Вошел как влитой: в России создали легко интегрируемый аналог Microsoft AD

Марк Волков
9 мая, 17:39
Служба каталогов занимает центральное место в современной ИТ-инфраструктуре, управляя всеми пользователями (их группами) и ресурсами, к которым они имеют доступ. Таким образом, исправная работа службы каталогов как базы данных метаинформации обеспечивает взаимодействие всех остальных служб и систем. Долгое время отраслевым стандартом подобных решений был продукт Microsoft Active Directory. Но из-за санкций его поддержка в России прекращена, а значит, пришло время заменить «американскую классику» на отечественное ПО. Мы изучили российский аналог Microsoft AD — бесплатную службу каталогов MultiDirectory, чтобы понять, насколько она надежна и совместима со всеми смежными службами и сервисами.

Безопасность и надежность службы каталогов

Центральная роль службы каталогов в инфраструктуре предъявляет строгие требования к степени надежности подобных решений и уровню безопасности, которые они могут обеспечить пользователям.

Собственная безопасность продукта базируется на трех вопросах: «Из чего это сделано?», «Есть ли неконтролируемые зоны риска?» и «Открыт ли исходный код?».

Первый вопрос касается технологического стека решения. К примеру, служба каталогов MultiDirectory создана на базе Python и PostgreSQL по классической трехуровневой архитектуре («клиент — сервер приложений — сервер данных»). Это обеспечивает отказоустойчивость и позволяет осуществлять резервное копирование штатными средствами, без усложнения структуры.

Неконтролируемые зоны риска возникают из-за присутствия в структуре решения элементов сторонних open-source-продуктов. Создатель ПО не контролирует стабильность и актуальность обновлений этих продуктов, а значит, не может полностью гарантировать и качество своего решения. Также «красными флагами» в структуре решения являются устаревшие протоколы MD5 (хэширование) и NTLM (аутентификация).

В свою очередь, собственный открытый исходный код продукта говорит о высокой степени надежности и готовности разработчиков совершенствовать свое решение в соответствии с реалиями рынка.

Всем этим требованиям соответствует российская служба каталогов MultiDirectory — в структуре этого open-source-решения нет элементов от сторонних продуктов подобного рода, а также неактуальных протоколов.

Благодаря собственной надежности MultiDirectory способна предоставить пользователям ряд ключевых функций безопасности, таких, как: 

  • единая SSO-идентификация, 
  • поддержка двухфакторной аутентификации, 
  • парольные и сетевые политики доступа, 
  • пароли передаются по каналу, зашифрованному современным криптографическим протоколом TLS.

Интеграция службы каталогов

Однако создать надежный и функциональный продукт недостаточно. Важно, чтобы его можно было легко интегрировать в уже выстроенную ИТ-инфраструктуру. В противном случае этот «сферический конь в вакууме» попросту оказывается неюзабельным.

В ходе импортозамещения российские производители ПО позаботились и об этом. Так, служба каталогов MultiDirectory имеет каталог LDAP, структурно адаптированный под схему Microsoft Active Directory, возможность подключения по LDAPS, интеграцию с DNS-сервером Bind9, а также встроенный Kerberos-сервер с управлением через веб-интерфейс. Напомним, что такой метод администрирования Kerberos позволяет избежать установки отдельного приложения, что существенно упрощает и облегчает пользовательский опыт.

Этот «джентльменский набор» смежных служб сложился еще вокруг Microsoft AD, а значит, переход на его российский аналог MultiDirectory в большинстве случаев будет проходить гладко и не принесет значимых издержек.

Настройка службы каталогов

Служба каталогов MultiDirectory устанавливается через Docker, а в качестве СУБД можно использовать как включенное в комплект поставки решение, так и ПО во внешнем кластере. Сравнительные схемы двух вариантов архитектуры решения приведены ниже:

Схема 1: С использованием внутренней СУБД
Схема 2: С использованием внешней СУБД

Все дальнейшие шаги, включая подключение Kerberos-сервера, настройку DNS, создание политик доступа и пр., подробно описаны в технической документации решения.

Разработчики обращают особое внимание пользователей на несколько моментов, о которых стоит помнить с самого начала настройки решения.

Так, очень важно учитывать, что MultiDirectory в качестве базы данных поддерживает только PostgreSQL или российские аналоги, например, Postgres PRO или Jatoba.

Также стоит помнить, что в MultiDirectory, как и в решении от Microsoft, парольные политики применяются на домен, а по умолчанию стоит стандартная парольная политика, которую следует не забыть настроить под задачи компании.

Интересно, что разработчики MultiDirectory активно развивают коммьюнити-чат в Telegram, в котором можно задать вопросы по продукту или поделиться обратной связью. Такой формат зачастую оказывается удобным для всех: пользователи могут получить быстрый ответ, не дожидаясь звонка из техподдержки, а разработчики — до минимума сократить время реагирования на баг-репорты.

Выводы: что может MultiDirectory

Таким образом, служба каталогов MultiDirectory представляет собой легко интегрируемое и кастомизируемое решение по аутентификации и авторизации для ИТ-инфраструктур любого масштаба. Продукт создан в России «с нуля», но при этом имеет совместимость с Microsoft Active Directory.

MultiDirectory работает со всеми ключевыми сетевыми службами (VPN, VDI, SSH), операционными системами (Windows, Linux и MacOS), on-prem приложениями (1C и др.) и облачными приложениями (Bitrix 24, Яндекс 360 и пр*). Это делает его полезным для большинства коммерческих организаций, независимо от сферы их деятельности.

И едва ли не один из самых ключевых плюсов решения от компании МУЛЬТИФАКТОР — это бесплатная community-версия продукта. Скачивайте ее по ссылке ниже, тестируйте и обязательно делитесь впечатлениями в Telegram-чате:

Скачать MultiDirectory на сайте

Реклама ООО «МУЛЬТИФАКТОР» ИНН 9725026066 ОГРН 1197746716310 Erid: 2VfnxxpeQQx
Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Тайны древней звезды по соседству изучили, «подслушав ее песню»
Космос
Baidu делает ИИ для перевода звуков животных в человеческую речь
Наука
Оказалось, ИИ врет чаще при одном условии: как этого избежать
Новости
Суперкомпьютер Маска сжирает электричество как 300 000 домов: люди протестуют
Новости
Посмотрите, как робот стремительно отбивает подачи в настольном теннисе
Новости
Физики исполнили мечту алхимиков: свинец в коллайдере превратили в золото
Наука
Создано музыкальное приложение для реабилитации после инсульта
Наука
«Эффект аккордеона» превращает жесткий графен в эластичный материал
Наука
ИИ восстановил имя автора свитка, который пережил последний день Помпеи
Наука
Частный лунный модуль вышел на орбиту спутника после двух месяцев полета
Космос
Предок тираннозавра «иммигрировал» в Америку из Азии, считают ученые
Наука
Обновленный Gemini 2.5 Pro от Google возглавил рейтинг ИИ для разработчиков
Новости
Ученые решили проблему, которая мешала запуску термоядерных реакторов почти 70 лет
Наука
Китайское «супероружие» для подводных диверсий оказалось не таким, как считалось
Новости
Отключение мобильного интернета в Москве: какие последствия для бизнеса
Новости
Киберполиция назвала новые схемы мошенников: как они воруют аккаунты на «Госуслугах»
Новости
Хокинг предсказал гибель Земли: оказалось, НАСА сочло угрозу реальной
Наука
Создатель Ethereum признал свои ошибки и решил изменить криптовалюту
Новости
«Ред ОС 8» заработала на Arm-платформах — теперь и на «Байкале»
Новости
Компания Цукерберга использовала уязвимость подростков для рекламы
Новости