Санкции против России и требования регуляторов повышают интерес к отечественным альтернативам Microsoft Active Directory. Какие службы каталогов могут предложить российские вендоры и насколько эффективно их разработки могут заменить AD?
- Введение
- Назначение служб каталогов
- Мировой рынок служб каталогов
- Российский рынок служб каталогов
- Обзор отечественных служб каталогов
- 5.1. Avanpost DS
- 5.2. ALD Pro
- 5.3. РЕД АДМ
- 5.4. «Атом.ДОМЕН»
- 5.5. «Альт Домен»
- 5.6. Dynamic Directory
- 5.7. «Эллес»
- Выводы
Введение
Опрос, проведённый недавно в эфире AM Live, показал, что интерес к замене Microsoft Active Directory у российских компаний связан в первую очередь с требованием регулятора перейти на отечественное программное обеспечение (70 % респондентов). Кроме того, в результате ухода зарубежных поставщиков с российского рынка возникли проблемы с поддержкой безопасности ПО, что влечёт за собой дополнительные риски по части ИБ.
Рисунок 1. Результаты опроса о причине актуальности поиска альтернатив Microsoft AD
В соответствии с указом № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», начиная с января 2025 года субъектам КИИ будет запрещено применение зарубежного программного обеспечения. Поэтому такие организации и ведомства должны уже как минимум тестировать новое ПО для последующего внедрения. Остальным компаниям тоже необходимо учитывать рекомендации по импортозамещению, так как риски в области информационной безопасности затрагивают всех участников рынка.
Одной из основных целей в рамках работ по импортозамещению является миграция с операционной системы Windows на российские ОС (как правило, те или иные разновидности Linux), что влечёт за собой потребность в замене службы каталогов Active Directory.
Назначение служб каталогов
Службы каталогов — это специализированные программные продукты, предназначенные для организации и хранения информации о объектах в сети, таких как пользователи, группы, компьютеры, устройства, ресурсы и другие элементы. Назначение служб каталогов заключается в том, чтобы обеспечивать централизованное управление данными и ресурсами в корпоративной сети, упрощать управление доступом к информации, повышать безопасность и эффективность работы сети.
Эти службы предоставляют различные функции и возможности, включая:
- централизованное хранение данных об объектах в сети, что облегчает управление и предоставляет одинаковый доступ к информации всем участникам;
- аутентификацию и авторизацию пользователей, управление доступом к ресурсам в сети в зависимости от ролей;
- управление сетевыми ресурсами, контроль доступа к файлам, принтерам, программам и другим активам;
- репликацию данных на разных серверах в сети для обеспечения отказоустойчивости и повышения доступности;
- определение и применение политики безопасности сети, установку параметров паролей, особенностей шифрования, других правил.
Службы каталогов играют ключевую роль в организации сетевой инфраструктуры, обеспечивая её стабильность, безопасность и эффективность. Благодаря централизованному управлению данными и ресурсами, а также возможности контролировать доступ пользователей к информации службы каталогов значительно облегчают администрирование и обеспечивают плавную работу сети.
Есть несколько типов служб каталогов, которые различаются по архитектуре: централизованные, распределённые, гибридные и облачные. Каждая из этих моделей имеет свои особенности и преимущества, которые могут быть важны в зависимости от нужд компании.
Для малого бизнеса часто достаточно централизованной службы каталогов, которая обеспечивает простоту и удобство в управлении. Однако если организация обладает сложной сетевой инфраструктурой, то ей стоит обратить внимание на распределённые службы каталогов. Они обеспечивают необходимую масштабируемость и отказоустойчивость, что особенно важно при больших объёмах данных и росте числа пользователей. Когда необходимо сочетать локальные и облачные решения, эффективным вариантом станет гибридная служба каталогов, которая позволяет интегрировать оба подхода и оптимизировать работу с данными.
Если же стоит задача снизить операционные затраты, связанные с управлением локальными серверами каталогов, то целесообразно рассмотреть использование облачных служб. Эти решения избавляют от необходимости поддерживать физическую инфраструктуру и позволяют сосредоточиться на ключевых бизнес-процессах, минимизируя при этом затраты.
Мировой рынок служб каталогов
Согласно данным Frost & Sullivan, около 90 % от тысячи крупнейших американских компаний используют Microsoft Active Directory в качестве основного инструмента аутентификации и авторизации пользователей. Однако возникает и потребность в использовании специализированных служб каталогов для Linux. Зачастую зарубежные компании предпочитают программное обеспечение с открытым исходным кодом, которое дорабатывается под имеющиеся потребности. Среди лидеров можно выделить:
- Univention Corporate Server;
- Apache Directory Studio;
- FreeIPA;
- OpenLDAP;
- Samba;
- Zentyal.
