Сравнение служб каталогов
Краткий обзор рынка
Особенность рынка ПО для служб каталогов в том, что основные продукты появились относительно недавно (2022-2023 гг.). Решения активно развиваются, разработчики исправляют локальные ошибки, постепенно повышается степень зрелости продуктов. Всем решениям характерны следующие особенности:
- Сильное отличие друг от друга;
- Фокус развития смещается с администрирования собственных операционных систем инфраструктуры на гетерогенную инфраструктуру, подразумевающую поддержку ОС нескольких производителей (на базе Linux и/или Windows);
- Многие компании реализуют не только пилотные проекты, но уже активно мигрируют на отечественные ОС и службы каталога в масштабах всей организации, что дает вендорам возможность дорабатывать решения, опираясь на полученную по итогам эксплуатации обратную связь и добавлять востребованную функциональность.
На рынке служб каталогов и базовых сетевых служб в России присутствуют продукты, которые тесно связаны с основными российскими операционными системами. Среди них выделяются ALD Pro (Astra Linux), РЕД АДМ (РЕД ОС), Альт Домен (Альт СП), Dynamic Directory (ROSA Linux).
Некоторые решения изначально поддерживали несколько ОС, например, Dynamic Directory, Avanpost DS, и производители ОС также развиваются в сторону поддержки сразу нескольких платформ, например, ALD Pro стал поддерживать РЕД ОС и Альт, а РЕД АДМ — Astra Linux.
На рынке также появляются новые службы каталогов, такие как ЭЛЛЕС (Группа Иннотех), Селенга (Kairos Digital), MultiDirectory (МУЛЬТИФАКТОР). Решения находятся на стадии развития и еще не успели полноценно показать себя в масштабных внедрениях. Экосистемы отечественных служб каталога дополняют партнерские решения, реализующие функции миграции (Pragmatic Tools Migrator) и резервного копирования (Granulex Recovery).
Техническое сравнение решений
Вендор | Группа Астра | РЕД СОФТ | Базальт СПО | НТЦ ИТ РОСА | Avanpost |
Решение | ALD Pro | РЕД АДМ Промышленная редакция | Альт Домен | Dynamic Directory | Avanpost DS |
Год первого релиза продукта | 2022 | 2023 (стандартная редакция — 2022) | 2022 | 2023 (разработка с 2015, опытная эксплуатация с 2020) | 2023 |
Выручка 2024, млн руб. | 17 200 (по Группе Астра) | 3 791 | 1 703 | 396 | 834 |
Базовые технологии | FreeIРА, Salt Stack | Samba DC, Ansible | Samba DC, Альт Групповые политики | FreeIРА, Puppet | Собственная разработка |
Функциональность | Общие функции: Служба каталога домена; Аутентификация пользователей; Управление конфигурациями (групповые политики); Установка ПО | ||||
Управление сетевыми сервисами (DNS, DHCP, NTP, файлы, печать, репозиторий ПО); Установка ОС по сети; Удаленный доступ к рабочим столам пользователей; Журналирование событий; Мониторинг всех ролей ALD Pro; Инструменты миграции с AD | Управление сетевыми сервисами (DNS, DHCP, NTP, файлы); Установка ОС по сети; Удаленный доступ к рабочим столам пользователей; Инвентаризация и отчетность; Журналирование событий; Управление внедоменными компьютерами | Интерфейс управления подобен MS AD с возможностью управления групповыми политиками ОС Альт и MS Windows | Управление сетевыми сервисами (DNS) | Управление сетевыми сервисами (DNS); Инструменты миграции с MS AD | |
Инструменты миграции в составе продукта |
Не требуются |
Не требуются | |||
Подход к миграции | Создание параллельной инфраструктуры | Создание параллельной инфраструктуры / «замещение» исходных контроллеров домена | Создание параллельной инфраструктуры / «замещение» исходных контроллеров домена | Создание параллельной инфраструктуры | Создание параллельной инфраструктуры |
