Решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов
DIRECTORY SERVICE
Интеграция с DNS сервером
Текущий функционал Avanpost DS
LDAP каталог, как централизованное хранилище информации о пользователях и ресурсах:
Централизованное управление пользователями и компьютерами;
Поддержка авторизации доступа к ресурсам на основе групп;
Поддержка доменной иерархии (OU);
Индексирование атрибутов;
Соответствие спецификациям RFC;
Расширяемая схема.
Реализован основной функционал доменного клиента:
Автоматизация введения компьютера в домен;
Настройка диспетчера аутентификации (sssd);
Настройка сквозной аутентификации по протоколу Kerberos v5;
Обновление Kerberos ключей по расписанию;
Поддержка Alt, Astra, RED OS, ROSA и других по запросу.
Журнал безопасности:
Учет событий привязки LDAP;
Учет событий выдачи ключей Kerberos.
Реализована ролевая модель доступа к объектам службы каталогов:
Гранулярный доступ на уровне атрибутов;
Механизм наследования разрешений;
Контроль доступа на основе членства в группах.
Многофакторная проверка подлинности, интеграция с Avanpost FAM:
(Federated Access Management).
Реализован функционал Kerberos v5 KDC:
AS и TGS обмен ключами;
Сквозная аутентификация.
Веб консоль администратора дает возможность управления вышеизложенным функционалом, в частности:
Веб консоль администратора дает возможность управления вышеизложенным функционалом, в частности.
Доступ к журналу безопасности;
Реализован функционал репликации:
Мультимастер репликация (без необходимости назначения единого источника);
Автоматическое построение топологии;
Встроенные механизмы разрешения конфликтов репликации;
Гибкая, отказоустойчивая топология межсайтовой репликации.
Контроль доступа к объектам каталога на основе ролевой модели;
Реализованный функционал уже сейчас позволяет решать задачи:
Геораспределенное отказоустойчивое хранение данных каталога;
Контроль доступа
к ресурсам на основе членства в группах;
к ресурсам на основе членства в группах;
Иерархическое хранение информации о пользователях и ресурсах.
Контроль доступа к объектам каталога на основе ролевой модели;
Централизованная аутентификация по протоколу Kerberos v5
при доступе к серверам и рабочим станциям;
при доступе к серверам и рабочим станциям;
Обеспечение высокой доступности сервисов идентификации, аутентификации
и авторизации;
и авторизации;
Многофакторная аутентификация (интеграция с Avanpost FAM);
Централизованная аутентификация по протоколу LDAP для приложений;
Централизованное управление пользователями и компьютерами;
Сквозная аутентификация по протоколу Kerberos V5 (Kerberos Single Sign On);
Дополнительный функционал
Интеграции с инфраструктурными сервисами
Сервисы, необходимые для функционирования домена
с возможностью выбора решения в зависимости
от потребностей заказчика.
с возможностью выбора решения в зависимости
от потребностей заказчика.
Хранение ДНС зон в каталоге
Посредством интеграции с Avanpost FAM.
Аутентификация для сетевых устройств, поддержка сценариев VPN/WiFi
Система управления конфигурацией
Безопасные динамические обновления
Служба DNS
Доменный клиент
Astra Linux
Служба NTP
ALT Linux
РЕД OCм
ROSA
Замена Active Directory Certificate Services.
Корпоративный удостоверяющий центр
Использование в инфраструктурах
Двусторонние доверительные отношения позволят осуществить плавный переход без прерывания обслуживания. Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.
Avanpost Directory Services поддерживает репликацию объектов каталога и сессий, что позволяет использовать его для централизованного управления доступом и аутентификации в географически распределенной инфраструктуре.
Двусторонние доверительные отношения позволят осуществить плавный переход без прерывания обслуживания.
Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.
Переход от MS-инфраструктуры к импортонезависимой в организациях будет осуществляться постепенно, путем переноса рабочих станций, сервисов и приложений в новую инфраструктуру, создаваемую параллельно с имеющейся.
Использование в географически распределенных инфраструктурах
Использование в гибридных и переходных инфраструктурах
Внешний вид панели администратора
Карточка пользователя
Доменная иерархия
Группы пользователей
Истории успеха
«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»
Валерия
директор по информационным и производственным технологиям
директор по информационным и производственным технологиям
Технологические преимущества
Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Простота масштабируемости
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Современные
WEB-интерфейсы
WEB-интерфейсы
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.
Поддержка клиентов 24/7
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Отказоустойчивость при высоких нагрузках
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Кроссплатформенность
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.
Гибкая интеграционная шина
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.
Технологические преимущества
Кроссплатформенность
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Простота масштабируемости
Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Поддержка клиентов 24/7
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Отказоустойчивость при высоких нагрузках
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Современные
WEB-интерфейсы
WEB-интерфейсы
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Гибкая интеграционная шина
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.