Чем заменить зарубежный LDAP-каталог

Чем заменить зарубежный LDAP-каталог

Чем заменить зарубежный LDAP-каталог

Компания МУЛЬТИФАКТОР выпустила продукт MultiDirectory — бесплатный российский LDAP-каталог со встроенной поддержкой многофакторной аутентификации. Может ли он заменить зарубежные аналоги и каковы его функциональные возможности? Давайте разбираться.

 

 

 

 

 

 

  1. Введение
  2. Ключевые особенности MultiDirectory
    1. 2.1. Открытый исходный код
    2. 2.2. Python
    3. 2.3. PostgreSQL
    4. 2.4. Интерфейс
    5. 2.5. Двухфакторная аутентификация
    6. 2.6. Поддержка и развитие продукта
  3. Выводы

Введение

В инфраструктуре ИТ-компании огромное значение для обеспечения как высокого уровня предоставляемых сервисов, так и информационной безопасности имеет ведение каталога пользователей. Это позволяет предоставлять и блокировать доступ в информационные системы и к сетевым информационным ресурсам, а также реализовывать иные потребности.

Ведение баз данных такого рода может быть локальным и централизованным. Локальное управление более характерно для небольших организаций, имеющих 10–20 пользователей и одну-две информационные системы. Для средних и больших организаций характерно применение каталогов LDAP (Lightweight Directory Access Protocol) — централизованных баз данных, хранящих информацию о пользователях и ресурсах компьютерной сети, такую как имена, пароли, группы, права доступа и др. LDAP-каталоги используются для аутентификации пользователей при доступе к сетевым ресурсам и для управления полномочиями.

Примерами систем, для авторизации и аутентификации в которых применяются LDAP-каталоги, могут быть сетевые службы (VPN, SSH, VDI и другие), облачные приложения («Яндекс 360», «МойОфис», TrueConf, Bitrix24, NextCloud и другие), операционные системы (Windows, Linux, macOS), информационные системы (1С, SAP, Zabbix и другие).

На рынке ИТ много продуктов этого класса, как проприетарных, так и открытых. Примерами LDAP с закрытым исходным кодом являются Microsoft Active Directory, Oracle Internet Directory, IBM Tivoli Directory Server, Novell eDirectory, Apple Open Directory. Примеры LDAP с открытым исходным кодом — OpenLDAP, Sun Java System Directory Server, Apache Directory Server. Необходимо отметить, что эти системы имеют ряд негативных особенностей: проприетарные не продаются в России, а для открытых характерны сложности внедрения, масштабирования и дальнейшей поддержки.

Какие требования рынок сейчас предъявляет к LDAP? Это должен быть простой, современный, масштабируемый, надёжный и безопасный продукт с широким спектром функций для управления доступом и контроля, обладающий возможностью индивидуализации и не подверженный санкционным рискам.

В соответствии с запросом рынка компания МУЛЬТИФАКТОР подготовила и выпустила LDAP-продукт MultiDirectory, являющийся альтернативой Active Directory и другим популярным системам этого класса.

Ключевые особенности MultiDirectory

Открытый исходный код

MultiDirectory разработан отечественной компанией «с нуля», без использования готовых компонентов, и распространяется со свободной лицензией. Это значит, что MultiDirectory абстрагирован и защищён от санкционных рисков.

Исходный код MultiDirectory открыт и может быть проверен сообществом на наличие недокументированных возможностей и закладок. Среди функциональных возможностей продукта выделяются возможность контроля доступа, встроенная поддержка двухфакторной аутентификации, управление пользователями, группами и компьютерами. Продукт подходит для личного использования, малого и среднего бизнеса, а также решения корпоративных задач в любых отраслях.

MultiDirectory поддерживает мультиплатформенность и работает на ОС Linux, Windows и macOS.

 

Рисунок 1. Архитектура приложения MultiDirectory

Архитектура приложения MultiDirectory

 

Python

Код MultiDirectory написан на Python, высокоуровневом языке программирования, отличающемся эффективностью, простотой и универсальностью. Ещё одно преимущество такого подхода заключается в том, что этот язык программирования весьма популярен, так что в случае необходимости изменения продукта найти разработчика для этого не составит труда.

PostgreSQL

База данных MultiDirectory построена на популярной СУБД PostgreSQL. Использование этого компонента позволяет штатными средствами масштабировать данные, обеспечивать отказоустойчивость и резервное копирование в организациях федерального значения.

Интерфейс

В MultiDirectory просмотр и редактирование атрибутов в свойствах пользователя или группы не требуют от системного администратора использования PowerShell или включения каких-либо дополнительных возможностей, как это устроено в других LDAP-каталогах. Атрибуты пользователя или группы полностью доступны для просмотра и подлежат гибкому редактированию.

 

Рисунок 2. Редактирование и добавление новых атрибутов в свойствах пользователя

Редактирование и добавление новых атрибутов в свойствах пользователя

 

Ещё одной отличительной особенностью MultiDirectory является встроенная возможность ограничивать сотрудникам вход в аккаунт в определённые часы и дни недели (при первоначальной настройке ограничения на вход сняты). Для реализации этой функциональности не нужно устанавливать дополнительные модули или использовать скрипты в PowerShell, как это делается в прочих LDAP-каталогах.

 

Рисунок 3. Возможность ограничения на вход для сотрудников в свойствах пользователя

Возможность ограничения на вход для сотрудников в свойствах пользователя

 

Двухфакторная аутентификация

Как отмечалось ранее, MultiDirectory имеет встроенную поддержку второго фактора аутентификации, а также возможность гранулированной настройки доступа и условного включения второго фактора на базе сетевых политик.

 

Рисунок 4. Настройка 2FA в MultiDirectory

Настройка 2FA в MultiDirectory

 

Встроенные возможности MultiDirectory позволяют администраторам каталога добавлять любые клиенты во внутренний интерфейс для более простого и удобного управления. Стоит отметить, что при создании политики доступа к клиенту имеется опциональная возможность включения второго фактора для всех пользователей или конкретных групп.

 

Рисунок 5. Настройка контроля доступа

Настройка контроля доступа

 

Поддержка и развитие продукта

В связи с тем что компания МУЛЬТИФАКТОР заинтересована в развитии направления отечественных LDAP-каталогов в целом и MultiDirectory в частности, ею организованы телеграм-канал и телеграм-чат, где пользователи могут обсудить практику применения системы, высказать свои предложения, замечания, комментарии, пожелания относительно продукта и его функциональных возможностей. Скачать бесплатную версию MultiDirectory можно на официальном сайте.

Выводы

На российском рынке появился новый отечественный продукт для организации LDAP-каталога в корпоративной инфраструктуре — MultiDirectory, который является свободно распространяемой системой, максимально абстрагированной и защищённой от санкционных рисков. Система написана на Python и использует популярную СУБД PostgreSQL. Также среди преимуществ MultiDirectory выделяются открытость исходного кода и активная работа с пользователями через телеграм-каналы. Перечисленные особенности позволяют рассматривать продукт как достойную альтернативу таким известным LDAP-каталогам, как Microsoft AD и другие.

Реклама. Рекламодатель ООО “МУЛЬТИФАКТОР”, ИНН 9725026066, ОГРН 1197746716310

ErId: LdtCKXqUf

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru