Вошел как влитой: в России создали легко интегрируемый аналог Microsoft AD

Марк Волков
16 июня, 17:39
Служба каталогов занимает центральное место в современной ИТ-инфраструктуре, управляя всеми пользователями (их группами) и ресурсами, к которым они имеют доступ. Таким образом, исправная работа службы каталогов как базы данных метаинформации обеспечивает взаимодействие всех остальных служб и систем. Долгое время отраслевым стандартом подобных решений был продукт Microsoft Active Directory. Но из-за санкций его поддержка в России прекращена, а значит, пришло время заменить «американскую классику» на отечественное ПО. Мы изучили российский аналог Microsoft AD — бесплатную службу каталогов MultiDirectory, чтобы понять, насколько она надежна и совместима со всеми смежными службами и сервисами.

Безопасность и надежность службы каталогов

Центральная роль службы каталогов в инфраструктуре предъявляет строгие требования к степени надежности подобных решений и уровню безопасности, которые они могут обеспечить пользователям.

Собственная безопасность продукта базируется на трех вопросах: «Из чего это сделано?», «Есть ли неконтролируемые зоны риска?» и «Открыт ли исходный код?».

Первый вопрос касается технологического стека решения. К примеру, служба каталогов MultiDirectory создана на базе Python и PostgreSQL по классической трехуровневой архитектуре («клиент — сервер приложений — сервер данных»). Это обеспечивает отказоустойчивость и позволяет осуществлять резервное копирование штатными средствами, без усложнения структуры.

Неконтролируемые зоны риска возникают из-за присутствия в структуре решения элементов сторонних open-source-продуктов. Создатель ПО не контролирует стабильность и актуальность обновлений этих продуктов, а значит, не может полностью гарантировать и качество своего решения. Также «красными флагами» в структуре решения являются устаревшие протоколы MD5 (хэширование) и NTLM (аутентификация).

В свою очередь, собственный открытый исходный код продукта говорит о высокой степени надежности и готовности разработчиков совершенствовать свое решение в соответствии с реалиями рынка.

Всем этим требованиям соответствует российская служба каталогов MultiDirectory — в структуре этого open-source-решения нет элементов от сторонних продуктов подобного рода, а также неактуальных протоколов.

Благодаря собственной надежности MultiDirectory способна предоставить пользователям ряд ключевых функций безопасности, таких, как: 

  • единая SSO-идентификация, 
  • поддержка двухфакторной аутентификации, 
  • парольные и сетевые политики доступа, 
  • пароли передаются по каналу, зашифрованному современным криптографическим протоколом TLS.

Интеграция службы каталогов

Однако создать надежный и функциональный продукт недостаточно. Важно, чтобы его можно было легко интегрировать в уже выстроенную ИТ-инфраструктуру. В противном случае этот «сферический конь в вакууме» попросту оказывается неюзабельным.

В ходе импортозамещения российские производители ПО позаботились и об этом. Так, служба каталогов MultiDirectory имеет каталог LDAP, структурно адаптированный под схему Microsoft Active Directory, возможность подключения по LDAPS, интеграцию с DNS-сервером Bind9, а также встроенный Kerberos-сервер с управлением через веб-интерфейс. Напомним, что такой метод администрирования Kerberos позволяет избежать установки отдельного приложения, что существенно упрощает и облегчает пользовательский опыт.

Этот «джентльменский набор» смежных служб сложился еще вокруг Microsoft AD, а значит, переход на его российский аналог MultiDirectory в большинстве случаев будет проходить гладко и не принесет значимых издержек.

Настройка службы каталогов

Служба каталогов MultiDirectory устанавливается через Docker, а в качестве СУБД можно использовать как включенное в комплект поставки решение, так и ПО во внешнем кластере. Сравнительные схемы двух вариантов архитектуры решения приведены ниже:

Схема 1: С использованием внутренней СУБД
Схема 2: С использованием внешней СУБД

Все дальнейшие шаги, включая подключение Kerberos-сервера, настройку DNS, создание политик доступа и пр., подробно описаны в технической документации решения.

