Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
30.01.2025

MultiDirectory – российская служба каталогов с бесплатной Community-версией

В наши дни служба каталогов – это крепкий фундамент ИТ-инфраструктуры любой компании, в котором хранятся данные о всех пользователях, устройствах и группах. Чтобы в организации всегда царил порядок, необходимо на постоянной основе отслеживать текущие бизнес-процессы и оперативно выявлять «проблемные зоны» – для этого и нужна служба каталогов.

Представляем вашему вниманию российскую службу каталогов MultiDirectory. В статье мы рассмотрим, что из себя представляет продукт и перечислим его основные преимущества.

Что такое MultiDirectory

MultiDirectory – это современная служба каталогов с открытым исходным кодом, разработанная российской компанией МУЛЬТИФАКТОР.

Служба MultiDirectory имеет свободную лицензию, а значит, позволяет пользователям использовать Community-версию продукта бесплатно без права перепродажи и оказания коммерческих услуг. Пользователи и организации могут просматривать и анализировать код MultiDirectory и могут предлагать улучшения и исправления. Одна из ключевых особенностей MultiDirectory – централизованное управление данными, которое упрощает процессы администрирования и управления информацией.

Кому подходит MultiDirectory

Продукт MultiDirectory подходит как для малого, так и для крупного бизнеса. Для малых компаний это решение обеспечивает простоту в управлении и доступность необходимых функций, в то время как крупные организации могут рассчитывать на стабильную и масштабируемую систему, способную справляться с большими объёмами данных и сложными процессами.

Архитектура MultiDirectory

Служба каталогов MultiDirectory имеет трёхзвенную архитектуру. Система легко взаимодействует с другими сервисами, упрощает масштабирование и поддерживает высокий уровень безопасности за счёт распределения нагрузки и чёткого разделения функциональных задач.

MultiDirectory поддерживает протокол Kerberos, который обеспечивает технологию Single Sign-On (SSO). Kerberos осуществляет аутентификацию пользователей с минимальными усилиями, что особенно важно для организаций с большим числом сотрудников.

Разработка службы каталогов MultiDirectory выполнена на языке программирования Python: её можно интегрировать в существующие ИТ-инфраструктуры и настраивать под специфические требования бизнеса. Кроме того, в продукте используется контейнерная технология Docker, которая упрощает процесс развёртывания, а также позволяет устанавливать и настраивать систему на любых платформах, где доступен Docker.

Архитектура MultiDirectory адаптирована для совместимости с существующими структурами Active Directory, поэтому можно легко переносить данные и учётные записи пользователей из Active Directory. Весь перенос будет осуществлён без значительных изменений в инфраструктуре.

Основные функциональные возможности MultiDirectory

  1. Централизованное хранение и управление данными

    2. MultiDirectory обеспечивает централизованное хранение информации обо всех компонентах ИТ-инфраструктуры. Это позволяет администраторам быстро добавлять или удалять учётные записи, а также управлять правами пользователей из одного центра. Ознакомиться с данными о пользователях и их правах доступа можно во вкладке «Пользователи». Для этого нужно кликнуть на «Учётную запись» и выбрать опцию «Подробнее».

    Рисунок 1. Подробнее об учётной записи сотрудника

    Рисунок 2. Общая информация об учётной записи пользователя

    В нужном вам организационной подразделении (OU) вы можете создавать, изменять и удалять пользователей и группы доступа.

    Централизованное управление в MultiDirectory минимизирует риски несанкционированного доступа.

  2. Повышенный уровень информационной безопасности

    3. Использование службы каталогов MultiDirectory повышает уровень безопасности организации в целом, ведь, прежде всего, это централизованное хранилище для учётных записей. В доменной инфраструктуре пароли пользователей хранятся на специальных серверах – контроллерах домена с защитой от внешнего доступа. Также для аутентификации в доменной среде применяется протокол Kerberos, который превосходит по безопасности протокол NTLM.

  3. Технология «единого входа» (Single Sign-On)

    4. Технология Single Sign-On – одна из самых удобных для пользователей. Она позволяет получать доступ к нескольким приложениям с одним набором учётных данных для входа. Можно зайти в систему один раз и работать со многими приложениями без дополнительных процедур удостоверения личности.

  4. Интеграция с корпоративными приложениями и облачными платформами

    5. Благодаря поддержке LDAP и Kerberos MultiDirectory связывается с большинством корпоративных приложений и облачных платформ. Это расширяет спектр сервисов, с которыми можно взаимодействовать через единую службу каталогов. MultiDirectory совместима с различными сетевыми протоколами и сервисами – например, с VPN-сервисами, серверами федерации, Mail-серверами, Web-серверами и т.д., что позволяет ей работать как в локальной сети, так и в облачной среде.

  5. Аутентификация, второй фактор и настройка сетевых политик

    6. В MultiDirectory интегрирована система двухфакторной аутентификации и контроля доступа MULTIFACTOR. Система MULTIFACTOR, как и служба каталогов MultiDirectory, – это собственная разработка компании МУЛЬТИФАКТОР. Интеграция с MULTIFACTOR происходит через внутренний интерфейс службы MultiDirectory и не требует установки адаптера.

