MultiDirectory – российская служба каталогов с бесплатной Community-версией

В наши дни служба каталогов – это крепкий фундамент ИТ-инфраструктуры любой компании, в котором хранятся данные о всех пользователях, устройствах и группах. Чтобы в организации всегда царил порядок, необходимо на постоянной основе отслеживать текущие бизнес-процессы и оперативно выявлять «проблемные зоны» – для этого и нужна служба каталогов.

Представляем вашему вниманию российскую службу каталогов MultiDirectory. В статье мы рассмотрим, что из себя представляет продукт и перечислим его основные преимущества.

Что такое MultiDirectory

MultiDirectory – это современная служба каталогов с открытым исходным кодом, разработанная российской компанией МУЛЬТИФАКТОР.

Служба MultiDirectory имеет свободную лицензию, а значит, позволяет пользователям использовать Community-версию продукта бесплатно без права перепродажи и оказания коммерческих услуг. Пользователи и организации могут просматривать и анализировать код MultiDirectory и могут предлагать улучшения и исправления. Одна из ключевых особенностей MultiDirectory – централизованное управление данными, которое упрощает процессы администрирования и управления информацией.

Кому подходит MultiDirectory

Продукт MultiDirectory подходит как для малого, так и для крупного бизнеса. Для малых компаний это решение обеспечивает простоту в управлении и доступность необходимых функций, в то время как крупные организации могут рассчитывать на стабильную и масштабируемую систему, способную справляться с большими объёмами данных и сложными процессами.

Архитектура MultiDirectory

Служба каталогов MultiDirectory имеет трёхзвенную архитектуру. Система легко взаимодействует с другими сервисами, упрощает масштабирование и поддерживает высокий уровень безопасности за счёт распределения нагрузки и чёткого разделения функциональных задач.

MultiDirectory поддерживает протокол Kerberos, который обеспечивает технологию Single Sign-On (SSO). Kerberos осуществляет аутентификацию пользователей с минимальными усилиями, что особенно важно для организаций с большим числом сотрудников.

Разработка службы каталогов MultiDirectory выполнена на языке программирования Python: её можно интегрировать в существующие ИТ-инфраструктуры и настраивать под специфические требования бизнеса. Кроме того, в продукте используется контейнерная технология Docker, которая упрощает процесс развёртывания, а также позволяет устанавливать и настраивать систему на любых платформах, где доступен Docker.

Архитектура MultiDirectory адаптирована для совместимости с существующими структурами Active Directory, поэтому можно легко переносить данные и учётные записи пользователей из Active Directory. Весь перенос будет осуществлён без значительных изменений в инфраструктуре.

Основные функциональные возможности MultiDirectory

1. Централизованное хранение и управление данными

MultiDirectory обеспечивает централизованное хранение информации обо всех компонентах ИТ-инфраструктуры. Это позволяет администраторам быстро добавлять или удалять учётные записи, а также управлять правами пользователей из одного центра. Ознакомиться с данными о пользователях и их правах доступа можно во вкладке «Пользователи». Для этого нужно кликнуть на «Учётную запись» и выбрать опцию «Подробнее».



Рисунок 1. Подробнее об учётной записи сотрудника



Рисунок 2. Общая информация об учётной записи пользователя

В нужном вам организационной подразделении (OU) вы можете создавать, изменять и удалять пользователей и группы доступа.

Централизованное управление в MultiDirectory минимизирует риски несанкционированного доступа.

2. Повышенный уровень информационной безопасности

Использование службы каталогов MultiDirectory повышает уровень безопасности организации в целом, ведь, прежде всего, это централизованное хранилище для учётных записей. В доменной инфраструктуре пароли пользователей хранятся на специальных серверах – контроллерах домена с защитой от внешнего доступа. Также для аутентификации в доменной среде применяется протокол Kerberos, который превосходит по безопасности протокол NTLM.

3. Технология «единого входа» (Single Sign-On)

Технология Single Sign-On – одна из самых удобных для пользователей. Она позволяет получать доступ к нескольким приложениям с одним набором учётных данных для входа. Можно зайти в систему один раз и работать со многими приложениями без дополнительных процедур удостоверения личности.

4. Интеграция с корпоративными приложениями и облачными платформами

Благодаря поддержке LDAP и Kerberos MultiDirectory связывается с большинством корпоративных приложений и облачных платформ. Это расширяет спектр сервисов, с которыми можно взаимодействовать через единую службу каталогов. MultiDirectory совместима с различными сетевыми протоколами и сервисами – например, с VPN-сервисами, серверами федерации, Mail-серверами, Web-серверами и т.д., что позволяет ей работать как в локальной сети, так и в облачной среде.

5. Аутентификация, второй фактор и настройка сетевых политик

В MultiDirectory интегрирована система двухфакторной аутентификации и контроля доступа MULTIFACTOR. Система MULTIFACTOR, как и служба каталогов MultiDirectory, – это собственная разработка компании МУЛЬТИФАКТОР. Интеграция с MULTIFACTOR происходит через внутренний интерфейс службы MultiDirectory и не требует установки адаптера.

