MultiDirectory: российская альтернатива Active Directory с 2FA, SSO и совместимостью с AD

MultiDirectory от компании МУЛЬТИФАКТОР — современная служба каталогов для централизованного хранения данных и управления информацией о пользователях, группах и сетевых ресурсах. Она помогает российским компаниям администрировать инфраструктуру с помощью удобных инструментов и гибких механизмов для поиска и фильтрации данных. Рассказываем об особенностях и функционале MultiDirectory.

Tproger
Обложка: MultiDirectory: российская альтернатива Active Directory с 2FA, SSO и совместимостью с AD

К корпоративным сетям подключены тысячи пользователей и устройств, и без служб каталогов у сотрудников будут теряться доступы к серверам и сервисам, а права не будут выдаваться в принципе. Самая популярная служба LDAP-каталогов на рынке — Microsoft Active Directory. Она долго оставалась стандартом, но из-за ограничений на зарубежное ПО многим компаниям приходится искать альтернативу, плюс она использует устаревшие протоколы, которые небезопасны.

MultiDirectory, разработанная компанией МУЛЬТИФАКТОР — российская служба каталогов с открытым кодом, в которой используется тот же набор атрибутов, что и в AD — это упрощает интеграцию с различными системами. Она поддерживает Kerberos, LDAP, SSO, двухфакторную аутентификацию и легко интегрируется с текущей IT-инфраструктурой. В статье расскажем:

  • чем служба каталогов MultiDirectory отличается от AD и других систем;
  • как она помогает управлять доступами и безопасностью в корпоративной сети;
  • какие функции упрощают администрирование и защиту данных.

Что такое службы каталогов и как они работают

Служба каталогов — это база данных пользователей, групп и устройств, которая управляет их доступами в корпоративной сети. Учетные данные сотрудников хранятся централизованно, поэтому админам не нужно вручную раздавать права каждому сотруднику и следить, кто к чему подключается. Система автоматически проверяет учетные данные и позволяет администраторам управлять доступом к сервисам, добавляя пользователей в нужные группы. А уже сами сервисы, опираясь на эти группы, выдают пользователям нужные права.

Сотрудник входит в систему — служба каталогов проверяет его логин и пароль. Для этого используются протоколы аутентификации, такие как LDAP или Kerberos. MultiDirectory поддерживает Kerberos, поэтому пользователям не нужно вводить пароли повторно: система автоматически подтверждает их личность.

Вся эта информация хранится в иерархической или реляционной структуре, которая организована по объектам: пользователи, группы, устройства и так далее. Когда администратор меняет пароль пользователя в службе каталогов, это затрагивает все системы, которые используют каталог для аутентификации через LDAP или Kerberos, но при этом изменения в сами системы не вносятся. Пользователь также может самостоятельно сменить пароль через программу, в которой он работает, а она сама отправит запрос в каталог и обновит данные через протокол LDAP или Kerberos.

А если какой-то сервер выйдет из строя, в службах каталогов используется механизм репликации: копии базы данных хранятся на нескольких серверах — так данные будут доступны всегда. Плюс система автоматически переключится на резервный сервер, и пользователи этого даже не заметят.

Какие есть службы каталогов

Вот наиболее популярные решения:

  • Microsoft Active Directory. Он интегрируется с Windows Server и поддерживает протокол LDAP и механизм доменов.
  • OpenLDAP. Он используется в UNIX- и Linux-системах, подходит для опенсорсных систем. Но это только реализация LDAP — у него нет встроенного Kerberos, DNS, DHCP и так далее.
  • Apache Directory. Java-реализация службы каталогов, поддерживающая LDAP и другие протоколы, часто используется в кроссплатформенных средах.

Зарубежные Open-Source-решения не поддерживаются официально либо требуют значительных затрат на локальную интеграцию и поддержку — это создаёт дополнительные риски для бизнеса.

В моменте, когда компании ищут замену Active Directory, они сталкиваются с проблемами:

  • Не все решения поддерживают 2FA для Kerberos и совместимы с текущей инфраструктурой.
  • Сложный перенос учётных записей пользователей.
  • Не хватает встроенной двухфакторной аутентификации.

MultiDirectory имитирует работу AD, поэтому системы, в которых раньше была AD, можно перенастроить на MultiDirectory без изменений в работе — они будут думать, что всё так же работают с AD.

Основные технические характеристики MultiDirectory

MultiDirectory работает по трёхзвенной архитектуре: сервер каталогов, репликация данных и система аутентификации. Это позволяет масштабировать систему без простоев, автоматически синхронизировать данные между серверами и минимизировать риски отказов.

