Служба каталогов Avanpost Directory Service решает задачи централизованной аутентификации и авторизации, управления пользователями и компьютерами в иерархической структуре, при этом обеспечивая высокую доступность и катастрофоустойчивость данных каталога и сервисов аутентификации в геораспределенных инфраструктурах.
В основе Avanpost DS лежат высокопроизводительный LDAP каталог в качестве централизованного хранилища информации о пользователях и ресурсах и центр распространения ключей Kerberos, обеспечивающий сквозную аутентификацию в домене. Надежная система мультимастер репликации, гарантирует целостность данных каталога. Управление службой каталогов осуществляется через современный веб-интерфейс, позволяющий администраторам выполнять каждодневные задачи в привычном окружении без использования командной строки. Доменный клиент Avanpost DS, поддерживающий все Российские дистрибутивы Linux, автоматизирует присоединение к домену серверов и рабочих станций и берет на себя управление аутентификацией и авторизацией.
По части информационной безопасности Avanpost DS предоставляет функционал журналирования для событий аутентификации, доступа и изменений в каталоге. Так же посредством гранулярной системы контроля доступа Avanpost DS позволяет делегировать полномочия в доменной иерархии с соблюдением принципа минимальных привилегий.
Для таких задач как управление конфигурацией рабочих станций, разрешение имен, синхронизация времени, в Avanpost DS предусмотрена интеграция с внешними системами, для которых Avanpost DS выступает в роли LDAP бэкенда. Например, для DNS сервера Avanpost DS может хранить в каталоге данные зоны и поддерживать безопасные динамические обновления, а для системы управления конфигурацией выступать в роли «селектора групповых политик», сопоставляя хранимые конфигурации с нужными компьютерами.
За счет реализации механизма двухсторонних доверительных отношений Avanpost DS позволяет плавно провести миграцию с Microsoft AD, без прерывания обслуживания в переходный период. В период сосуществования будет осуществляться доступ к ресурсам в домене Avanpost DS с рабочих станций Windows, а также доступ к не прошедшим миграцию ресурсам с рабочих станций под управлением любых отечественных дистрибутивов Linux.
Навигатор по разделу:
1. Аутентификация и авторизация пользователей
Ядро Avanpost DS отвечает за централизованную аутентификацию и авторизацию пользователей в Linux инфраструктуре. Компоненты ядра: LDAP server и центр распространения ключей Kerberos. Они обеспечивают для клиентов домена аутентификацию по протоколам LDAP(S) и Kerberos v5. Оба протокола реализованы в продукте в соответствии с RFC без использования свободно распространяемых компонентов.
Система дает возможность централизованной аутентификации по протоколу LDAP(S) для приложений.
Аутентификация по протоколу LDAP(S) осуществляется с использованием пары DN – пароль. В конфигурационном файле каждого контроллера домена можно задать порт для подключений по протоколу LDAP и LDAPS, а также сертификат для использования протокола LDAPS.
Если требуется отключить LDAP или LDAPS, в конфигурационном файле контроллера домена необходимо оставить значение порта для него пустым.
Основой для доменной аутентификации служит протокол Kerberos v5, обеспечивающий сквозную аутентификацию (Kerberos Single Sign On) и поддержку GSS-API.
При аутентификации по протоколу Kerberos v5 используются следующие методы:
- Пара логин – пароль
- Сертификат пользователя
- Keytab файл
Порт для протокола Kerberos и корневой сертификат для аутентификации с использованием инструкции PKINIT задается в конфигурационном файле контроллера домена.
Авторизация доступа к ресурсам осуществляется посредством атрибутов "uidnumber" и "gidnumber" для UNIX систем и с помощью атрибутов "ObjectSID" и "SIDHistory" для Windows систем.
2. Централизованное управление доменной иерархией и доступом
С помощью веб-интерфейса Avanpost DS администраторы могут в привычной среде централизованно управлять пользователями, группами, доменными клиентами (рабочими станциями), иерархией домена. Для улучшенного поиска объектов реализована система индексирования атрибутов, которая ускоряет процесс нахождения нужных данных. Расширяемая схема продукта позволяет добавлять новые атрибуты и классы объектов, что позволяет адаптировать Avanpost DS Public под нужды и задачи разных компаний.
