Варианты развертывания

Приложение «Менеджер службы каталогов» поддерживает работу как на том же сервере, что и контроллер домена, так и за его пределами — на компьютере администратора или промежуточном сервере (jump-сервере).

См. инструкции по установке для разных вариантов развертывания в разделе «Установка приложения "Менеджер службы каталогов" (пакет DSM)».

Развертывание на сервере контроллера домена

Приложение может развертываться непосредственно на сервере контроллера домена Эллес. Для управления доменом и контроллером домена администратор подключается к приложению с помощью веб-браузера.

Также для управления доменом может использоваться утилита командной строки samba-tool — удаленно или непосредственно на сервере контроллера домена (Рис. 1).

dsm on dc
Рис. 1. Схема развертывания приложения «Менеджер службы каталогов» на сервере контроллера домена

Развертывание на компьютере администратора

Бэкенд приложения может развертываться на компьютере администратора.

Пользователь запускает в рамках своего сеанса на компьютере бэкенд и веб-браузер (например, с помощью ярлыка на рабочем столе). Для аутентификации и авторизации используются билеты Kerberos, полученные в рамках сеанса пользователя.

Веб-браузер и бэкенд приложения взаимодействуют по протоколу HTTP с помощью локальных вызовов, а бэкенд взаимодействует со службами контроллера домена Эллес по сети с использованием протоколов LDAPS, Kerberos, SMB и gRPC (Рис. 2).

dsm outside dc computer
Рис. 2. Схема развертывания приложения «Менеджер службы каталогов» на компьютере администратора

Развертывание на промежуточном сервере (jump-сервере)

Для доступа к контроллерам домена, работающим в защищенных сегментах сети, в организации могут использоваться промежуточные терминальные серверы (jump-серверы). Бэкенд приложения может развертываться на таком сервере.

Администратор подключается к серверу по протоколу RDP (или аналогичному) и в рамках удаленного сеанса запускает бэкенд приложения и веб-браузер. Для аутентификации и авторизации используются билеты Kerberos, полученные в рамках сессии пользователя.

Веб-браузер и бэкенд приложения взаимодействуют по протоколу HTTP с помощью локальных вызовов, а бэкенд взаимодействует со службами контроллера домена Эллес по сети с использованием протоколов LDAPS, Kerberos, SMB и gRPC (Рис. 3).

dsm outside dc jump server
Рис. 3. Схема развертывания приложения «Менеджер службы каталогов» на jump-сервере

Ограничения

При развертывании приложения следует учитывать следующие ограничения:

  • взаимодействие бэкенда приложения и служб контроллера домена Эллес по протоколу NTLM не поддерживается;

  • приложение не поддерживает работу с контроллерами домена под управлением ОС Windows Server.

Обеспечение требований информационной безопасности

При развертывании приложения обеспечивается выполнение следующих требований информационной безопасности:

  • авторизация действий пользователя выполняется службами контроллера домена Эллес;

  • пользователь может выполнять действия в рамках прав, выданных его учетной записи;

  • для аутентификации и авторизации используются билеты Kerberos из сеанса/сессии пользователя или явно запрашиваются учетные данные пользователя;

  • при развертывании на jump-сервере обеспечивается изоляция пользовательских сеансов;

  • все сетевые взаимодействия осуществляются по защищенным версиям протоколов — LDAPS и HTTPS (включая gRPC).