Microsoft Active Directory долгое время являлась единственным поставщиком службы каталогов на отечественный рынок, обеспечивающей централизованное управление пользователями и ресурсами и упрощающей процесс аутентификации и авторизации пользователей в сети. Из-за санкций и ухода Microsoft из России все продукты компании, включая флагманскую операционную систему Windows и службу доменов Active Directory, стали недоступны российским организациям.
В начале 2023 года компания Аванпост предложила рынку актуальный продукт для импортозамещения – полноценную отечественную замену единой службы каталогов Avanpost Directory Service.
Avanpost Directory Service (Avanpost DS) решает задачи идентификации и аутентификации пользователей в организациях, осуществляя управление учетными записями, политиками безопасности и правами доступа пользователей к ресурсам.
Avanpost Directory Service является первой службой каталогов собственной разработки, без использования Open source решений, что гарантирует высокую производительность продукта, возможность оптимизации и масштабирования функциональных модулей каталога, а также использование в облачных технологиях.
В основе Avanpost DS лежат высокопроизводительный LDAP-каталог собственной разработки, представляющий собой централизованное хранилище информации о пользователях и ресурсах, а также центр распространения ключей Kerberos, обеспечивающий сквозную аутентификацию в домене.
Дополнительный функционал, реализованный в версии Avanpost DS 1.1, предлагает сетевым администраторам расширенные возможности контроля доступа и управления инфраструктурой службы каталога современных организаций с большим числом рабочих мест.
Ролевая модель доступа
Для гибкого делегирования полномочий к отдельным участкам каталога в Avanpost DS 1.1 была разработана ролевая модель с гранулярным назначением разрешений на уровне атрибутов. Новая функция позволяет реализовать самые сложные сценарии делегирования полномочий к объектам службы каталогов для отдельных подразделений. Например, ограниченный набор прав доступа может выдаваться сотрудникам техподдержки или региональным администраторам.
Такая гранулярная система контроля делает управление доступом более эффективным, уменьшая сложность нормативных требований и при этом обеспечивая оптимальную доступность и катастрофоустойчивость данных каталога и сервисов аутентификации в геораспределенных инфраструктурах.
Интеграция с Power DNS
Возможность гибкой интеграции с инфраструктурными сервисами – еще одна ключевая особенность Avanpost DS, которая позволила провести интеграцию с высокопроизводительным DNS-сервером Power DNS в части хранения данных зоны, для которого Avanpost DS выступает LDAP бэкендом. Служба каталогов и система доменных имен максимально тесно взаимосвязаны – настолько, что службы Active Directory не могут функционировать без стабильной конфигурации DNS.
Теперь Avanpost DS 1.1 хранит в каталоге данные зоны и поддерживает безопасное динамическое обновление DNS-записей. Как результат – обеспечивается равноправность серверов и актуальность передаваемой информации.
«Разработкой службы Avanpost DS мы занимались более трех лет и, выпустив релиз LDAP-каталога в сентябре, продолжаем совершенствовать наш продукт. Наша цель – предоставить рынку высокопроизводительное решение с широкими возможностями масштабирования. Новый функционал Avanpost DS 1.1 призван помочь нашим заказчикам в решении ряда важных задач в части высокой доступности и катастрофоустойчивости данных каталога, что особенно актуально для крупных распределенных инфраструктур, рассчитанных на десятки тысяч рабочих мест», – комментирует Дмитрий Закорючкин, владелец продукта Avanpost DS.