Directory Service обеспечивает бесшовную миграцию с MS AD, прозрачное управление ресурсами в период длительного сосуществования и привычные сценарии для администраторов MS AD.

Directory Service — это:

• полностью российская служба каталогов;
• высокая производительность и отказоустойчивость;
• автоматизация и удобство управления ресурсами;
• гибкость и масштабируемость без ограничений;
• безопасность и поддержка импортозамещения.

Линейка службы каталогов

Выбирайте оптимальное решение

Функциональные отличия служб каталогов Avanpost DC
(подберите свою модель потребления, исходя из нужд компании)

Преимущества перехода на Avanpost DC:

• программное обеспечение не уступающие по функционалу и производительности западному аналогу (решение от компании Аванпост повторяет 80% функционала Microsoft AD, а по нагрузочным тестам оно превосходит его в производительности);
• нет необходимости новой миграции при масштабировании (использование Avanpost DS Public позволяет в дальнейшем легко перейти на коммерческую полную версию с увеличенным количеством пользователей сохраняя все текущие настройки и данные);
• максимально бесшовная миграция (Avanpost DS рассчитан на миграцию с Microsoft AD, в том числе возможно параллельное использование двух служб);
• написано на языке GoLang без использования Open Source (обеспечивает высокую производительность отказоустойчивость и масштабируемость. Гарантирует отсутствие рисков прекращения поддержки, трудностей с обновлением и развитием продуктов);
• устраняем риски использования нелицензированного ПО (использование любого программного обеспечения Microsoft несет риски преследования по закону РФ, так как не соответствует лицензионным требованиям правообладателя);
• не требует переподготовки персонала администраторов (Avanpost DS повторяет привычную для IT администраторов структуру Microsoft AD).

Компоненты Avanpost DC

ЯДРО СИСТЕМЫ

Ядро системы обеспечивает централизованную аутентификацию и авторизацию пользователей в Linux инфраструктуре. Ядро системы написано на языке GoLang без использования open source продуктов (компоненты ядра: LDAP server и центр распространения ключей Kerberos) и обеспечивает высокую производительность, отказоустойчивость и масштабируемость в высоконагруженных средах.

Функции (входят в оба решения):

• LDAP сервер обеспечивает централизованное управление пользователями и компьютерами;
• централизованная аутентификация по протоколу LDAP (S) для приложений;
• поддержка авторизации доступа к ресурсам на основе групп позволяет централизованно управлять доступом к сетевым ресурсам;
• индексирование атрибутов ускоряет поиск необходимых объектов каталога;
• центр распространения ключей;
• расширяемая схема дает возможность добавления новых атрибутов и классов объектов;
• Kerberos v5 является основой доменной аутентификации Kerberos V5 KDC обеспечивает AS и TGS обмен ключами;
• реализована сквозная аутентификация по протоколу Kerberos V5 (Kerberos Single Sign On) с поддержкой GSS-API;
• поддержка доменной иерархии (OU) обеспечивает удобную и привычную администраторам структуру каталога.

Функции (входят только в DS PRO):

• аутентификация на основе сертификатов (поддержка PKINIT).

МУЛЬТИМАСТЕР РЕПЛИКАЦИЯ

В рамках продукта реализован механизм мультимастер репликации, повторяющий схему MS AD и обеспечивающий отказоустойчивое хранение данных каталога. В том числе, в геораспределенных средах. Реализованный механизм репликации обеспечивает высокую доступность механизмов идентификации, аутентификации и авторизации.

Функции (входят в оба решения):

• мультимастер репликация (без необходимости назначения единого источника);
• механизм автоматического построения топологии обеспечивает применение любого изменения на все контроллеры домена в пределах сайта не более, чем за три операции;
• встроенные механизмы разрешения конфликтов позволяют обрабатывать одновременные изменения объектов на разных КД;
• за счет надежной отказоустойчивой схемы репликации все контроллеры домена Avanpost DS имеют полную копию каталога, что обеспечивает катастрофоустойчивость хранения данных;
• каждый контроллер домена имеет весь необходимый набор сервисов для обслуживания доменных клиентов и обеспечивает отказоустойчивость предоставления служб аутентификации в сети.

РОЛЕВАЯ МОДЕЛЬ ДОСТУПА

Ролевая модель доступа к объектам каталога повторяет привычную IT администраторам структуру MS AD и позволяет реализовать принцип наименьших привилегий при делегировании полномочий.

Функции (входят в оба решения):

• контроль доступа на основе членства в группах позволяет создавать группы ролей, обеспечивающие систематизацию предоставления доступа к ресурсам каталога;
• гранулярный доступ на уровне атрибутов и классов объектов позволяет точечно настроить доступы в зависимости от требуемых привилегий группы ролей пользователя;
• механизм наследования разрешений позволяет выполнять делегирование полномочий на отдельные ветви доменной иерархии.

ГРУППОВЫЕ ПОЛИТИКИ

Групповые политики реализованы на базе доменного клиента, что позволяет избежать необходимости установки сложного внешнего ПО для управления конфигурациями и обеспечивает простоту и прозрачность применения конфигураций к рабочим станциям. Позволяет реализовать функционал групповых политик в привычной MS AD структуре.

