Журнал "Information Security/ Информационная безопасность" #5, 2024

Вообще, выбор качественного ката- лога на замену – нетривиальная задача со своими сложностями и нюансами. Во-первых, необходимо учитывать совместимость с существующей инфра- структурой и приложениями. Не все аль- тернативные каталоги поддерживают тот же набор функций, протоколов и структур данных, что и AD. Во-вторых, важно оценить функцио- нальные возможности предлагаемого решения. Некоторые каталоги могут не предоставлять такой же уровень управ- ления групповыми политиками, как AD, или иметь ограниченные возможности по масштабированию и отказоустойчи- вости. Следует также обратить внимание на поддержку современных протоколов безопасности и аутентификации. Третьей сложностью является поддерж- ка разработчиков или сообщества. Реше- ния Open Source всегда будут привлека- тельными с точки зрения капитальных затрат, но при этом важно не оказаться перед фактом ограниченной поддержки или недостаточной документации – осо- бенно в ситуациях, когда и то, и другое нужно срочно. Коммерческие продукты, с другой стороны, могут обеспечить высо- кий уровень поддержки, но они потребуют дополнительных финансовых вложений. Наконец, при выборе необходимо учи- тывать не только сиюминутные, но и дол- госрочные потребности организации. Выбранное решение должно быть гибким и масштабируемым, чтобы соответство- вать растущим требованиям или запла- нированным изменениям в инфраструк- туре. Стоит закладывать поддержку облачных сервисов, мобильных устройств и возможностей для интеграции с другими системами управления идентификацией и доступом. Одной из систем, которая подходит для корпоративной инфраструктуры, является служба каталогов MultiDirectory со структурно адаптированным под Active Directory LDAP-каталогом и расширенной функциональностью. Продукт решает важные задачи в области управления доступом и упрощения администриро- вания для организаций со смешанными инфраструктурами, где используются как Windows, так и Linux. Посмотрим подробнее на функциональность и воз- можности MultiDirectory. Что такое MultiDirectory? MultiDirectory – это современная служ- ба каталогов, функционирующая на основе протокола LDAP. Она предна- значена для хранения информации о пользователях, ролях, структуре и ресурсах организации, а также для выполнения базовых задач аутентифи- кации и авторизации. Служба каталогов MultiDirectory соз- дана компанией “МУЛЬТИФАКТОР” (раз- работчиком системы для многофактор- ной аутентификации) и является частью комплексной экосистемы безопасности. MultiDirectory позиционируется как оте- чественное решение на замену Active Directory. Технологическая основа продукта – язык Python, известный своей эффек- тивностью, универсальностью и простотой в использовании. Для хранения данных используется PostgreSQL – одна из наи- более современных и развитых в мире СУБД. Она обеспечивает масштабируе- мость, отказоустойчивость и надежное резервное копирование, что делает MultiDirectory хорошо применимым для корпоративного использования. Посмотрим, что еще есть под капотом у MultiDirectory. Совместимость с Active Directory Два важных аспекта, с которых стоит начинать рассматривать альтернативу для корпоративного домена – совмести- мость с Active Directory по структурам данным и по протоколам. Архитектура каталога MultiDirectory адаптирована под структуру AD, и это позволяет практически бесшовно интег- рировать пользователей и группы. Дру- гими словами, структура каталогов и иерархия, привычная администраторам AD, может быть перенесена и использо- вана в MultiDirectory. Такая архитектура упрощает процессы миграции и адапта- ции, поскольку не требует масштабных изменений в ИТ-инфраструктуру, кото- рая опирается на пользовательский ката- лог. На сегодняшний день MultiDirectory поддерживает подключения к домену Linux-хостов, что дает возможность обес- печить поддержку миграции операцион- ных систем на хостах – не секрет, что этот процесс не одномоментный, и довольно продолжительное время кор- поративная инфраструктура будет жить в гибридном формате на два домена. Парольные и сетевые политики доступа В MultiDirectory реализованы встроен- ные функции для настройки гибких поли- тик паролей и сетевых политик доступа. Парольные политики задают требова- ния к надежности паролей, включая мини- мальную длину, ограничение на исполь- зование прошлых паролей, а также опре- деляют периодичность смены паролей и блокировку учетной записи после нескольких неудачных попыток входа. Сетевые политики доступа регулируют способы взаимодействия клиентов с каталогом, ограничивая доступ по IP- адресам, подсетям или группам пользо- вателей, задавая требования к двух- факторной аутентификации. Для защиты данных применяются защищенные про- токолы, в том числе LDAPS (LDAP over SSL), обеспечивающий шифрование передаваемой информации. Интегрированный Kerberos-сервер Kerberos используется для обеспечения безопасной аутентификации. Он реали- зует механизм единого входа (Single Sign-On, SSO), позволяя пользователям и сервисам подтверждать свою "лич- ность" (Identity) только один раз, после чего они получают доступ ко всем раз- решенным ресурсам без необходимости повторного ввода пароля. Это происходит с помощью использования временных токенов (тикетов) для аутентификации. Kerberos защищает данные от перехвата и предотвращает атаки, например "чело- век посередине" (Man-in-the-Middle). 50 • СПЕЦПРОЕКТ Куда российским компаниям мигрировать с Active Directory? есмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе. Н