Доверительные отношения с AD | Односторонние / Двусторонние | Односторонние / Двусторонние / Транзитивные | Односторонние / Двусторонние / Транзитивные | Односторонние / Двусторонние с ограничениями | Двусторонние c ограничениями |
Управляемые ОС | Astra Linux, РЕД ОС, Альт СП | РЕД ОС, Astra Linux | Альт СП | Astra Linux, РЕД ОС, Альт СП, ROSA Linux, другие Linux | Astra Linux, РЕД ОС, Альт СП, ROSA Linux, другие Linux |
ОС на компьютерах в домене | Linux, Windows | Linux, Windows | Linux, Windows | Linux | Linux |
Создание службы каталогов из нескольких связанных доменов | |||||
Поддержка лесов доменов | |||||
Консоль управления | Веб-интерфейс | Веб-интерфейс | Десктоп-приложение (похоже на консоль MS AD) | Десктоп-приложение (похоже на консоль MS AD) | Веб-интерфейс |
Возможность полного отказа от ПО Microsoft | |||||
Ограничения | Нет RODC | RODC с ограничениями | Необходимость в контроллерах Microsoft AD, Windows, RSAT, RODC с ограничениями | Нет RODC, отсутствие полноценных доверительных отношений с AD | Ограниченное количество шаблонов групповых политик Нет поддержки NTLM, нет RODC, двусторонние доверительные отношения c ограничениями |
Информационная безопасность | |||||
Сертификат ФСТЭК |
Сертификат для ОС |
Сертификат для ОС |
Ожидается до конца 2025 | ||
Логирование событий безопасности | |||||
В т.ч. логирование действий пользователя / администратора | |||||
В т.ч. выявление аномалий | |||||
Делегирование полномочий на уровне OU | |||||
Делегирование полномочий на уровне объектов | |||||
Гранулярное резервное копирование и восстановление |
Внешними средствами |
Внешними средствами |
Внешними средствами | ||
Встроенные средства обеспечения ИБ | Kerberos, парольные политики, регистрация событий, RBAC, политики HBAC, политики SUDO | Kerberos, парольные политики, регистрация событий, RBAC, политики SUDO | Kerberos, парольные политики, регистрация событий, RBAC | Kerberos, парольные политики, регистрация событий, RBAC, политики HBAC, политики SUDO | Kerberos, парольные политики, регистрация событий, RBAC |
Руководство по безопасной настройке системы от вендора | |||||
РЕД АДМ
Основные преимущества:
- Наилучшая совместимость с Microsoft Active Directory;
- Автоматизация развертывания и управление инфраструктурными службами из графического интерфейса (контроллеры домена, DNS, NTP, файловый сервер, включая управление ACL и DFS; сервер установки ОС по сети; подсистема инвентаризации и отчетности).
Когда использовать:
- РЕД ОС используется как основная операционная система для автоматизированных рабочих мест;
- Планируется создание или масштабирование ИТ-инфраструктуры на продуктах экосистемы РЕД СОФТ;
- Требуется длительное использование автоматизированных рабочих мест с ОС Windows и Linux в одном домене РЕД АДМ;
- Если в инфраструктуре организации планируется использовать различные отечественные ОС: Astra Linux, РЕД ОС.
ALD Pro
Основные преимущества:
- Автоматизация развертывания и управление инфраструктурными службами из графического интерфейса (контроллеры домена, DNS, DHCP, NTP, файлы, печать, репозиторий программного обеспечения);
- Возможность автоматизированного развертывания ALD Pro посредством ПО Astra Automation;
- Встроенный мониторинг всех подсистем ALD Pro;
- Наличие встроенных инструментов миграции и синхронизации с MS AD.
Когда использовать:
- Astra Linux используется как основная операционная система на автоматизированных рабочих местах;
- Планируется создание или масштабирование ИТ-инфраструктуры на продуктах экосистемы Группы Астра.