Функции (входят в оба решения):

• парольные политики контролируют требования к сложности, времени жизни паролей учетных записей, а также управляют их блокировкой;
• политики файловой системы позволяют управлять практически любым параметром конфигурации рабочей станции Linux;
• политики SUDOers позволяют управлять правами локальных пользователей на выполнение команд и повышения привилегий;
• политики централизованного управления пакетами позволяют автоматизировать установку и удаление ПО, определить заданный набор ПО для групп рабочих станций;
• управление доступом к USB-устройствам и съемным носителям;
• управление обновлением и репозиториями пакетов;
• настройки безопасности ОС;
• подключение сетевых дисков и перенаправление папок;
• управление принтерами и другими устройствами;
• выполнение сценариев;
• управление сетевыми параметрами;
• управление настройками электропитания.

Функции (входят только в DS PRO):

• создание и загрузка собственных шаблонов групповых политик.

ЖУРНАЛ БЕЗОПАСНОСТИ

Журнал безопасности реализован по аналогии с MS AD и ведет учет событий, связанных с аутентификацией пользователей в каталоге и любыми другими изменениями в каталоге.

Функции (входят в оба решения):

• журнал безопасности обеспечивает удобный и быстрый контроль событий для администраторов и сотрудников отдела безопасности;
• учет событий аутентификации позволяет отслеживать удачные и неудачные попытки входа;
• учет изменений в каталоге позволяет отслеживать все модификации каталога.

Функции (входят только в DS PRO):

• передача событий в SIEM дает возможность экспорта данных в другие системы (удобство для службы информационной безопасности).

ДОМЕННЫЙ КЛИЕНТ

Доменный клиент автоматизирует действия администраторов на рабочих станциях и рядовых серверах.

Функции (входят в оба решения):

• упрощает введение компьютера в домен, помогает избежать ошибок ручной настройки;
• при введении компьютера в домен, доменный клиент настраивает диспетчер аутентификации (sssd), а также сквозную аутентификацию по протоколу Kerberos;
• доменный клиент автоматизирует выполнение рутинных операций по расписанию: обновление Kerberos ключей, обновление DNS записей;
• поддержка ALT Linux, Astra Linux, РЕД ОС;
• возможность установки на неподдерживаемые ОС.

Функции (входят только в DS PRO):

• возможна кастомизация продукта: по запросу обеспечивается совместимость с другими ОС.

ИНТЕГРАЦИЯ С DNS СЕРВЕРОМ

Интеграция с DNS сервером автоматизирует регистрацию DNS записей, необходимых для работы каталога и обеспечивает целостность данных DNS зоны на всех контроллерах домена.

Функции (входят в оба решения):

• хранение данных DNS зоны в каталоге обеспечивает целостность данных DNS на всех серверах;
• безопасные динамические обновления клиентских DNS записей обеспечивает автоматическую регистрацию записей для рабочих станций и рядовых серверов;
• автоматическая регистрация служебных DNS записей контроллеров домена обеспечивает динамическое обнаружение служб в сети.

ПЕРИОД ДОЛГОГО СОСУЩЕСТВОВАНИЯ С MS AD

Avanpost DS позволяет обеспечить прозрачный доступ пользователей к ресурсам компании в период длительного сосуществования с MS AD за счет двусторонних доверительных отношений, реализации глобального каталога и инструментов автоматизированной миграции.

Функции (входят в оба решения):

• бесплатная версия продукта позволяет установить доверительные отношения с одним доменом (двусторонние трасты) с MS AD;
• двусторонние доверительные отношения (kerberos trusts) позволяют пользователям из MS AD проходить аутентификацию при доступе к ресурсам в домене Avanpost DS и наоборот;
• реализация глобального каталога в соответствии со схемой MS AD позволяет проводить авторизацию пользователей Avanpost DS на рабочих станциях Windows в домене MS AD;
• инструменты миграции позволяют автоматизировать перенос данных из MS AD с сохранением оргструктуры, членства в группах, данных авторизации (SIDHistory) и паролей пользователей;
• совокупность используемых технологий позволяет сохранить прозрачность доступа пользователей на всех этапах миграции и сосуществования.

Функции (входят только в DS PRO):

• в платной версии продукта возможно построение леса доменов по аналогии с MS AD, а также установление доверительных отношений со множеством внешних доменов.

УДОБСТВО ИСПОЛЬЗОВАНИЯ

Функции, обеспечивающие удобство использования:

Функции (входят в оба решения):

• удобная веб-консоль администратора дает возможность управления основным функционалом, наследуя принципы и подходы, принятые в MS AD.

Войдет во второй релиз Public DS:

• UI доменного клиента (для трех Linux систем);
• корзина службы каталогов позволяет восстанавливать удаленные объекты.

КЛЮЧЕВЫЕ ИНФРСТРУКТУРНЫЕ СЕРВИСЫ (ИНТЕГРАЦИИ)

Avanpost DS интегрируется с ключевыми инфраструктурными сервисами.

Функции (входят в оба решения):

• почтовые Сервисы (Maillion, Мой Офис Почта, Communigate Pro, VKmail);
• файловые серверы (Samba, NFS);
• корпоративный портал (Bitrix);
• ВКС (TrueConf, Яндекс Телемост).

Совместимые операционные системы

Поддерживаемые дистрибутивы Linux — Astra Linux,РЕД ОС, ОС «Альт»:

• централизованная аутентификация и авторизация;
• управление параметрами доменов клиента;
• установка и удаление ПО;
• управление общими папками и принтерами.

Другие дистрибутивы Linux:

• реализация адаптеров для применения политик на другие ОС Linux;
• расширение поддержки ОС по запросу;
• адаптация доменного клиента в рамках управления по внедрению.

Windows:

• миграция объектов каталога MS AD в Avanpost DS с сохранением иерархии;
• двустороннее доверие.