Active Directory перестал быть единственным отраслевым стандартом: зрелые российские разработки и open source-решения предлагают сопоставимый уровень функциональности и надёжности. Эксперты обсудили практические шаги по подготовке и проведению миграции без потери управления инфраструктурой.
- 1. Введение
- 2. Как менялся рынок служб каталогов
- 3. Групповые политики
- 4. Как подготовиться к миграции
- 5. Почему стоит купить именно вашу службу каталогов?
- 6. Прогнозы и тренды
- 7. Выводы
Введение
Active Directory десятилетиями оставался безальтернативным фундаментом ИТ-инфраструктуры большинства организаций. Однако изменение ландшафта ИТ-рынка, появление зрелых российских решений, а также требования регуляторов в ряде отраслей ставят вопрос о переходе на альтернативные службы каталогов.
Проблема в том, что Active Directory — это не просто хранилище учётных записей. На ней завязаны аутентификация, авторизация, групповая политика, DNS, Kerberos, интеграция с ERP и почтовыми системами. Любая ошибка при миграции оборачивается параличом бизнес-процессов. Эксперты обсудили, как менялся спрос на импортозамещение, зачем компании уходят с Active Directory даже без давления регуляторов и почему успех миграции зависит не от технологий, а от готовности администраторов.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Максим Сергей, ведущий инженер службы каталогов MULTIDIRECTORY, МУЛЬТИФАКТОР.
- Андрей Черепанов, начальник отдела сопровождения, «Базальт СПО».
- Анатолий Лысов, менеджер продукта ALD Pro, «Группа Астра».
- Александр Махновский, технический директор, Avanpost.
- Кристина Орлова, эксперт центра компетенций, РЕД СОФТ.
Ведущий и модератор эфира — Андрей Арефьев, сооснователь Pragmatic Tools, директор по инновациям и продуктовому развитию, InfoWatch.
Как менялся рынок служб каталогов
Анатолий Лысов выделил несколько ключевых этапов. В начале 2000-х потребность в импортозамещении видели только силовые ведомства, тогда это казалось избыточным. Следующий скачок произошёл в 2012 году — к импортозамещению подключились стратегически важные предприятия. С 2022 года — объекты КИИ. С конца прошлого года наблюдается интерес со стороны коммерческих организаций, для которых это не является обязательным требованием регулятора.
Кристина Орлова подтверждает интерес коммерческих компаний. В основном речь идёт о смешанной инфраструктуре, но тенденция идёт к отключению от MS AD.
Андрей Черепанов указал, что службы каталогов российского производства сегодня активно используются при новых инсталляциях на крупных предприятиях. Информационные системы развиваются и мигрируют, но при создании новых систем закладывать в них отечественный сервер каталогов — оправданное и рабочее решение.
Андрей Черепанов, начальник отдела сопровождения, «Базальт СПО»
Александр Махновский отметил, что не видит глобального проникновения решений российских вендоров в промышленные инфраструктуры.
Максим Сергей на основе общения с большим количеством заказчиков сделал вывод: бизнес не предъявляет прямых требований к службе каталогов, кроме наличия сертификатов. Все требования исходят от бизнес-систем — рабочих станций, файловых серверов, почтовых систем, ВКС, систем терминальных серверов и т. д. Импортозамещение всегда начинается с бизнес-систем.
Зачем переходить на российский аналог?
Максим Сергей выделяет два фактора. Первый — давление регуляторов, однако многие компании успешно ему сопротивляются и избегают перехода. Второй фактор — объективное замещение серверной инфраструктуры Windows на Linux: этот процесс идёт вне зависимости от требований регулятора.
Максим Сергей, ведущий инженер службы каталогов MULTIDIRECTORY, МУЛЬТИФАКТОР
Андрей Черепанов отмечает, что многие заказчики называют ключевым фактором невозможность обновлять серверы Windows. Плюс риск с точки зрения бизнеса: когда компания использует информационные системы, которые не контролирует, а вендор инфраструктуры не может обеспечить техническую поддержку — для крупных организаций это серьёзная проблема. Заказчики видят, что риск использования отечественных решений в текущих условиях ниже.
Кристина Орлова добавила, что российские решения имеют собственную техподдержку, их функциональность с каждым годом наращивается, а надёжность подтверждена практикой.
В первом опросе зрители ответили, какой у них опыт миграции с Microsoft Active Directory на российские аналоги:
- Не мигрировали — 42 %.
- Планируют миграцию — 23 %.
- Процесс миграции сейчас идёт — 17 %.
- Миграция была неудачной — 12 %.
- Миграция завершена успешно — 6 %.
Рисунок 2. Какой у вас опыт миграции с Microsoft Active Directory на российские аналоги?
Групповые политики
Кристина Орлова пояснила, что термин «групповые политики» чаще используется для Windows-машин. У российских решений есть аналог для Linux-машин. В компании РЕД СОФТ реализованы инструменты репликации групповых политик и последующего управления Windows-машинами с помощью штатных групповых политик Windows. Также есть собственные разработки для Linux. Учитываются опыт и экспертность администраторов, инструмент подбирается исходя из этого.
