Обзор Avanpost DS 1.8.2 — российской службы каталогов

1. Введение
2. Функциональные возможности Avanpost DS 1.8.2
   1. 2.1. Построение доверия с MS AD
   2. 2.2. Экосистемность
   3. 2.3. Поддержка стандартов протоколов и расширений MS AD
   4. 2.4. Функции безопасности
   5. 2.5. Производительность и масштабируемость
   6. 2.6. Сертификация
3. Архитектура Avanpost DS 1.8.2
4. Системные требования Avanpost DS 1.8.2
5. Лицензирование Avanpost DS 1.8.2
6. Сценарии использования Avanpost DS 1.8.2
   1. 6.1. Работа с доверительными отношениями
   2. 6.2. Работа с политиками компьютера
   3. 6.3. Работа с пользовательскими политиками
   4. 6.4. Работа с журналом безопасности
   5. 6.5. Настройка очистки записей в DNS
7. Выводы

Введение

Службы каталогов являются одним из центральных элементов при построении ИТ-инфраструктуры компании, вне зависимости от её размеров. Они помогают обеспечить централизованное управление пользователями, их доступами и устройствами компании.

В России долгое время стандартом службы каталогов де-факто был Microsoft Active Directory. Однако время диктует свои условия, и на первый план вышла потребность в импортозамещении, в том числе этого элемента инфраструктуры.

Наша редакция уделяет пристальное внимание данной теме, регулярно анализируя состояние рынка и запросы, формирующиеся у заказчиков.

Одним из разработчиков служб каталогов, представленных на рынке, является компания Avanpost с продуктом Avanpost DS. Ранее мы готовили обзор на систему Avanpost DS 1.0, а не так давно вышла новая версия — Avanpost DS 1.8.2. Посмотрим, что изменилось за прошедшие полтора года, и насколько новая версия соответствует ожиданиям пользователей.

Функциональные возможности Avanpost DS 1.8.2

Avanpost DS предназначен для централизованной аутентификации и авторизации пользователей, управления параметрами операционной системы, установки и удаления программного обеспечения, общими папками и принтерами.

Продукт обеспечивает поддержку наиболее распространённых отечественных операционных систем, таких как Astra Linux, «Альт», РЕД ОС, «МСВСфера», и совместим с любыми дистрибутивами Linux за счёт работы со штатными пакетами sssd и krb5.

Также Avanpost DS работает с гетерогенными средами. Благодаря этому, в *nix-домен есть возможность добавления рабочих станций, функционирующих в среде Windows.

Построение доверия с MS AD

В ранних версиях возможность работы с Microsoft AD была только на уровне Kerberos. В обновлённой версии можно строить доверие на основе External Trust, мимикрируя под один из доменов Active Directory. Это позволяет обеспечить прозрачную аутентификацию без дополнительных манипуляций.

За счёт совместимости с расширениями протоколов MS AD система имеет возможность миграции объектов каталога Active Directory в Avanpost DS с сохранением иерархии, а также обеспечения аутентификации Windows-клиентов без дополнительных манипуляций.

Если ранее для аутентификации пользователей Avanpost DS, в домене MS AD, требовалось создание дополнительной УЗ и реализация механизма User Mapping, то теперь, за счёт реализации External Trustэтого не требуется.

Отдельно хотелось бы выделить механизм своеобразного LDAP-прокси, в качестве которого может выступать Avanpost DS. Благодаря ему есть возможность аутентифицироваться в приложениях с учётными записями (УЗ) доверенных доменов не только через Kerberos, но и LDAP-аутентификацию.

Экосистемность

Из-за того, что вендор произвёл значительные доработки в части интеграции своих продуктов между собой, появилась возможность реализации службы федерации и службы сертификатов такими системами, как Avanpost CA и Avanpost FAM. Это позволяет реализовать функциональные возможности корпоративного удостоверяющего центра по аналогии с ADCS и службой федерации и многофакторной проверки подлинности по аналогии с ADFS.

