и использовать существующий под WDS сетевой сегмент для реализации Netinstall.

Software Update

Software Update обеспечивает централизованное обновление клиентских и серверных OS и программного обеспечения Apple. Администратор системы имеет возможности:

  • настройки автоматического скачивания новых обновлений программного обеспечения;
  • настройки политики использования обновлений, запрета или разрешения тех или иных обновлений.

Благодаря Software Update компания получает экономию трафика, возможность предварительного тестирования обновлений, а также возможность управления обновлениями в интересах политики информационной безопасности.

Caching

Отдельно следует отметить новую возможность OS X сервера — Caching. Caching сохраняет копию обновлений и программного обеспечения, скачиваемого пользователями с ресурсов компании Apple, включая магазин приложений App Store. Следующий пользователь получит файл уже с ресурсов Cachig-сервера. Caching используется для повышения скорости обновления программного обеспечения без каких-либо дополнительных настроек со стороны администратора.

Для небольшой компании Caching может заменить собой сервис Software Update. В крупной организации при установке совместно с Software Update увеличит скорости скачивания пользователями обновлений программного обеспечения Apple.

Time Machine — Apple Back Up, Versions

Apple Back Up — сервис резервного копирования данных как серверов, так и пользовательских систем. Администратор имеет возможность производить настройки: какие данные резервировать, периодичность, место хранения данных через панель мониторинга и управления.

Пользователи получают возможность самостоятельно извлекать свои архивные данные. Для этого достаточно включить Time Machine, выбрать нужную дату и файлы для восстановления. Все действия происходят в знакомом интерфейсе OS X, что избавляет от необходимости обучения пользователей правилам использования специализированного программного обеспечения для восстановления данных. Следует иметь в виду: для функционирования Time Machine необходим сервис Apple File Sharing.

В версии OS X 10.6 компания Apple предложила новую функцию работы с версиями документов. Сама по себе функция используется программами, поддерживающими версийность своих документов. С версии 10.7 эта функция была включена в интерфейс Time Machine. Теперь пользователи могут восстанавливать нужные версии документов из интерфейса Time Machine (этот сервис поддерживается только для устройств, работающих под OS X).

Заключение

Apple постоянно совершенствует свою серверную операционную систему. Обновления приносят новый функционал, расширяют возможности уже существующих сервисов, исправляют выявленные ошибки. На официальном сайте Apple существует активное сообщество по OS X Server, есть раздел справочной информации и документации.

Предоставление вендорам в сфере MDM своих API, тесное сотрудничество с Microsoft как в сфере серверной OS, так и в выпуске клиентского программного обеспечения, смягчение лицензионных барьеров для виртуализации OS X Server, устоявшаяся система подготовки и сертификации специалистов, — вот лишь небольшой перечень преимуществ Apple в данной сфере. Нельзя не добавить, что на рынке присутствуют также сторонние производители и организации, специализирующиеся на выпуске программных продуктов, которые существенно расширяют возможности отдельных элементов инфраструктуры Apple.

Всё это показывает заинтересованность Apple в корпоративном сегменте, а удобство использования Mac и iOS, их надёжность и безопасность создают условия для более широкого применения техники компании в корпоративных информационных системах. Простота настройки и администрирования делает OS X хорошим вариантом для малого и среднего бизнеса.

Мы уверены, что применение техники Apple в корпоративной среде будет расширяться, и, исходя из своего опыта, можем рекомендовать начинать освоение и внедрение этой техники всё ещё сомневающимся коллегам.

Ссылка на источник www.computerra.ru/cio/1940