Продукты работают в связке, поэтому служба MultiDirectory обеспечивает надёжную двухфакторную проверку подлинности пользователей и авторизацию доступа к ресурсам.



Рисунок 3. Схема взаимодействия MultiDirectory и MULTIFACTOR

Включить систему двухфакторной аутентификации MULTIFACTOR в службе MultiDirectory можно в разделе «Настройки MultiDirectory», выбрав пункт «Подключение к MULTIFACTOR».



Рисунок 4. Подключение к MULTIFACTOR

В MultiDirectory администратор может выбрать, для какого типа протокола будет действовать политика безопасности и есть возможность включить двухфакторную аутентификацию для этих интерфейсов.

А чтобы включить интеграцию со вторым фактором, перейдите в меню дерева каталога и выберите пункт «Политики сервера» → «Политики доступа». В политиках доступа можно гибко настроить применение 2FA к конкретной группе и для конкретного протокола:

• Интерфейс администратора (вход в Web-интерфейс);
• LDAP (Bind-запросы аутентификации по интерфейсу LDAP);
• Kerberos (запросы на получение TGT).



Рисунок 5. Политики доступа

6. Парольные политики и контроль доступа на основе распределения ролей

Настраиваемые парольные политики – важный элемент эффективной системы безопасности любой организации. Угрозы кибербезопасности постоянно эволюционируют, и утечка учётных данных сотрудников может привести к серьёзным последствиям. Чтобы минимизировать риски несанкционированного доступа, организациям важно внедрять строгие правила работы с паролями: от регулярного обновления до соблюдения современных требований к их сложности.

В MultiDirectory вы можете гибко управлять парольными политиками, задавая такие параметры, как длина пароля, срок его действия, а также возможность повторного использования старых паролей. Всё это доступно в меню «Парольные политики».



Рисунок 6. Парольные политики

В MultiDirectory доступ распределяется на основе ролей и групп. Отметим, что в Community-версии продукта MultiDirectory нельзя создавать новые роли, но можно использовать существующие:

• Domain Admins – администраторы домена (полные права на весь домен)
• Read Only – группа с правами на чтение
• Domain Users – группа с правом на чтение только атрибутов своей учётной записи

В Enterprise-версии MultiDirectory, выпуск которой запланирован на первый квартал 2025 года, будет возможность создавать новые роли.

Контроль доступа на основе ролей и групп предоставляет возможность управлять правами и обеспечивать минимальный необходимый уровень привилегий.



Рисунок 7. Группы доступа по умолчанию

7. Режим Bypass

Разработчики предусмотрели сценарии, когда облачный сервис системы MULTIFACTOR может быть временно недоступен. В таких случаях включается режим ByPass. Служба каталогов MultiDirectory автоматически проверяет не только сетевую доступность, но и работоспособность системы двухфакторной аутентификации MULTIFACTOR.

В зависимости от настроек система может разрешить или запретить вход пользователям без подтверждения вторым фактором. Режим ByPass в MultiDirectory обеспечивает баланс между доступностью и безопасностью, предотвращая блокировку пользователей в критических ситуациях. Рисунок 5.

8. Поддержка 2FA в Kerberos

В MultiDirectory можно подтверждать получение TGT-тикета с помощью Push-уведомлений. Главная особенность этой функции заключается в том, что клиентские приложения не требуют изменений или дополнительных настроек. Вся проверка выполняется на сервере.

Как это работает:

1. Пользователь выполняет вход в операционную систему, заполняя логин и пароль.
2. После нажатия кнопки «Войти» возникает экран ожидания. В это время сервер MultiDirectory отправляет запрос на облачный сервис MULTIFACTOR для подтверждения входа через мобильное приложение.
3. Пользователь подтверждает запрос на своём устройстве, после чего Kerberos мгновенно выдаёт TGT-тикет, и вход в систему завершается.
4. Повторного подтверждения через 2FA не потребуется до истечения срока действия TGT-тикета.

Этот подход позволяет существенно повысить уровень безопасности, сохраняя привычный пользовательский опыт. Рисунок 5.

Заключение

MultiDirectory – мощный инструмент по централизованному управлению информационными ИТ-ресурсами, который сочетает в себе гибкость, масштабируемость и функциональность, отвечает современным требованиям безопасности и удобству использования.

В первом квартале 2025 года разработчики MultiDirectory выпустят Enterprise-версию с расширенным функционалом.

Среди ключевых возможностей появятся:

• Подсистемы лицензирования. В MultiDirectory лицензирование будет производится по количеству пользователей.
• Ролевая модель с делегированием полномочий.
• Возможность создания пользовательских ролей с выбором полномочий.
• Возможность запретить чтение и редактирование на уровне атрибутов.
• Делегирование полномочий для роли на OU и её наследников.
• DHCP-сервер.
• Контроль пользовательских сессий.
• Подсистема журналирования.
• Коннекторы для отправки в Syslog и SIEM.

Задать вопрос и принять участие в обсуждении MultiDirectory можно в Телеграм-чате.