- Если в инфраструктуре организации планируется использовать различные отечественные ОС: Astra Linux, РЕД ОС, Альт;
Альт Домен
Основное преимущество: единое управление групповыми политиками для Альт и Windows «из одного окна».
Когда использовать:
- Операционная система Альт используется как основная для автоматизированных рабочих мест;
- Требуется длительное использование автоматизированных рабочих мест с операционной системой Windows и Linux в одном домене Альт;
- Планируется использовать преимущественно «ванильные» Open Source решения в ИТ-инфраструктуре компании.
Dynamic Directory
Основное преимущество: Dynamic Directory позволяет управлять разными отечественными операционными системами внутри разнородной ИТ-инфраструктуры.
Когда использовать:
- Если в инфраструктуре организации используются различные дистрибутивы ОС Linux.
Avanpost DS
Основные преимущества:
- Возможность создания комплексного решения по безопасной аутентификации в связке с другими решениями того же производителя (MFA, SSO, IDM, РАМ);
- Обеспечивает высокую производительность каталога при большом количестве объектов;
- Позволяет управлять разными отечественными операционными системами.
Когда использовать:
- Если в инфраструктуре организации используются различные дистрибутивы ОС Linux;
- При высокой нагрузке на службу каталога;
- В качестве каталога для централизованных ИС (ресурсного домена) в крупных инфраструктурах.
Общее сравнение решений
Наше мнение
Мы рекомендуем выбирать службу каталога, опираясь на ваш план по импортозамещению инфраструктуры:
- Какие операционные системы будут выбраны основными;
- Как будет организовано управление автоматизированными рабочими местами;
- Как вы будете использовать Windows — интегрировать в новую службу каталога или сопровождать параллельно.
Если в приоритете выбор клиентских операционных систем, то мы рекомендуем использовать программное обеспечение от того же вендора:
Производитель | Служба каталога | Операционная система |
Группа Астра | ALD Pro | Astra Linux |
РЕД СОФТ | РЕД АДМ | РЕД ОС |
Базальт СПО | Альт Домен | ОС Альт |
НТЦ ИТ РОСА | Dynamic Directory | ROSA Linux |
Если в приоритете возможность автоматизированной настройки сервисов программной инфраструктуры и работа в графическом интерфейсе, рекомендуем использовать решения от РЕД СОФТ (РЕД АДМ) и Группы Астра (ALD Pro).
Если важна миграция службы каталога, то мы видим два основных варианта:
- Создать целевой домен на базе отечественной службы каталога и последовательно перенести все службы и сервисы в целевую ИТ-инфраструктуру. Данный вариант возможен с любой отечественной службой каталога.
- Интегрировать серверы отечественной службы каталога на базе Linux в состав существующего домена Active Directory и постепенно вывести из обращения контроллер домена AD. В таком случае подойдут решения РЕД СОФТ (РЕД АДМ) или Базальт СПО (Альт Домен).
Если планируется использовать в ИТ-инфраструктуре несколько дистрибутивов отечественных операционных систем, мы советуем Avanpost DS, Dynamic Directory, ALD Pro, РЕД АДМ. Либо использовать в дополнение к службе каталога решения по централизованному управлению конфигурациями, например, Зодиак АйТиЭм, Колибри-АРМ, ruDesktop (см. раздел Системы управления конфигурациями).
В некоторых отечественных службах каталога присутствуют встроенные средства или сценарии резервного копирования и восстановления, но обычно они имеют ограниченную функциональность и могут требовать остановки контроллера домена для создания резервной копии или восстановления. Для обеспечения быстрого восстановления данных службы каталога рекомендуем использовать специализированные средства резервного копирования, такие как Granulex Recovery, предоставляющие возможность гранулярного восстановления объектов без остановки сервиса. В российских СРК аналогичной функциональности пока нет (см. раздел «Системы резервного копирования»).
Комментарии 0