В Avanpost DS реализована комбинация ролевого и дискреционного методов управления доступом через веб-интерфейс администратора, а также при доступе по протоколу LDAP. Эта комбинация обеспечивает управление доступом для субъектов доступа (пользователей и администраторов Avanpost DS) к объектам доступа (группам, учетным записям пользователей и рабочих станций, организационным подразделениям, журналу безопасности, системным настройкам) для выполнения следующих операций (в случае, если операция применима для данного типа объектов): чтение, создание, обновление, удаление.
Ролевая модель доступа к объектам каталога повторяет привычную для администраторов модель MS Active Directory и позволяет реализовать принцип наименьших привилегий при делегировании полномочий. Контроль доступа на основе членства в группах позволяет создавать группы ролей, обеспечивающие систематизацию предоставления доступа к ресурсам каталога, и централизованно управлять доступом к сетевым ресурсам.
Гранулярный доступ на уровне атрибутов и классов объектов позволяет точечно настроить доступы в зависимости от требуемых привилегий для группы или конкретного пользователя.
Поддержка доменной иерархии обеспечивает привычную администраторам структуру каталога. Механизм наследования разрешений позволяет выполнять делегирование полномочий на отдельные ветви доменной иерархии.
Практические руководства по управлению пользователями, группами, рабочими станциями, доступом и доменной иерархией в веб-интерфейсе Avanpost DS:
6.2. Управление Пользователями
3. Автоматизация настройки рабочих станций и серверов
Для автоматизации настройки рабочих станций и серверов реализована отдельная утилита – доменный клиент "dscli" (из архива Avanpost DS Server Linux Tools). Доменный клиент выполняет следующие функции:
- Введение рабочей станции или сервера в домен. Для введения в домен выполняется настройка пакетов sssd и krb5, создается УЗ станции (в разделе "Рабочие станции" веб-интерфейса Avanpost DS) , загружается keytab файл и регистрируется DNS запись в доменной зоне.
- Обновление ключей Kerberos по расписанию (выполняется с помощью утилиты cron).
- Управление конфигурацией рабочей станции посредством применения групповых политик.
- Обновление DNS записи при смене IP адреса рабочей станции.
4. Интеграция с DNS сервером
Avanpost DS интегрируется с сервером доменных имен PowerDNS в части хранения данных DNS зон и безопасных динамических обновлений.
Данные DNS зоны хранятся в Avanpost DS в отдельном разделе каталога, который реплицируется на все контроллеры Avanpost DS в домене, что обеспечивает целостность ответов DNS серверов во всей сети. В веб-интерфейсе администратора Avanpost DS реализован функционал для быстрого и удобного создания зон DNS и поддоменов в них, а так же для добавления записей в зоны.
Интеграция с сервером PowerDNS автоматизирует регистрацию DNS записей, необходимых для работы каталога. Динамические обновления DNS записей осуществляются двумя компонентами:
- Сервисом Avanpost DS регулярно обновляются SRV и A записи контроллеров домена с привязкой к сайтам.
- Доменный клиент Avanpost DS обновляет DNS запись хоста, на котором установлен при каждой смене IP адреса.
5. Управление конфигурацией
В Avanpost DS используются групповые политики для управления настройками серверов и АРМ. Групповые политики реализованы на базе доменного клиента, что позволяет избежать необходимости установки сложного внешнего ПО для управления конфигурацией и обеспечивает удобство и прозрачность применения конфигураций к рабочим станциям. Функционал групповых политик реализован по привычной по MS AD модели. В веб-интерфейсе администратора Avanpost DS можно создавать и назначать политики на выбранные подразделения, группы, пользователей, рабочие станции.
Доступные типы политик приведены в таблице:
| Тип политики | Назначение |
|---|---|
| Парольные политики | Контролируют требования к сложности, времени жизни паролей учетных записей, а так же управляют их блокировкой. |
Политики управления составом ПО | Позволяют управлять установкой, удалением и обновлением пакетов. |
Политики настройки файловой системы | Позволяют управлять правами доступа пользователей к директориям и файлам, создавать и удалять файлы или директории, вносить изменения в файлы. |
Политики управления службами | Позволяют запускать или останавливать службы при авторизации пользователей в домене. |
Политики запуска скриптов | Позволяют запускать скрипты на рабочей станции при авторизации пользователя в домене. |
6. Репликация данных
В Avanpost DS реализован механизм мультимастер репликации данных между экземплярами каталога, повторяющий схему MS AD и обеспечивающий отказоустойчивое хранение данных каталога, в том числе в геораспределенных средах.
