Avanpost Directory Services

Служба каталога Avanpost DS представляет собой решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов

Avanpost DS является самостоятельной разработкой, в отличие от конкурентов, имеющих в основе сложно модифицируемые OSS решения. Протоколы LDAP и Kerberos, построение топологии домена и репликация – все основные функции разработаны компанией Аванпост самостоятельно на языке Go.

С одной стороны, это делает реализацию полностью управляемой, с другой – гарантирует высокую производительность, возможность оптимизации и масштабирования функциональных модулей каталога, а также использования в облачных технологиях.

LDAP каталог, как централизованное хранилище информации о пользователях и ресурсах

Централизованное управление пользователями и компьютерами
Поддержка авторизации доступа к ресурсам на основе групп
Поддержка доменной иерархии (OU)
Индексирование атрибутов
Соответствие спецификациям RFC
Расширяемая схема

Реализован основной функционал доменного клиента

Автоматизация введения компьютера в домен
Настройка диспетчера аутентификации (sssd)
Настройка сквозной аутентификации по протоколу Kerberos v5
Обновление Kerberos ключей по расписанию
Поддержка Alt, Astra, RED OS, ROSA и других по запросу

Журнал безопасности

Учет событий привязки LDAP
Учет событий выдачи ключей Kerberos

Реализован функционал Kerberos v5 KDC

AS и TGS обмен ключами
Сквозная аутентификация

Веб консоль администратора дает возможность управления вышеизложенным функционалом, в частности:

Управление объектами каталога в режиме иерархии и в плоском виде
Доступ к журналу безопасности

Реализован функционал репликации

Мультимастер репликация (без необходимости назначения единого источника)
Автоматическое построение топологии
Встроенные механизмы разрешения конфликтов репликации
Гибкая, отказоустойчивая топология межсайтовой репликации

Реализована ролевая модель доступа к объектам службы каталогов

Гранулярный доступ на уровне атрибутов
Механизм наследования разрешений
Контроль доступа на основе членства в группах

Многофакторная проверка подлинности, интеграция с Avanpost FAM

(Federated Access Management)

Реализованный функционал уже сейчас позволяет решать задачи

Централизованное управление пользователями и компьютерами

Иерархическое хранение информации о пользователях и ресурсах

Геораспределенное отказоустойчивое хранение данных каталога

Централизованная аутентификация по протоколу Kerberos v5 при доступе к серверам и рабочим станциям

Централизованная аутентификация по протоколу LDAP для приложений

Многофакторная аутентификация (интеграция с Avanpost FAM)

Сквозная аутентификация по протоколу Kerberos V5 (Kerberos Single Sign On)

Контроль доступа к ресурсам на основе членства в группах

Обеспечение высокой доступности сервисов идентификации, аутентификации и авторизации

Контроль доступа к объектам каталога на основе ролевой модели

Дополнительный функционал

Интеграции с инфраструктурными сервисами

Система управления конфигурацией
Служба DNS
Служба NTP

Сервисы, необходимые для функционирования домена с возможностью выбора решения в зависимости от потребностей заказчика

Корпоративный удостоверяющий центр

Замена Active Directory Certificate Services

Сервер RADIUS

Аутентификация для сетевых устройств, поддержка сценариев VPN/WiFi

Поддержка современных протоколов аутентификации

Посредством интеграции с Avanpost FAM

Доменный клиент

Поддержка всех отечественных дистрибутивов Linux

Не входящие в состав продукта функции

Поддержка Windows клиентов

Не планируется поддержка клиентов Windows, так как это потребует реализации проприетарных протоколов MS

Интеграция со службой установки ОС по сети PXE

Задачи установки ОС по сети решаются собственным функционалом отечественных ОС

Интеграция со службой DHCP

Служба удаленного помощника

Служба DHCP присутствует в составе всех российских дистрибутивов Linux и не требует интеграции со службой каталогов

Служба инвентаризация ПК

Функционал инвентаризации и удаленного помощника относится к другому классу ПО и решается отдельными продуктами российских вендоров

Двусторонние доверительные отношения позволят осуществить плавный переход без прерывания обслуживания

Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.

Использование в географически распределенных инфраструктурах

Avanpost Directory Services поддерживает репликацию объектов каталога и сессий, что позволяет использовать его для централизованного управления доступом и аутентификации в географически распределенной инфраструктуре.