Контакты
Подписка 2025

Куда российским компаниям мигрировать с Active Directory?

Редакция журнала "Информационная безопасность", 20/01/25

Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.

Вообще, выбор качественного каталога на замену – нетривиальная задача со своими сложностями и нюансами. Во-первых, необходимо учитывать совместимость с существующей инфраструктурой и приложениями. Не все альтернативные каталоги поддерживают тот же набор функций, протоколов и структур данных, что и AD.

Во-вторых, важно оценить функциональные возможности предлагаемого решения. Некоторые каталоги могут не предоставлять такой же уровень управления групповыми политиками, как AD, или иметь ограниченные возможности по масштабированию и отказоустойчивости. Следует также обратить внимание на поддержку современных протоколов безопасности и аутентификации.

Третьей сложностью является поддержка разработчиков или сообщества. Решения Open Source всегда будут привлекательными с точки зрения капитальных затрат, но при этом важно не оказаться перед фактом ограниченной поддержки или недостаточной документации – особенно в ситуациях, когда и то, и другое нужно срочно. Коммерческие продукты, с другой стороны, могут обеспечить высокий уровень поддержки, но они потребуют дополнительных финансовых вложений.

Наконец, при выборе необходимо учитывать не только сиюминутные, но и долгосрочные потребности организации. Выбранное решение должно быть гибким и масштабируемым, чтобы соответствовать растущим требованиям или запланированным изменениям в инфраструктуре. Стоит закладывать поддержку облачных сервисов, мобильных устройств и возможностей для интеграции с другими системами управления идентификацией и доступом.

Одной из систем, которая подходит для корпоративной инфраструктуры, является служба каталогов MultiDirectory со структурно адаптированным под Active Directory LDAP-каталогом и расширенной функциональностью. Продукт решает важные задачи в области управления доступом и упрощения администрирования для организаций со смешанными инфраструктурами, где используются как Windows, так и Linux. Посмотрим подробнее на функциональность и возможности MultiDirectory.

ris0-2

Что такое MultiDirectory?

MultiDirectory – это современная служба каталогов, функционирующая на основе протокола LDAP. Она предназначена для хранения информации о пользователях, ролях, структуре и ресурсах организации, а также для выполнения базовых задач аутентификации и авторизации.

Служба каталогов MultiDirectory создана компанией “МУЛЬТИФАКТОР” (разработчиком системы для многофакторной аутентификации) и является частью комплексной экосистемы безопасности. MultiDirectory позиционируется как отечественное решение на замену Active Directory.

Технологическая основа продукта – язык Python, известный своей эффективностью, универсальностью и простотой в использовании. Для хранения данных используется PostgreSQL – одна из наиболее современных и развитых в мире СУБД. Она обеспечивает масштабируемость, отказоустойчивость и надежное резервное копирование, что делает MultiDirectory хорошо применимым для корпоративного использования.

Посмотрим, что еще есть под капотом у MultiDirectory.

Совместимость с Active Directory

Два важных аспекта, с которых стоит начинать рассматривать альтернативу для корпоративного домена – совместимость с Active Directory по структурам данным и по протоколам.

Архитектура каталога MultiDirectory адаптирована под структуру AD, и это позволяет практически бесшовно интегрировать пользователей и группы. Другими словами, структура каталогов и иерархия, привычная администраторам AD, может быть перенесена и использована в MultiDirectory. Такая архитектура упрощает процессы миграции и адаптации, поскольку не требует масштабных изменений в ИТ-инфраструктуру, которая опирается на пользовательский каталог.

На сегодняшний день MultiDirectory поддерживает подключения к домену Linux-хостов, что дает возможность обеспечить поддержку миграции операционных систем на хостах – не секрет, что этот процесс не одномоментный, и довольно продолжительное время корпоративная инфраструктура будет жить в гибридном формате на два домена.

Парольные и сетевые политики доступа

В MultiDirectory реализованы встроенные функции для настройки гибких политик паролей и сетевых политик доступа.

