Аналоги active directory для windows

Уровень сложностиСредний

Время на прочтение7 мин

Количество просмотров19K

Привет, Хабр! Меня зовут Денис Мурунов, я руководитель практики построения ИТ-инфраструктуры К2Тех. Cегодня хотел бы поговорить о базовом ПО для инфраструктуры каждой компании — службе каталогов. Мы видим, что все больше компаний сталкиваются с трудностями при закупке лицензий и продлении поддержки на продукты Microsoft. В такой ситуации задача импортозамещения распространенной MS Active Directory стоит сегодня перед многими организациями.

Конечно, на рынке уже есть альтернативы российского производства, которые мы с командой К2Тех активно внедряем заказчикам — это ALD Pro и Альт Домен. Но найти полезные материалы об этих продуктах вам не составит труда, поэтому сегодня я хочу рассказать вам о новых решениях на рынке — РЕД АДМ Промышленная редакция и Атом.Домен. 

Два лагеря

Microsoft Active Directory долгое время оставался стандартом де-факто для решения задач организации корпоративной службы каталогов. И хотя ничто не вечно под луной, развитие альтернативных решений на базе Linux происходило не такими темпами, чтобы догнать лидера. Но сегодня ситуация изменилась, потребность в аналогах выросла многократно, и мы уже видим на рынке целый ряд подрастающих технологий, способных заменить AD если не сегодня, то уже завтра.

Глобально на рынке есть два лагеря решений — одни из них используют Samba DC (фактически клон AD для Linux, который появился в результате реверс-инжиниринга AD группой энтузиастов), а вторые — созданную специально для линуксовых сред систему FreeIPA. Плюсом Samba DC является совместимость с AD, хотя и не полная. А FreeIPA может похвастаться более зрелым состоянием, потому что ее разработку спонсировал RedHat. С Samba DC и FreeIPA мы работаем уже довольно давно (еще до появления отечественных решений на их основе) и за это время накопили приличный опыт их внедрения.

Уже ближе ко дню сегодняшнему в России появились две службы каталогов — ALD Pro, созданная разработчиком Astra Linux на базе FreeIPA, и Альт Домен, которую развивает компания Базальт (разработчик операционных систем Альт) на базе Samba DC. Они вышли на рынок в 2022 году, поэтому я бы отнес их к относительно молодым продуктам. Однако за это время они успели прочно закрепиться, обзавестись боевыми внедрениями (благодаря нам в том числе) и обрести определенную популярность среди заказчиков. 

«Новички» рынка — РЕД АДМ и Атом.Домен — также используют разные базовые технологии (Samba DC и FreeIPA соответственно), и это делает продуктовое предложение на рынке еще более разнообразным.

РЕД АДМ Промышленная редакция

Начнем с РЕД АДМ. Это служба каталогов, которую разработала компания «РЕД СОФТ». Они же развивают собственную операционную систему РЕД ОС и другие продукты. Учитывая, что РЕД ОС является потомком CentOS, переход на РЕД будет намного удобнее для тех, кто в той или иной мере использовал соответствующие форки Linux. 

Что касается службы каталогов РЕД АДМ, то в своей Стандартной редакции, включающей базовую функциональность, она была выпущена еще в 2022 году, а о выходе более функциональной Промышленной редакции было объявлено в марте 2023 года. Но служба каталога — не такая уж простая вещь, и ее разработка потребовала времени. Поэтому рынок достаточно долго ждал, когда же, наконец, появится готовый релиз. Мы, например, приступили к изучению бета-версии в июле этого года. 

Несомненным плюсом РЕД СОФТ является доступность информации о решениях на официальном сайте. Например, о разнице между Стандартной и Промышленной редакциями РЕД АДМ. 

Картинка с сайта: habr.com

Служба каталогов РЕД АДМ Стандартная редакция поставляется вместе с ОС. Промышленная редакция покупается отдельно. Система работает на базе Samba DC, групповые политики реализованы с использованием Ansible. Стоит отметить, что РЕД АДМ, по сути, представляет собой систему управления каталогом, в частности Samba DC, которую разработчики РЕД СОФТ серьезно доработали. Например, сделали ее совместимой с уровнем леса AD 2012R2, в то время как «ванильная» Samba DC поддерживала только уровень 2008R2 (примечание: 4 сентября 2023 года вышла версия Samba 4.19.0, в которой появилась поддержка уровня леса 2016). Даже ходили слухи, что РЕД СОФТ планировал включить в РЕД АДМ также поддержку FreeIPA в качестве службы управляемого каталога, но в официальных источниках подтверждения данной информации мы не нашли. Контроллеры домена Samba DC, управляемые РЕД АДМ, можно включить в существующий домен AD, что в ряде случаев может существенно упростить процесс миграции. 

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Отмечу, что консоль управления РЕД АДМ представляет собой приятный и светлый веб-интерфейс. Он особенно порадует тех, кто жаловался на темно-синий UX у ALD Pro.

Конечно, у РЕД АДМ есть и свои нюансы. Так, схема применения групповых политик требует доработки — то есть сейчас политики применяются только при входе пользователя. Либо это надо делать вручную, запуская утилиту `gpupdate`. А такие функции, как делегирование прав на подразделения или добавление нового сайта, не реализуемы средствами веб-интерфейса РЕД АДМ. Для выполнения данных операций необходимо использовать консоли Microsoft (RSAT) с компьютера на Windows. Это мешает решить задачу отказа от Windows на 100%.

Пока что в РЕД АДМ совсем немного подсистем. Да, в дорожной карте (презентация на странице «Документация») обозначены амбициозные планы развития, очень хочется увидеть их реализованными. Имеется ролевая модель, но она распространяется непосредственно на консоль управления РЕД АДМ. И, как упоминалось ранее, делегирование прав на уровне организационных подразделений или настройку сайтов не выполнить без оснасток на Windows. Консоли управления для реализации данных функций сейчас в разработке у РЕД СОФТ.