За счет надежной отказоустойчивой схемы репликации все контроллеры домена Avanpost DS имеют полную копию каталога, что обеспечивает катастрофоустойчивость хранения данных. Каждый контроллер домена имеет весь необходимый набор сервисов для обслуживания доменных клиентов и обеспечивает отказоустойчивость предоставления служб аутентификации в сети. Avanpost DS гарантирует доставку данных репликации посредством механизма USN (update sequence number), где каждому изменению на контроллере домена присваивается порядковый номер, а партнеры по репликации хранят информации о номере последнего полученного изменения, что позволяет в случае перерывов в сетевой связанности партнерам по репликации получать все изменения произошедшие с последней успешной репликации.
Для передачи данных репликации контроллеры домена используют протокол сетевой протокол gRPC.
Встроенный механизм разрешения конфликтов позволяет обрабатывать одновременные изменения объектов на разных контроллерах домена.
Для управления связями репликации реализована схема сайтов с двумя различными топологиями репликации: внутрисайтовой и межсайтовой.
Сайты Avanpost DS представляют из себя логическое отражение физических местоположений (ЦОД) с высокой сетевой связанностью, которые используются для контроля репликации и локализации служб в сети. Между сайтами Avanpost DS устанавливаются связи репликации ("site link"), которые позволяют управлять топологией межсайтовой репликации и выстраивать наиболее эффективные маршруты.
6.1. Топология внутрисайтовой репликации
В пределах сайта топология репликации (связь репликации) между контроллерами домена строится автоматически. В пределах сайта репликация осуществляется между всеми контроллерами домена в топологии двунаправленного кольца. Если количество контроллеров домена в сайте превышает 7 экземпляров, система устанавливает дополнительные связи репликации для того, чтобы каждое изменение независимо от источника репликации осуществлялось не более чем за 3 прыжка. Репликация внутри сайта осуществляется по модели Notify-Pull: контроллер домена, на котором произошли изменения оповещает об изменениях своих партнеров по репликации, а те в свою очередь запрашивают у него доставку изменений.
6.2. Топология межсайтовой репликации
Между сайтами репликация настраивается вручную, посредством создания в веб-интерфейсе Avanpost DS связей репликации (сайт линков), в которых указываются сайты, связываемые этим сайт линком и стоимость использования этого сайт линка. Маршрут репликации определяется стоимостью сайт линков. При определении маршрута репликации, выбирается маршрут с наименьшей суммарной стоимостью. При установлении сайт линка между сайтами в каждом сайте один контроллер домена назначается пограничным. Репликация между сайтами осуществляется через эту пару контроллеров домена. При выходе из строя одного из контроллеров, роль пограничного контроллера передается на другой контроллер домена в сайте, имеющий доступ к сетевому местоположению связанного сайта. Сайт линки являются транзитивными, то есть изменения, полученные контроллером домена по репликации через сайт линк, передаются на следующий сайт по топологии. Топология репликации является отказоустойчивой. При недоступности сайт линков по самому дешевому маршруту используется следующий по стоимости.
6.3. Расписание репликации
Внутрисайтовая репликация осуществляется постоянно и запускается при создании/изменении/удалении объектов на одном из контроллеров домена сайта.
Отказоустойчивая топология межсайтовой репликации дает возможность гибко управлять трафиком репликации между удаленными филиалами. Репликация между сайтами осуществляется по расписанию, заданному в связи репликации, при этом контролируется как частота, так и временной интервал, в который проходит репликация (например раз в 30 минут с 22:00 до 05:00). При наступлении времени репликации по расписанию, реплицируются все накопленные изменения за прошедший период.
Общая схема репликации данных в Avanpost DS на примере трех сайтов с восемью контроллерами в каждом:
Контроллеры 5, 10, 24 в данном примере являются пограничными контроллерами. На стрелках, обозначающих связи репликации между сайтами, указана стоимость связей. Таким образом связи "Сайт1-Сайт2" и "Сайт1-Сайт3" будут более предпочтительны, чем "Сайт2-Сайт3".
6.4. Отказоустойчивость и распределение нагрузки
Для обеспечения отказоустойчивости и распределения нагрузки в Avanpost DS используется комбинация репликации данных и алгоритма обнаружения сетевых сервисов через DNS.
За счет постоянной репликации данных между контроллерами домена, каждый экземпляр системы может обслужить любой запрос на аутентификацию или на доступ к каталогу.