Парольные политики задают требования к надежности паролей, включая минимальную длину, ограничение на использование прошлых паролей, а также определяют периодичность смены паролей и блокировку учетной записи после нескольких неудачных попыток входа.

Сетевые политики доступа регулируют способы взаимодействия клиентов с каталогом, ограничивая доступ по IP-адресам, подсетям или группам пользователей, задавая требования к двухфакторной аутентификации. Для защиты данных применяются защищенные протоколы, в том числе LDAPS (LDAP over SSL), обеспечивающий шифрование передаваемой информации.

ris1-Jan-20-2025-07-56-31-4677-AM

Интегрированный Kerberos-сервер

Kerberos используется для обеспечения безопасной аутентификации. Он реализует механизм единого входа (Single Sign-On, SSO), позволяя пользователям и сервисам подтверждать свою "личность" (Identity) только один раз, после чего они получают доступ ко всем разрешенным ресурсам без необходимости повторного ввода пароля. Это происходит с помощью использования временных токенов (тикетов) для аутентификации. Kerberos защищает данные от перехвата и предотвращает атаки, например "человек посередине" (Man-in-the-Middle).

В составе MultiDirectory также есть Kerberos-сервер, он позволяет централизованно управлять аутентификацией пользователей, предоставляя защиту от перехвата учетных данных и сетевых атак. Управление реализовано через веб-интерфейс – администраторы могут создавать, изменять и удалять принципалы пользователей или сервисов, настраивать политики.

ris2-Jan-20-2025-07-57-02-2888-AM

Интеграция с BIND 9

BIND – один из наиболее широко используемых серверов DNS, который разрешает (переводит) доменные имена в IP-адреса и обратно, он часто используется для управления DNS в корпоративной ИТ-инфраструктуре. Кроме, собственно, разрешения доменных имен BIND также производит кэширование запросов для повышения производительности сети.

Совместимость с BIND крайне полезна для корпоративных каталогов, которые зависят от точного и стабильного разрешения имен для функционирования сервисов аутентификации и управления доступом. Поддержка таких современных стандартов, как DNSSEC и IPv6, обеспечивает дополнительную надежность и безопасность.

Разработчики добавили в MultiDirectory интеграцию с BIND 9 для централизованного управления DNS-записями. Эта возможность пригодится, если используются собственные DNS-сервера для внутренней маршрутизации и управления доменными именами, причем управление DNS-записями производится через встроенный веб-интерфейс.

ris3-Jan-20-2025-07-58-00-3613-AM

Встроенная поддержка двухфакторной аутентификации

Сложно представить корпоративную аутентификацию без поддержки второго фактора (2FA). Количество киберугроз растет, увеличивается число удаленных сотрудников, а 2FA значительно снижает риск несанкционированного доступа даже в случае компрометации учетных записей. Да и с точки зрения комплаенса наличие 2FA требуется в ряде современных стандартов информационной безопасности, в частности, PCI DSS.

MultiDirectory поддерживает двухфакторную аутентификацию с использованием компонентов от системы MULTIFACTOR (от того же разработчика – компании МУЛЬТИФАКТОР), что добавляет еще один уровень защиты учетных записей пользователей. MULTIFACTOR предоставляет гибкость в выборе методов второго фактора аутентификации (Push-уведомления и OTP) и интегрируется в инфраструктуру MultiDirectory.

ris4_2

Интеграции с ИТ- и ИБ-системами

Корпоративный домен существует в довольно плотном окружении как ИТ-, так и ИБ-систем. Часто удается обойтись нативной совместимостью на базе де-факто стандартных сетевых протоколов, но для того, чтобы настроить связь с другими популярными системами (например, с SIEM, сервисами облачной инфраструктуры, VPN и т.п.), уже существующими в инфраструктуре, разработчики подготовили документацию и инструкции по интеграции.

Пара слов о миграции каталога

Миграция с Active Directory в работающей инфраструктуре – это сложный процесс, связанный с множеством подводных камней как технического, так и организационного характера.

