Переход с Microsoft Active Directory на ALD Pro с сохранением политик и сервисов

Задача

Клиент — организация, реализующая программу импортозамещения, использовал Microsoft Active Directory как основу своей ИТ-инфраструктуры. В домене были интегрированы почтовый сервер, файловые ресурсы, CRM, СКУД и десятки групповых политик.

Основные цели миграции:

• переход на российскую платформу каталогов,
• полная локализация данных,
• сохранение привычного поведения для пользователей и администраторов,
• соответствие требованиям регуляторов по суверенитету ИТ.

Требовалось заменить Active Directory на ALD Pro, развёрнутый на Astra Linux, с использованием FreeIPA в качестве подсистемы каталога, и при этом сохранить все учётные записи, политики, права доступа и интеграции.

Решение

Мы выполнили миграцию в три фазы, с акцентом на обратимость, валидацию и непрерывность сервисов.

Фаза 1. Развёртывание новой инфраструктуры

• Установили ALD Pro на базе Astra Linux SE — редакции, сертифицированной ФСТЭК и поддерживающей ГОСТ-криптографию.
• В качестве ядра каталога у ALD Pro FreeIPA — с расширенной поддержкой Kerberos, DNS, PKI и SSSD, интегрированного в стек ALD Pro.
• Настроили два контроллера домена в режиме репликации для отказоустойчивости.
• Создали новую DNS-зону (ald.corp.ru) и настроили зону прямого/обратного просмотра.

Фаза 2. Перенос объектов и политик

• Экспортировали из Active Directory:
• пользователей и компьютеры (через LDIF и CSV),
• группы безопасности и рассылки,
• SID-историю (для сохранения доступа к файловым ресурсам).
• Преобразовали данные под схему FreeIPA, сопоставив UID/GID и настроив HBAC-правила (Host-Based Access Control) вместо Windows ACL.
• Перенесли групповые политики в формат ALD Policy Manager:
• ограничение USB-накопителей,
• запуск доверенных приложений,
• настройки сетевого экрана,
• параметры аутентификации по ГОСТ.
• Все политики протестированы на пилотной группе из 15 пользователей.

Фаза 3. Интеграция и переключение

• Настроили Samba в режиме контроллера домена, совместимого с FreeIPA, для поддержки Windows-станций.
• Интегрировали ALD Pro с:
• файловыми серверами — через Kerberos и ACL на базе POSIX,
• почтовым сервером — аутентификация по LDAP,
• СКУД и MFA — через RADIUS и LDAP-запросы,
• внутренними веб-приложениями — через SSO на основе Kerberos.
• Постепенно перевели рабочие станции: сначала IT-отдел, затем по одному подразделению.
• Обеспечили сохранение профилей пользователей, сетевых дисков и доступа к принтерам — без ручной перенастройки.

Переключение прошло в выходные, с резервным планом отката. На следующий рабочий день пользователи вошли в систему как обычно — но уже в новый домен.

Результат

• Полный переход с Microsoft Active Directory на ALD Pro на Astra Linux с использованием FreeIPA.
• Все учётные записи, группы и права доступа сохранены.
• Групповые политики работают корректно — от блокировки внешних носителей до управления запуском ПО.
• Все сервисы (почта, файлы, CRM, СКУД) интегрированы без потери функциональности.
• Нулевой простой для бизнеса — пользователи не заметили перехода.
• Полная локализация каталога: данные не покидают периметр, архитектура соответствует требованиям 152-ФЗ, 187-ФЗ и приказам Минцифры.

Сегодня клиент управляет суверенной, безопасной и предсказуемой системой каталогов, полностью независимой от иностранных вендоров — и готов к дальнейшему развитию на отечественной ИТ-платформе.