Теперь давайте рассмотрим, как обстоят дела на российском рынке и какие альтернативные решения предлагают здесь.
Российский рынок служб каталогов
В 2022 году стала очевидной необходимость импортонезависимых и надёжных разработок в области ИТ и ИБ, в т. ч. альтернатив Microsoft Active Directory. Это стало своего рода вызовом для отечественных производителей, которые приняли его и начали активно работать над созданием новых продуктов. На сегодняшний день российские вендоры уже готовы предложить ряд вариантов, основанных как на зарубежных технологиях FreeIPA и Samba DS (ALD Pro, РЕД АДМ, «Атом.ДОМЕН», «Альт Домен», Dynamic Directory, «Эллес»), так и на собственных разработках (Avanpost DS).
Однако, несмотря на наличие разнообразных аналогов, многим организациям по-прежнему необходимо использовать операционную систему Windows для решения своих задач, что создаёт дополнительные требования к службам каталогов. Согласно итогам опроса, основными ограничивающими факторами при миграции на новую службу каталогов являются несовместимость с другими ИТ-системами (34 %), отсутствие квалифицированных специалистов (29 %) и недостаточная функциональность (24 %).
Рисунок 2. Результаты опроса об ограничивающих факторах
Обзор отечественных служб каталогов
Avanpost DS
Служба Avanpost DS управляет данными и каталогами в Linux-системах. Её специфика заключается в том, что она является собственной разработкой производителя и не опирается на компоненты с открытым исходным кодом. Имплементации протоколов LDAP и Kerberos, а также функции по построению топологии домена и репликации были разработаны командой Avanpost на языке программирования Go.
Рисунок 3. Доменная иерархия в консоли Avanpost DS
Продукт включён в реестр отечественного ПО (№ 15822 от 09.12.2022).
Avanpost DS гарантирует:
- техническую поддержку в режиме 24×7;
- отказоустойчивость при высоких нагрузках;
- гибкую интеграцию со сторонними продуктами;
- поддержку технологий Linux, Windows, Docker и Kubernetes.
Подробнее о службе каталогов Avanpost DS можно узнать на сайте производителя.
ALD Pro
Программный комплекс ALD Pro, разработанный на базе FreeIPA, предназначен для централизованного управления парком компьютеров с операционной системой Astra Linux. Он имеет клиент-серверную архитектуру, где серверная часть используется для установки, а клиентская часть предназначена для централизованного управления, сбора и передачи информации. ALD Pro может масштабироваться как вертикально (повышение производительности отдельного узла), так и горизонтально (за счёт увеличения количества узлов).
Рисунок 4. Компонентная схема ALD Pro
Продукт включён в реестр отечественного программного обеспечения (№ 12159 от 30.11.2021).
Ведутся работы по сертификации в системе ФСТЭК России по 4-му уровню доверия и на соответствие техническим условиям.
Основные функциональные возможности системы включают в себя:
- управление учётными записями пользователей и компьютеров;
- создание и модификацию организационной структуры подразделений;
- управление групповыми политиками;
- возможность миграции данных из Microsoft Active Directory;
- возможность удалённого доступа к рабочим столам пользователей.
Подробнее со службой каталогов ALD Pro можно ознакомиться на сайте компании.
РЕД АДМ
Служба каталогов РЕД АДМ работает на базе Samba и использует Ansible для реализации групповых политик. Она поставляется в двух версиях: стандартной и промышленной. Стандартная редакция представляет собой одну систему управления и поставляется только в составе «РЕД ОС Сервер». Промышленная версия лицензируется отдельно и включает в себя ряд дополнительных подсистем, одной из которых является служба каталогов как элемент доменной инфраструктуры.
Рисунок 5. Подсистемы РЕД АДМ
Продукт включён в реестр отечественного программного обеспечения (№ 16015 от 23.12.2022).
К ключевым особенностям службы относятся:
- расширенная техническая поддержка с выделенным специалистом;
- двусторонняя репликация Microsoft Active Directory 2008, 2012 R2, 2016;
- управление операционными системами на базе Linux, Windows и FreeBSD;
- ролевая система доступа для администраторов системы.
Подробнее со службой каталогов РЕД АДМ можно ознакомиться на сайте производителя.
