T2 переходит на ВОЛС в Москве T2 переходит на ВОЛС в Москве МТС увеличил чистую прибыль на 46,7% МТС увеличил чистую прибыль на 46,7% Большое обновление Snapseed, бесплатного редактора Большое обновление Snapseed, бесплатного редактора Поколение, которое учится иначе: ИИ добрался до 71% школьников Поколение, которое учится иначе: ИИ добрался до 71% школьников

Масштабное обновление Multidirectory: версия 3.0

🇷🇺 3 мин
безопасность
Иллюстрация предоставлена пресс-службой Multi Directoty

Компания Мультифактор, российский разработчик ИБ- и ИТ-решений, объявила о выходе Multidirectory 3.0.

Это обновлённая коммерческая версия продукта, предназначенная для организаций любого размера - от малого и среднего бизнеса до крупных корпораций и государственных учреждений. Multidirectory 3.0 обеспечивает надёжное, централизованное и безопасное управление пользователями.

Среди ключевых нововведений релиза - двустороннее доверие типа «Лес».

Рассмотрим изменения более подробно.

Добавлена возможность построения полноценного двунаправленного доверия типа «Лес» с Microsoft Active Directory (AD)

Реализована поддержка создания двусторонних отношений доверия между лесами (Forest Trust) с Microsoft Active Directory. Администраторы могут создавать двусторонние отношения доверия между лесом Active Directory и лесом Multidirectory, благодаря чему сотрудники одного леса получают возможность прозрачно и безопасно работать с ресурсами другого, используя свои привычные учётные данные, а администраторы - управлять правами, политиками и аудитом из единой точки, даже в сложных распределённых или холдинговых структурах.

Такая интеграция не только улучшает администрирование и снижает затраты на поддержку множества учётных записей, но и создаёт условия для плавной миграции с Microsoft Active Directory на Multidirectory. Организации могут постепенно переводить пользователей и сервисы на новую платформу, не нарушая привычные бизнес-процессы. Это особенно важно для крупных компаний с разнородными ИТ-инфраструктурами или при интеграции новых юридических лиц, когда требуется сохранить непрерывность работы и управляемость на всех этапах перехода.

LDAP-схема перенесена в дерево LDAP

Теперь вся структура схемы LDAP интегрирована непосредственно в иерархию дерева LDAP. Этот подход соответствует архитектуре Microsoft Active Directory и других корпоративных LDAP-каталогов, способствует совместимости со стандартными механизмами работы со схемой.

Благодаря этому изменению схемы, расширение классов объектов и управление атрибутами выполняются централизованно и через стандартные LDAP-механизмы. Также упрощается миграция и интеграция с другими LDAP/AD-совместимыми решениями.

LDAP-схема обновлена до AD DS 2016

Схема каталога приведена в соответствие со стандартами Microsoft Active Directory Domain Services 2016. В состав схемы добавлены современные классы объектов и атрибуты, используемые актуальными версиями Windows Server и прикладными системами.
Обновление повышает совместимость с существующей инфраструктурой Active Directory и оптимизирует миграцию сервисов.
Добавлена поддержка сервисных принципалов в GSSAPI Bind Request

При аутентификации через GSSAPI (Kerberos) поддерживаются все типы сервисных принципалов, что расширяет спектр сервисов, способных использовать безопасную аутентификацию без дополнительных настроек.

Изменён алгоритм создания и присвоения атрибута Object-Sid, добавлены RID Manager и RID Set

Внедрён новый механизм генерации уникальных идентификаторов безопасности (Object-Sid) с использованием RID Manager и RID Set. Это обновление гарантирует уникальность Sid даже в сложных распределённых средах и при масштабировании, а также обеспечивает совместимость с инфраструктурой Microsoft.

В DNS реализовано автоматическое создание A-записи для сервера распространения конфигураций Salt

Это изменение обеспечивает автоматическую регистрацию сервера групповых политик в инфраструктуре DNS, оно позволяет клиентским устройствам и другим компонентам сети быстро и надёжно находить сервер Salt для получения актуальных настроек и политик.

Что было исправлено:

• Ролевая модель для смены пароля пользователя самому себе. Устранены ограничения, мешавшие пользователям с определёнными ролями самостоятельно менять свой пароль. Сейчас ролевая модель разрешает смену пароля без обращения к администратору.
• Смена пароля принципала, если он не является пользователем. Устранена ошибка, из-за которой смена пароля для сервисных принципалов (не пользователей) была невозможна. Теперь эта операция выполняется корректно для всех типов принципалов.
• Проверка значений при добавлении и изменении сетевой политики. Введена строгая проверка вводимых данных при создании и редактировании сетевых политик. Этот шаг предотвращает появление некорректных или небезопасных конфигураций.
• Исправлена проблема с вводом ПК в домен MULTIDIRECTORY. Устранена ошибка регистрации Salt-миньона при вводе ПК в домен.

Используемые термины

• Forest Trust - доверие леса, транзитивный тип доверительных отношений в Microsoft Active Directory.
• LDAP - Lightweight Directory Access Protocol, легковесный протокол доступа к каталогам.
• GSSAPI - Generic Security Services Application Program Interface, стандартизированный программный интерфейс для защиты данных и безопасной аутентификации в компьютерных сетях.
• Bind Request - запрос связывания.
• Kerberos - защищённый сетевой протокол аутентификации.
• ObjectSid - атрибут в Active Directory.
• RID Manager (или RID Master) - одна из пяти уникальных ролей FSMO в Active Directory.
• RID Set (Relative Identifier Set) - системный объект в Active Directory.
• DNS - Domain Name System, система доменных имён.
• Salt (Salt-миньон) - salt-minion, агент (фоновый процесс), устанавливаемый на серверах, который выполняет команды центрального сервера (Master) в системе управления инфраструктурой SaltStack.