    Продукты работают в связке, поэтому служба MultiDirectory обеспечивает надёжную двухфакторную проверку подлинности пользователей и авторизацию доступа к ресурсам.

    Рисунок 3. Схема взаимодействия MultiDirectory и MULTIFACTOR

    Включить систему двухфакторной аутентификации MULTIFACTOR в службе MultiDirectory можно в разделе «Настройки MultiDirectory», выбрав пункт «Подключение к MULTIFACTOR».

    Рисунок 4. Подключение к MULTIFACTOR

    В MultiDirectory администратор может выбрать, для какого типа протокола будет действовать политика безопасности и есть возможность включить двухфакторную аутентификацию для этих интерфейсов.

    А чтобы включить интеграцию со вторым фактором, перейдите в меню дерева каталога и выберите пункт «Политики сервера» → «Политики доступа». В политиках доступа можно гибко настроить применение 2FA к конкретной группе и для конкретного протокола:

    • Интерфейс администратора (вход в Web-интерфейс);
    • LDAP (Bind-запросы аутентификации по интерфейсу LDAP);
    • Kerberos (запросы на получение TGT).

    Рисунок 5. Политики доступа

  6. Парольные политики и контроль доступа на основе распределения ролей

    7. Настраиваемые парольные политики – важный элемент эффективной системы безопасности любой организации. Угрозы кибербезопасности постоянно эволюционируют, и утечка учётных данных сотрудников может привести к серьёзным последствиям. Чтобы минимизировать риски несанкционированного доступа, организациям важно внедрять строгие правила работы с паролями: от регулярного обновления до соблюдения современных требований к их сложности.

    В MultiDirectory вы можете гибко управлять парольными политиками, задавая такие параметры, как длина пароля, срок его действия, а также возможность повторного использования старых паролей. Всё это доступно в меню «Парольные политики».

    Рисунок 6. Парольные политики

    В MultiDirectory доступ распределяется на основе ролей и групп. Отметим, что в Community-версии продукта MultiDirectory нельзя создавать новые роли, но можно использовать существующие:

    • Domain Admins – администраторы домена (полные права на весь домен)
    • Read Only – группа с правами на чтение
    • Domain Users – группа с правом на чтение только атрибутов своей учётной записи

    В Enterprise-версии MultiDirectory, выпуск которой запланирован на первый квартал 2025 года, будет возможность создавать новые роли.

    Контроль доступа на основе ролей и групп предоставляет возможность управлять правами и обеспечивать минимальный необходимый уровень привилегий.

    Рисунок 7. Группы доступа по умолчанию

  7. Режим Bypass

    8. Разработчики предусмотрели сценарии, когда облачный сервис системы MULTIFACTOR может быть временно недоступен. В таких случаях включается режим ByPass. Служба каталогов MultiDirectory автоматически проверяет не только сетевую доступность, но и работоспособность системы двухфакторной аутентификации MULTIFACTOR.

    В зависимости от настроек система может разрешить или запретить вход пользователям без подтверждения вторым фактором. Режим ByPass в MultiDirectory обеспечивает баланс между доступностью и безопасностью, предотвращая блокировку пользователей в критических ситуациях. Рисунок 5.

  8. Поддержка 2FA в Kerberos

    9. В MultiDirectory можно подтверждать получение TGT-тикета с помощью Push-уведомлений. Главная особенность этой функции заключается в том, что клиентские приложения не требуют изменений или дополнительных настроек. Вся проверка выполняется на сервере.

Как это работает:

  1. Пользователь выполняет вход в операционную систему, заполняя логин и пароль.
  2. После нажатия кнопки «Войти» возникает экран ожидания. В это время сервер MultiDirectory отправляет запрос на облачный сервис MULTIFACTOR для подтверждения входа через мобильное приложение.
  3. Пользователь подтверждает запрос на своём устройстве, после чего Kerberos мгновенно выдаёт TGT-тикет, и вход в систему завершается.
  4. Повторного подтверждения через 2FA не потребуется до истечения срока действия TGT-тикета.

Этот подход позволяет существенно повысить уровень безопасности, сохраняя привычный пользовательский опыт. Рисунок 5.

Заключение

MultiDirectory – мощный инструмент по централизованному управлению информационными ИТ-ресурсами, который сочетает в себе гибкость, масштабируемость и функциональность, отвечает современным требованиям безопасности и удобству использования.

В первом квартале 2025 года разработчики MultiDirectory выпустят Enterprise-версию с расширенным функционалом.

Среди ключевых возможностей появятся:

  • Подсистемы лицензирования. В MultiDirectory лицензирование будет производится по количеству пользователей.
  • Ролевая модель с делегированием полномочий.
  • Возможность создания пользовательских ролей с выбором полномочий.
  • Возможность запретить чтение и редактирование на уровне атрибутов.
  • Делегирование полномочий для роли на OU и её наследников.
  • DHCP-сервер.
  • Контроль пользовательских сессий.
  • Подсистема журналирования.
  • Коннекторы для отправки в Syslog и SIEM.

Задать вопрос и принять участие в обсуждении MultiDirectory можно в Телеграм-чате .