Одной из главных сложностей является обеспечение совместимости и интеграции различных систем аутентификации. Windows и Linux используют разные протоколы и механизмы безопасности, что почти наверняка вызовет трудности при попытке объединить их в единую инфраструктуру. Кроме того, перенос прав доступа и политик безопасности из одной системы в другую требует тщательной настройки и проверки.

В качестве еще одной важной проблемы стоит отметить управление идентификацией и доступом пользователей. Синхронизация учетных записей между системами должна быть надежной и безопасной, чтобы избежать несоответствий и потенциальных уязвимостей в процессе миграции. Специалисты, ответственные за администрирование, несомненно столкнутся с необходимостью освоения новых инструментов и технологий, а это потребует дополнительных финансовых и временных ресурсов на обучение и адаптацию.

Изменения в ИТ- и ИБ-инфраструктуре, вызванные миграцией, – это еще одно серьезное испытание. Необходимо убедиться, что все сетевые конфигурации поддерживают новые сервисы и протоколы, а приложения, ранее зависящие от специфических функций экосистемы Windows, будут корректно работать в новой среде. Значит, потребуется тщательное тестирование, а возможно и модификация или замена некоторых приложений.

Стоит готовиться к тому, что финансовые и ресурсные затраты могут оказаться весьма значительными. Процесс миграции требует инвестиций в новое оборудование и программное обеспечение, а также существенных временных ресурсов со стороны ИТ- и ИБ-команд. Без тщательного планирования и управления проектом возможны перебои в работе сервисов и недовольство со стороны бизнеса и пользователей. Поэтому для успешной миграции важно разработать детальный план, провести пилотное тестирование, обеспечить обучение персонала и поддерживать открытую коммуникацию со всеми заинтересованными сторонами.

Некоторые выводы

Пока еще в значительном количестве российских инфраструктур на серверах и рабочих станциях используются как Windows, так и Linux, и для обеспечения работоспособности такой гибридной среды необходимо использование службы каталогов, которая будет поддерживать работу с обеими системами.

На фоне усиления требований к безопасности организациям нужно улучшить безопасность аутентификации, реализовать защиту от компрометации учетных данных и обеспечить гибкие методы защиты, включая двухфакторную аутентификацию.

Нельзя забывать и про удобство: централизованное управление учетными записями, группами и политиками добавляет точности и надежности в контексте защиты всей инфраструктуры.

Понимание этих аспектов и привело к разработке MultiDirectory – технологичного решения, которое не только готово стать заменой AD, но и расширяет его возможности управления сетевой инфраструктурой.

MultiDirectory предоставляет инструмент для создания гибкой, масштабируемой и безопасной среды управления учетными данными, идентификацией и доступом. Благодаря адаптации под Active Directory, интеграции с DNS и Kerberos, поддержке 2FA и централизованному управлению, MultiDirectory помогает решать задачи безопасности и совместимости, возникающие в современных ИТ-инфраструктурах.

В 2025 г. "МУЛЬТИФАКТОР" планирует выпуск MultiDirectory версии Enterprise с расширенным функционалом для крупных предприятий, а также регистрацию продукта в реестре отечественного ПО.

Ознакомиться с решением вы можете на официальном сайте [1], а также обсуждать решение в Телеграм-чате [2].


  1. https://multidirectory.ru 
  2. https://t.me/multidirectory_community 
Темы:Linux"МУЛЬТИФАКТОР"Журнал "Информационная безопасность" №5, 2024MultiDirecroty

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Пять мифов о безопасности российских операционных систем
    Роман Мылицын, руководитель отдела перспективных исследований “Группы Астра”
    Использование российских операционных систем на основе Linux для рабочих станций связано со множеством мифов, которые могут отпугивать пользователей и компании от внедрения. Разберем и развенчаем несколько самых распространенных заблуждений, касающихся информационной безопасности и корпоративного использования российских ОС на примере Astra Linux.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • Ideco NGFW VPP: новый высокопроизводительный подход к обработке трафика
    Дмитрий Хомутов, директор компании “Айдеко”
    К обычному Ideco NGFW. в 2023 г. добавилась высокоскоростная версия Ideco NGFW VPP. Рассмотрим, за счет чего удалось резко повысить производительность решения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...