Масштабное обновление MULTIDIRECTORY: версия 3.0

Компания «МУЛЬТИФАКТОР», российский разработчик ИБ- и ИТ-решений, объявила о выходе обновлённой коммерческой версии продукта, предназначенной для организаций любого размера — от малого и среднего бизнеса до крупных корпораций и государственных учреждений, обеспечивающая надёжное, централизованное и безопасное управление пользователями. Среди ключевых нововведений релиза — двустороннее доверие типа «Лес», а также ряд других обновлений, дополнений и исправлений.

Добавлена возможность построения полноценного двунаправленного доверия типа «Лес» с Microsoft Active Directory (AD)

Реализована поддержка создания двусторонних отношений доверия между лесами (Forest Trust) с Microsoft Active Directory. Администраторы могут создавать двусторонние отношения доверия между лесом Active Directory и лесом MULTIDIRECTORY, благодаря чему сотрудники одного леса получают возможность прозрачно и безопасно работать с ресурсами другого, используя свои привычные учётные данные, а администраторы — управлять правами, политиками и аудитом из единой точки, даже в сложных распределённых или холдинговых структурах.

Такая интеграция не только улучшает администрирование и снижает затраты на поддержку множества учётных записей, но и создаёт условия для плавной миграции с Microsoft Active Directory на MULTIDIRECTORY. Организации могут постепенно переводить пользователей и сервисы на новую платформу, не нарушая привычные бизнес-процессы. Это особенно важно для крупных компаний с разнородными ИТ-инфраструктурами или при интеграции новых юридических лиц, когда требуется сохранить непрерывность работы и управляемость на всех этапах перехода.

2. LDAP-схема перенесена в дерево LDAP

Теперь вся структура схемы LDAP интегрирована непосредственно в иерархию дерева LDAP. Этот подход соответствует архитектуре Microsoft Active Directory и других корпоративных LDAP-каталогов, способствует совместимости со стандартными механизмами работы со схемой.

Благодаря этому изменению схемы, расширение классов объектов и управление атрибутами выполняются централизованно и через стандартные LDAP-механизмы. Также упрощается миграция и интеграция с другими LDAP/AD-совместимыми решениями.

LDAP-схема обновлена до AD DS 2016

Схема каталога приведена в соответствие со стандартами Microsoft Active Directory Domain Services 2016. В состав схемы добавлены современные классы объектов и атрибуты, используемые актуальными версиями Windows Server и прикладными системами.

Обновление повышает совместимость с существующей инфраструктурой Active Directory и оптимизирует миграцию сервисов.

Добавлена поддержка сервисных принципалов в GSSAPI Bind Request

При аутентификации через GSSAPI (Kerberos) поддерживаются все типы сервисных принципалов, что расширяет спектр сервисов, способных использовать безопасную аутентификацию без дополнительных настроек.

Изменён алгоритм создания и присвоения атрибута Object-Sid, добавлены RID Manager и RID Set

Внедрён новый механизм генерации уникальных идентификаторов безопасности (Object-Sid) с использованием RID Manager и RID Set. Это обновление гарантирует уникальность Sid даже в сложных распределённых средах и при масштабировании, а также обеспечивает совместимость с инфраструктурой Microsoft.

В DNS реализовано автоматическое создание A-записи для сервера распространения конфигураций Salt

Это изменение обеспечивает автоматическую регистрацию сервера групповых политик в инфраструктуре DNS, оно позволяет клиентским устройствам и другим компонентам сети быстро и надёжно находить сервер Salt для получения актуальных настроек и политик.

Что было исправлено:

● Ролевая модель для смены пароля пользователя самому себе. Устранены ограничения, мешавшие пользователям с определёнными ролями самостоятельно менять свой пароль. Сейчас ролевая модель разрешает смену пароля без обращения к администратору.

● Смена пароля принципала, если он не является пользователем. Устранена ошибка, из-за которой смена пароля для сервисных принципалов (не пользователей) была невозможна. Теперь эта операция выполняется корректно для всех типов принципалов.

● Проверка значений при добавлении и изменении сетевой политики. Введена строгая проверка вводимых данных при создании и редактировании сетевых политик. Этот шаг предотвращает появление некорректных или небезопасных конфигураций.

● Исправлена проблема с вводом ПК в домен MULTIDIRECTORY. Устранена ошибка регистрации Salt-миньона при вводе ПК в домен.

Используемые термины

Forest Trust— доверие леса, транзитивный тип доверительных отношений в Microsoft Active Directory.

LDAP— Lightweight Directory Access Protocol, легковесный протокол доступа к каталогам.

GSSAPI— Generic Security Services Application Program Interface, стандартизированный программный интерфейс для защиты данных и безопасной аутентификации в компьютерных сетях.

Bind Request— запрос связывания.

Kerberos— защищённый сетевой протокол аутентификации.

ObjectSid— атрибут в Active Directory.

RID Manager (или RID Master)— это одна из пяти уникальных ролей FSMO в Active Directory.

RID Set (Relative Identifier Set)— это системный объект в Active Directory.

DNS— Domain Name System, система доменных имён.

Salt (Salt-миньон)— salt-minion, агент (фоновый процесс), устанавливаемый на серверах, который выполняет команды центрального сервера (Master) в системе управления инфраструктурой SaltStack.