«Атом.ДОМЕН»
«Атом.ДОМЕН» разработан на основе FreeIPA и включает в себя такие подсистемы, как служба каталогов, базовые сетевые сервисы, компоненты управления конфигурацией компьютера, элементы обновления программного обеспечения, а также файлообменник.
Рисунок 6. Архитектура службы «Атом.ДОМЕН»
Основные функциональные возможности:
- защищённое хранение информации о ресурсах домена;
- централизованное управление компьютерами;
- управление обновлением и распространением программного обеспечения;
- хранение документов в частном облаке.
Подробнее со службой каталогов «Атом.ДОМЕН» можно ознакомиться на сайте производителя.
«Альт Домен»
«Альт Домен» является частью ОС «Альт Сервер» и других систем семейства «Альт». В состав комплекса входят серверы Samba, Kerberos, LDAP Postfix, DNS, DHCP, Dovecot, а также серверы обновлений и сетевой загрузки.
Рисунок 7. Схема управления групповыми политиками «Альт Домена»
Включён в реестр отечественного программного обеспечения (№ 1541 от 05.09.2016).
К ключевым функциям относятся:
- управление учётными записями пользователей и рабочими станциями;
- обеспечение отказоустойчивости;
- управление подразделениями;
- резервное копирование домена.
Подробнее со службой каталогов «Альт Домен» можно ознакомиться на сайте производителя.
Dynamic Directory
Система централизованного управления службой каталогов Dynamic Directory на базе FreeIPA — результат совместной работы компаний НТЦ ИТ РОСА и «Генезис АйТи». Dynamic Directory обладает рядом улучшенных функций, таких как поддержка иерархической структуры организации и возможность делегирования прав внутри неё. Предусмотрены использование общих папок и принтеров, управление DHCP-сервером, а также возможность тестирования групповых политик на конечных устройствах с помощью аналогов.
Рисунок 8. Структура функций Dynamic Directory
Продукт включён в реестр отечественного программного обеспечения (№ 15037 от 03.10.2022).
Служба позволяет решать следующие задачи:
- расширение возможностей службы каталогов для использования общих папок, общих принтеров, иерархической структуры организационных единиц;
- реализация групповых политик;
- возможность назначения и делегирования прав в иерархической структуре организационных единиц;
- возможность сложения и применения результирующих групповых политик на АРМ пользователей.
Подробнее со службой каталогов Dynamic Directory можно ознакомиться на сайте производителя.
«Эллес»
Служба каталогов «Эллес» от «T1 Иннотех» обеспечивает иерархическое представление ресурсов отдельно взятой организации, а также управление доступом к ним самим и информации о них. Продукт состоит из двух модулей: «Служба каталогов» и «Менеджер службы каталогов». «Служба каталогов» на базе Samba реализовывает централизованное хранение, поиск и представление информации о различных типах объектов и их параметрах. Модуль «Менеджер службы каталогов» отвечает за графический веб-интерфейс и интеграцию с различными средствами автоматизации. «Эллес» может функционировать в одном домене Active Directory с контроллерами на ОС Windows Server, не требуя миграции объектов каталога.
Рисунок 9. Компоненты «Эллес»
Продукт включён в реестр отечественного программного обеспечения (№ 19717 от 01.11.2023).
К основным особенностям «Эллес» относятся:
- высокая степень совместимости с Microsoft Active Directory, нативная работа с Linux-системами;
- централизованное хранение учётных данных пользователей, компьютеров и сервисов;
- поддержка репликации данных на несколько узлов и возможность автоматического восстановления.
Подробнее со службой каталогов «Эллес» можно ознакомиться на сайте производителя.
Выводы
Microsoft Active Directory имеет долгую и успешную историю в индустрии информационных технологий. Тем не менее в нынешних реалиях, в связи с изменением технологий и требованиями законодательства, ключевым является перестроение инфраструктур с целью обеспечения безопасности. Переход на новую инфраструктуру следует осуществлять постепенно, с контролем внедрения ПО и подготовки персонала.
При выборе альтернативы Microsoft Active Directory важно учитывать особенности и цели компании, а также совместимость предлагаемых продуктов с имеющейся инфраструктурой. Также стоит обратить внимание на такие важные аспекты, как производительность, лёгкость интеграции с другими решениями, возможности масштабирования и поддержка важных функций.
В ближайшие годы на российском рынке служб каталогов ожидается стабильный рост, обусловленный изменениями в технологическом стеке и новыми требованиями законодательства. Проведение пилотных тестов позволит более глубоко разобраться в преимуществах и недостатках различных продуктов, а также определить оптимальное направление дальнейшего развития и внедрения технологий.