Кристина Орлова, эксперт центра компетенций, РЕД СОФТ
Андрей Черепанов отметил, что групповые политики в российских решениях существуют давно. Реализована интерпретация групповых политик в том виде, в котором они используются в AD, но под Linux. Компания «Базальт СПО» выпускает все решения под свободными лицензиями, поэтому их могут использовать коллеги по рынку.
Ограничения есть. Если в Windows групповые политики работают для нескольких тысяч объектов, то политик, написанных исключительно под Linux, — несколько сотен. Политик, которые одинаково работают на обеих ОС, — считанные единицы. Это работает и эксплуатируется. В своих решениях компания делает кейсы, чтобы администраторы могли использовать свои архитектурные и эксплуатационные знания.
Александр Махновский сообщил, что в его решении реализованы групповые политики под Linux, причём разработчик отказался от использования DevOps-инструментов для развёртывания этих политик и полностью перенёс всё на собственный доменный клиент.
Андрей Арефьев напомнил, что групповые политики используются для управления рабочими станциями и настройками политик безопасности. Если меняется объект управления, меняются и принципы управления. Потребуется глубокое знание нового объекта.
Андрей Арефьев, сооснователь Pragmatic Tools, директор по инновациям и продуктовому развитию, InfoWatch
Анатолий Лысов отметил, что групповые политики отличаются, потому что объект управления другой. Но опыт, накопленный с Microsoft, нужно заимствовать и переосмысливать. Необходимо дать заказчикам возможность силами их инженеров и интеграторов дописывать параметры, расширяющие базовые возможности службы каталогов для управления любым ПО — даже тем, которое вендор ещё не охватил.
Максим Сергей обратил внимание, что групповых политик всегда не хватало. Крупные компании переходили на SCCM (System Center Configuration Manager), который обеспечивал управление конечными точками значительно лучше. В текущей ситуации Microsoft отказывается от групповых политик, заменяя их на CSP — механизмы конфигурации, которые получают настройки от Microsoft Intune и подобных систем.
Во втором опросе зрители поделились, каково их главное требование к аналогу Microsoft Active Directory (мультивыбор):
- Должно быть так же понятно и удобно — 92 %.
- Должно быть безопаснее — 53 %.
- Просто должно работать, больше ничего — 41 %.
- Должно быть дешевле — 26 %.
Рисунок 3. Каково ваше главное требование к аналогу Microsoft Active Directory?
Как подготовиться к миграции
Анатолий Лысов пояснил, что в фокусе должны быть пользователи, их рабочие станции и клиентские приложения. Самая первая и сложная задача — все ли клиентские аналоги доступны. Если есть приложение, которое не поддерживается на Linux, нужно понять, можно ли его эмулировать.
Ряд приложений требует работы с централизованными данными, а значит — аутентификации и авторизации при подключении к ресурсам. Как только это определено, можно замещать определённую категорию рабочих станций и соответствующих пользователей.
Способов два: доверительные отношения (если сервисы керберизированы) и синхронизация (перенос учётных записей с поддержанием паролей в двух инфраструктурах).
Анатолий Лысов, менеджер продукта ALD Pro, «Группа Астра»
Максим Сергей отметил, что необходимо проводить первичное обследование инфраструктуры и находить протоколы, которые не получится мигрировать — например, NTLM или Kerberos RC4. После обследования нужно сформировать отчёт, устранить проблемы и привести исходную систему в состояние готовности к миграции на российское ПО.
Андрей Черепанов подчеркнул, что крайне важно обучение администраторов. Как только они начинают работать с новыми продуктами, их нужно учить, потому что именно они будут эксплуатировать систему и осуществлять поддержку первого и второго уровня в организации. Это важно делать на начальном этапе.
Кристина Орлова указала, что самая большая трудность при переходе — неготовность к тому, что произойдёт. Рекомендуется начинать с аудита и пилота, чтобы администраторы увидели, что их ждёт, как это мигрирует, как работает в целевой инфраструктуре и как сопровождать процесс. Важно оценить, насколько им удобно и понятно, знаком ли им стек технологий. Нужно пробовать, смотреть, проходить все процессы.
В третьем опросе выяснилось, что для зрителей является основной трудностью при миграции с Microsoft AD на российские решения:
- Проблемы интеграции с существующими сервисами — 34 %.
- Отсутствие аналогов ПО, используемых на Microsoft — 27 %.
- Отсутствие или ограниченность групповых политик (GPO) — 13 %.
- Недостаточная документация и поддержка — 11 %.
- Сложности обучения и адаптации персонала — 9 %.
- Сложности с миграцией пользователей и паролей — 6 %.
Рисунок 4. Какова основная трудность при миграции с Microsoft AD на российские решения?
Почему стоит купить именно вашу службу каталогов?
Кристина Орлова: «Гибкость сценариев миграции, поддержка репликации и интеграция РЕД АДМ с MS AD. В режиме репликации работаем как с плоским доменом, так и с контроллером поддоменов. Также есть второй сценарий — параллельная инфраструктура на нашем решении со средствами миграции, переноса пользователей и компьютеров. Плюс техническая поддержка вендора и доработка функциональности под требования заказчика».
