08 Июля 2025 10:00 | 08 Июл 2025 10:00 | |

Поделиться

Бесплатная российская замена Active Directory упрощает переход на отечественное ПО

Как работают службы каталогов?

Службы каталогов играют важную роль в обеспечении удобного и безопасного доступа к ресурсам организации, а также в управлении пользователями, их правами и полномочиями. В числе примеров известных служб каталогов — Active Directory (AD) от Microsoft, OpenLDAP, Novell eDirectory, Samba DC, FreeIPA. Active Directory и подобные ей службы каталогов хранят и структурируют сведения о пользователях, группах, устройствах в сетевой инфраструктуре, дают возможность ограничить доступ к определенным ресурсам в зависимости от полномочий пользователя.

Это осуществляется через политику безопасности и права доступа. Также эти службы обеспечивают проверку подлинности пользователей (аутентификация) и авторизацию, защиту данных посредством шифрования и сертификатов.

Механизм однократной аутентификации (Single Sign-On, SSO) позволяет пользователям войти в систему один раз и получить доступ к множеству ресурсов без повторного ввода пароля, а удобная схема хранения данных упрощает поиск нужной информации о пользователях и ресурсах.

Вся информация представляется в виде иерархической структуры. В корневой части — домен верхнего уровня (например, домен организации), затем следуют организационные подразделения (organizational units), группы пользователей и их учетные записи. Стандартный протокол LDAP (Lightweight Directory Access Protocol) обеспечивает чтение, изменение и удаление данных.

Российская замена AD

При создании службы каталогов MultiDirectory её разработчики учитывали особенности российского ИТ-рынка и опирались на главные требования и задачи, которые должен закрывать продукт. Как сообщают разработчики, она реализует многие функции Active Directory, соответствует российским стандартам безопасности, а компания-разработчик является лицензиатом ФСТЭК. Продукт получил государственную регистрацию и включен в реестр российского ПО, что делает его подходящим вариантом для компаний, заинтересованных в снижении санкционных рисков и соблюдении нормативных требований.

Одно из достоинств MultiDirectory — бесплатная Community-версия. Она даёт возможность бесплатно протестировать продукт (с ограничениями по функционалу) перед переходом на Enterprise-версию. Enterprise-версия отличается от Community-версии тем, что имеет более расширенный функционал и гарантированное техническое сопровождение от вендора.

Каталог учетных записей MultiDirectory реализован на высокоуровневом языке программирования Python. В ней также используется открытая СУБД PostgreSQL, которая позволяет масштабировать данные, обеспечивать отказоустойчивость и резервное копирование.

Решение поддерживает ввод в домен рабочих станций Linux. Адаптация схемы атрибутов LDAP-каталога MultiDirectory под структуру AD упрощает интеграцию с решениями на базе Active Directory.

Доверительные отношения между Active Directory и MultiDirectory

Многие российские компании задумываются о переводе своей инфраструктуры на отечественное ПО. Согласно указу президента РФ №166 от 30.03.2022 г., значимые объекты критической информационной инфраструктуры должны перейти на ПО, сведения о котором включены в единый реестр российских программ для электронных вычислительных машин и баз данных. Этот указ направлен на повышение технологической независимости и безопасности критической информационной инфраструктуры.

Часто возникает задача плавного перевода инфраструктуры с Active Directory (AD) на отечественную службу с сохранением работоспособности всех сервисов и без длительных простоев. Процесс такой миграции продуман и упрощен благодаря специальным утилитам и инструкциям. Пошаговое руководство по переносу данных и настроек позволяет минимизировать риски и сократить сроки перехода. Это сводит к минимуму перерывы в работе и увеличивает прозрачность процедуры.

MultiDirectory позволяет сохранить прежние схемы организации каталогов, групп и ролей, что упрощает перенос существующих политик, процедур аутентификации и авторизации. Поэтому процесс миграции удобен для сотрудников, привыкших к работе с Active Directory.

Пользователи получают такие выгоды, как централизованное хранение и управление данными с быстрым добавлением или удалением учетных записей, повышенный уровень информационной безопасности за счет хранения паролей на специальных серверах с защитой от внешнего доступа и аутентификации Kerberos, технологию «единого входа» (Single Sign-On) и интеграцию с корпоративными приложениями и облачными платформами.

Как работает механизм доверия

Механизм доверия (Trust) между каталогами AD и MD позволяет осуществить миграцию поэтапно, не прерывая функционирования существующих сервисов и работы пользователей. Через доверие возможна простая аутентификация и авторизация пользователей AD на ресурсах MD и наоборот. Сервисы могут продолжать проверять права доступа пользователей AD, основываясь на членстве в группах AD, даже если сам ресурс теперь расположен в MD.

