Служба каталогов

В продукте реализована служба каталогов на базе функциональности решения с открытым исходным кодом Samba (лицензия GPL — см. текст в разделе «Лицензия»).

Объекты каталога

В рамках службы каталогов обеспечивается централизованное хранение, поиск и представление информации о различных типах объектов и их параметрах.

Схема каталога является расширяемой и может содержать информацию, например, о следующих объектах:

  • пользователи;

  • компьютеры;

  • группы;

  • подразделения;

  • сайты;

  • контакты (или аналогичные объекты, включающие контактную информацию о пользователе или организации);

  • сервисные аккаунты;

  • зоны и записи DNS.

Для административного управления внутри домена, включая распределение прав и применение к объектам гранулированных настроек (правил), поддерживается возможность создания иерархии административных подразделений.

При удалении объекты каталога помещаются в корзину, что обеспечивает возможность их быстрого восстановления со всеми имеющимися атрибутами в случае необходимости.

Клиенты

Клиентами службы каталогов могут быть компьютеры и системы под управлением Windows и Linux (Astra Linux, Red Hat Enterprise Linux, Ubuntu, CentOS, Oracle Enterprise Linux, SUSE) и других операционных систем, поддерживающих стандартные протоколы LDAP, Kerberos, DNS и SMB.

Доверительные отношения

Служба каталогов поддерживает построение односторонних и двухсторонних доверительных отношений с другими доменами и лесами, в том числе под управлением Microsoft Active Directory.

В рамках создания доверительных отношений с Microsoft Active Directory поддерживаются:

  • внешние доверительные отношения в две стороны;

  • доверительные отношения леса между корневыми доменами в две стороны.

Для реализации сложной структуры доменов поддерживаются транзитивные доверительные отношения при использовании аутентификации и авторизации на базе Kerberos и NTLMSSP.

В рамках доверительных отношений поддерживаются:

  • добавление пользователей из доверенных доменов в группы доступа локального домена;

  • синхронизация объектов из других доменов;

  • аутентификация и авторизация пользователей доверенных доменов с помощью сервиса SSSD в доверяющем домене при установке односторонних доверительных отношений.

Репликация

Служба каталогов обеспечивает репликацию SysVol, в том числе в смешанной среде (Windows + Linux).

Обеспечиваются механизмы разрешения следующих типов конфликтов в процессе репликации:

  • внесение изменений в свойства одного объекта на разных контроллерах домена с небольшой разницей во времени;

  • создание объектов с одинаковыми именами на разных контроллерах домена с небольшой разницей во времени;

  • одновременное выполнение операций создания объекта в контейнере и удаления данного контейнера.

Дополнительные возможности

Служба каталогов позволяет реализовывать сценарии единого входа (SSO) для доступа к различным типам ресурсов, таким как файловые серверы и веб-серверы.