О САЙТЕ КАТАЛОГ КОНТАКТЫ ENGLISH
ГЛАВНАЯ НОВОСТИ ОБЗОРЫ КОТИРОВКИ СТАТИСТИКА СТАТЬИ

Обзор Avanpost DS 1.0, российской службы каталогов

Импортозамещение в Российской Федерации происходит не только в части средств защиты информации и системного программного обеспечения, но и в части обеспечивающих систем. Особенно актуально это на фоне того, что такие техногиганты, как Microsoft, постепенно прекращают свою деятельность на территории России. Очевидной тенденцией становится переход с операционных систем Windows на Linux. При этом возникает, в частности, проблема замещения Microsoft Active Directory — службы каталогов, содержащей в себе информацию о компьютерах, пользователях, контактах, принтерах и других объектах в иерархическом виде, что позволяет создавать организационные единицы, гибко управлять доступом, вести учёт активов и совершать другие необходимые действия с ними.

На отечественном рынке пока не так много продуктов, которые позволяли бы реализовать необходимые функциональные возможности в инфраструктурах на базе Linux. Одним из них является Avanpost DS, развиваемый вендором с 2020 г.

В отличие от ряда схожих продуктов, Avanpost DS не имеет в своём составе компонентов с открытым кодом, что позволяет избежать рисков появления вредоносных закладок и компрометации инфраструктур заказчиков.

Разработка ведётся с использованием высокопроизводительного технологического стека: Go / BadgerDB / Vue.js. Реализована поддержка протоколов LDAP и Kerberos v5 в соответствии со стандартами IETF. Вендор производил нагрузочное тестирование на стенде с 3,5 млн объектов, среди которых были 600 тыс. пользователей, 300 тыс. групп, 1 млн прочих объектов и 1,6 млн ключей Kerberos. Обрабатывалось более 100 тыс. запросов (50 тыс. на один контроллер домена).

Нагрузочное тестирование Avanpost DS

Рисунок 1. Итоги нагрузочного тестирования Avanpost DS


Функциональные возможности Avanpost DS

Функциональные возможности продукта нацелены на максимально удобную миграцию с привычного Active Directory с учётом особенностей Linux.


LDAP-каталог

Базовую функциональность системы обеспечивает LDAP-каталог. Благодаря этому в Avanpost DS возможно централизованное управление пользователями и компьютерами, поддерживаются авторизация доступа к ресурсам на основе групп, индексирование атрибутов, а также доменная иерархия в виде организационных единиц (Organizational Unit).

Для добавления доступны такие объекты иерархии, как контейнер, группа, рабочая станция, пользователь.

Реализация иерархии в Avanpost DS

Рисунок 2. Реализация иерархии в Avanpost DS


Доменный клиент

Для автоматизации введения компьютера в домен и настройки служб SSSD и Kerberos используется специальная утилита. Доменный клиент поддерживает такие ОС, как Astra Linux, РЕД ОС, ROSA, CentOS и Alt Linux. Также возможна доработка под другие дистрибутивы Linux.

Помимо автоматизации введения компьютера в домен, доменный клиент выполняет такие функции как безопасные динамические обновления DNS-записей и обновление Kerberos-ключей по расписанию.


Функции безопасности

Для обеспечения безопасности самой системы в ней имеются такие механизмы, как ролевая модель контроля доступа, делегирование полномочий на уровне иерархии, журнал безопасности, централизованное хранение событий. Ролевая модель позволяет гранулярно выдавать необходимые доступы сотрудникам разных уровней (техническая поддержка, системные администраторы и т. д.) к объектам на разных уровнях иерархии Avanpost DS.

Так же как и в AD, в Avanpost DS используются групповые политики для управления настройками серверов и АРМ. Система реализовывает функциональность групповых политик посредством интеграции с системой управления конфигурациями (Puppet). Avanpost DS обеспечивает привязку политик к подразделениям и передаёт инструкции по применению конфигураций в Puppet. Применение политик обеспечивается клиентом системы управления конфигурацией.


Групповые политики

Базовый набор политик включает в себя парольные политики, управление доступом к съёмным носителям, подключение сетевых папок, настройки безопасности операционной системы, настройку доступов к приложениям и системным командам, настройку периферийных устройств и др. В случае необходимости расширения политик возможна загрузка собственных шаблонов конфигурации.

Схема распространения политик в Avanpost DS

Рисунок 3. Схема распространения политик в Avanpost DS


Доверительные отношения

Так как процесс миграции на Linux инфраструктуру занимает значительное время, требуется поддержка периода сосуществования. Для этого в Avanpost DS ведутся работы по установлению двусторонних доверительных отношений с Microsoft Active Directory. Это позволяет плавно переносить рабочие станции, сервисы и приложения в новую инфраструктуру без прерывания обслуживания.

При миграции пользователя в Avanpost DS генерируется новый идентификатор, а старый SID копируется как значение атрибута SidHistory. При доступе к ресурсам в домене Microsoft AD авторизация происходит с использованием SidHistory.

Схема взаимодействия при доверительных отношениях в Avanpost DS

Рисунок 4. Схема взаимодействия при доверительных отношениях в Avanpost DS


Архитектура Avanpost DS

Avanpost DS — распределенное приложение, написанное на Golang. Для хранения информации используется BadgerDB, поверх которой реализована логика LDAP хранилища. При этом база данных является встраиваемой, что отличает её от классической трёхзвенной архитектуры построения приложений. Для реализации основных функциональных возможностей в Avanpost DS используются протоколы Kerberos и LDAP. Панель администрирования в системе реализована на Vue. js, взаимодействует с сервисом через REST API.