Разработчики обращают особое внимание пользователей на несколько моментов, о которых стоит помнить с самого начала настройки решения.

Так, очень важно учитывать, что MultiDirectory в качестве базы данных поддерживает только PostgreSQL или российские аналоги, например, Postgres PRO или Jatoba.

Также стоит помнить, что в MultiDirectory, как и в решении от Microsoft, парольные политики применяются на домен, а по умолчанию стоит стандартная парольная политика, которую следует не забыть настроить под задачи компании.

Интересно, что разработчики MultiDirectory активно развивают коммьюнити-чат в Telegram, в котором можно задать вопросы по продукту или поделиться обратной связью. Такой формат зачастую оказывается удобным для всех: пользователи могут получить быстрый ответ, не дожидаясь звонка из техподдержки, а разработчики — до минимума сократить время реагирования на баг-репорты.

Выводы: что может MultiDirectory

Таким образом, служба каталогов MultiDirectory представляет собой легко интегрируемое и кастомизируемое решение по аутентификации и авторизации для ИТ-инфраструктур любого масштаба. Продукт создан в России «с нуля», но при этом имеет совместимость с Microsoft Active Directory.

MultiDirectory работает со всеми ключевыми сетевыми службами (VPN, VDI, SSH), операционными системами (Windows, Linux и MacOS), on-prem приложениями (1C и др.) и облачными приложениями (Bitrix 24, Яндекс 360 и пр*). Это делает его полезным для большинства коммерческих организаций, независимо от сферы их деятельности.

И едва ли не один из самых ключевых плюсов решения от компании МУЛЬТИФАКТОР — это бесплатная community-версия продукта. Скачивайте ее по ссылке ниже, тестируйте и обязательно делитесь впечатлениями в Telegram-чате:

Скачать MultiDirectory на сайте

Реклама ООО «МУЛЬТИФАКТОР» ИНН 9725026066 ОГРН 1197746716310 Erid: 2VfnxxpeQQx
Подписывайтесь
на наши каналы в Telegram

«Хайтек»новостионлайн

«Хайтек»Dailyновости 3 раза в день

Первая полоса
Астрономы наблюдали рождение гигантского Юпитера в 430 световых годах от Земли
Новости
Toyota откроет первый в мире «город роботов» у подножия горы Фудзи
Новости
Найден способ экспоненциально повысить точность квантовых часов
Наука
Найдено крупнейшее облако заряженных частиц: оно в 20 раз больше Млечного Пути
Космос
Роботов научили определять местоположение людей на слух
Новости
Физики установили новый мировой рекорд точности работы кубита
Наука
Ученые восстановили пути миграции неандертальцев из Европы в Сибирь
Наука
В Китае создали ИИ для проектирования чипов: он справился за несколько дней
Новости
Четыре спутника НАСА наблюдали гигантский выброс плазмы на Солнце
Космос
Математики МГУ описали движение веществ в организме человека
Наука
В Стэнфорде создали вращающееся устройство, которое удаляет тромбы
Наука
В космосе впервые обнаружили гигантскую молекулу с 24 атомами углерода
Космос
Из-за отказа от прививок в России растет заболеваемость корью и коклюшем
Наука
Инженеры создали мягкого робота, который управляется лазерными лучами
Новости
В Apple усомнились в способности существующих моделей ИИ рассуждать
Новости
В IBM назвали сроки создания первого масштабного квантового компьютера
Новости
Посмотрите с орбиты Марса на гигантский вулкан, возвышающийся над облаками
Космос
В России приняли закон о создании единого национального мессенджера
Новости
Ученые выяснили, почему у летучих мышей «долгожителей» не бывает рака
Наука
Открыт прием заявок на премию «Промышленная робототехника»
Иннополис