Демонстрационный стенд по интеграции мобильных устройств Apple в инфраструктуру Microsoft

Основной целью стендирования является определение возможностей по интеграции мобильных устройств производства компании Apple в современную корпоративную инфраструктуру на базе Microsoft Windows, Active Directory и Exchange.

Мобильные устройства сейчас широко распространены и все больше и больше компаний задумываются над интеграцией этого мощного бизнес механизма в существующую корпоративную инфраструктуру, в первую очередь как средства повышения производительности струдников, так и как инструмент удаленной работы. В связи с ростом общего числа таких устройств в компании, перед руководством встает вопрос эффективного управления парком планшетов и мобильных компьютеров.

В среде настольных ПК Windows хорошо зарекомендовал себя продукт Microsoft Active Directory, позволяющий развернуть централизованную базу пользователей, компьютеров и применяемых групповых политик. В большинстве компаний в Российской федерации службы домена Active Directory успешно используются уже несколько лет. В связи с выходом на рынок устройства новой архитектуры - планшетного компьютера ребром встает вопрос интеграции этого оборудования с существующими ресурсами предприятия.

Число компаний, отвергающих такой мощный бизнес инструмент, как планшет постоянно уменьшается и статус устройства постепенно меняется с «модной игрушки» на «инструмент сотрудника». В связи с этим руководством ставится новая задача обеспечить максимальную эффективность работы пользователей мобильных устройств и упростить процедуру интеграции этих продуктов в существующую инфраструктуру. Компания Apple разработала программный продукт управления профилями мобильных устройств, который позволяет централизованно настраивать пользовательские компьютеры и мобильные устройства в соответствии с требованиями бизнеса интегрируя их в существующую или создавая новую информационную среду предприятия.

Менеджер профилей позволяет существенно упростить настройку оборудования под управлением операционных систем OS X и iOS, обеспечивая возможность функционирования в корпоративной среде предприятия или учебного заведения. Менеджер профилей используется для создания наборов настроек и профилей для групп устройств и автоматического их распространения среди оборудования и пользовательских учетных данных.

Profile Manager состоит из трех частей, которые работая вместе позволяют указать как будут настроены устройства, каким образом они будут управляться и каким способом конфигурация будет применена.

• Интерфейс администрирования (на базе web) - 
Веб-приложение администрирования позволяет настраивать параметры устройств, управлять привязанными устройствами, группами и пользователями
• Портал самообслуживания (на базе web)
 - Портал самообслуживания служит точкой входа новых устройств в корпоративную инфраструктуру, а так-же позволяет пользователям устройств самостоятельно загружать общедоступные профили и проводить привязку устройства к своей учетной записи
• Сервер управления мобильными устройствами
 - Серверная часть менеджера профилей позволяет автоматически распространять конфигурационные профили на мобильные устройства и ПК, под управлением OS X и iOS. Сервер отслеживает выполнение настроек на устройствах, блокировку и экстренное стирание информации.

Каждый пользователь, группа пользователей, устройство или группа устройств могут иметь набор базовых параметров. Данный функционал позволяет легко распространять основные настройки на оборудование. Например для создания рабочего планшета руководителя достаточно создать учетную запись руководителя и поместить ее в группу «Руководители» и группу «iPad». Это действие привяжет к новому устройству два базовых профиля из обоих групп. Помимо использования групповых профилей - каждый элемент может обладать уникальным набором параметров.

Основным продуктом работы менеджера профиля является конфигурационный профиль в формате XML (.mobileconfig), несущий в себе нагрузку в виде заданных через интерфейс администратора параметров. Профили могут содержать в себе множество настроек, начиная от фиксации элементов управления устройством, заканчивая автоматически устанавливаемыми приложениями и веб-закладками. Профиль может быть распространен несколькими путями:

• Ручное распространение
 - Администратор может загрузить профиль из веб-интерфейса управления и затем распространить его любым способом на клиентские устройства, например отправив его по почте, или передать его на внешнем накопителе, после получения файла пользователи смогут самостоятельно интегрировать профиль в свое устройство
• Самообслуживание - Пользователи могут скачать и установить необходимые профили через портал самообслуживания. Портал отображает и предоставляет доступ к профилям на основе заданных параметров безопасности для каждого профиля.
• Удаленное управление - При активации функционала управления мобильными устройствами (mobile device management (MDM)) для менеджера профилей устройства смогут автоматически получать конфигурационные профили и их обновления.

В процессе стендирования были опробованы несколько архитектур возможного решения, среди них была выбрана наиболее универсальная и отражающая особенности внедрения оборудования в реальных условиях. Схема решения приведена на рисунке в приложении.

Стенд состоит из следующего оборудования

1. Рабочая станция Apple Mac Pro, под управлением ОС: OS X 10.8
2. Беспроводная точка доступа
3. Сервер на платформе x86, под управлением ос FreeBSD 8.1

Инфраструктура Microsoft Windows была реализована в виртуальной среде в программном продукте клиентской виртуализации Oracle VirtualBox, данное решение было принято исходя из соображений увеличения мобильности тестовой платформы и достаточных ресурсов ПК.

В виртуальной среде были запущены следующие операционные системы для выполнения перечисленных инфраструктурных сервисов:

1. GDC - Microsoft Windows 2008 R2 Standard
   1. Контроллер домена Active Directory
   2. Сервер доменных имен (DNS)
2. EX - Mcrosoft Windows 2008 R2 Standard
   1. Сервер почтовой службы Microsoft Exchange
3. GW - FreeBSD 8.1
   1. Сетевой маршрутизатор
   2. Сервер доменных имен (DNS)
   3. Сервер динамического конфигурации узлов (DHCP)

Выбор такой конфигурации был продиктован следующими требованиями:

• Обеспечение возможности подключения к любому маршрутизатору интернет
• Изоляция стенда от внешней сети
• Имитация разрозненной архитектуры, свойственной предприятиям (маршрутизатор на базе *nix, сервер домена на базе Windows)
• Тестирование возможности использования не родного сервера доменных имен Windows, при работе с AD

Сетевая конфигурация стенда представлена на следующем рисунке

Внутренняя маршрутизация стенда производится в сети 11.0.1.1/24 .

Виртуальный маршрутизатор стенда оснащен двумя виртуальными сетевыми адаптерами em0 и em1, подключенными в режиме Bridge к физическим адаптерам рабочей станции Mac Pro соответственно em0 к №1, em1 к №2.

• По порту em0 маршрутизатор получает доступ в сеть интернет 11.0.1.1 данный порт является для маршрутизатора интерфейсом WAN
• Порт em1 имеет фиксированный ip адрес: 11.0.1.1, на нем работают сервисы DHCP, DNS. Интерфейс является основным шлюзом для клиентов и предоставляет маршрутизацию в сеть интернет без ограничений. Пул адресов DHCP следующий: 11.0.1.100 - 11.0.1.200. На машртутизаторе настроена функция DNS forward на DNS сервер: 11.0.1.2.

Сервер Active Directory имеет один интерфейс и вручную заданный ip: 11.0.1.2/24 и FQDN: GDC.maccorp01.net

Сервер Exchange имеет один интерфейс и вручную заданный ip: 11.0.1.3/24 и FQDN: 
MAIL.maccorp01.net

Рабочая станция Mac Pro оснащена двумя сетевыми адаптерами и настроена следующим образом:

• Сетевой адаптер, обозначенный цифрой 1 на корпусе настроен следующим образом:
  • IP адрес получается автоматически по DHCP
  • Интерфейс является внешним и должен получать доступ в интернет и все настройки по DHCP
• Сетевой адаптер, обозначенный цифрой 2 на корпусе настроен следующим образом:
  • IP адрес задан в ручную: 11.0.1.10/24, остальные настройки получаются по DHCP.
  • Интерфейс является внутренним и получает все настройки DHCP от маршрутизатора GW.
  • К этому интерфейсу подключена беспроводная точка доступа, работающая в режиме AP (Acces Point)
• Беспроводная точка доступа имеет интерфейс управления по адресу 11.0.1.50/24 и подключает беспроводных клиентов к своему внешнему интерфейсу.
• Беспроводные устройства под управлением iOS подключаются по WiFi и получаются ip адрес c сервера 11.0.1.1 в диапазоне 11.0.1.100-11.0.1.200, netmask: 255.255.255.0, gw: 11.0.1.1, dns: 11.0.1.1

Сервер доменных имен запущен на машине GDC. FQDN: maccorp01.net.

Почтовый сервер запущен на машине MAIL. FQDN: mail.maccorp01.net. Аутентефикация пользователей проводится доменом.

В домене заведено несколько тестовых пользователей, как видно из рисунка.

