Архитектура

Раздел содержит краткое описание контекста работы и компонентного состава продукта «Служба каталогов "Эллес"».

Контекст работы продукта

На Рис. 1 представлена верхнеуровневая схема взаимодействия продукта «Служба каталогов "Эллес"» со смежными системами.

Рис. 1. Схема взаимодействия продукта «Служба каталогов "Эллес"» со смежными системами

Описание взаимодействий:

Потребители (системы, приложения на устройствах пользователя, компоненты ОС, различные устройства) обращаются к приложениям Эллес по протоколам DNS, Kerberos, LDAP, SMB, MS-RPCE, HTTPS и др.
Эллес имеет в своем составе DNS-сервер и взаимодействует с другими DNS-серверами по протоколу DNS (обмен зонами, разрешение имен и т. д.).
Для обеспечения мониторинга своих компонентов Эллес может интегрироваться с централизованными системами мониторинга по протоколам Prometheus и LDAP.
Журналы логов и аудита безопасности компонентов Эллес сохраняются на локальный диск контроллера домена. Для передачи событий из локальных журналов в централизованные системы журналирования и аудита используются сторонние решения, выбор которых определяется на этапе внедрения.
В целях обеспечения надежности, отказоустойчивости и производительности каждый домен состоит из нескольких контроллеров домена. Часть контроллеров домена может быть на основе Эллес, другая часть — на основе AD DS. Между контроллерами происходит обмен различными данными, например, репликация объектов каталога или настроек групповых политик.
В многодоменном лесу между контроллерами разных доменов леса также происходит обмен некоторыми данными — например, частичная репликация объектов для глобального каталога.

Приложения и компоненты продукта

Продукт «Служба каталогов "Эллес"» состоит из следующих приложений и компонентов:

Приложение/компонент	ПО с открытым исходным кодом / лицензия	Описание
Службы контроллера домена (Directory Service Core, DS Core)	Samba / GPLv3	Функциональность контроллера домена Active Directory (KDC, LDAP-сервер, SMB-сервер и т. д.)
Менеджер службы каталогов (Directory Service Manager, DSM)	—	Веб-приложение для администрирования службы каталогов
Экспортер метрик (Directory Service Exporter, DS Exporter)	—	Формирует метрики в формате Prometheus для мониторинга работы контроллера домена и предоставляет конечную точку для их получения по HTTP/HTTPS
samba-tool	Samba / GPLv3	Утилита командной строки для администрирования службы каталогов
samba-gpupdate	Samba / GPLv3	Утилита для применения групповых политик на компьютерах с ОС Linux
BIND 9	BIND 9 / MPL 2.0	DNS-сервер

Приложение/компонент

ПО с открытым исходным кодом / лицензия

Описание

Службы контроллера домена (Directory Service Core, DS Core)

Samba / GPLv3

Функциональность контроллера домена Active Directory (KDC, LDAP-сервер, SMB-сервер и т. д.)

Менеджер службы каталогов (Directory Service Manager, DSM)

—

Веб-приложение для администрирования службы каталогов

Экспортер метрик (Directory Service Exporter, DS Exporter)

—

Формирует метрики в формате Prometheus для мониторинга работы контроллера домена и предоставляет конечную точку для их получения по HTTP/HTTPS

samba-tool

Samba / GPLv3

Утилита командной строки для администрирования службы каталогов

samba-gpupdate

Samba / GPLv3

Утилита для применения групповых политик на компьютерах с ОС Linux

BIND 9

BIND 9 / MPL 2.0

DNS-сервер

На Рис. 2 представлена схема взаимодействия приложений и компонентов в рамках продукта.

