Вошел как влитой: в России создали легко интегрируемый аналог Microsoft AD
Безопасность и надежность службы каталогов
Центральная роль службы каталогов в инфраструктуре предъявляет строгие требования к степени надежности подобных решений и уровню безопасности, которые они могут обеспечить пользователям.
Собственная безопасность продукта базируется на трех вопросах: «Из чего это сделано?», «Есть ли неконтролируемые зоны риска?» и «Открыт ли исходный код?».
Первый вопрос касается технологического стека решения. К примеру, служба каталогов MultiDirectory создана на базе Python и PostgreSQL по классической трехуровневой архитектуре («клиент — сервер приложений — сервер данных»). Это обеспечивает отказоустойчивость и позволяет осуществлять резервное копирование штатными средствами, без усложнения структуры.
Неконтролируемые зоны риска возникают из-за присутствия в структуре решения элементов сторонних open-source-продуктов. Создатель ПО не контролирует стабильность и актуальность обновлений этих продуктов, а значит, не может полностью гарантировать и качество своего решения. Также «красными флагами» в структуре решения являются устаревшие протоколы MD5 (хэширование) и NTLM (аутентификация).
В свою очередь, собственный открытый исходный код продукта говорит о высокой степени надежности и готовности разработчиков совершенствовать свое решение в соответствии с реалиями рынка.
Всем этим требованиям соответствует российская служба каталогов MultiDirectory — в структуре этого open-source-решения нет элементов от сторонних продуктов подобного рода, а также неактуальных протоколов.
Благодаря собственной надежности MultiDirectory способна предоставить пользователям ряд ключевых функций безопасности, таких, как:
- единая SSO-идентификация,
- поддержка двухфакторной аутентификации,
- парольные и сетевые политики доступа,
- пароли передаются по каналу, зашифрованному современным криптографическим протоколом TLS.
Интеграция службы каталогов
Однако создать надежный и функциональный продукт недостаточно. Важно, чтобы его можно было легко интегрировать в уже выстроенную ИТ-инфраструктуру. В противном случае этот «сферический конь в вакууме» попросту оказывается неюзабельным.
В ходе импортозамещения российские производители ПО позаботились и об этом. Так, служба каталогов MultiDirectory имеет каталог LDAP, структурно адаптированный под схему Microsoft Active Directory, возможность подключения по LDAPS, интеграцию с DNS-сервером Bind9, а также встроенный Kerberos-сервер с управлением через веб-интерфейс. Напомним, что такой метод администрирования Kerberos позволяет избежать установки отдельного приложения, что существенно упрощает и облегчает пользовательский опыт.
Этот «джентльменский набор» смежных служб сложился еще вокруг Microsoft AD, а значит, переход на его российский аналог MultiDirectory в большинстве случаев будет проходить гладко и не принесет значимых издержек.
Настройка службы каталогов
Служба каталогов MultiDirectory устанавливается через Docker, а в качестве СУБД можно использовать как включенное в комплект поставки решение, так и ПО во внешнем кластере. Сравнительные схемы двух вариантов архитектуры решения приведены ниже:
Все дальнейшие шаги, включая подключение Kerberos-сервера, настройку DNS, создание политик доступа и пр., подробно описаны в технической документации решения.
Разработчики обращают особое внимание пользователей на несколько моментов, о которых стоит помнить с самого начала настройки решения.
Так, очень важно учитывать, что MultiDirectory в качестве базы данных поддерживает только PostgreSQL или российские аналоги, например, Postgres PRO или Jatoba.
Также стоит помнить, что в MultiDirectory, как и в решении от Microsoft, парольные политики применяются на домен, а по умолчанию стоит стандартная парольная политика, которую следует не забыть настроить под задачи компании.
Интересно, что разработчики MultiDirectory активно развивают коммьюнити-чат в Telegram, в котором можно задать вопросы по продукту или поделиться обратной связью. Такой формат зачастую оказывается удобным для всех: пользователи могут получить быстрый ответ, не дожидаясь звонка из техподдержки, а разработчики — до минимума сократить время реагирования на баг-репорты.
Выводы: что может MultiDirectory
Таким образом, служба каталогов MultiDirectory представляет собой легко интегрируемое и кастомизируемое решение по аутентификации и авторизации для ИТ-инфраструктур любого масштаба. Продукт создан в России «с нуля», но при этом имеет совместимость с Microsoft Active Directory.
MultiDirectory работает со всеми ключевыми сетевыми службами (VPN, VDI, SSH), операционными системами (Windows, Linux и MacOS), on-prem приложениями (1C и др.) и облачными приложениями (Bitrix 24, Яндекс 360 и пр*). Это делает его полезным для большинства коммерческих организаций, независимо от сферы их деятельности.
И едва ли не один из самых ключевых плюсов решения от компании МУЛЬТИФАКТОР — это бесплатная community-версия продукта. Скачивайте ее по ссылке ниже, тестируйте и обязательно делитесь впечатлениями в Telegram-чате:
Реклама ООО «МУЛЬТИФАКТОР» ИНН 9725026066 ОГРН 1197746716310 Erid: 2VfnxxpeQQx
The post Вошел как влитой: в России создали легко интегрируемый аналог Microsoft AD appeared first on Хайтек.