«Группа Астра» объявила о выпуске обновлённой версии службы каталогов ALD Pro. Продукт получил индекс 3.0 и множество доработок — как функциональных, так и технологических.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России. Система соответствует требованиям Федеральной службы по техническому и экспортному контролю по 2-му уровню доверия и может использоваться в организациях, предъявляющих высокие требования к безопасности корпоративного ПО.

Архитектура платформы ALD Pro (источник изображений: astra.ru)

Релиз ALD Pro 3.0 был подготовлен с учётом потребностей крупных предприятий, поэтому ключевыми улучшениями стали возможности горизонтального и вертикального масштабирования компонентов продукта. Сообщается о поддержке больших доменных инфраструктур на 400 контроллеров и 30 млн объектов, а также повышенной производительности при синхронизации данных с доменом Microsoft Active Directory. По заверениям разработчика, теперь миграция на 10 тысяч учётных записей занимает около двух часов, что делает возможным реализацию крупных проектов импортозамещения в сжатые сроки. Одной из особенностей обновлённого решения стала синхронизация паролей в отдельном потоке и переход на уникальные идентификаторы objectGUID и nsUniqueId, полностью исключающие возникновение конфликтов при обработке данных.

ALD Pro позволяет централизованно управлять доступом к IT-ресурсам предприятия, аутентификацией и авторизацией сотрудников, а также хранить информацию о пользователях, группах и компьютерах в сети

Существенным доработкам в ALD Pro 3.0 подверглись механизмы защиты данных: появились средства централизованного управления доступом к USB-накопителям на рабочих станциях под управлением Astra Linux, интерфейсы для регистрации внешних дисков, управления уровнями и категориями конфиденциальности пользователей. Дополнительными функциями, направленными на повышение безопасности платформы, стали возможность управления паролями локальных администраторов (Local Administrator Password Solution, LAPS) и возможность проверки новых паролей по словарю запрещённых слов.

В числе прочего обновлённая служба каталогов получила доработанный пользовательский интерфейс и полноценную поддержку операционных систем ALT Linux 10.4, «Ред ОС» 7.3/8 на клиентских устройствах. В дополнение к этому, начиная с релиза ALD Pro 3.0, стала доступна бесплатная редакция Free, которой можно воспользоваться для ознакомления с базовыми возможностями продукта или централизованного управления инфраструктурой в небольших организациях. Редакция позволяет установить один контроллер домена и создать доверительные отношения с одним лесом доменов Active Directory. В домене можно зарегистрировать до 25 пользователей и до 25 компьютеров. Доступны групповые политики и удалённый доступ к рабочему столу пользователя для оказания технической поддержки. В редакции нет ограничений на возможность установки обновлений.

Согласно исследованию «Лаборатории Касперского», более трети россиян готовы вместо пароля использовать альтернативные способы авторизации. В корпоративном сегменте такой готовности пока не наблюдается, о чём свидетельствуют результаты исследования Avanpost.

В рамках исследования специалисты Avanpost рассмотрели самые востребованные классы решений корпоративной инфраструктуры: VPN, VDI, Wi-Fi и сеть; корпоративные коммуникации (почта, ВКС); ERP/ЭДО; Service Desk; АРМы и серверы, а также средства разработки (например, GitLab). По каждому из них оценивалась доля использования пяти методов аутентификации: «обычные» пароли, доменная аутентификация, RADIUS, SAML и OpenID Connect.

В исследовании отмечено, что в современных корпоративных системах по-прежнему широко используется аутентификация на основе паролей и LDAP. Основная причина заключается в том, что заказчиками зачастую не предъявляются требования по поддержке коробочными корпоративными решениями современных механизмов аутентификации, говорит компания.

Это связано с отсутствием в корпоративных инфраструктурах централизованных современных сервисов Identity Provider (IDP), а также с длительным жизненным циклом (5–10 лет) ранее внедрённых систем. К тому же множество широко распространённых продуктов и платформ проектировались и развивались с учётом архитектуры, заложенной десятки лет назад.

Источник изображения: Bruno Brito / Unsplash

В корпоративных системах по-прежнему остаются самым распространённым методом аутентификации традиционные «обычные» пароли, несмотря на агитацию Google, Apple и Microsoft за отказ от них. Во всех проанализированных в исследовании категориях их использование близко к 100 %, несмотря на наличие современных решений. На втором место по распространённости в корпоративном сегменте находится доменная LDAP-аутентификация, хотя это общепризнанный антипаттерн, говорит компания. Особенно широко она используется в инфраструктурном сегменте (АРМы и серверы), а также в корпоративных решениях для VPN, VDI и Wi-Fi-средах с долей до 90–100 %. Это объясняется высокой совместимостью с внутренними сетями и политиками безопасности Microsoft Active Directory и другими решениями экосистемы Microsoft.