Картинка с сайта: habr.com

В планах у разработчиков РЕД АДМ есть также инструменты управления DNS, NTP, файловыми папками, но пока для настройки этих сервисов необходимо использовать штатные инструменты операционной системы, что доступно по большей мере опытным администраторов Linux. Преднастроенных шаблонов групповых политик в РЕД АДМ около 100, а также можно добавлять собственные сценарии на языках Ansible и bash. Отмечу, что Ansible однозначно намного популярнее, чем SaltStack, используемый, например, в ALD Pro. Групповые политики РЕД АДМ выполняют конфигурирование операционок РЕД ОС, для других ОС групповые политики можно разработать самостоятельно или привлечь на эту задачу интегратора (у нас такой опыт есть).

Картинка с сайта: habr.com

Стоит отметить, что Samba DC и, соответственно, РЕД АДМ не поддерживают расширения схемы AD, сделанные, например, для Exchange, Skype, SCCM. Для работы данных систем потребуется иметь хотя бы один контроллер домена на Windows, пока вы окончательно не откажетесь от данных решений от Microsoft. Также не поддерживаются многодоменные леса — пока придется довольствоваться лесом из одного домена.

Вообще, вендор радует тем, что активно допиливает модули, которые реализуют функционал, недоступный в области Open Source, но востребованный пользователями. Более того, у нас в К2Тех уже есть опыт пилотирования РЕД АДМ Промышленная редакция в заказчиках. И как раз во время одного из таких пилотов мы выявили несколько недочетов в ПО, которые РЕД СОФТ очень оперативно исправил. Поэтому, кажется, что крупные внедрения РЕД АДМ не заставят себя долго ждать.

Атом.Домен

Второй «новичок» рынка — это Атом.Домен, продукт компании «Гринатом Простые Решения». По сути, решение представляет собой набор софта, как собственной разработки, так и Open Source, объединенных в единое инфраструктурное решение. К собственным разработкам «Гринатом Простые Решения» относится графический интерфейс управления службой каталогов, называемый Dynamic Directory. К компонентам на базе Open Source относятся FreeIPA (каталог), Puppet (движок групповых политик), Foreman (инструмент централизованного управления, в планах его замена на собственное решение), NextCloud (файлообменник с веб-интерфейсом), а также инфраструктурные сервисы операционной системы (DNS, DHCP).

Картинка с сайта: habr.com

При этом главный плюс Атом.Домен — гетерогенность. Служба каталога поддерживает различные операционные системы, включая опенсорсные. Официально заявлены российские Astra Linux, РЕД ОС, Альт, ROSA Linux для поддержки групповых политик. Остальные решения на рынке нацелены на реализацию групповых политик только под свои собственные операционные системы. Однако на практике бывает так, что в одной организации могут использоваться несколько разных ОС (на серверах так уж наверняка). Ведь и раньше мы видели у Заказчиков разнообразные дистрибутивы на базе Red Hat, Suse, CentOS, Debian, даже Mint и т.д. в рамках одной инфраструктуры. Так вот в Атом.Домен «из коробки» присутствуют групповые политики для нескольких отечественных ОС, а в других российских службах каталога для «чужих» ОС будет поддерживаться аутентификация в домене, но не групповые политики.

В целом Атом.Домен предлагает удобный десктопный интерфейс управления, похожий на оснастки Microsoft. Отмечу еще, что, как и у Альт.Домена, интерфейс управления у Атома (Dynamic Directory) включает в себя функции поиска, настройки групповых политик и даже системные организационные подразделения, которые очень похожи на системные контейнеры в AD. И это, бесспорно, удобно и упрощает адаптацию администраторов к новой службе каталогов.

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Так как Атом.Домен реализован на FreeIPA, миграция на него с Active Directory выполняется путем создания нового домена и переноса в него объектов из каталога AD. Для миграции АРМ с Windows на отечественные ОС «Гринатом Простые Решения» разработал отдельный продукт — Атом.ПОРТ. Однако стоит учитывать, что двусторонние доверительные отношения в этой службе каталога доступны с ограничениями. Во FreeIPA нет глобального каталога, и полноценного взаимодействия с Атом.Домен со стороны MS AD не получается.

Система уже обкатана внедрениями и прошла проверку реально придирчивых безопасников и требовательных ИТ-шников в таких крупных организациях, как Росатом, РЖД и НИЯУ МИФИ. В Атом.Домен уже есть большое количество групповых политик, которые решают множество административных задач. Вендор заявляет о 1,5 тыс. уже реализованных параметрах политик. 

Но нужно помнить, что Атом.Домен — это решение, которое разрабатывалось интегратором. Оно собирается из множества компонентов, и в документации Атом.Домен описано, как выполнить их интеграцию.

Для сравнения, ALD Pro, который также работает на базе FreeIPA, предлагает намного больше в области автоматизации. Astra самостоятельно развивает функционал, ведет доработку самой FreeIPA, тогда как «Гринатом Простые Решения» официально сообщает, что будет дожидаться следующих релизов FreeIPA и уже тогда внесет новшества на свой продукт. В этом есть свои плюсы, но есть и  минусы — ведь ни для кого не секрет, что в опенсорсном ПО есть пробелы, которые не исправляются в течение нескольких лет.

Заключение

Подводя итог, для каждой ситуации можно рекомендовать свою альтернативу Microsoft Active Directory. Выбор решения будет зависеть от используемых операционных систем, требований к безопасности, сроков миграции с AD, возможности какое-то время параллельно использовать продукты от Microsoft. 

Тем не менее появление на рынке Атом.Домен и РЕД АДМ сделали хороший вклад в расширение доступных на сегодняшний день решений для организации службы каталогов. Сегодня идут проекты пилотирования и внедрения всех этих решений, мы активно взаимодействуем с вендорами и заказчиками, чтобы сделать отечественные службы каталога более функциональными. 

Все упомянутые в этой статье производители  продолжают развивать свои службы каталогов, в том числе создавая решения, которых раньше просто не было в Open Source. И это все более делает возможным замещение MS AD на отечественные аналоги. Если у вас будет интерес, я расскажу о новых обновлениях и сравнении всех 4 служб каталогов в следующей статье.

А если вам интересно получить более подробную информацию о службах каталогов, можете отправить запрос мне на почту DMurunov@k2.tech.

Санкции против России и требования регуляторов повышают интерес к отечественным альтернативам Microsoft Active Directory. Какие службы каталогов могут предложить российские вендоры и насколько эффективно их разработки могут заменить AD?