Поддержка стандартов протоколов и расширений MS AD

Avanpost DS полностью поддерживает не только стандарты протоколов, но и расширения Microsoft для взаимодействия с Windows-средой по протоколам Kerberos и LDAP для аутентификации Windows-машин.

Функции безопасности

В связи с тем, что служба каталогов является одним из критичных элементов инфраструктуры, вопросы информационной безопасности стоят весьма остро. Для того чтобы обеспечить безопасность своего продукта, вендор реализовал гранулярную ролевую модель доступов по аналогии с NT ACL, журналы аудита и изменений с защитой от модификации. Использование языка Golang обеспечивает автоматическое управление памятью, что исключает целый класс уязвимостей.

Производительность и масштабируемость

Для оценки производительности разработчики провели испытания, в рамках которых производились search-, bind- и modify-запросы. Кроме Avanpost DS в сравнении участвовали Microsoft AD, FreeIPA, Samba DC. По итогам испытания только Avanpost DC смог пройти тестирование без отказа в обслуживании. Для сравнительного нагрузочного тестирования использовались каталоги объёмом в 30 тысяч пользователей.

Рисунок 1. Результаты испытания производительности служб каталогов

Предельные объёмы масштабирования, протестированные вендором, при которых система показывала стабильное функционирование, составили 30 млн объектов каталога, 2 млн пользователей, 3 млн групп, 1500 групп у одного пользователя, 2 млн пользователей в одной группе, 250 контроллеров домена.

Сертификация

Avanpost DS внесён в реестр отечественного ПО, №15822 от 09.12.2022 г., имеет сертификат ФСТЭК №4982 от 01.10.2025, соответствие 4 уровня доверия. В процессе получения сертификат РБПО — документ, подтверждающий, что компания выстроила процесс создания продуктов с учётом актуальных ИБ-стандартов на всех этапах их жизненного цикла. Таким образом, вендор подтверждает безопасность своих продуктов и возможность их использования в системах 1 уровня защищённости: КИИ, ГИС, ИСПДн.

Архитектура Avanpost DS 1.8.2

Avanpost DS является монолитным программным обеспечением, написанным на языке Golang и использующим встраиваемую СУБД BadgerDB. Ядро системы состоит из LDAP-сервера и центра распространения ключей Kerberos. Оно обеспечивает для клиентов домена аутентификацию по протоколам LDAP(S) и Kerberos v5. Оба протокола реализованы в продукте в соответствии с RFC (Request for Comments, документы, описывающие технические аспекты и стандарты интернета) без использования свободно распространяемых компонентов.

Avanpost DS интегрируется с PowerDNS для предоставления служб DNS и с Chrony для предоставления служб синхронизации времени. Поддерживает интеграцию с файловыми и почтовыми серверами, а также другими прикладными системами.

Рисунок 2. Архитектура Avanpost DS 1.8.2

Минимальное развёртывание Avanpost DS включает два контроллера домена (КД1 и КД2). Масштабирование кластера осуществляется за счет развёртывания дополнительных контроллеров домена. Рекомендуется для отказоустойчивости размещать не менее двух контроллеров домена на инсталляцию и не менее одного — на каждые 10 000 активных пользователей.

Ядро Avanpost DS «Kerberos v5» и «LDAP» обеспечивает доступ к каталогу по соответствующим протоколам. Модуль Admin UI, публикуемый на веб-сервере Nginx, реализует веб-интерфейс администратора системы.

Компонент «Доменный клиент» обеспечивает взаимодействие пользователей с системой Avanpost DS. Выполняет следующие функции:

• Введение рабочей станции или сервера в домен. Для введения в домен выполняется настройка пакетов sssd и krb5, создаётся УЗ станции, загружается keytab-файл (криптографический файл, содержащий пары имён принципалов (service principals) и их зашифрованных ключей в протоколе Kerberos) и регистрируется DNS запись в доменной зоне.
• Обновление ключей Kerberos по расписанию.
• Управление конфигурацией рабочей станции посредством применения групповых политик.
• Динамическая регистрация DNS-записей при смене IP-адреса рабочей станции.