Максим Сергей: «Поддержка максимального количества дистрибутивов ОС — коммерческих и open source Linux, Windows-станций и серверов, включая оригинальные групповые политики. Полноценные отношения доверия MultiDirectory с AD в Forest Trust. Интегрированная многофакторная аутентификация, в том числе на Kerberos и LDAP».
Андрей Черепанов: «Наше решение — “Альт Домен”. Несмотря на то что оно сделано на Samba DC, мы хорошо переработали серверную инфраструктуру, знаем, как это делать, активно участвуем в upstream. С клиентской стороны продвигаем концепцию групповых политик, совместимых с существующими решениями. Слышим клиентов, идём им навстречу, реализуем всё, что используется в крупном enterprise».
Анатолий Лысов: «Наша служба каталогов ALD Pro основана на компоненте FreeIPA, специально разработана под Linux, имеет нативную интеграцию с технологиями безопасности. Расширяем возможности службы групповыми политиками, политиками установки ПО и заданиями автоматизации. Наш клиент реализован по канонам MS AD, поэтому способен выдерживать огромные нагрузки — один контроллер обслуживает несколько тысяч станций без проблем с групповыми политиками».
Александр Махновский: «Avanpost DS имеет все преимущества собственной разработки без использования open source. Есть возможность сохранить структуру домена, которая была в MS AD. Решение подходит для крупных организаций (более 5 млн объектов). Многофакторная аутентификация на Kerberos и LDAP, адекватная интеграция с инструментами ИБ».
Прогнозы и тренды
Кристина Орлова отметила, что сейчас российские службы каталогов перестали быть догоняющими — они показывают enterprise-решения и содержат необходимый набор функций. В ближайшие годы начнётся переход к разработке дополнительных функций, которые запрашивают заказчики.
Александр Махновский пояснил, что прошлые годы были потрачены на базовые вещи: реализацию протоколов, их расширение, реверс-инжиниринг, поддержку Forest Trust и т. д. На данный момент отрасль переходит к реализации функций с дополнительной добавленной ценностью — интегрированная многофакторная аутентификация, удобство администрирования, сценарии с расширенными возможностями восстановления, развитие по требованиям заказчиков, которые переходят к промышленной эксплуатации.
Александр Махновский, технический директор, Avanpost
Анатолий Лысов указал, что появляется всё больше крупных инсталляций, использующих российские продукты в промышленной эксплуатации — сейчас нет ограничений для внедрения и блокирующих факторов. Основные усилия будут направлены на выявление ошибок в реальной инфраструктуре, которые нарушают бизнес-сценарии заказчика, и их устранение.
Андрей Черепанов: «Мы предоставляем рынку продукты, но сами не занимаемся их внедрением у заказчика — акцент делаем прежде всего на партнёрскую сеть. Воспитываем грамотных партнёров, которые разбираются в нашем софте, знают его особенности и собирают требования рынка через общение инженеров внедрения с инженерами эксплуатации и техподдержки. Мы улучшаем производительность, управляемость системы, упрощаем инструменты для работы».
Максим Сергей резюмировал, что всё движется к платформам унификации предприятия, желательно чтобы они были моновендорными. Итоговый продукт должен закрывать у заказчика не только потребности в службе каталогов, но и потребности в унификации в целом.
Финальный опрос показал, планируют ли зрители развивать у себя российские службы каталогов после эфира:
- Будут развивать свою службу каталогов — 36 %.
- Планируют запуск нового проекта — 27 %.
- Рассматривают, но пока не в приоритете — 21 %.
- Нет, пока неактуально — 16 %.
Рисунок 5. Планируете ли вы развивать у себя российские службы каталогов после эфира?
Выводы
Рынок российских служб каталогов прошёл этап становления: базовые протоколы и сценарии реализованы, решения демонстрируют стабильность. Миграция с Microsoft AD перестала быть точечным экспериментом — это системный процесс, который уже идёт на объектах КИИ, стратегических предприятиях и постепенно охватывает коммерческий сектор.
Главным драйвером перехода становится не только давление регуляторов, но и объективное замещение серверной инфраструктуры Windows на Linux, а также невозможность обновлять критически важные системы и риск остаться без техподдержки вендора. При этом групповые политики в российских решениях уже существуют, но их функциональность пока уступает зрелому AD — особенно в части политик, одинаково работающих на Windows и Linux.
Успешная миграция невозможна без предварительного аудита протоколов, пилотных проектов и обязательного обучения администраторов, которым предстоит работать с новой инфраструктурой. Российские вендоры переходят от реализации базовых функций к созданию дополнительной ценности: встроенной многофакторной аутентификации, удобства администрирования и расширенных сценариев восстановления.
Рынок движется в сторону моновендорных платформ унификации, которые закрывают не только потребности в службе каталогов, но и задачи управления инфраструктурой в целом. Главное ограничение сегодня — не отсутствие технологий, а неготовность заказчиков: нехватка компетенций, неочевидность сценариев миграции и осторожность при замещении рабочих станций. Преодоление этих барьеров требует системной работы вендоров с партнёрской сетью и прямого обучения инженеров эксплуатации.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