Протокол SAML (Security Assertion Markup Language) используется в 50–60 % системах ERP и службах поддержки, особенно — в SaaS/PaaS, интегрируемых с корпоративными провайдерами удостоверений, размещёнными во внутренней инфраструктуре, преимущественно за счёт возможности взаимодействия через пользователей. «Особенно удивляет сохраняющаяся тенденция реализовывать поддержку SAML в новых продуктах вместо поддержки более современного протокола OpenID Connect», — сообщили исследователи. OpenID Connect больше всего используют в средствах разработки — до 60 % случаев, тогда как в остальных категориях его доля составляет менее 30 %. При этом использование OpenID Connect в других классах корпоративных решений остаётся на достаточно низком уровне.

Источник изображения: Avanpost

По итогам исследования в Avanpost пришли к выводу, что корпоративные IT-инфраструктуры по-прежнему находятся в стадии трансформации в вопросах аутентификации. На фоне широкого распространения встроенной парольной и LDAP-аутентификации всё же заметен рост интереса к современным IdP-протоколам OpenID Connect и SAML. Вместе с тем уровень готовности большинства коробочных продуктов к использованию современных протоколов аутентификации оставляет желать. RADIUS по-прежнему широко используются при интеграции с внутренними системами из-за высокой совместимости с ранее закупленным сетевым оборудованием.

Хотя большинство корпоративного ПО продолжает полагаться на традиционные схемы аутентификации с паролями и LDAP, и лишь незначительная часть приложений (примерно 5–10 %) из коробки поддерживает OpenID Connect, грамотная стратегия миграции позволит организациям постепенно повысить уровень безопасности и удобства для пользователей без чрезмерных рисков и затрат, отметили исследователи. «Фокус на централизованной платформе IAM и в целом на Identity-центричном подходе к аутентификации и развитие культуры безопасности поможет сделать переход последовательным и контролируемым, не остановив, при этом, текущие бизнес-процессы», — сообщили в Avanpost.

Компания «Мультифактор» сообщила о выпуске Enterprise-версии службы каталогов MultiDirectory. В отличие от свободного распространяемой Community-сборки, коммерческое решение имеет расширенные функциональные возможности и предполагает техническое сопровождение со стороны разработчика.

MultiDirectory представляет собой инструмент для аутентификации и авторизации пользователей в корпоративной среде с использованием протоколов LDAP/LDAPS. Продукт структурно адаптирован под Active Directory, что позволяет использовать его в средах, где требуется совместимость с этой службой. Отечественная разработка обеспечивает централизованное управление учётными записями, гибкую настройку политик безопасности, двухфакторную аутентификацию, интеграцию с DNS-сервером Bind9. Решение поддерживает взаимодействие с рабочими станциями на базе Windows, macOS, Linux и может быть интегрировано с различными сторонними системами в IT-инфраструктуре организации.

Пользовательский интерфейс MultiDirectory (источник изображения: multidirectory.ru)

Помимо основных возможностей, Enterprise-версия службы каталогов MultiDirectory включает в себя постоянное внедрение новых функций вроде поддержки доверия доменов, гибкой ролевой модели и контроля сессий пользователей, гарантированную техническую поддержку от разработчиков «Мультифактор», прямой доступ к экспертам через e-mail и телефон, а также конкретные сроки исправления багов и регулярные обновления.

Сравнение Community- и Enterprise-версий MultiDirectory (источник изображения: multidirectory.ru)

MultiDirectory в полной мере отвечает задачам импортозамещения и может использоваться заказчиками при реализации программ по переходу на отечественные продукты с решений зарубежных разработчиков.

Компания Avanpost, российский вендор в области безопасности идентификационных данных, выпустила новую версию службы каталогов Avanpost Directory Service (DS) 1.6.

Avanpost DS представляет собой решение для централизованного управления рабочими станциями и учётными записями, а также аутентификации пользователей по протоколам LDAP(S) и Kerberos. Система предназначена для управления Linux-инфраструктурами, может применяться в паре с Microsoft Active Directory и использоваться в качестве альтернативы зарубежной службе каталогов в рамках импортозамещения ПО. Отечественный продукт обеспечивает бесшовную миграцию с MS AD, управление ресурсами в период сосуществования двух платформ в корпоративной сети, а также привычные сценарии для IT-администраторов. Avanpost DS представлена в двух версиях — бесплатной Public и коммерческой Pro, полностью совместима с российскими дистрибутивами Linux (Astra Linux, «Ред ОС», «Альт» и другими) и подходит для организаций, переходящих на Linux-инфраструктуру.

Источник изображения: avanpost.ru

Главное нововведение релиза Avanpost DS 1.6 — поддержка односторонних и двусторонних доверительных отношений между Microsoft Active Directory и Avanpost DS, которая позволяет обеспечить прозрачный доступ к ресурсам в период одновременного использования двух служб в IT-инфраструктуре предприятия. Также в системе были расширены возможности управления парольными политиками. Для удобства администрирования добавлена функциональность корзины службы каталогов по аналогии с Microsoft Active Directory, обеспечивающая восстановление удалённых объектов и оснащённая графическим интерфейсом для доменного клиента.

Помимо новых функций, в версии службы каталогов Avanpost DS 1.6 исправлены ошибки отображения групповых политик и отображения событий журнала.

«Группа Астра» сообщила о получении сертификата Федеральной службы по техническому и экспортному контролю на систему централизованного управления доменом ALD Pro.