Для отказоустойчивости на стороне доменного клиента используется механизм обнаружения сетевых сервисов с помощью DNS записей типа SRV. Доменный клиент Avanpost DS выполняет обнаружение контроллера домена, назначенного его сайту с помощью DNS запросов, после чего использует в приоритете контроллеры домена своего сайта и только при их недоступности может подключаться к контроллерам домена других сайтов.
Привязка доменных клиентов к контроллерам домена сайта осуществляется в веб-интерфейсе Avanpost DS с помощью добавления в сайты подсетей, к которым принадлежат доменные клиенты.
7. Журнал безопасности
Avanopost DS ведет журнал событий аутентификации, доступа и изменений в каталоге. Для просмотра журнала необходимо зайти в раздел "Журнал безопасности" веб-интерфейса администратора Avanpost DS.
В журнале отображаются события следующих типов:
- аутентификации пользователей при доступе к системе Avanpost DS;
- аутентификация пользователей при доступе к рабочим станциям;
- создание, изменение и удаление объектов каталога (пользователей, групп, рабочих станций);
- блокировка и разблокировка пользователей;
- смена пароля пользователя;
- добавление объектов в группы и исключение объектов из групп;
- создание, изменение и удаление настроек и параметров системы Avanpost DS.
8. Сосуществование с MS AD и миграция данных в Avanpost DS
Система Avanpost DS предназначена для длительного сосуществования c Microsoft Active Directory и его комфортной замены в рамках импортозамещения. Наличие двусторонних доверенных отношений и инструментов автоматизированной миграции обеспечивает прозрачный доступ пользователей к ресурсам компании в период длительного сосуществования с MS AD и бесшовный перенос рабочих станций, сервисов и приложений в новую инфраструктуру без прерывания обслуживания. Совокупность используемых технологий позволяет сохранить прозрачность доступа пользователей на всех этапах миграции и сосуществования.
8.1. Миграция объектов из MS AD в Avanpost DS
Инструменты миграции автоматизируют перенос данных из Microsoft AD с сохранением организационной структуры, членства в группах, данных авторизации (SIDHistory) и паролей пользователей.
На контроллерах домена Avanpost DS присутствует утилита "migrate-tool". Она предназначена для миграции из MS AD в Avanpost DS объектов следующего типа:
- Пользователи (Users)
- Группы безопасности (Security groups)
- Подразделения (Organizational Unit)
В рамках задачи по переносу паролей работа осуществляется только с хешами паролей и солью. Никаких расшифровок не происходит.
По умолчанию используется алгоритм шифрования BCrypt.
Для каждого пользователя из MS AD переносится и его NTLM Hash пароля, который используется до первой смены пароля.
Для получения хешей паролей пользователей и ключей Kerberos используется протокол MS-DRSR.
Утилита "migrate-tool" подключается к стандартному сервису репликации MS AD по порту 135 для получения необходимых данных для дальнейшей конвертации и загрузки в Avanpost DS.
Практическое руководство по миграции данных из MS AD в Avanpost DS: 7.4. Миграция из Microsoft Active Directory в Avanpost DS
8.2. Сосуществование Avanpost DS с MS AD (доверенные отношения)
Двусторонние доверенные отношения (kerberos trusts) позволяют пользователям MS AD проходить аутентификацию при доступе к ресурсам в домене Avanpost DS и наоборот.
Реализация глобального каталога в соответствии со схемой MS AD позволяет проводить аутентификацию пользователей Avanpost DS на рабочих станциях Windows в домене MS AD.
Настройка доверенных отношений выполняется быстро и удобно в веб-интерфейсе администратора Avanpost DS.
Практическое руководство по настройке доверенных отношений между доменами Avanpost DS и MS AD: 7.5.1. Настройка доверенных отношений Avanpost DS с MS Active Directory
9. Интеграции с прикладными системами
Avanpost DS поддерживает интеграцию с файловыми и почтовыми серверами, а также другими прикладными сервисами.
При интеграции с файловым сервером Avanpost DS предоставляет доступ к общей директории на файловом сервере для клиентов в домене.
При интеграции с почтовым сервером Avanpost DS выступает в качестве системы внешней аутентификации по протоколу LDAP.
Практическое руководство по интеграции Avanpost DS с прикладными системами: 5. Руководство по интеграции Avanpost DS с прикладными системами