Служба каталогов

В продукте реализована служба каталогов на базе функциональности решения с открытым исходным кодом Samba (лицензия GPL — см. текст в разделе «Лицензия»).

Объекты каталога

В рамках службы каталогов обеспечивается централизованное хранение, поиск и представление информации о различных типах объектов и их параметрах.

Схема каталога является расширяемой и может содержать информацию, например, о следующих объектах:

  • пользователи;

  • компьютеры;

  • группы;

  • подразделения;

  • сайты;

  • контакты (или аналогичные объекты, включающие контактную информацию о пользователе или организации);

  • сервисные аккаунты;

  • зоны и записи DNS.

Для объектов каталога действуют следующие ограничения:

  • субъекты безопасности (пользователи, группы, компьютеры) могут быть членами не более чем 1015 групп, независимо от их вложенности;

  • в списке управления доступом (ACL) может быть не более 1820 идентификаторов безопасности (SID).

Для административного управления внутри домена, включая распределение прав и применение к объектам гранулированных настроек (правил), поддерживается возможность создания иерархии административных подразделений (OU).

При удалении объекты каталога помещаются в корзину, что обеспечивает возможность их быстрого восстановления со всеми имеющимися атрибутами в случае необходимости.

Клиенты

Клиентами службы каталогов могут быть компьютеры и системы под управлением Windows, Linux (Red Hat Enterprise Linux, Ubuntu, CentOS, Oracle Enterprise Linux, SUSE, AstraLinux) и других операционных систем, поддерживающих стандартные протоколы LDAP, Kerberos, DNS и SMB.

Доверительные отношения

Служба каталогов поддерживает построение односторонних и двухсторонних доверительных отношений с другими доменами и лесами под управлением Microsoft Active Directory и Samba Domain Controller (Samba DC).

В рамках создания доверительных отношений с Microsoft Active Directory поддерживаются:

  • внешние доверительные отношения в две стороны;

  • доверительные отношения леса между корневыми доменами в две стороны.

Для реализации сложной структуры доменов поддерживаются транзитивные доверительные отношения при использовании аутентификации и авторизации на базе Kerberos и NTLMSSP.

В рамках доверительных отношений поддерживаются:

  • добавление пользователей из доверенных доменов в группы доступа локального домена;

  • синхронизация объектов из других доменов;

  • аутентификация и авторизация пользователей доверенных доменов с помощью сервиса SSSD в доверяющем домене при установке односторонних доверительных отношений (Samba DC доверяет Microsoft Active Directory).

Репликация

Служба каталогов обеспечивает полноценную двухстороннюю репликацию SysVol, в том числе в смешанной среде (Windows + Linux).

Обеспечиваются механизмы разрешения следующих типов конфликтов в процессе репликации:

  • внесение изменений в свойства одного объекта на разных контроллерах домена с небольшой разницей во времени;

  • создание объектов с одинаковыми именами на разных контроллерах домена с небольшой разницей во времени;

  • одновременное выполнение операций создания объекта в контейнере и удаления данного контейнера.

Дополнительные возможности

Служба каталогов позволяет реализовывать сценарии единого входа (SSO) для доступа к различным типам ресурсов, таким как файловые серверы и веб-серверы. Сценарии могут распространяться как на внутренний, так и на доверенные домены.

Контроллеры домена предоставляют возможность аутентификации пользователей с использованием смарт-карт.