Опенсорсный исходный код MultiDirectory написан на Python — это дает возможность гибкой настройки и контроля на отсутствие закладок. Код можно бесплатно использовать и предлагать исправления. Развёртывание происходит через Docker, что упрощает установку: система запускается на любом сервере с поддержкой контейнеров, без сложных зависимостей и долгой настройки.

Более того, в отличие от обычных служб каталогов, MultiDirectory хранит данные в базе Postgres. Поэтому репликация и бэкапирование настраиваются через саму СУБД или внешние инструменты, а не самой службой каталогов.

Функциональные возможности и простая миграция

MultiDirectory позволяет плавно «переехать» с Active Directory, а еще в ней есть поддержка 2FA, SSO и централизованное управление учетными записями. Рассказываем об этих функциях ниже.

Централизованное управление учётными записями

Администраторы могут управлять учётными записями пользователей и правами через открытый API или вручную с помощью понятного веб-интерфейса. Также у них есть возможность создавать, изменять и удалять учётки и разграничивать права пользователей.

Доступ пользователей настраивается через группы и роли:

  • Domain Admins — администраторы с полными правами
  • Read Only — пользователи, которые могут только просматривать данные
  • Domain Users — пользователи, у которых есть доступ только к своим учетным записям

Надежность, безопасность и 2FA

Хэши паролей хранятся в базе данных. А если нужно дополнительное шифрование, можно воспользоваться наложенными средствами защиты или встроенными функциями PostgreSQL. Для аутентификации используется Kerberos — протокол, реализация которого не предполагает передачу пароля по каналам связи. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с тем же NTLM.

Двухфакторная аутентификация в MultiDirectory работает для нескольких интерфейсов: Admin API, LDAP и Kerberos. Каждый из них может быть защищен с помощью 2FA, а правила его использования настраиваются через политики безопасности.

  1. Admin API (HTTP) поддерживает OTP или Push-уведомления.
  2. LDAP также работает с OTP или Push.
  3. Kerberos поддерживает только Push.

Если аутентификация происходит через Kerberos, после успешного подтверждения система выдает пользователю тикет доступа.

2FA снижает риск компрометации аккаунтов, даже если основной пароль утёк.

MULTIFACTOR — 2FA-система того же разработчика — интегрирована с MultiDirectory, поэтому настройка двухфакторной аутентификации не требует установки дополнительных адаптеров.

Режим Bypass

Если облачный сервис MULTIFACTOR временно недоступен, в MultiDirectory автоматически включается режим Bypass. В зависимости от настроек можно разрешить или запретить вход в систему без 2FA.

Настройки режима позволяют:

  • Разрешить вход без 2FA в случае сбоя, чтобы бизнес-процессы не останавливались.
  • Полностью запретить авторизацию при отсутствии двухфакторной проверки — если безопасность важнее доступности.

Поддержка DNS

MultiDirectory интегрируется с Bind9 и позволяет управлять всеми типами записей зоны через веб-интерфейс. При настройке DNS автоматически создаются необходимые записи для Kerberos и LDAP.

Быстрая авторизация с Single Sign-On (SSO)

Технология единого входа (SSO) позволяет пользователям вводить пароль только один раз — дальше система автоматически авторизует их в корпоративной почте, CRM, облачных сервисах и других внутренних приложениях.

В чем плюсы:

  • Сотрудники не тратят время на постоянный ввод паролей.
  • IT-отделу не приходится восстанавливать доступ к забытым учетным записям.
  • Снижается риск утечек паролей.

Заключение

MultiDirectory — это российская альтернатива AD с поддержкой 2FA, SSO и централизованного управления.

Задачи, которые решает MultiDirectory:

  • централизованное управление учетными записями, компьютерами группами;
  • единая точка идентификации, аутентификации и авторизации;
  • поддержка современных стандартов безопасности;
  • управление DNS-записями через Bind9
  • гибкая интеграция с внешними системами.

Продукт уже работает в корпоративных средах, а в 2025 году разработчики планируют регистрацию в реестре отечественного ПО и выпуск Enterprise-версии с расширенными возможностями. В ней появятся:

  • поддержка доверия доменов;
  • дополнительные методы защиты;
  • DHCP-сервер;
  • гранулированная настройка доступа;
  • делегирование полномочий;
  • интерфейс для логов;
  • журнал событий;
  •  и многое другое.
Следите за новыми постами
Следите за новыми постами по любимым темам

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter