Архитектура

Раздел содержит краткое описание контекста работы и компонентного состава продукта «Служба каталогов "Эллес"».

Контекст работы продукта

На Рис. 1 представлена верхнеуровневая схема взаимодействия продукта «Служба каталогов "Эллес"» со смежными системами.

Рис. 1. Схема взаимодействия продукта «Служба каталогов "Эллес"» со смежными системами

Описание взаимодействий:

Потребители (системы, приложения на устройствах пользователя, компоненты ОС, различные устройства) обращаются к приложениям Эллес по протоколам DNS, Kerberos, LDAP, SMB, MS-RPCE, HTTPS и др.
Эллес имеет в своем составе DNS-сервер и взаимодействует с другими DNS-серверами по протоколу DNS (обмен зонами, разрешение имен и т. д.).
Для обеспечения мониторинга своих компонентов Эллес может интегрироваться с централизованными системами мониторинга по протоколам Prometheus и LDAP.
Журналы логов и аудита безопасности компонентов Эллес сохраняются на локальный диск контроллера домена. Для передачи событий из локальных журналов в централизованные системы журналирования и аудита используются сторонние решения, выбор которых определяется на этапе внедрения.
В целях обеспечения надежности, отказоустойчивости и производительности каждый домен состоит из нескольких контроллеров домена. Часть контроллеров домена может быть на основе Эллес, другая часть — на основе AD DS. Между контроллерами происходит обмен различными данными, например, репликация объектов каталога или настроек групповых политик.
В многодоменном лесу между контроллерами разных доменов леса также происходит обмен некоторыми данными — например, частичная репликация объектов для глобального каталога.

Приложения продукта

Продукт «Служба каталогов "Эллес"» состоит из следующих приложений:

Приложение	ПО с открытым исходным кодом / лицензия	Описание
Службы контроллера домена (Directory Service Core, DS Core)	Samba / GPLv3	Функциональность контроллера домена Active Directory (KDC, LDAP-сервер, SMB-сервер, samba-tool, samba-gpupdate и т. д.)
Менеджер службы каталогов (Directory Service Manager, DSM)	—	Веб-приложение для администрирования службы каталогов

Приложение

ПО с открытым исходным кодом / лицензия

Описание

Службы контроллера домена (Directory Service Core, DS Core)

Samba / GPLv3

Функциональность контроллера домена Active Directory (KDC, LDAP-сервер, SMB-сервер, samba-tool, samba-gpupdate и т. д.)

Менеджер службы каталогов (Directory Service Manager, DSM)

—

Веб-приложение для администрирования службы каталогов

На Рис. 2 и Рис. 3 представлены верхнеуровневые схемы взаимодействия приложений в разных вариантах развертывания.

Рис. 2. Схема взаимодействия приложений и компонентов продукта «Служба каталогов "Эллес"» — вариант с развертыванием приложения «Менеджер службы каталогов» на сервере контроллера домена

Рис. 3. Схема взаимодействия приложений и компонентов продукта «Служба каталогов "Эллес"» — вариант с развертыванием приложения «Менеджер службы каталогов» за пределами сервера контроллера домена

В текущей версии при развертывании вне сервера контроллера домена приложение «Менеджер службы каталогов» поддерживает ограниченный набор операций (см. подробнее в разделе «Варианты развертывания»).

Службы контроллера домена

Ядро продукта «Служба каталогов "Эллес"» включает в себя следующий набор сервисов, обеспечивающих функционирование контроллера домена:

Сервис	Описание
cldap	Обработка запросов по протоколу CLDAP
core_manager	Сервис, предоставляющий gRPC API для управления доменом и контроллером домена
disco	Асинхронное обнаружение контроллеров домена с ролью сервера глобального каталога (GC)
drepl	Репликация каталога
dnsupdate	Обновление записей DNS
kdc	Центр распространения ключей Kerberos (Heimdal)
kcc	Построение топологии репликации
lacheck	Обработка связанных атрибутов
ldap	Обработка запросов по протоколу
metrics_manager	Сбор метрик
mt	Сервис автоматического запуска периодических задач
nbt	Предоставление сервисов NetBIOS over TCP
ntp_signd	Подписание пакетов NTP при синхронизации времени с клиентами на ОС Windows
rpc	Обеспечение общего транспорта DCE/RPC для сетевых сервисов
s3fs	Файловый сервер
smbd	Совместный доступ к файлам и печати по протоколу SMB
smbd-notifyd	Сервис нотификации, обслуживающий файловый сервер
smbd-cleanupd	Сервис очистки, обслуживающий файловый сервер
winbindd	Предоставление сервисов для диспетчера службы имен (Name Service Switch, NSS)
wrepl	Репликация WINS

