Служба каталогов
Объекты каталога
В рамках службы каталогов обеспечивается централизованное хранение, поиск и представление информации о различных типах объектов и их параметрах.
Схема каталога является расширяемой и может содержать информацию, например, о следующих объектах:
-
пользователи;
-
компьютеры;
-
группы;
-
подразделения;
-
сайты;
-
контакты (или аналогичные объекты, включающие контактную информацию о пользователе или организации);
-
сервисные аккаунты;
-
зоны и записи DNS.
Для объектов каталога действуют следующие ограничения:
|
Для административного управления внутри домена, включая распределение прав и применение к объектам гранулированных настроек (правил), поддерживается возможность создания иерархии административных подразделений (OU).
При удалении объекты каталога помещаются в корзину, что обеспечивает возможность их быстрого восстановления со всеми имеющимися атрибутами в случае необходимости.
Клиенты
Клиентами службы каталогов могут быть компьютеры и системы под управлением Windows, Linux (Red Hat Enterprise Linux, Ubuntu, CentOS, Oracle Enterprise Linux, SUSE, AstraLinux) и других операционных систем, поддерживающих стандартные протоколы LDAP, Kerberos, DNS и SMB.
Доверительные отношения
Служба каталогов поддерживает построение односторонних и двухсторонних доверительных отношений с другими доменами и лесами под управлением Microsoft Active Directory и Samba Domain Controller (Samba DC).
В рамках создания доверительных отношений с Microsoft Active Directory поддерживаются:
-
внешние доверительные отношения в две стороны;
-
доверительные отношения леса между корневыми доменами в две стороны.
Для реализации сложной структуры доменов поддерживаются транзитивные доверительные отношения при использовании аутентификации и авторизации на базе Kerberos и NTLMSSP.
В рамках доверительных отношений поддерживаются:
-
добавление пользователей из доверенных доменов в группы доступа локального домена;
-
синхронизация объектов из других доменов;
-
аутентификация и авторизация пользователей доверенных доменов с помощью сервиса SSSD в доверяющем домене при установке односторонних доверительных отношений (Samba DC доверяет Microsoft Active Directory).
Репликация
Служба каталогов обеспечивает полноценную двухстороннюю репликацию SysVol, в том числе в смешанной среде (Windows + Linux).
Обеспечиваются механизмы разрешения следующих типов конфликтов в процессе репликации:
-
внесение изменений в свойства одного объекта на разных контроллерах домена с небольшой разницей во времени;
-
создание объектов с одинаковыми именами на разных контроллерах домена с небольшой разницей во времени;
-
одновременное выполнение операций создания объекта в контейнере и удаления данного контейнера.
Дополнительные возможности
Служба каталогов позволяет реализовывать сценарии единого входа (SSO) для доступа к различным типам ресурсов, таким как файловые серверы и веб-серверы. Сценарии могут распространяться как на внутренний, так и на доверенные домены.
Контроллеры домена предоставляют возможность аутентификации пользователей с использованием смарт-карт.