Решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов

Directory Service

Интеграция с DNS сервером

Текущий функционал Avanpost DS

LDAP каталог, как централизованное хранилище информации о пользователях и ресурсах:
Централизованное управление пользователями и компьютерами;
Поддержка авторизации доступа к ресурсам на основе групп;
Поддержка доменной иерархии (OU);
Индексирование атрибутов;
Соответствие спецификациям RFC;
Расширяемая схема.
Реализован основной функционал доменного клиента:
Автоматизация введения компьютера в домен;
Настройка диспетчера аутентификации (sssd);
Настройка сквозной аутентификации по протоколу Kerberos v5;
Обновление Kerberos ключей по расписанию;
Поддержка Alt, Astra, RED OS, ROSA и других по запросу.
Журнал безопасности:
Учет событий привязки LDAP;
Учет событий выдачи ключей Kerberos.
Реализована ролевая модель доступа к объектам службы каталогов:
Гранулярный доступ на уровне атрибутов;
Механизм наследования разрешений;
Контроль доступа на основе членства в группах.
Многофакторная проверка подлинности, интеграция с Avanpost FAM:
(Federated Access Management).
Реализован функционал Kerberos v5 KDC:
AS и TGS обмен ключами;
Сквозная аутентификация.
Веб консоль администратора дает возможность управления вышеизложенным функционалом, в частности:
Веб консоль администратора дает возможность управления вышеизложенным функционалом, в частности.
Доступ к журналу безопасности;
Реализован функционал репликации:
Мультимастер репликация (без необходимости назначения единого источника);
Автоматическое построение топологии;
Встроенные механизмы разрешения конфликтов репликации;
Гибкая, отказоустойчивая топология межсайтовой репликации.
Контроль доступа к объектам каталога на основе ролевой модели;

Реализованный функционал уже сейчас позволяет решать задачи:

Централизованная аутентификация пользователей по протоколам Kerberos v5 и LDAP;
Централизованная авторизация при доступе к ресурсам на основе членства в группах с использованием POSIX идентификаторов и Windows SID;
Централизованное управление параметрами компьютеров на базе операционных систем Linuх;
Сосуществование с инфраструктурой на базе MS Active Directory и миграция данных;
Централизованное управление доменными пользователями, группами, компьютерами;
Геораспределенное, отказоустойчивое хранение данных и предоставление сервисов каталога;
Управление жизненным циклом учетных записей (при интеграции с Avanpost IDM).
Гранулярное делегирование полномочий на основе доменной иерархии на уровне атрибутов объекта;
Многофакторная аутентификация и аутентификация для сетевых устройств (при интеграции с Avanpost MFA+);

Дополнительный функционал

Интеграции с инфраструктурными сервисами
Сервисы, необходимые для функционирования домена
с возможностью выбора решения в зависимости
от потребностей заказчика.
Хранение ДНС зон в каталоге
Безопасные динамические обновления
Система управления конфигурацией
Служба DNS
Служба NTP
Посредством интеграции с Avanpost FAM.
Аутентификация для сетевых устройств, поддержка сценариев VPN/WiFi
Доменный клиент
Astra Linux
ALT Linux
РЕД OCм
ROSA
Замена Active Directory Certificate Services.
Корпоративный удостоверяющий центр

Использование в инфраструктурах

Двусторонние доверительные отношения позволят осуществить плавный переход без прерывания обслуживания. Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.
Avanpost Directory Services поддерживает репликацию объектов каталога и сессий, что позволяет использовать его для централизованного управления доступом и аутентификации в географически распределенной инфраструктуре.
Двусторонние доверительные отношения позволят осуществить плавный переход без прерывания обслуживания.

Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.

Использование в географически распределенных инфраструктурах

Использование в гибридных и переходных инфраструктурах

Внешний вид панели администратора

Карточка пользователя
Доменная иерархия
Группы пользователей

Истории успеха

«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»
Валерия
директор по информационным и производственным технологиям

Технологические преимущества

Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Простота масштабируемости
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Современные
WEB-интерфейсы
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Поддержка клиентов 24/7
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Отказоустойчивость при высоких нагрузках
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Кроссплатформенность
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.
Гибкая интеграционная шина
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.

Технологические преимущества

Кроссплатформенность
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Простота масштабируемости
Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Поддержка клиентов 24/7
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Отказоустойчивость при высоких нагрузках
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Современные
WEB-интерфейсы
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Гибкая интеграционная шина
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.