Avanpost DS выступает в качестве хранилища записей для DNS-сервера PowerDNS и позволяет создавать записи в базе в том числе через веб-интерфейс администратора.

Системные требования Avanpost DS 1.8.2

Avanpost DS состоит из двух компонентов: Avanpost DS Server, являющимся основным компонентом системы, и утилиты dscli, выполняющей роль доменного клиента Avanpost DS. Формат поставки — rpm, deb-пакеты, а также .tar.gz-архив. Система разворачивается на современных платформах виртуализации (VMWare VSphere 7+, Microsoft Hyper-V, Basis Dynamix и т. д.) и операционных системах: Альт Сервер 10, РЕД ОС 8, Astra Linux 1.7 SE, Astra Linux 2.12 CE, МСВСфера Сервер 9.

Ниже приведены рекомендуемые системные требования для установки компоненты Avanpost DS Server, отдельные требования для установки dscli не предъявляются.

Таблица 1. Системные требования для установки Avanpost DS Server

Лицензирование Avanpost DS 1.8.2

Avanpost DS доступен пользователям в двух версиях: Public и Pro. Версия Public является бесплатной, но позволяет использовать до 200 поддерживаемых учётных записей и управлять до 1000 объектами каталога. Имеется возможность создания доверительных отношений между доменом Avanpost DS Public и одним доменом MS AD. Осуществляется гарантированная техническая поддержка системы.

Версия Pro поддерживает неограниченное количество учётных записей и объектов. Имеется возможность построения доверительных отношений с неограниченным
 количеством доменов и создания структуры леса. Заказчику предоставляется расширенная техническая поддержка системы.

Avanpost DS Pro имеет как срочные, так и бессрочные лицензии. В лицензию Avanpost DS входит и корпоративный удостоверяющий центр Avanpost CA.

Сценарии использования Avanpost DS 1.8.2

Рассмотрим практические аспекты работы с Avanpost DS.

Веб-интерфейс системы практически не изменился по сравнению с версией 1.0, за исключением вкладок, появившихся в результате реализации новой функциональности. Одним из изменений существующего интерфейса стало добавление групповых операций для раздела иерархии и возможность сортировки объектов.

Рисунок 3. Вкладка «иерархия» Avanpost DS 1.8.2

Работа с доверительными отношениями

Во вкладке «Доверительные отношения» видна информация о доменах Active Directory и Avanpost DS, с которыми установлено междоменное доверие. Здесь же можно создать новые доверительные отношения. При настройке конфигураций междоменного доступа пользователи, находящиеся в доверенных доменах, могут получать доступ к ресурсам, управляемым Avanpost DS. А при настройке входящих доверительных отношений, пользователи, находящиеся в Avanpost DS, могут получить доступ к ресурсам, управляемым доверенным доменом.

Рисунок 4. Раздел «Доверительные отношения» в Avanpost DS 1.8.2

Для удобства предоставления доступа через доверительные отношения в системе реализована функциональная возможность добавления пользователей доверенных доменов в доменные группы Avanpost DS.

Рисунок 5. Добавление участников доверенного домена в группу в Avanpost DS 1.8.2

Работа с политиками компьютера

В новой версии системы появилась возможность назначать политики не только на компьютеры, но и на пользователей. Также был расширен список шаблонов групповых политик.

Рисунок 6. Настройка политики файловой системы для компьютера в Avanpost DS 1.8.2

Также через политики выполняется настройка интеграции службы каталогов Avanpost DS с корпоративным удостоверяющим центром Avanpost CA. Новые политики позволяют указать местоположение центра сертификации и шаблоны сертификатов для автоматической выдачи.

Рисунок 7. Настройка политики сертификатов в Avanpost DS 1.8.2

Для пользователей производится аналогичная настройка.

В настройке файловой системы хостов появилась возможность работы с конфигурационными файлами, что снижает нагрузку на системных администраторов, так как теперь можно задать путь конфигурации и указать, какие изменения требуется внести, после чего они будут применены автоматически.