Сервис

Описание

cldap

Обработка запросов по протоколу CLDAP

core_manager

Сервис, предоставляющий gRPC API для управления доменом и контроллером домена

disco

Асинхронное обнаружение контроллеров домена с ролью сервера глобального каталога (GC)

drepl

Репликация каталога

dnsupdate

Обновление записей DNS

kdc

Центр распространения ключей Kerberos (Heimdal)

kcc

Построение топологии репликации

lacheck

Обработка связанных атрибутов

ldap

Обработка запросов по протоколу

metrics_manager

Сбор метрик

Сервис автоматического запуска периодических задач

nbt

Предоставление сервисов NetBIOS over TCP

ntp_signd

Подписание пакетов NTP при синхронизации времени с клиентами на ОС Windows

rpc

Обеспечение общего транспорта DCE/RPC для сетевых сервисов

s3fs

Файловый сервер

smbd

Совместный доступ к файлам и печати по протоколу SMB

smbd-notifyd

Сервис нотификации, обслуживающий файловый сервер

smbd-cleanupd

Сервис очистки, обслуживающий файловый сервер

winbindd

Предоставление сервисов для диспетчера службы имен (Name Service Switch, NSS)

wrepl

Репликация WINS

Менеджер службы каталогов

Приложение «Менеджер службы каталогов» включает в себя следующий набор модулей, предоставляющих инструменты для администрирования службы каталогов:

Модуль	Описание
LDAP-редактор	Оснастка для работы с объектами и атрибутами объектов LDAP
Групповые политики	Оснастка для работы с групповыми политиками
DNS-менеджер	Оснастка для работы с DNS
Домены и доверия	Оснастка для работы с доверительными отношениями и сопутствующей функциональностью
Конфигурации и настройки	Оснастка для просмотра и изменения функциональных уровней леса и домена
Мониторинг производительности	Визуализация метрик мониторинга
Пользователи и компьютеры	Оснастка для работы с объектами основного раздела каталога

Модуль

Описание

LDAP-редактор

Оснастка для работы с объектами и атрибутами объектов LDAP

Групповые политики

Оснастка для работы с групповыми политиками

DNS-менеджер

Оснастка для работы с DNS

Домены и доверия

Оснастка для работы с доверительными отношениями и сопутствующей функциональностью

Конфигурации и настройки

Оснастка для просмотра и изменения функциональных уровней леса и домена

Мониторинг производительности

Визуализация метрик мониторинга

Пользователи и компьютеры

Оснастка для работы с объектами основного раздела каталога

BIND 9

BIND 9 представляет собой полнофункциональную реализацию протокола DNS (RFC 1034, RFC 1035 и др.) и интегрируется с ядром продукта через плагин BIND9_DLZ. Прямые и обратные зоны DNS хранятся в каталоге и реплицируются между контроллерами домена средствами службы каталогов.

Сторонние компоненты

Для выполнения различных задач в продукте «Служба каталогов "Эллес"» используются следующие сторонние компоненты:

Компонент	Лицензия	Описание
Rsync	GPLv3	Синхронизации файлов в Sysvol между контроллерами домена. Для синхронизации с контроллерами домена AD DS в гетерогенном домене может использоваться утилита Robocopy
Unison
Chrony	GPLv2	Синхронизации часов на компьютерах домена/леса

Компонент

Лицензия

Описание

Rsync

GPLv3

Синхронизации файлов в Sysvol между контроллерами домена.
Для синхронизации с контроллерами домена AD DS в гетерогенном домене может использоваться утилита Robocopy

Unison

Chrony

GPLv2

Синхронизации часов на компьютерах домена/леса