Тестовым пользователям созданы почтовые ящики, как видно из рисунка:

Доступ к почте организуется по протоколу MAPI и посредством веб доступа: OWA, по адресу: https://mail.maccorp01.net/owa

Инфраструктура windows полностью работоспособна и обеспечивает распределение груповых политик, контроль доступа и доставку почты внутри домена.

На рабочей станции Mac Pro установлены утилиты сервера OS X Server 2, для работы тестируемого решения активирован минимум функционала, как видно из рисунка:

Аутентефикация в системе OS X производится по внутренней службе каталогов (Open Directory) и через домен Active Directory:

Подключение мобильных устройств на базе iOS производится следующим образом:

1. Новое устройство необходимо подключить к сети WiFi. Устройство должно получить правильные настройки IP и иметь доступ в сеть интернет.
2. Для привязки устройства к аккаунту пользователя необходимо воспользоваться порталом самообслуживания, для этого необходимо перейти по адресу: http://mac01.maccorp01.net/MyDevices/ , пройти аутентефикацию используя учетные данные службы каталогов Microsoft Active Directory.
3. Для обеспечения доверия самоподписанным сертификатам сервера необходимо сначала установить профиль «Trust Profile» со вкладки «Profiles», как показано на риснуке:
4. После установки доверенного профиля можно приступать к привязке устройства на вкладке Devices.
5. На устройство будет загружен профиль «Device Enrollment», как показано на риснуке:
6. Предупреждение предоставляет информацию о возможностях удаленного администрирования пользователю, как показано на рисунке:
7. После установки профилей они отображаются в меню настройки на мобильном устройстве:
8. После привязки нескольких устройств портал самообслуживания пользователя выглядит следующим образом: . Данный портал позволяет пользователю самому заблокировать или стереть данные на устройстве в случае его пропажи или несанкционированного доступа
9. После привязки устройства так-же отображаются в интерфейсе администратора:
10. Основная работа администратора заключается в настройке профилей устройств или групп через интерфейс администрирования. На рисунке представлен пример настройки для Microsoft Exchange:
11. После применения профиля к устройству или к группе, в которой оно содержится, профиль будет распостранен, и на устройстве отобразятся изменения. На изображении приведен пример настройки Microsoft Exchange, пользователю требуется ввести пароль от своей учетной записи:
12. Настройка сделанная через интерфейс администратора менеджера профилей отображается в интерфейсе настройки устройства, некоторые изменения заблокированы: 

13. Настройки распостраняются на устройства посредством профилей, для каждого профиля можно просмотреть содержимое:
14. После ввода пароля программа mail.app автоматически подключается к серверу exchange, согласно настройкам, сделанным администратором, как показано на рисунке:
15. Адреса пользователей домена автоматически подгружаются в процессе создания новых писем:

Настройки сделанные администратором в интерфейсе управления профилями могут быть применены на группы устройств, с использованием шаблонов подстановки, (например %email% или %last-name%) что позволяет существенно сократить время ввода в эксплуотацию нового оборудования и уменьшить трудозатраты персонала на первоначальную настройку оборудования.

Собраный демо-стенд показал возможность автоматизации процесса интеграции мобильных устройств на базе операционной системы iOS в корпоративную инфраструктуру Microsoft, на примере приложения почтовой службы Microsoft Exchange. Показано, что устройства интегрированные таким образом не требуют практически никакого вмешательства администраторов сервера, кроме первоначальной настройки присвоения заранее созданных профилей устройствам. Определена возможность использования службы проверки подлинности на базе Microsoft Active Directory при управлении мобильными устройствами Apple. Дальнейшие исследования могут быть проведены в области рассмотрения вариантов замены существующей инфраструктуры Microsoft Active Directory + Exchange на инфраструктуру Apple Server в предприятиях небольшого маштаба. Так-же детального исследования требует тема замены Active Directory + Excahnge в крупных организациях, в которых число устройств на базе OS X и iOS существенно привысило число устройств на базе MS Windows. Подробного исследования требует методология обеспечения отказоустойчивости сервисов, реализованных на оборудовании Apple в связи с отсутсвием встроенных технологий обеспечения отказоустойчивости, таких как кластеризация ПО. Тщательной проработки требует оценка стабильности ПО управления мобильными устройствами в связи с возникшими програмными ошибками в процессе стендирования. Програмный продукт при неправильной настройке не всегда удавалось реанимировать, и в некоторых случаях настройку приходилось проводить с нуля.