Компания МУЛЬТИФАКТОР, российский разработчик ИБ- и ИТ-решений, объявила о выходе MULTIDIRECTORY 3.0.
Это обновлённая коммерческая версия продукта, предназначенная для организаций любого размера — от малого и среднего бизнеса до крупных корпораций и государственных учреждений. MULTIDIRECTORY 3.0 обеспечивает надёжное, централизованное и безопасное управление пользователями.
Среди ключевых нововведений релиза — двустороннее доверие типа «Лес».
Рассмотрим изменения более подробно.
Добавлена возможность построения полноценного двунаправленного доверия типа «Лес» с Microsoft Active Directory (AD)
Реализована поддержка создания двусторонних отношений доверия между лесами (Forest Trust) с Microsoft Active Directory. Администраторы могут создавать двусторонние отношения доверия между лесом Active Directory и лесом MULTIDIRECTORY, благодаря чему сотрудники одного леса получают возможность прозрачно и безопасно работать с ресурсами другого, используя свои привычные учётные данные, а администраторы — управлять правами, политиками и аудитом из единой точки, даже в сложных распределённых или холдинговых структурах.
Такая интеграция не только улучшает администрирование и снижает затраты на поддержку множества учётных записей, но и создаёт условия для плавной миграции с Microsoft Active Directory на MULTIDIRECTORY. Организации могут постепенно переводить пользователей и сервисы на новую платформу, не нарушая привычные бизнес-процессы. Это особенно важно для крупных компаний с разнородными ИТ-инфраструктурами или при интеграции новых юридических лиц, когда требуется сохранить непрерывность работы и управляемость на всех этапах перехода.
LDAP-схема перенесена в дерево LDAP
Теперь вся структура схемы LDAP интегрирована непосредственно в иерархию дерева LDAP. Этот подход соответствует архитектуре Microsoft Active Directory и других корпоративных LDAP-каталогов, способствует совместимости со стандартными механизмами работы со схемой.
Благодаря этому изменению схемы, расширение классов объектов и управление атрибутами выполняются централизованно и через стандартные LDAP-механизмы. Также упрощается миграция и интеграция с другими LDAP/AD-совместимыми решениями.
LDAP-схема обновлена до AD DS 2016
Схема каталога приведена в соответствие со стандартами Microsoft Active Directory Domain Services 2016. В состав схемы добавлены современные классы объектов и атрибуты, используемые актуальными версиями Windows Server и прикладными системами.
Обновление повышает совместимость с существующей инфраструктурой Active Directory и оптимизирует миграцию сервисов.
Добавлена поддержка сервисных принципалов в GSSAPI Bind Request
При аутентификации через GSSAPI (Kerberos) поддерживаются все типы сервисных принципалов, что расширяет спектр сервисов, способных использовать безопасную аутентификацию без дополнительных настроек.
Изменён алгоритм создания и присвоения атрибута Object-Sid, добавлены RID Manager и RID Set
Внедрён новый механизм генерации уникальных идентификаторов безопасности (Object-Sid) с использованием RID Manager и RID Set. Это обновление гарантирует уникальность Sid даже в сложных распределённых средах и при масштабировании, а также обеспечивает совместимость с инфраструктурой Microsoft.
В DNS реализовано автоматическое создание A-записи для сервера распространения конфигураций Salt
Это изменение обеспечивает автоматическую регистрацию сервера групповых политик в инфраструктуре DNS, оно позволяет клиентским устройствам и другим компонентам сети быстро и надёжно находить сервер Salt для получения актуальных настроек и политик.
Что было исправлено:
- Ролевая модель для смены пароля пользователя самому себе. Устранены ограничения, мешавшие пользователям с определёнными ролями самостоятельно менять свой пароль. Сейчас ролевая модель разрешает смену пароля без обращения к администратору.
- Смена пароля принципала, если он не является пользователем. Устранена ошибка, из-за которой смена пароля для сервисных принципалов (не пользователей) была невозможна. Теперь эта операция выполняется корректно для всех типов принципалов.
- Проверка значений при добавлении и изменении сетевой политики. Введена строгая проверка вводимых данных при создании и редактировании сетевых политик. Этот шаг предотвращает появление некорректных или небезопасных конфигураций.
- Исправлена проблема с вводом ПК в домен MULTIDIRECTORY. Устранена ошибка регистрации Salt-миньона при вводе ПК в домен.
Используемые термины
Forest Trust — доверие леса, транзитивный тип доверительных отношений в Microsoft Active Directory.
LDAP — Lightweight Directory Access Protocol, легковесный протокол доступа к каталогам.
GSSAPI — Generic Security Services Application Program Interface, стандартизированный программный интерфейс для защиты данных и безопасной аутентификации в компьютерных сетях.
Bind Request — запрос связывания.
Kerberos — защищённый сетевой протокол аутентификации.
ObjectSid — атрибут в Active Directory.
RID Manager (или RID Master) — одна из пяти уникальных ролей FSMO в Active Directory.
RID Set (Relative Identifier Set) — системный объект в Active Directory.
DNS — Domain Name System, система доменных имён.
Salt (Salt-миньон) — salt-minion, агент (фоновый процесс), устанавливаемый на серверах, который выполняет команды центрального сервера (Master) в системе управления инфраструктурой SaltStack.
Читайте также
Нужна консультация?
Отдел продаж работает по будням с 10:00 до 19:00 (МСК). Оставьте свои контактные данные и мы свяжемся с вами в ближайшее время и ответим на все вопросы