Рисунок 8. Настройка конфигурационного файла в Avanpost DS 1.8.2

Из коробки поддерживается монтирование сетевых ресурсов по протоколам NFS и SMB, позволяющие автоматически подключать пользователям сетевые диски.

Рисунок 9. Настройка монтируемых сетевых ресурсов в Avanpost DS 1.8.2

Аналогично можно подключать и сетевые принтеры путём прописывания их атрибутов в соответствующих настройках.

Рисунок 10. Настройка сетевых принтеров в Avanpost DS 1.8.2

В политиках компьютеров также производится настройка ограничений по работе с USB-устройствами, что очень актуально при борьбе с утечками данных и предотвращении вирусных заражений.

Рисунок 11. Настройка USB-устройств в Avanpost DS 1.8.2

Работа с пользовательскими политиками

Пользовательские политики — совсем новый раздел в системе. В нём на уровне пользователей можно назначать установку или удаление программного обеспечения, настройки файловой системы, logon-скрипты, подключение принтеров, папок, ограничения по работе с USB-устройствами.

Рисунок 12. Logon-скрипт для пользователей в Avanpost DS 1.8.2

Отличие скриптов пользователей от скриптов компьютера заключается в том, что выполнение сценариев пользователей производится при входе в систему, в то время как выполнение сценариев компьютеров — при включении хоста. Для всех типов скриптов также можно настроить фоновое применение по интервалу обновления политик.

Отдельно стоит выделить политику доступа к хостам. Она позволяет устанавливать правила, в соответствии с которыми будут выдаваться разрешения для конкретных пользователей по доступу к определённым хостам и сервисам.

Рисунок 13. Настройка политики доступа к хостам и сервисам в Avanpost DS 1.8.2

Политики доступа к хостам могут работать как в ограничительном режиме, так и в режиме аудита, что помогает корректно их настраивать без риска нарушения работы.

Работа с журналом безопасности

Журнал безопасности дополнен новыми событиями и детализацией к ним. Теперь наглядно показывается результат действия системы по разным событиям, что значительно упрощает процесс поиска проблем (траблшутинга).

Рисунок 14. Журнал безопасности Avanpost DS 1.8.2

Для поиска событий реализован отдельный фильтр.

Рисунок 15. Поиск событий в журнале Avanpost DS 1.8.2

Настройка очистки записей в DNS

Одним из нововведений стали изменения в разделе DNS: вендор модифицировал правило динамической регистрации записей и добавил правило очистки устаревших DNS-записей. Когда доменный клиент регистрирует для себя A- и PTR-записи, им проставляется метка времени, когда произошло данное событие. На основании этой метки есть возможность удалять устаревшие DNS-записи вручную или по расписанию.

Рисунок 16. Настройка очистки устаревших записей в Avanpost DS 1.8.2

Выводы

Avanpost DS 1.8.2 стал ещё более удобной системой как с точки зрения администрирования, так и с точки зрения обеспечения информационной безопасности существующей инфраструктуры.

Нативная интеграция Avanpost DS, Avanpost CA и Avanpost FAM позволяет решать полный спектр задач, выполняемых Active Directory, предоставляя службу каталогов, корпоративный удостоверяющий центр, службу федерации и многофакторной аутентификации. Фактически связка трёх продуктов заменяет собой такие сервисы Microsoft Active Directory, как Domain Services (AD DS) Certificate Services (AD CS) и Federation Services (AD FS).

Проблемы производительности отечественных служб каталогов, на которую также жалуются заказчики, решены вендором и подтверждены лабораторными испытаниями.

Достоинства:

• Функциональная схожесть с Active Directory.
• Нативная кроссплатформенность: возможность работы со всеми версиями Linux.
• Гранулярная ролевая модель.
• Наличие бесплатной версии для малых предприятий.
• Встроенные групповые политики.
• Производительность и масштабируемость.

Недостатки:

• Протокол NTLMv2 поддерживается не в полном объёме.
• Отсутствие поддержки Exchange.
• Некоторые операции, например, восстановление из резервной копии, требуют работы в командной строке, что может создавать неудобство для системных администраторов, не имеющих опыта работы в Linux-средах.