Основные задачи, решаемые механизмом доверия, включают в себя единую аутентификацию (пользователям не нужно повторно вводить пароль, независимо от того, в какой домен они входят), группы и права доступа (авторизация на основе групп AD поддерживается без дублирования этих групп в MD), а также постепенную миграцию (сначала устанавливается доверие, затем поэтапно переносятся сервисы и политики).

С помощью Kerberos обеспечивается доступ пользователей одного домена к ресурсам другого. При правильной настройке DNS пользователи могут входить в домен AD и работать с ресурсами MD и наоборот. При обращении к MD пользователь AD проверяется непосредственно в AD. Запросы аутентификации и поиска отправляются от имени специальной учетной записи в AD, что позволяет безопасно передавать информацию о правах и членстве в группах пользователей AD. Благодаря поддержке работы с DNS-сервером Bind9 можно настроить Bind9 через интерфейс MultiDirectory либо подключить внешний DNS-сервер через коннектор.

Это действительно удобно. Требуется минимум изменений: все настраивается на стороне серверов и сервисов. MD прозрачно проксирует запросы в AD, поэтому сервисы продолжают работать без изменений. Можно начать с небольшого числа сервисов, убедиться в правильности работы и продолжить перенос остальных. Пароли хранятся в AD до тех пор, пока аккаунт не будет окончательно перемещен в MD.

Один из главных аргументов в пользу перехода на MultiDirectory — исключение зависимости от зарубежных решений и рисков блокировки вследствие санкций. Использование российских технологий снимает опасения, связанные с возможным прекращением поддержки, утратой лицензионных ключей или угрозой нарушения нормальной работы служб каталога. MultiDirectory обеспечивает локализацию, позволяя создавать полностью независимую инфраструктуру без привязки к внешним поставщикам.

Аутентификация и авторизация

MultiDirectory полностью воспроизводит функции аутентификации и авторизации Active Directory (в том числе многофакторной), поддерживая протоколы LDAP и Kerberos. Централизованное управление доступом облегчает администрирование систем с большим числом пользователей. Для повышения надежности работы службы каталогов есть встроенные механизмы безопасности, защищающие от утечек данных и хакерских атак.

Централизованное, безопасное хранение

Администраторы MultiDirectory могут настраивать сетевые политики доступа, аутентификацию, управлять пользователями, группами и компьютерами. Многокомпонентная структура MultiDirectory позволяет централизованно хранить данные и управлять ими, поддерживает многопользовательский доступ. Функциональные возможности мультидоменных зон реализуют гибкие схемы работы, подходящие как для малых, так и для крупных предприятий. MultiDirectory оснащена встроенными механизмами защиты данных, включая многоуровневую аутентификацию, журналы аудита и протоколы шифрования.

Интеграция с другими системами

MultiDirectory интегрируется с большинством популярных российских и зарубежных приложений и систем, обеспечивая взаимодействие с бизнес-приложениями, CRM-системами, ERP и другими корпоративными приложениями. Такая интеграция ускоряет внедрение MultiDirectory в действующую инфраструктуру, расширяет сферу применения службы каталогов.

Итог

В настоящее время на рынке российских решений существуют и другие аналоги Active Directory со своими достоинствами и недостатками, но MultiDirectory выделяется сбалансированным сочетанием открытости, доступности (без ограничений по времени или числу пользователей, характерных для конкурентных продуктов) и готовности к работе в условиях неопределенности и турбулентности рынка. Централизованное управление данными, поддержка Kerberos и SSO упрощают администрирование и повышают уровень безопасности этой мультиплатформенной службы каталогов с открытым исходным кодом и свободной лицензией от российского вендора «Мультифактор».

MultiDirectory подойдет для бизнеса любого размера. Небольшим компаниям она дает возможность просто управлять всеми функциями, а для крупных организаций обеспечивает стабильность, возможность развития и роста, справляясь с большими объемами данных и сложными задачами.

Переход с Active Directory на MultiDirectory — разумный шаг для российских компаний, которые стремятся обезопасить свою ИТ-инфраструктуру и защитить бизнес от санкций. MultiDirectory не только дублирует функции Active Directory, но и добавляет уникальные преимущества, характерные для российских условий. Грамотно спланированная миграция и последующая эксплуатация позволят предприятиям двигаться вперед, полагаясь на решение, разработанное отечественными специалистами.

Также вы всегда можете задать свои вопросы напрямую разработчикам службы каталогов MultiDirectory в Телеграм-чате.

Поделиться

Короткая ссылка