1. Введение
2. Назначение служб каталогов
3. Мировой рынок служб каталогов
4. Российский рынок служб каталогов
5. Обзор отечественных служб каталогов
   1. 5.1. Avanpost DS
   2. 5.2. ALD Pro
   3. 5.3. РЕД АДМ
   4. 5.4. «Атом.ДОМЕН»
   5. 5.5. «Альт Домен»
   6. 5.6. Dynamic Directory
   7. 5.7. «Эллес»
6. Выводы

Введение

Опрос, проведённый недавно в эфире AM Live, показал, что интерес к замене Microsoft Active Directory у российских компаний связан в первую очередь с требованием регулятора перейти на отечественное программное обеспечение (70 % респондентов). Кроме того, в результате ухода зарубежных поставщиков с российского рынка возникли проблемы с поддержкой безопасности ПО, что влечёт за собой дополнительные риски по части ИБ. 

Рисунок 1. Результаты опроса о причине актуальности поиска альтернатив Microsoft AD

Картинка с сайта: www.anti-malware.ru

В соответствии с указом № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», начиная с января 2025 года субъектам КИИ будет запрещено применение зарубежного программного обеспечения. Поэтому такие организации и ведомства должны уже как минимум тестировать новое ПО для последующего внедрения. Остальным компаниям тоже необходимо учитывать рекомендации по импортозамещению, так как риски в области информационной безопасности затрагивают всех участников рынка.

Одной из основных целей в рамках работ по импортозамещению является миграция с операционной системы Windows на российские ОС (как правило, те или иные разновидности Linux), что влечёт за собой потребность в замене службы каталогов Active Directory.

Назначение служб каталогов

Службы каталогов — это специализированные программные продукты, предназначенные для организации и хранения информации о объектах в сети, таких как пользователи, группы, компьютеры, устройства, ресурсы и другие элементы. Назначение служб каталогов заключается в том, чтобы обеспечивать централизованное управление данными и ресурсами в корпоративной сети, упрощать управление доступом к информации, повышать безопасность и эффективность работы сети.

Эти службы предоставляют различные функции и возможности, включая:

• централизованное хранение данных об объектах в сети, что облегчает управление и предоставляет одинаковый доступ к информации всем участникам;
• аутентификацию и авторизацию пользователей, управление доступом к ресурсам в сети в зависимости от ролей;
• управление сетевыми ресурсами, контроль доступа к файлам, принтерам, программам и другим активам;
• репликацию данных на разных серверах в сети для обеспечения отказоустойчивости и повышения доступности;
• определение и применение политики безопасности сети, установку параметров паролей, особенностей шифрования, других правил.

Службы каталогов играют ключевую роль в организации сетевой инфраструктуры, обеспечивая её стабильность, безопасность и эффективность. Благодаря централизованному управлению данными и ресурсами, а также возможности контролировать доступ пользователей к информации службы каталогов значительно облегчают администрирование и обеспечивают плавную работу сети.

Есть несколько типов служб каталогов, которые различаются по архитектуре: централизованные, распределённые, гибридные и облачные. Каждая из этих моделей имеет свои особенности и преимущества, которые могут быть важны в зависимости от нужд компании.

Для малого бизнеса часто достаточно централизованной службы каталогов, которая обеспечивает простоту и удобство в управлении. Однако если организация обладает сложной сетевой инфраструктурой, то ей стоит обратить внимание на распределённые службы каталогов. Они обеспечивают необходимую масштабируемость и отказоустойчивость, что особенно важно при больших объёмах данных и росте числа пользователей. Когда необходимо сочетать локальные и облачные решения, эффективным вариантом станет гибридная служба каталогов, которая позволяет интегрировать оба подхода и оптимизировать работу с данными.

Если же стоит задача снизить операционные затраты, связанные с управлением локальными серверами каталогов, то целесообразно рассмотреть использование облачных служб. Эти решения избавляют от необходимости поддерживать физическую инфраструктуру и позволяют сосредоточиться на ключевых бизнес-процессах, минимизируя при этом затраты.

Мировой рынок служб каталогов

Согласно данным Frost & Sullivan, около 90 % от тысячи крупнейших американских компаний используют Microsoft Active Directory в качестве основного инструмента аутентификации и авторизации пользователей. Однако возникает и потребность в использовании специализированных служб каталогов для Linux. Зачастую зарубежные компании предпочитают программное обеспечение с открытым исходным кодом, которое дорабатывается под имеющиеся потребности. Среди лидеров можно выделить:

• Univention Corporate Server;
• Apache Directory Studio;
• FreeIPA;
• OpenLDAP;
• Samba;
• Zentyal.

Теперь давайте рассмотрим, как обстоят дела на российском рынке и какие альтернативные решения предлагают здесь.

Российский рынок служб каталогов

В 2022 году стала очевидной необходимость импортонезависимых и надёжных разработок в области ИТ и ИБ, в т. ч. альтернатив Microsoft Active Directory. Это стало своего рода вызовом для отечественных производителей, которые приняли его и начали активно работать над созданием новых продуктов. На сегодняшний день российские вендоры уже готовы предложить ряд вариантов, основанных как на зарубежных технологиях FreeIPA и Samba DS (ALD Pro, РЕД АДМ, «Атом.ДОМЕН», «Альт Домен», Dynamic Directory, «Эллес»), так и на собственных разработках (Avanpost DS).

Однако, несмотря на наличие разнообразных аналогов, многим организациям по-прежнему необходимо использовать операционную систему Windows для решения своих задач, что создаёт дополнительные требования к службам каталогов. Согласно итогам опроса, основными ограничивающими факторами при миграции на новую службу каталогов являются несовместимость с другими ИТ-системами (34 %), отсутствие квалифицированных специалистов (29 %) и недостаточная функциональность (24 %).

Рисунок 2. Результаты опроса об ограничивающих факторах

Картинка с сайта: www.anti-malware.ru

Обзор отечественных служб каталогов

Avanpost DS

Служба Avanpost DS управляет данными и каталогами в Linux-системах. Её специфика заключается в том, что она является собственной разработкой производителя и не опирается на компоненты с открытым исходным кодом. Имплементации протоколов LDAP и Kerberos, а также функции по построению топологии домена и репликации были разработаны командой Avanpost на языке программирования Go.