В системе сейчас используются следующие интерфейсы и порты для них: API (443), Kerberos (88) и LDAP (369, 636). Впрочем, порты могут быть изменены в настройках системы.

Архитектура Avanpost DS

Рисунок 5. Архитектура Avanpost DS

Система является клиент-серверной, клиентская часть представляет собой стандартные пакеты, входящие в состав ОС Linux: SSSD, демон аутентификации и клиентский пакет Kerberos. Также используется разработанный вендором доменный клиент для настройки этих пакетов на рабочих станциях.

Структура сайтов в Avanpost DS реализована аналогично тому, как это сделано в Microsoft AD: логическая структура соответствует месту расположения (например, в ЦОД), где хосты связаны быстрой сетью. Таким образом достигается постоянная репликация между домен-контроллерами, обеспечиваются актуальность данных на них и отказоустойчивость инфраструктуры службы каталогов.

Архитектура взаимодействия контроллеров доменов в Avanpost DS

Рисунок 6. Архитектура взаимодействия контроллеров доменов в Avanpost DS


Системные требования Avanpost DS

Для корректной работы системы предъявляется ряд требований к серверам.

ЦП — 2 вЦП

ОЗУ — 4 ГБ

Свободное место на диске — 16 ГБ, желательно SSD

Программное обеспечение — Linux (64 бита), ядро 4. x, наличие openssl, tar, sudo

Рекомендуемые аппаратные требования к серверу зависят от размера каталога, а также от интенсивности использования.


Сценарии использования Avanpost DS

Установка Avanpost DS производится путём развёртывания архива с дистрибутивом на контроллерах доменов, после чего выполняется настройка. Для администрирования системы используется веб-браузер. Avanpost DS имеет несколько режимов администрирования: «Пользователи», «Группы», «Рабочие станции», «Иерархия», «Журнал безопасности».


Управление пользователями

В этом режиме производятся создание пользователей, поиск, редактирование основных и дополнительных атрибутов, добавление и удаление пользователя из групп. При создании пользователя есть ряд обязательных атрибутов и требований к ним. Например, нужно задать пароль длиной не менее 8 символов, содержащий цифры и буквы в верхнем и нижнем регистрах.

Форма создания нового пользователя в Avanpost DS

Рисунок 7. Форма создания нового пользователя в Avanpost DS


Управление группами

Этот режим позволяет управлять группами пользователей и предоставлять им необходимые привилегии в домене. В интерфейсе системы видны названия и описания групп, доступны редактирование состава группы и поиск пользователей в ней, а также её атрибуты.

Атрибуты группы «Администратор» в Avanpost DS

Рисунок 8. Атрибуты группы «Администратор» в Avanpost DS


Управление рабочими станциями

В режиме «Рабочие станции» возможны добавление и удаление рабочих станций, их поиск, просмотр атрибутов.

Режим «Рабочие станции» в Avanpost DS

Рисунок 9. Режим «Рабочие станции» в Avanpost DS

Кнопка экспорта keytab-файла в Avanpost DS

Рисунок 10. Кнопка экспорта keytab-файла в Avanpost DS


Иерархия

Режим «Иерархия» даёт администратору наглядное представление структуры домена и возможность управления деревом каталога сервисов Avanpost DS: объектами всех типов и организационными подразделениями.

Для добавления доступны такие объекты иерархии, как контейнер, группа, рабочая станция и пользователь. Для удобства реализовано перемещение объектов между подразделениями с помощью механизма перетаскивания мышью (drag-and-drop).

Режим «Иерархия» в Avanpost DS

Рисунок 11. Режим «Иерархия» в Avanpost DS


Выводы

Система Avanpost DS 1.0 способна в условиях импортозамещения стать полноценной заменой Microsoft Active Directory. В первую очередь этот продукт подойдёт большим компаниям с географически распределёнными инфраструктурами. Для удобства пользователей система обладает возможностью построения доменной иерархии в управляемой инфраструктуре. Немаловажной особенностью является возможность автоматического масштабирования ресурсов в случае возрастания нагрузки.

Достоинства:

Недостатки:

Опубликовано 26.07.2024 21:53

Другие пресс-релизы...

Экономические статьи

 + Мировые товарные рынки

 + Экономические блоки

 + Финансы и инвестиции

 + Экономика предприятия

 + Экономические индексы

 + Макроэкономика

 + Основы менеджмента

 + Основы маркетинга

 + Мировая экономика

 + Экономические организации

 + Стратегическое управление

 + Экономика стран мира

Графики

 + Показатели стран мира

 + Курсы валют

 + Фондовые индексы

 + Цены на биржевые товары

 + Цены на акции

 + Экономические индикаторы

Экономические показатели

Экономические новости

22.07.2024 15:52 О фестивале «Маевский взлет» рассказал руководитель банка ЦентроКредит Андрей Тарасов

18.07.2024 17:07 Банк ЦентроКредит организовал выставку старинных русских ценных бумаг

18.09.2023 16:54 Мировой спрос на уран вырастет на 28% к 2030 году в условиях доминирования России

17.06.2023 16:37 Потребительская инфляция в России в мае и первой половине июня немного ускорилась

09.06.2023 12:37 В мае Россия продемонстрировала солидные экономические результаты

08.06.2023 16:11 Темпы роста ВВП РФ составят примерно 1% в 2023 году

25.05.2023 18:35 Экономика России сократилась на 1,9% в I квартале 2023 года

14.05.2023 17:12 Уровень годовой инфляции в России в апреле снизился до 2,3%

26.04.2023 14:34 Рейтинг кредитоспособности банка «ЦентроКредит» был подтвержден на уровне «ruBB»

23.04.2023 16:17 Аналитики ING прогнозируют большие сдвиги и слабый рост в мировой торговле в 2023 году