Задача
Интеграция разрозненных доменов и каталогов пользователей в единую корпоративную систему идентификации и аутентификации. Обеспечение единой точки входа для холдинговых организаций с разрозненной доменной инфраструктурой.
Решение
Построить единый каталог пользователей на основе решения корпоративной аутентификации с поддержкой мультидоменности и функций управления паролями.
Для решения задачи при помощи Avanpost FAM применяются следующие подходы:
- Объединение нескольких доменов Microsoft Active Directory и LDAP-каталогов в единый каталог пользователей.
- Идентификация и аутентификация пользователей из различных доменов в корпоративные информационные системы и приложения.
- Организация процесса управления паролями пользователей в части соблюдения парольных политик, смены пароля и защиты от подбора пароля.
- Объединение прозрачной доменной Kerberos-аутентификации пользователей из различных доменов в рамках единой системы аутентификации.
Выгоды
Интеграция доменов через корпоративную систему централизованной аутентификации Avanpost FAM позволяет достичь следующих результатов:
- Построить единый каталог пользователей организации вне зависимости от сложности доменной инфраструктуры и без внесения изменений в доменную инфраструктуру.
- Обеспечить корректную идентификацию пользователей из различных доменов при доступе к различным информационным системам.
- Повысить защиту учётных записей за счёт соблюдения гибких парольных политик и безопасного сброса и замены паролей пользователей.
Примеры прикладных решений
Объединение нескольких доменов Microsoft Active Directory и LDAP-каталогов в единый каталог пользователей
Для холдинговых структур и организаций со сложной доменной инфраструктурой часто возникает проблема существования разрозненных каталогов пользователей. Построение единого LDAP-каталога из нескольких разрозненных доменов является технически сложной и ресурсоёмкой задачей. Объединение каталогов пользователей при помощи Avanpost FAM не требует перестроения существующей LDAP-инфраструктуры и позволяет учесть потребности и особенности каждого имеющегося LDAP-каталога без необходимости построения «ещё одного единого домена».
Данная возможность обеспечивается следующими функциями:
- Одновременное подключение к системе аутентификации нескольких LDAP-каталогов.
- Настройка правил загрузки пользователей и правил маппинга атрибутов пользователей на основе LDAP-фильтров, учитывающих специфику каждого подключаемого LDAP-каталога.
- Настройка правил загрузки и синхронизации пользователей в группах.
Примеры готовых решений по подключению корпоративных доменов и LDAP-каталогов с целью объединения пользователей в единый каталог:
- Настройка LDAP с Microsoft Active Directory (MS AD) в качестве источника пользователей;
- Настройка LDAP с Avanpost DS;
- Настройка LDAP с FreeIPA;
- Настройка LDAP с OpenLDAP.
Идентификация и аутентификация пользователей из различных доменов в корпоративные информационные системы и приложения
В независимых LDAP-каталогах встречаются независимые доменные префиксы, при этом иногда пользователи в различных доменах пересекаются по логинам, что значительно усложняет построение единого каталога пользователей организации. Кроме того специфика работы одного конкретного приложения, подключенного к LDAP-каталогу, может потребовать пересмотра подходов к ведению данных пользователей в самом LDAP-каталоге. Avanpost FAM позволяет учесть специфику идентификации и определения домена пользователя для каждого корпоративного приложения без необходимости внесения изменений в LDAP-инфраструктуру.
Данная возможность обеспечивается следующими функциями:
- Настройка доменных префиксов, используемых в процессах идентификации пользователей, для каждого подключенного к Avanpost FAM домена и LDAP-каталога.
- Идентификация пользователей в приложениях (к примеру, VPN и VDI-систем, подключаемых по RADIUS) с учётом доменных префиксов пользователей и с учётом стратегии идентификации пользователя каждого конкретного приложения.
Организация процесса управления паролями пользователей в части соблюдения парольных политик, смены пароля и защиты от подбора пароля
Пароли пользователей остаются важным элеметном информационной безопасности корпоративных инфраструктур. При этом соблюдение парольных политик чаще всего обеспечивается возможностями LDAP-каталогов. Такой подход создаёт определённые сложности и риски:
- Учётная запись пользователя в приложениях, использующих LDAP-аутентификацию, уязвима для атак перебора пароля с последующей блокировкой учётной записи в домене.
- Пользователям для смены пароля требуется пользоваться изначально не предназначенными для этого инструментами – Microsoft Exchange Outlook Web Access, функцией смены пароля на рабочей станции под управлением ОС Windows и т.д. В условиях удалённой работы сотрудников и при наличии сложной доменной инфраструктуры это становится настоящей проблемой.
- Для смены пароля используется метод подтверждения на основе знания предыдущего пароля, что делает учётные записи некоторых пользователей уязвимыми.
Использование Avanpost FAM в связке с существующей доменной инфраструктурой позволяет решить эти проблемы.
Это достигается за счёт следующих функций:
- Смены пароля пользователя в доменах вне зависимости от их количества.
- Защиту функции смены пароля при помощи дополнительного фактора.
- Централизованное соблюдение парольных политик с возможностью настройки отдельных парольных политик для различных групп пользователей.
- Защиту от блокировки учётной записи в домене в случае попыток подбора пароля.