Рисунок 3. Доменная иерархия в консоли Avanpost DS

Картинка с сайта: www.anti-malware.ru

Продукт включён в реестр отечественного ПО (№ 15822 от 09.12.2022).

Avanpost DS гарантирует:

• техническую поддержку в режиме 24×7;
• отказоустойчивость при высоких нагрузках;
• гибкую интеграцию со сторонними продуктами;
• поддержку технологий Linux, Windows, Docker и Kubernetes.

Подробнее о службе каталогов Avanpost DS можно узнать на сайте производителя.

ALD Pro

Программный комплекс ALD Pro, разработанный на базе FreeIPA, предназначен для централизованного управления парком компьютеров с операционной системой Astra Linux. Он имеет клиент-серверную архитектуру, где серверная часть используется для установки, а клиентская часть предназначена для централизованного управления, сбора и передачи информации. ALD Pro может масштабироваться как вертикально (повышение производительности отдельного узла), так и горизонтально (за счёт увеличения количества узлов).

Рисунок 4. Компонентная схема ALD Pro

Картинка с сайта: www.anti-malware.ru

Продукт включён в реестр отечественного программного обеспечения (№ 12159 от 30.11.2021).

Ведутся работы по сертификации в системе ФСТЭК России по 4-му уровню доверия и на соответствие техническим условиям.

Основные функциональные возможности системы включают в себя:

• управление учётными записями пользователей и компьютеров;
• создание и модификацию организационной структуры подразделений;
• управление групповыми политиками;
• возможность миграции данных из Microsoft Active Directory;
• возможность удалённого доступа к рабочим столам пользователей.

 Подробнее со службой каталогов ALD Pro можно ознакомиться на сайте компании.

РЕД АДМ

Служба каталогов РЕД АДМ работает на базе Samba и использует Ansible для реализации групповых политик. Она поставляется в двух версиях: стандартной и промышленной. Стандартная редакция представляет собой одну систему управления и поставляется только в составе «РЕД ОС Сервер». Промышленная версия лицензируется отдельно и включает в себя ряд дополнительных подсистем, одной из которых является служба каталогов как элемент доменной инфраструктуры.

Рисунок 5. Подсистемы РЕД АДМ

Картинка с сайта: www.anti-malware.ru

Продукт включён в реестр отечественного программного обеспечения (№ 16015 от 23.12.2022).

К ключевым особенностям службы относятся:

• расширенная техническая поддержка с выделенным специалистом;
• двусторонняя репликация Microsoft Active Directory 2008, 2012 R2, 2016;
• управление операционными системами на базе Linux, Windows и FreeBSD;
• ролевая система доступа для администраторов системы.

Подробнее со службой каталогов РЕД АДМ можно ознакомиться на сайте производителя.

«Атом.ДОМЕН» 

«Атом.ДОМЕН» разработан на основе FreeIPA и включает в себя такие подсистемы, как служба каталогов, базовые сетевые сервисы, компоненты управления конфигурацией компьютера, элементы обновления программного обеспечения, а также файлообменник.

Рисунок 6. Архитектура службы «Атом.ДОМЕН»

Картинка с сайта: www.anti-malware.ru

Основные функциональные возможности:

• защищённое хранение информации о ресурсах домена;
• централизованное управление компьютерами;
• управление обновлением и распространением программного обеспечения;
• хранение документов в частном облаке.

Подробнее со службой каталогов «Атом.ДОМЕН» можно ознакомиться на сайте производителя.

«Альт Домен» 

«Альт Домен» является частью ОС «Альт Сервер» и других систем семейства «Альт». В состав комплекса входят серверы Samba, Kerberos, LDAP Postfix, DNS, DHCP, Dovecot, а также серверы обновлений и сетевой загрузки.

Рисунок 7. Схема управления групповыми политиками «Альт Домена»

Картинка с сайта: www.anti-malware.ru

Включён в реестр отечественного программного обеспечения (№ 1541 от 05.09.2016).

К ключевым функциям относятся:

• управление учётными записями пользователей и рабочими станциями;
• обеспечение отказоустойчивости;
• управление подразделениями;
• резервное копирование домена.

Подробнее со службой каталогов «Альт Домен» можно ознакомиться на сайте производителя.

Dynamic Directory

Система централизованного управления службой каталогов Dynamic Directory на базе FreeIPA — результат совместной работы компаний НТЦ ИТ РОСА и «Генезис АйТи». Dynamic Directory обладает рядом улучшенных функций, таких как поддержка иерархической структуры организации и возможность делегирования прав внутри неё. Предусмотрены использование общих папок и принтеров, управление DHCP-сервером, а также возможность тестирования групповых политик на конечных устройствах с помощью аналогов.

Рисунок 8. Структура функций Dynamic Directory

Картинка с сайта: www.anti-malware.ru

Продукт включён в реестр отечественного программного обеспечения (№ 15037 от 03.10.2022).

Служба позволяет решать следующие задачи:

• расширение возможностей службы каталогов для использования общих папок, общих принтеров, иерархической структуры организационных единиц;
• реализация групповых политик;
• возможность назначения и делегирования прав в иерархической структуре организационных единиц;
• возможность сложения и применения результирующих групповых политик на АРМ пользователей.

Подробнее со службой каталогов Dynamic Directory можно ознакомиться на сайте производителя.

«Эллес» 

Служба каталогов «Эллес» от «T1 Иннотех» обеспечивает иерархическое представление ресурсов отдельно взятой организации, а также управление доступом к ним самим и информации о них. Продукт состоит из двух модулей: «Служба каталогов» и «Менеджер службы каталогов». «Служба каталогов» на базе Samba реализовывает централизованное хранение, поиск и представление информации о различных типах объектов и их параметрах. Модуль «Менеджер службы каталогов» отвечает за графический веб-интерфейс и интеграцию с различными средствами автоматизации. «Эллес» может функционировать в одном домене Active Directory с контроллерами на ОС Windows Server, не требуя миграции объектов каталога.

Рисунок 9. Компоненты «Эллес»

Картинка с сайта: www.anti-malware.ru

Продукт включён в реестр отечественного программного обеспечения (№ 19717 от 01.11.2023).

К основным особенностям «Эллес» относятся:

• высокая степень совместимости с Microsoft Active Directory, нативная работа с Linux-системами;
• централизованное хранение учётных данных пользователей, компьютеров и сервисов;
• поддержка репликации данных на несколько узлов и возможность автоматического восстановления.

Подробнее со службой каталогов «Эллес» можно ознакомиться на сайте производителя.

Выводы

Microsoft Active Directory имеет долгую и успешную историю в индустрии информационных технологий. Тем не менее в нынешних реалиях, в связи с изменением технологий и требованиями законодательства, ключевым является перестроение инфраструктур с целью обеспечения безопасности. Переход на новую инфраструктуру следует осуществлять постепенно, с контролем внедрения ПО и подготовки персонала.

При выборе альтернативы Microsoft Active Directory важно учитывать особенности и цели компании, а также совместимость предлагаемых продуктов с имеющейся инфраструктурой. Также стоит обратить внимание на такие важные аспекты, как производительность, лёгкость интеграции с другими решениями, возможности масштабирования и поддержка важных функций.

В ближайшие годы на российском рынке служб каталогов ожидается стабильный рост, обусловленный изменениями в технологическом стеке и новыми требованиями законодательства. Проведение пилотных тестов позволит более глубоко разобраться в преимуществах и недостатках различных продуктов, а также определить оптимальное направление дальнейшего развития и внедрения технологий.

К корпоративным сетям подключены тысячи пользователей и устройств, и без служб каталогов у сотрудников будут теряться доступы к серверам и сервисам, а права не будут выдаваться в принципе. Самая популярная служба LDAP-каталогов на рынке — Microsoft Active Directory. Она долго оставалась стандартом, но из-за ограничений на зарубежное ПО многим компаниям приходится искать альтернативу, плюс она использует устаревшие протоколы, которые небезопасны.

MultiDirectory, разработанная компанией МУЛЬТИФАКТОР — российская служба каталогов с открытым кодом, в которой используется тот же набор атрибутов, что и в AD — это упрощает интеграцию с различными системами. Она поддерживает Kerberos, LDAP, SSO, двухфакторную аутентификацию и легко интегрируется с текущей IT-инфраструктурой. В статье расскажем:

• чем служба каталогов MultiDirectory отличается от AD и других систем;
• как она помогает управлять доступами и безопасностью в корпоративной сети;
• какие функции упрощают администрирование и защиту данных.

Что такое службы каталогов и как они работают

Служба каталогов — это база данных пользователей, групп и устройств, которая управляет их доступами в корпоративной сети. Учетные данные сотрудников хранятся централизованно, поэтому админам не нужно вручную раздавать права каждому сотруднику и следить, кто к чему подключается. Система автоматически проверяет учетные данные и позволяет администраторам управлять доступом к сервисам, добавляя пользователей в нужные группы. А уже сами сервисы, опираясь на эти группы, выдают пользователям нужные права.

Сотрудник входит в систему — служба каталогов проверяет его логин и пароль. Для этого используются протоколы аутентификации, такие как LDAP или Kerberos. MultiDirectory поддерживает Kerberos, поэтому пользователям не нужно вводить пароли повторно: система автоматически подтверждает их личность.

Вся эта информация хранится в иерархической или реляционной структуре, которая организована по объектам: пользователи, группы, устройства и так далее. Когда администратор меняет пароль пользователя в службе каталогов, это затрагивает все системы, которые используют каталог для аутентификации через LDAP или Kerberos, но при этом изменения в сами системы не вносятся. Пользователь также может самостоятельно сменить пароль через программу, в которой он работает, а она сама отправит запрос в каталог и обновит данные через протокол LDAP или Kerberos.

А если какой-то сервер выйдет из строя, в службах каталогов используется механизм репликации: копии базы данных хранятся на нескольких серверах — так данные будут доступны всегда. Плюс система автоматически переключится на резервный сервер, и пользователи этого даже не заметят.

Какие есть службы каталогов

Вот наиболее популярные решения:

• Microsoft Active Directory. Он интегрируется с Windows Server и поддерживает протокол LDAP и механизм доменов.
• OpenLDAP. Он используется в UNIX- и Linux-системах, подходит для опенсорсных систем. Но это только реализация LDAP — у него нет встроенного Kerberos, DNS, DHCP и так далее.
• Apache Directory. Java-реализация службы каталогов, поддерживающая LDAP и другие протоколы, часто используется в кроссплатформенных средах.

Зарубежные Open-Source-решения не поддерживаются официально либо требуют значительных затрат на локальную интеграцию и поддержку — это создаёт дополнительные риски для бизнеса.

В моменте, когда компании ищут замену Active Directory, они сталкиваются с проблемами:

• Не все решения поддерживают 2FA для Kerberos и совместимы с текущей инфраструктурой.
• Сложный перенос учётных записей пользователей.
• Не хватает встроенной двухфакторной аутентификации.

MultiDirectory имитирует работу AD, поэтому системы, в которых раньше была AD, можно перенастроить на MultiDirectory без изменений в работе — они будут думать, что всё так же работают с AD.

MultiDirectory работает по трёхзвенной архитектуре: сервер каталогов, репликация данных и система аутентификации. Это позволяет масштабировать систему без простоев, автоматически синхронизировать данные между серверами и минимизировать риски отказов.

Опенсорсный исходный код MultiDirectory написан на Python — это дает возможность гибкой настройки и контроля на отсутствие закладок. Код можно бесплатно использовать и предлагать исправления. Развёртывание происходит через Docker, что упрощает установку: система запускается на любом сервере с поддержкой контейнеров, без сложных зависимостей и долгой настройки.

Более того, в отличие от обычных служб каталогов, MultiDirectory хранит данные в базе Postgres. Поэтому репликация и бэкапирование настраиваются через саму СУБД или внешние инструменты, а не самой службой каталогов.

Функциональные возможности и простая миграция

MultiDirectory позволяет плавно «переехать» с Active Directory, а еще в ней есть поддержка 2FA, SSO и централизованное управление учетными записями. Рассказываем об этих функциях ниже.

Централизованное управление учётными записями

Администраторы могут управлять учётными записями пользователей и правами через открытый API или вручную с помощью понятного веб-интерфейса. Также у них есть возможность создавать, изменять и удалять учётки и разграничивать права пользователей.

Доступ пользователей настраивается через группы и роли:

• Domain Admins — администраторы с полными правами
• Read Only — пользователи, которые могут только просматривать данные
• Domain Users — пользователи, у которых есть доступ только к своим учетным записям

Надежность, безопасность и 2FA

Хэши паролей хранятся в базе данных. А если нужно дополнительное шифрование, можно воспользоваться наложенными средствами защиты или встроенными функциями PostgreSQL. Для аутентификации используется Kerberos — протокол, реализация которого не предполагает передачу пароля по каналам связи. Это обеспечивает гораздо более высокий уровень безопасности по сравнению с тем же NTLM.

Двухфакторная аутентификация в MultiDirectory работает для нескольких интерфейсов: Admin API, LDAP и Kerberos. Каждый из них может быть защищен с помощью 2FA, а правила его использования настраиваются через политики безопасности.

1. Admin API (HTTP) поддерживает OTP или Push-уведомления.
2. LDAP также работает с OTP или Push.
3. Kerberos поддерживает только Push.

Если аутентификация происходит через Kerberos, после успешного подтверждения система выдает пользователю тикет доступа.

Картинка с сайта: tproger.ru

2FA снижает риск компрометации аккаунтов, даже если основной пароль утёк.

MULTIFACTOR — 2FA-система того же разработчика — интегрирована с MultiDirectory, поэтому настройка двухфакторной аутентификации не требует установки дополнительных адаптеров.

Режим Bypass

Если облачный сервис MULTIFACTOR временно недоступен, в MultiDirectory автоматически включается режим Bypass. В зависимости от настроек можно разрешить или запретить вход в систему без 2FA.

Настройки режима позволяют:

• Разрешить вход без 2FA в случае сбоя, чтобы бизнес-процессы не останавливались.
• Полностью запретить авторизацию при отсутствии двухфакторной проверки — если безопасность важнее доступности.

Поддержка DNS

MultiDirectory интегрируется с Bind9 и позволяет управлять всеми типами записей зоны через веб-интерфейс. При настройке DNS автоматически создаются необходимые записи для Kerberos и LDAP.

Быстрая авторизация с Single Sign-On (SSO)

Технология единого входа (SSO) позволяет пользователям вводить пароль только один раз — дальше система автоматически авторизует их в корпоративной почте, CRM, облачных сервисах и других внутренних приложениях.

В чем плюсы:

• Сотрудники не тратят время на постоянный ввод паролей.
• IT-отделу не приходится восстанавливать доступ к забытым учетным записям.
• Снижается риск утечек паролей.

Заключение

MultiDirectory — это российская альтернатива AD с поддержкой 2FA, SSO и централизованного управления.

Задачи, которые решает MultiDirectory:

• централизованное управление учетными записями, компьютерами группами;
• единая точка идентификации, аутентификации и авторизации;
• поддержка современных стандартов безопасности;
• управление DNS-записями через Bind9
• гибкая интеграция с внешними системами.

Продукт уже работает в корпоративных средах, а в 2025 году разработчики планируют регистрацию в реестре отечественного ПО и выпуск Enterprise-версии с расширенными возможностями. В ней появятся:

• поддержка доверия доменов;
• дополнительные методы защиты;
• DHCP-сервер;
• гранулированная настройка доступа;
• делегирование полномочий;
• интерфейс для логов;
• журнал событий;
•  и многое другое.

Обсудить продукт, задать вопросы и протестировать MultiDirectory можно в Telegram-чате.

Реклама. Рекламодатель ООО «МУЛЬТИФАКТОР», ИНН: 9725026066, erid: 2W5zFJSbHUc

If you are looking for Microsoft Active Directory Alternatives then you may try below listed Free and Paid that works with Windows, macOS, and Linux. The Active Directory is a very useful tool for System Administrator to check who access the system. It also allow to change how your profile pictures will look, which system will belong to which network, and many more.

The Active Directory work only with a Microsoft Windows operating system that stores a lot of information about the system changes and updates done. But if you are not happy then there are several other alternatives to Microsoft Active Directory that works very well with Windows, macOS, and Linux OS and offer more features.

What are the features of Active Directory?

The basic and advanced features and services included in the Active Directory software are-

1. Create and manage domains, users, and objects within a network.
2. Organize a large number of users into logical groups and subgroups while providing access control at each level.
3. Domain Services: Centralised data is stored and communications between users and domains are controlled/managed by domain services. Login authentication and the search facility is also included under this service.
4. Creating, distributing, and managing secure certificates.
5. A user can be authenticated into multiple websites in a single session using SSO (Single Sign-On). This feature comes under Directory Federation Service.
6. Using LDAP, applications like Active Directory should support directory-enabled applications.
7. Active Directory and its alternatives should protect copyrighted information by preventing unauthorized use and distribution of digital content.

Without taking much time, I will present 25 alternatives to Active Directory for both Windows and non-Windows platforms.

ApacheDS 

ApacheDS (Apache Directory Studio) is considered to be the top Active Directory alternatives and the company enjoys immense popularity among directory service users. It has been certified to be compatible with LDAPv3 (The latest LDAP version) along with support for Kerberos 5 and the Change Password Protocol. 

ApacheDS is written entirely in Java, one of the most robust programming languages out there. Several features of ApacheDS are listed below-

• Multimaster replication support: Content synchronization (RFC 4533) allows ApacheDS 2.0 to support multi-master replication.
• Configuration based on LDIF: LDIF, a well-known file format among people working with LDAP technologies which makes it a lot easier to manage and configure servers.
• Developers can easily embed their Java applications as ApacheDS is entirely Java-based.
• ApacheDS is regularly updated.

• Free

OpenLDAP

OpenLDAP is a well-known open-source, community-developed implementation of the Lightweight Directory Access Protocol. OpenLDAP is built keeping in mind the needs of users who want a robust, commercial-grade, fully featured LDAP suite of applications and development tools.

Some features offered by OpenLDAP-

• Written in C language, OpenLDAP is fast and bug-free.
• Supports the latest LDAPv3, and IPv6 (Internet Protocol Version 6).
• DIFv1 support: Provides complete compliance with the LDAP Data Interchange Format (LDIF) version 1.
• Stand-alone LDAP servers are enhanced.

• Free

Univention Corporate Server (UCS) 

UCS (Core Edition) is an open-source and free-of-charge directory application. It is deemed as one of the most complete Active Directory alternatives among users and is a trusted and popular directory service software as it is regularly updated for security and feature improvements.

UCS is easily an optimal solution to better management of a virtualized IT environment for cost-efficient and easy administration of server applications due to the following features-

• Single Server Scenario: One single UCS domain can handle 1000+ clients and servers for 1000+ users.
• Univention App Center: It is a platform to install and administrate preconfigured business applications in a UCS domain so that they are ready to use in the existing IT infrastructure.
• Friendly user interface and easy, hassle-free setup/installation.
• It has a command line, scripting interface and APIs (Application Program Interfaces) for automatization and extensions.
• DNS, WINS, DHCP, (IP) Management integrated.
• Active Directory Connection: You can join an existing Active Directory domain or synchronize it with UCS. Furthermore, you can also access the Univention App center from Active Directory.

• Free

Zentyal Active Directory 

Zentyal is a complete Microsoft Active Directory implementation for users on Linux. Linux is growing as an office-use OS at an exponential rate because of it being a free, open–source, and highly secure operating system kernel. If you are using Linux for a small or medium business and office environment, you don’t have to look any further as Zentyal is the Directory service software to go for.

Feature list-

• Directory and domain: SSO (Single Sign-On) authentication, File-sharing in Windows environments like XP/Vista/7/8/10, etc.
• Mail: Antivirus and mail filter, 6 protocols supported (including SMTP, POP3, and IMAP), a plethora of integrated software.
• Gateway: Routing, firewall, RADIUS, and free RADIUS supported with multiple integrated software.
• Support and updates provided on GitHub and forum.

• Free

Samba

Samba is a free Windows interoperability suite and a very famous Active Directory alternative. It can function in two modes, 1- Domain Controller or as a 2- Regular Domain member. Samba has been there for a long time (Since 1992) and has provided secure, stable, and fast file and print services for the clients using SMB or CIFS protocol.

Features include-

• Regularly updated, secure, and easy to install and download.
• SMBclient: Simple SMB client with an interface similar to FTP utility.
• Own filesystem for Linux: SMBF filesystem
• Samba Web administration tool: Allows you to configure samba remotely using a web browser.

• Free

JumpCloud 

JumpCloud is a reimagined replacement for Microsoft’s Active Directory and LDAP. It is the first software to be implemented as DaaS (Directory as a Service). As the name suggests, JumpCloud is entirely cloud-based software and hence it is the future of directory services as now everyone prefers cloud-based software solutions because it is easy to manage.

Features of JumpCloud-

• Centralized Cloud Directory: User identities are secured and united in a single authoritative directory.
• Cloud LDAP, Single Sign-On (SSO), RADIUS servers.
• Administration automation (Scripting APIs,PowerShell,& Event-logging).
• Protects system, servers, apps, and network with MFA (Multi-factor Authentication).

OpenDJ

OpenDJ is an open-source, lightweight, and embeddable directory service. OpenDJ fully implements LDAPv3 and also supports DSMLv2 (Directory Service Markup Language). OpenDJ’s source code is originally from OpenDS, an LDAP/DSML server maintained by Oracle Corporation.

Written in Java language, OpenDJ offers the following set of features-

• Multi-master replication
• access control and a lot of extensions.
• High performance: Response time in ms and 10000+ w/r per second.
• Modern UI and regularly updated.
• Secure and trusted directory server originally coming from Sun Microsystem’s OpenDS.

• Free

Azure Active Directory

Microsoft Azure is another alternative to Active Directory developed by Microsoft as a Web application. Azure Active Directory (AAD) features top-of-the-line security, user experience, and apps. Microsoft’s claim of investing $1 Billion for security every year and employing 3,500 security experts makes AAD worth it.

Some salient features of Azure Active Directory are as follows-

• Azure AD supports more than 2,800 SaaS (Software as a Service) apps.
• Enforces Strong authentication and conditional access policies that safeguard user credentials.
• Customizable user journey and simplified authentication with social identity.
• All the features of Windows Server’s Active Directory.

• Free and Paid premium also available

Gluu Server 

Gluu Server is a  feature-rich and modern Active Directory alternative that you can use for free. With a plethora of basic and advanced features at its disposal, we can easily recommend Gluu Server as a safe and secure directory service which you can use to manage your demanding business.

Gluu Server provides the following features-

• Variety of 2FA mechanisms including FIDO devices,one-time-password(OTP), push notifications, etc.
• OAuth scopes allow associating access to management policies.
• Local User Management, Leverage backend LDAP server(s), integrated Identity management tools.
• Microsoft AD integration.

• Free

FreeIPA

Another alternative to Zentyal (An Active Directory alternative for Linux) on Linux can be the FreeIPA client and user management software. Using FreeIPA guarantees a secure directory environment as it is powered by Red Hat OpenShift Online. Along with web-interface and command-line administration tools, FreeIPA can be excellent software to manage your user and client identities.

FreeIPA offers-

• CLI, Web UI, RPC access helps to manage users and clients.
• Ease of management and automation of installation and configuration.
• Extensible management interfaces like CLI, XMLRPC, JSONRPC API, and Web UI)
• Python SDK, and integrated SIM (Security Information Management) solution.

• Free

389 Directory Server

389 Directory server is an enterprise-class open source LDAP server for Linux. 389 Directory server has been tested and trusted for real-world usage, supports multi-master replication, and currently handles many of the world’s largest LDAP deployments. 389 Directory server can be set-up quickly and is free to download.

Features-

• Zero downtime, LDAP-based management including ACIs (Access Control Information).
• Amazing fault tolerance and high write performance provided by asynchronous Multi-master replication.
• TLS and SASL provides Secure Authentication & transport
• LDAPv3 compliant.

• Free

GLAuth

GLAuth is a lightweight replacement for OpenLDAP and Active Directory. It is a secure, easy-to-use LDAP server with fully configurable backends. It provides centralized account management across Linux servers, macOS, and support applications like Jenkins, Graylog2, Apache, Nginx, etc.

GLAuth has the following notable features-

• Manage SSH keys, Linux Accounts, and passwords for cloud servers centrally.
• You can store your user directory in a local file on your internal storage, S3, or proxy them to existing LDAP servers.
• It is fully free and open-source and is regularly updated on GitHub.

• Free

RazDC

RazDC provides the power of Microsoft’s Active Directory on your Linux systems free of cost and with minimal hardware requirements. RazDC is created keeping in mind the needs of small business owners who want a reliable Active Directory alternative without breaking the bank.

The feature list of RazDC-

• Powerful Bind9 DNS which comes with granular control from subnets to single IPs
• User Interface can adapt to any screen size.
• Diagnostic tools and log viewers in-built.
• Secure and compatible with MS Active Directory.

• Free

Linuxmaster.net

Linuxmaster.net is a directory and management service focused on School and institution IT infrastructure. Based in Germany, the software company has teamed up with school teachers and service providers for the special requirements for schools, and hence, this software is user friendly, adaptable, and has a helpful community.

Set of notable features-

• Open-source and freely available without the need for licensing or activation.
• Linbo ensures operation reliability.
• WebUI makes stuff a lot easier.
• A direct technical successor to PaedML-Linux 5.

• Free

JxPlorer

The cross-platform LDAP browser and editor, JxPlorer is a worthy addition to this list of AD alternatives. Searching, reading, and editing LDAP a standard LDAP directory or any directory service with an LDAP or DSML interface has never been easier as JxPlorer focuses on being a standard compliant, general-purpose LDAP client.

JxPlorer offers-

• Easy drag-and-drop editing of files and data.
• SSL/TLS support along with support for SASL authentication.
• You can edit LDIF files offline; Importing and exporting LDIF is also possible.
• UI for search filter construction is provided, can perform complex searching.

• Free

GOsa

GOsa is a powerful LDAP administration frontend for user administration designed for power users. It is a bit difficult to install GOsa and the setup process isn’t trivial as compared to other Softwares mentioned here, but with GOsa, you can access dozens of plugins and use them for free with the GOsa core app.

GOsa provides a very powerful modular framework by allowing us to freely choose between the plugins we need and it can be a good active directory alternative.

• Free

eDirectory

eDirectory claims to be the best online directory software in the world. With easy setup and fast launch, eDirectory provides a complete set of features to manage your directories effortlessly. eDirectory focuses on building an online directory for the web and if you are looking for a directory software for that purpose, you can stop looking any further.

eDirectory’s features-

• Highly customizable.
• Access to the source code for design and features.
• You can add plugins and services to increase functionality.

Red Hat Directory Server

The software company Red Hat, which is under IBM as of 2019, enjoys immense popularity as a network software developer company among the millions of internet users worldwide. Red Hat’s Directory server makes it plenty easy to scale, manage, and secure your user information in an LDAP based server.

Mentioned below are some salient features of Red Hat Directory Server-

• Centralized, fine-grained access control along with control based on user identity, IP address, domain name, etc.
• Your directory data will be in safe hands with Red Hat’s control down to attribute value level.
• user ID, password, or X.509v3 public-key certificates are some authentication methods.
• Security policy replication by storing ACL (Access Control List) information with each entry.

• Paid

Koozali SME Server

Koozali SME Server is an open-source Linux Server distro for small to medium business’. Based on CentOS/Redhat, SME Server is brought to you by a large and skilled community. Koozali claims SME Server to be secure, stable, and versatile.

List of features-

• Effortless setup: Installation and basic configuration take less than 20 minutes.
• Reliable: Regularly updated and secure due to CentOS and Redhat traces in its source code.
• Other features like Antivirus and antispam, Remote access, Backup, Raid, Auto-update, etc.

• Free

OpenAM

OpenAM (Open Access Management) focuses on providing access management solution that includes authentication, SSO (Single Sign-On), Authorization, Federation, Entitlements, and Web Services Security.

You can find OpenAM repositories on GitHub, which automatically implies that OpenAM is open-source. OpenAM integrates easily with legacy, custom, and cloud applications without the need for any modifications thanks to CDSSO, SAML 2.0, OAuth 2.0, and OpenID connect.

• Free

Oracle Directory Server Enterprise Edition

Previously known as the Sun Java System Directory Server, the oracle directory server enterprise edition is one of the best-known directory servers with demonstrated large deployments in carrier and enterprise ecosystems. We can also say that the oracle directory server enterprise edition is the ideal directory service software for heterogeneous environments.

Features-

• Embedded database
• Directory Proxy
• Active Directory synchronization
• Web administration console

Free

IBM Domino – IBM i

IBM Domino is IBM retained client, now managed by HCL. It is a collaborative client-server software platform and delivers a highly scalable and reliable infrastructure for e-collaborations. IBM offers a load of developers tools like Lotus Domino for IBM i APIs, Lotus C API toolkit, Domino HTTP Server and WebSphere, and Lotus DeveloperWorks.

We all know that IBM has decades of expertise in the field of business Softwares and hardware and our trust makes IBM Domino a worthy Active Directory alternative in this list.

• Paid

IBM Tivoli Directory Server

IBM Security Directory Server, formerly known as IBM Tivoli Directory Server, is IBM’s implementation of LDAP. This could be your preferred Directory Server alternative if you own a large, corporate level business. With IBM’s brand name and experience, we can easily recommend IBM Tivoli Directory Server as a replacement to Microsoft’s Active Directory.

IBMTDS supports-

• CRAM-MD5 (Challenge-Response Authentication Mechanism MD5).
• SASL (Simple Authentication and Security Layer).
• Kerberos authentication.
• Digital Certificate-based authentication.

• Paid

Resara Server

Perfect for small business’, Resara Server is an open-source server that is compatible with Active Directory. Resara Server is designed around Samba 4 and is straightforward, easy to install and operate. You can effortlessly manage users, share files, and configure DHCP and DNS using the management console.

Although not much popular, Resara Server is completely free and just happens to be one of the MS Active Directory alternatives.

• Free

Lepide

Lepide is a security-focused, risk-free data-centric Security Platform. Although Lepide is not free, you can register for a free trial. Lepide provides improved data-protection and meets compliance audits like HIPAA, PCI, SOX, GDPR, CCPA, etc.

Not only active directory but Lepide also supports Group Policy, File Server, Exchange Server, NetApp Filters, SQL Server, Azure AD, and many more.

• Paid

I hope this article was informative and you found exactly what you were looking for. For suggestions and queries, leave a comment below or contact us.