Общие сведения

Продукт «Служба каталогов "Эллес"» обеспечивает хранение, поиск и иерархическое представление информации о ресурсах в сети организации (пользователи, компьютеры, группы, зоны и записи DNS и т. д.) для целей централизованного управления, разрешения имен и применения групповых политик. Также продукт выполняет роль поставщика идентифицирующих данных (Identity Provider) и обеспечивает аутентификацию по протоколам Kerberos, LDAP и NTLM актуальных версий.

Он построен на основе доработанного решения с открытым исходным кодом Samba, которое предоставляет функциональность контроллера домена Active Directory и файлового сервера (SMB/CIFS).

«Служба каталогов "Эллес"» поддерживает многие возможности решения Active Directory Domain Services компании Microsoft (Microsoft AD DS), востребованные в инфраструктуре крупных организаций и отсутствующие в Samba (например, может работать в Active Directory с разветвленными многоуровневыми лесами).

Благодаря тому что продукт способен функционировать в одном домене Active Directory с контроллерами на ОС Windows Server, не требуется трудоемкая миграция объектов каталога.

Для работы с продуктом предоставляются следующие интерфейсы:

интерфейс командной строки для управления контроллерами домена, схемой и объектами каталога;
графический веб-интерфейс для управления объектами каталога;
REST API для автоматизации рутинных задач.

description-toc.adoc

Установка

Инструкции по установке компонентов продукта
Как сообщить о проблеме или ошибке

Инструкции по сбору и предоставлению диагностической информации при возникновении проблемы или ошибки в работе компонентов продукта
Логирование

Настройка формата, состава и процесса сбора логов, формируемых компонентами продукта
Мониторинг

Описание доступных метрик мониторинга и инструкции по настройке их сбора
Работа с веб-интерфейсом

Инструкции по администрированию службы каталогов с помощью веб-интерфейса
Работа с инструментами командной строки

Инструкции по администрированию службы каталогов с помощью samba-tool и других утилит
Режим обслуживания

Инструкции по переводу inno-samba в режим обслуживания
Резервное копирование и восстановление

Информация о доступных режимах и инструментах резервного копирования и восстановления домена

Новое в версии

Дата выпуска: 2024-10-24.

Компоненты:

Directory Service Manager 2.6.0;
Эллес 1.10.0;
inno-samba-dc-exporter 1.7.3;
Directory Service Installer 1.0.5.

Реализовано:

отображение удаленных объектов в контейнере Deleted Objects (DSM);
фильтр для удаленных объектов в глобальном поиске (DSM);
перемещение для компьютеров (DSM);
создание записей в существующей tombstoned DNS node (DSM);
создание A-записи (DSM);
удаление отношения доверия (DSM);
главная страница с выбором оснастки (DSM);
поддержка защиты от случайного удаления у компьютеров (DSM);
поддержка защиты от случайного удаления у сетевого диска (DSM);
фильтр по умолчанию для неудаленных объектов в глобальном поиске (DSM);
добавлена пагинация для групповых политик на UI (DSM);
редактирование А-записи (DSM);
одиночное удаление А-записи (DSM);
подробное описание типов DNS-записей (DSM);
реализован аналог параметра MS AvoidDNSRecordsList, добавлена возможность отключения регистрации NS-записей (Core);
в команду samba-tool domain join добавлен ключ --no-links-post-check для возможности пропустить выполнение процедуры проверки ссылочных атрибутов при выполнении операции join (Core);
добавлена возможность логирования метрик в отдельный файл (Core);
добавлено управление приоритетом и весом DNS-записей — задаются полями 5 и 6 dsn_update_list (Core);
добавлено отображение содержимого корзины в samba-tool (Core);
в мониторинге добавлено отображение количества DNS-зон (Core);
в мониторинге добавлено отображение текущего статуса samba_dnsupdate (Core);
в мониторинге добавлено отображение статуса входящей/исходящей репликации (Core);
добавлен мониторинг базы данных (LMDB) (Core);
реализованы метрики работоспособности процессов Эллес (Core);
реализован глобальный параметр конфигурации для выключения подсистемы мониторинга (Core);
реализована функциональность SID Filtering (только для NTLM); вход возможен только в корневой (ROOT) домен (Core);
реализована функциональность SID History (Core); вход возможен только в корневой (ROOT) домен (Core);
реализована функциональность Directory Replication Agent (DRA) (Core);
реализована функциональность «Инструменты разрешения конфликтов при репликации (repadmin)» (Core);
реализована функциональность валидации ссылочных атрибутов;
реализована функциональность «Механизм DC Locator» (Core);
реализована функциональность «Поддержка членства в группах другого домена» — добавление/удаление членов средствами samba-tool (в рамках леса, между лесами) (Core);
реализована функциональность «Поддержка членства в группах другого домена» — добавление/удаление членов средствами ADUC (в рамках двухуровневого подчиненного леса) (Core);
реализована функциональность Inter Site Topology Generator (ISTG) (Core).

Изменено:

при множественном удалении теперь не отправляется запрос на удаление объектов с защитой от случайного удаления (DSM);
если все объекты в множественном выделении имеют защиту от случайного удаления, то теперь кнопка Удалить недоступна (DSM);
если выбранный объект имеет защиту от случайного удаления, то кнопки Переместить и Удалить недоступны (DSM);
теперь в раскрывающихся списках для выбора менеджеров и подчиненных список объектов отображается только при вводе трех и более символов (DSM);
удалено ограничение на длину поля sAMAccountName (DSM);
отображение типа удаленных объектов в корзине (DSM);
переработка логики обнаружения удаленных DNS-записей (DSM);
удалена обязательная репликация корневой партиции в режиме "critical objects only" при подключении к дочернему домену (Core).

Исправлено:

исправлена работа флага «Защита от случайного удаления» (DSM);
отключена возможность редактирования нередактируемых полей на карточке принтера (DSM);
исправлена ошибка при добавлении пользователя в группу и смене основной группы одним действием (DSM);
исправлено получение UPN-суффиксов при работе с контроллером домена под управление ОС Windows Server (DSM);
исправлено получение объектов domain, groupPolicy, deletedObject при работе с контроллером домена под управление ОС Windows Server (DSM);
исправлено получение объектов по ObjectGUID при работе с контроллером домена под управление ОС Windows Server (DSM);
удаленные объекты больше не приходят с запросом объектов (DSM);
исправлена ошибка, при которой на некоторых разрешениях экрана выпадающий список выбора директорий мог выходить за пределы экрана (DSM);
исправлена ошибка при работе модулей в дочернем домене (DSM);
теперь отображается корректная версия приложения DSM на страницах всех модулей (DSM);
в списке объектов GPO, доступных для связывания с подразделением, теперь не отображаются те, которые уже были с ним связаны (DSM);
исправлено отображение информации о доверительных отношениях при работе в корневом домене (DSM);
отображение времени удаления в корзине (DSM);
ошибка выбора записей в корзине (DSM);
ошибка сохранения имени строк корзины в других папках (DSM);
создание компьютера без символа $ в атрибуте sAMAccountName (DSM);
перенаправление после удаления DNS-записи (DSM);
ошибка редактирования несуществующей DNS-записи (DSM);
ошибка ответа от API при редактировании безымянной записи (DSM);
нажатие кнопки Отмена на странице создания А-записи (DSM);
ошибка редактирования А-записи при вводе идентичных данных (DSM);
исправлена ошибка: «Не отображаются изменения на корневом домене Elles в роли Infrastructure Master при переименовании дочерней группы» (Core);
исправлена ошибка: «LookupSids3 не возвращает результат при недоступности DC внешнего домена» (Core);
исправлена ошибка: «В логах системы множество записей вида TOO_MANY_OPENED_FILES» (Core);
исправлена ошибка: «dbcheck долго выполняется» (Core);
исправлена проблема в работе ИС, подключенной к контроллеру домена Эллес (утилита pg-ldap-sync) (Core);
исправлена ошибка: «С Windows-клиента не сбрасывается пароль машинного аккаунта при использовании Samba RODC» (Core);
исправлена проблема временной поломки NTLM в корневом домене из-за кросс-доменного подключения из дочернего домена к веб-ресурсу в корне (Core);
исправлена ошибка: «Обновление секрета машинной УЗ ломает репликацию» (Core);
исправлена ошибка: «1.10.0 вводится в домен с ошибкой в INTERNAL ERROR: Signal 11: Segmentation fault» (Core);
исправлено управление членством в группах AD и в локальных группах на хостах субъектами леса, а также дерево в Locations (Core);
исправлена ошибка: «Рядовой член домена не может сменить пароль машинного аккаунта через Samba RODC» (Core);
исправлена проблема с репликацией WERR_BAD_NET_RESP (Core);
исправлена ошибка: «LsaLookupNames работает некорректно, если Samba присоединена к домену с ключом "nogc" в кросс-домене» (Core);
исправлена ошибка: «inno-samba 1.9.* — проблема с доступом к ресурсам по Kerberos/NTLM (раскрытие членства групп)» (Core).

Обновление:

версия содержит изменения кода, связанные с исправлением проблем репликации атрибутов; для корректной работы исправлений в рамках существующих баз после установки обновленной версии необходимо повторно выполнить операцию присоединения (rejoin).

Новое в документации

Руководство по установке:

в разделе «Установка с использованием инсталлятора» в описание роли samba добавлен параметр samba__log_level.

Руководство по эксплуатации:

раздел «Мониторинг Эллес»:
- раздел переименован; новое название — «Мониторинг служб контроллера домена Эллес»;
- выделены подразделы:
  - «Сервис metrics_manager (пакет inno-samba)»;
  - «Экспортер метрик (пакет inno-samba-dc-exporter)»;
раздел «Настройка клиента глобального каталога» дополнен описанием конфигурационных параметров gc-discovering:request-timeout, gc-discovering:search-timeout, gc-discovering:reconnect-delay и gc-discovering:rpc-timeout;
раздел «Присоединение к домену в роли участника» дополнен описанием ввода в домен клиента на РЕД ОС;
раздел «Настройка плагина BIND9_DLZ и BIND 9» дополнен описанием особенностей настройки BIND 9 при работе на контроллере домена Эллес в режиме RODC.

Руководство администратора, раздел «Работа с веб-интерфейсом»:

обновлена структура разделов; выделены разделы:
обновлен раздел «Создание узла А»: описаны ограничения на имя при создании узла А;
добавлен подраздел «Удаление узла А»;
добавлен подраздел «Корзина»;
добавлен подраздел «Создание доверия»;
добавлен подраздел «Удаление доверия»;
добавлен подраздел «Редактирование групповой политики».

Руководство администратора, раздел «Работа с инструментами командной строки»:

раздел «Сравнение БД LDAP на контроллерах домена» дополнен рекомендациями по настройке игнорирования отдельных атрибутов при сравнении конфигураций контроллеров домена;
раздел «Администрирование пользователей и групп» дополнен описанием подкоманды samba-tool user protect;
раздел «Включение и просмотр состояния функциональности корзины»:
- раздел переименован; новое название — «Управление корзиной»;
- раздел дополнен описанием подкоманды samba-tool recyclebin list;
раздел «Работа с samba_dnsupdate» дополнен описанием конфигурационных параметров dns:srv record priority, dns:srv record weight, dns:record ttl, dns:avoid dns records list и dns:disable ns records auto creation;
раздел «Присоединение к домену» дополнен описанием опции --no-links-post-check;
раздел «Администрирование контроллера RODC» дополнен описанием опции --force;
добавлен раздел «Работа с checkrepl» с описанием синтаксиса и примерами вызова скрипта checkrepl, предназначенного для диагностики проблем с репликацией;
раздел «Администрирование роли Global Catalog» дополнен описанием опций --dns и --scope для подкоманды samba-tool gc list.