Программный комплекс ALD Pro предназначен для автоматизации и централизованного управления рабочими станциями, иерархией подразделений и групповыми политиками, а также прикладными сервисами для IT-инфраструктур организаций различного масштаба. Продукт может использоваться в качестве замены Microsoft Active Directory и учитывает интересы администраторов и пользователей компаний, переходящих на отечественный софт. ALD Pro включён в дорожную карту «Новое общесистемное программное обеспечение»; решению присвоен статус «особо важного продукта» в рамках программы Минцифры России.

Выданный ФСТЭК России сертификат подтверждает соответствие ALD Pro требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Продукт соответствует 4-му уровню доверия и располагает набором декларируемых в технических условиях функциональных возможностей.

Источник изображения: aldpro.ru

Решение подходит не только для информационных систем общего пользования (ИСОП) II класса, но также для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) и автоматизированных систем управления техническими процессами (АСУ ТП) до 1-го класса защищённости включительно. Кроме того, программный комплекс можно применять на значимых объектах критической информационной инфраструктуры, в том числе 1-ой категории.

«Сегодня заказчики активно переходят с зарубежных решений на отечественные. Мы понимаем, что внедряемый софт должен быть не только функциональным, но и надёжным, и получение сертификата ФСТЭК России — это документальное подтверждение безопасности ALD Pro. Защищённость всегда была и будет одним из ключевых приоритетов нашей команды, нам важно предоставлять клиентам стабильные и качественные решения», — говорится в сообщении «Группы Астра».

Компания «Базальт СПО» сообщила о доступности профессиональной аудитории открытой библиотеки libdomain, предназначенной для управления доменной IT-инфраструктурой на базе Samba, FreeIPA, Active Directory, OpenLDAP и реализации проектов по импортозамещению ПО в российских организациях.

Разработчики могут использовать libdomain вместо написания API под каждую службу каталогов. В составе библиотеки представлен модуль, который автоматически распознает, с какой именно службой каталогов происходит взаимодействие, и трансформирует запросы приложений в подходящий формат.

Библиотека выпущена под лицензией GNU GPLv2, включена в независимый открытый репозиторий проекта «Сизиф» и в 11 программную платформу (p11), являющуюся основой для разработки новых версий операционных Linux-систем семейства «Альт» и широкого спектра других программных продуктов — от софта для встроенных и мобильных устройств до программных решений для серверов предприятий, дата-центров и облачных окружений.

Схема работы библиотеки libdomain

Libdomain разработана при грантовой поддержке Фонда содействия инновациям. В планах компании «Базальт СПО» — дальнейшее развитие библиотеки и расширение её функциональных возможностей.

Компания «Ред Софт» сообщила о доработках промышленной редакции системы «Ред Адм», предназначенной для централизованного управления и построения IT-инфраструктур любой сложности. Обновлённая версия продукта получила индекс 1.1.

«Ред Адм» имеет модульную структуру и в комплексе позволяет решать задачи администрирования доменных учётных записей, централизованного управления серверами и рабочими станциями, журналирования операций. Система поддерживает интеграцию с доменами на базе Samba DC и Active Directory, авторизацию по доменным учётным данным и ролевой механизм разграничения доступа. Для упрощения работы IT-персонала с большим парком машин в продукт встроены шаблоны сценариев, которые позволяют пользоваться системой без специализированных узконаправленных знаний.

Релиз «Ред Адм: промышленная редакция 1.1» получил множество улучшений, в числе которых:

• возможность создания отказоустойчивого кластера для бесперебойной работы подсистемы «Управление» в нештатных ситуациях;
• возможность ввода контроллера в домен Microsoft Active Directory всех функциональных уровней с полноценной репликацией всех объектов;
• дополнительные средства аутентификации при доступе к доменной учётной записи администратора;
• ускоренный в 5 раз механизм репликации по сравнению с Samba DC;
• механизм журналирования с отслеживанием работы сервисов DNS, репликации, аутентификации пользователей и других событий программного комплекса с возможностью интеграции с внешними SIEM-системами;
• механизм «Корзины», который позволяет восстановить удалённые объекты в домене с сохранением всех атрибутов;
• новая подсистема «Централизованная установка ОС», позволяющая автоматически устанавливать, конфигурировать серверы и рабочие станции, создавать сценарии установки операционной системы, применять пользовательские настройки и отслеживать этапы установки;
• новая подсистема «Файловое хранилище», которая позволяет управлять общими файлами, каталогами и правами доступа.

Реализованный в промышленной редакции «Ред Адм» перечень конфигураций (аналог групповых политик) включает более 300 готовых сценариев. При подготовке к релизу новой версии продукта были разработаны конфигурации для управления программным обеспечением технологических партнёров «Ред Софт»: браузерами «Атом» и «Яндекс», средствами сертификации «Аладдин РД», офисными приложениями «Р7-Офис» и «Мой Офис» и другими продуктами. IT-администраторы могут создавать неограниченное количество конфигураций и распространять их как на рабочие станции и серверы, так и на любые объекты подсистемы «Службы каталогов».