Рис. 2. Схема взаимодействия приложений и компонентов продукта «Служба каталогов "Эллес"»

Службы контроллера домена

Ядро продукта «Служба каталогов "Эллес"» включает в себя следующий набор сервисов, обеспечивающих функционирование контроллера домена:

Сервис Описание

Сервис	Описание
cldap	Обработка запросов по протоколу CLDAP
disco	Асинхронное обнаружение контроллеров домена с ролью сервера глобального каталога (GC)
drepl	Репликация каталога
dnsupdate	Обновление записей DNS
kdc	Центр распространения ключей Kerberos (Heimdal)
kcc	Построение топологии репликации
lacheck	Обработка связанных атрибутов
ldap	Обработка запросов по протоколу
metrics_manager	Сбор метрик
nbt	Предоставление сервисов NetBIOS over TCP
ntp_signd	Подписание пакетов NTP при синхронизации времени с клиентами на ОС Windows
rpc	Обеспечение общего транспорта DCE/RPC для сетевых сервисов
s3fs	Файловый сервер
smbd	Совместный доступ к файлам и печати по протоколу SMB
smbd-notifyd	Сервис нотификации, обслуживающий файловый сервер
smbd-cleanupd	Сервис очистки, обслуживающий файловый сервер
tdo	Сервис пересчета значения атрибута `trustPosixOffset`
winbindd	Предоставление сервисов для диспетчера службы имен (Name Service Switch, NSS)
wrepl	Репликация WINS

cldap

Обработка запросов по протоколу CLDAP

disco

Асинхронное обнаружение контроллеров домена с ролью сервера глобального каталога (GC)

drepl

Репликация каталога

dnsupdate

Обновление записей DNS

kdc

Центр распространения ключей Kerberos (Heimdal)

kcc

Построение топологии репликации

lacheck

Обработка связанных атрибутов

ldap

Обработка запросов по протоколу

metrics_manager

Сбор метрик

nbt

Предоставление сервисов NetBIOS over TCP

ntp_signd

Подписание пакетов NTP при синхронизации времени с клиентами на ОС Windows

rpc

Обеспечение общего транспорта DCE/RPC для сетевых сервисов

s3fs

Файловый сервер

smbd

Совместный доступ к файлам и печати по протоколу SMB

smbd-notifyd

Сервис нотификации, обслуживающий файловый сервер

smbd-cleanupd

Сервис очистки, обслуживающий файловый сервер

tdo

Сервис пересчета значения атрибута trustPosixOffset

winbindd

Предоставление сервисов для диспетчера службы имен (Name Service Switch, NSS)

wrepl

Репликация WINS

Менеджер службы каталогов

Приложение «Менеджер службы каталогов» включает в себя следующий набор модулей, предоставляющих инструменты для администрирования службы каталогов:

Модуль	Описание
Пользователи и компьютеры	Оснастка для работы с объектами основного раздела каталога
Домены и доверия	Оснастка для работы с доверительными отношениями и сопутствующей функциональностью
Групповые политики	Оснастка для работы с групповыми политиками
Диспетчер DNS	Оснастка для работы с DNS
Мониторинг производительности	Визуализация метрик мониторинга

Модуль

Описание

Пользователи и компьютеры

Оснастка для работы с объектами основного раздела каталога

Домены и доверия

Оснастка для работы с доверительными отношениями и сопутствующей функциональностью

Групповые политики

Оснастка для работы с групповыми политиками

Диспетчер DNS

Оснастка для работы с DNS

Мониторинг производительности

Визуализация метрик мониторинга

BIND 9

BIND 9 представляет собой полнофункциональную реализацию протокола DNS (RFC 1034, RFC 1035 и др.) и интегрируется с ядром продукта через плагин BIND9_DLZ. Прямые и обратные зоны DNS хранятся в каталоге и реплицируются между контроллерами домена средствами службы каталогов.

Сторонние компоненты

Для выполнения различных задач в продукте «Служба каталогов "Эллес"» используются следующие сторонние компоненты:

Компонент	Лицензия	Описание
Rsync	GPLv3	Синхронизации файлов в Sysvol между контроллерами домена. Для синхронизации с контроллерами домена AD DS в гетерогенном домене может использоваться утилита Robocopy
Unison
Chrony	GPLv2	Синхронизации часов на компьютерах домена/леса

Компонент

Лицензия

Описание

Rsync

GPLv3

Синхронизации файлов в Sysvol между контроллерами домена.
Для синхронизации с контроллерами домена AD DS в гетерогенном домене может использоваться утилита Robocopy

Unison

Chrony

GPLv2

Синхронизации часов на компьютерах домена/леса