Сравнение служб каталогов
Обзор рынка
Особенность рынка ПО для служб каталогов в том, что основные продукты появились относительно недавно (2022-2024). Решения активно развиваются, разработчики исправляют локальные ошибки, постепенно повышается степень зрелости продуктов. Всем решениям характерны следующие особенности:
- Фокус развития смещается с администрирования «собственных» операционных систем инфраструктуры на гетерогенную инфраструктуру, подразумевающую поддержку ОС нескольких производителей (на базе Linux и/или Windows);
- Многие компании реализуют не только пилотные проекты, но уже активно мигрируют на отечественные ОС и службы каталога в масштабах всей организации, что дает вендорам возможность дорабатывать решения, опираясь на полученную по итогам эксплуатации обратную связь и добавлять востребованную функциональность;
- Развитие функциональности в области информационной безопасности.
На рынке служб каталогов и базовых сетевых служб в России присутствуют продукты, которые тесно связаны с основными российскими операционными системами. Среди них выделяются ALD Pro (Astra Linux), РЕД АДМ (РЕД ОС), Альт Домен (Альт СП), Dynamic Directory (ROSA Linux).
Некоторые решения изначально поддерживали несколько ОС, например, Dynamic Directory, Avanpost DS, Эллес и производители ОС также развиваются в сторону поддержки сразу нескольких платформ, например, ALD Pro стал поддерживать РЕД ОС и Альт, а РЕД АДМ — Astra Linux.
Экосистемы отечественных служб каталога дополняют партнерские решения, реализующие функции миграции (Pragmatic Tools Migrator) и резервного копирования (Granulex Recovery).
Техническое сравнение решений
Вендор | Группа Астра | РЕД СОФТ | Базальт СПО | НТЦ ИТ РОСА | Avanpost | Т1 Иннотех |
Решение | ALD Pro | РЕД АДМ Промышленная редакция | Альт Домен | Dynamic Directory | Avanpost DS | Эллес |
Год первого релиза продукта | 2022 | 2023 (стандартная редакция — 2022) | 2022 | 2023 (разработка с 2015, опытная эксплуатация с 2020) | 2023 | 2023 |
Базовые технологии | FreeIРА, Salt Stack | Samba DC, Ansible | Samba DC, Альт Групповые политики | FreeIРА, Puppet | Собственная разработка | Samba DC |
Функциональность | Общие функции: • Служба каталога домена • Аутентификация пользователей • Управление конфигурациями (групповые политики) • Установка ПО | Общие функции: • Служба каталога домена • Аутентификация пользователей • Установка ПО | ||||
• Управление сетевыми сервисами (DNS, DHCP, NTP, файлы, печать, репозиторий ПО) • Установка ОС по сети • Удаленный доступ к рабочим столам пользователей • Журналирование событий • Мониторинг всех ролей ALD Pro • Инструменты миграции с AD | • Управление сетевыми сервисами (DNS, DHCP, NTP, файлы) • Установка ОС по сети • Удаленный доступ к рабочим столам пользователей • Инвентаризация и отчетность • Журналирование событий • Управление внедоменными компьютерами • Автоматическое обнаружение устройств (РЕД ОС) | Интерфейс управления подобен MS AD с возможностью управления групповыми политиками ОС Альт и MS Windows | Управление сетевыми сервисами (DNS) | • Управление сетевыми сервисами (DNS) • Инструменты миграции с MS AD | Управление сетевыми сервисами (DNS) | |
Инструменты миграции в составе продукта | (сторонний инструмент ADMT) | |||||
Подход к миграции | Создание параллельной инфраструктуры | Создание параллельной инфраструктуры / «замещение» исходных контроллеров домена | Создание параллельной инфраструктуры / «замещение» исходных контроллеров домена | Создание параллельной инфраструктуры | Создание параллельной инфраструктуры | Создание параллельной инфраструктуры / «замещение» исходных контроллеров домена |
Доверительные отношения с AD | Односторонние / Двусторонние / Транзитивные | Односторонние / Двусторонние / Транзитивные | Односторонние / Двусторонние / Транзитивные | Односторонние / Двусторонние с ограничениями | Двусторонние c ограничениями | Односторонние / Двусторонние / Транзитивные |
Управляемые ОС | Astra Linux, РЕД ОС, Альт | РЕД ОС, Astra Linux | Альт | Astra Linux, РЕД ОС, Альт, ROSA Linux, другие Linux | Astra Linux, РЕД ОС, Альт, ROSA Linux, другие Linux | Astra Linux, РЕД ОС, SberOS, МСВСфера |
ОС на компьютерах в домене | Linux, Windows | Linux, Windows | Linux, Windows | Linux | Linux, Windows | Linux, Windows |
Создание службы каталогов из нескольких связанных доменов | ||||||
Поддержка лесов доменов | ||||||
Тип графического интерфейса управления | Веб-интерфейс | Веб-интерфейс | Десктоп-приложение (похоже на консоль MS AD) | Десктоп-приложение (похоже на консоль MS AD) | Веб-интерфейс | Веб-интерфейс, десктоп-приложение |
Ограничения | Нет RODC | RODC с ограничениями | Необходимость в контроллерах Microsoft AD, Windows, RSAT, RODC с ограничениями | Нет RODC, отсутствие полноценных доверительных отношений с AD | Ограниченное количество шаблонов групповых политик Нет поддержки NTLM, двусторонние доверительные отношения c ограничениями | Управление конфигурациями (групповые политики) реализованы в рамках отдельного решения Осмакс |
Информационная безопасность | ||||||
Сертификат ФСТЭК | (сертификат для ОС) | (сертификат для ОС) | ||||
Логирование событий безопасности | ||||||
В т.ч. логирование действий пользователя / администратора | ||||||
В т.ч. выявление аномалий | ||||||
Делегирование полномочий на уровне OU | ||||||
Делегирование полномочий на уровне объектов | ||||||
Гранулярное резервное копирование и восстановление | (внешними средствами) | (внешними средствами) | (внешними средствами) | (внешними средствами) | ||
Встроенные средства обеспечения ИБ | Kerberos, парольные политики (включая словарь слабых паролей), регистрация событий, RBAC, политики HBAC, политики SUDO | Kerberos, парольные политики (включая словарь слабых паролей), регистрация событий, RBAC, политики SUDO, LoginFrom | Kerberos, парольные политики, регистрация событий, RBAC | Kerberos, парольные политики, регистрация событий, RBAC, политики HBAC, политики SUDO | Kerberos, парольные политики, регистрация событий, RBAC | Kerberos, парольные политики, регистрация событий, RBAC |
Руководство по безопасной настройке системы от вендора | ||||||
РЕД АДМ
Основные преимущества:
- Наилучшая совместимость с Microsoft Active Directory;
- Автоматизация развертывания и управление инфраструктурными службами из графического интерфейса (контроллеры домена, DNS, NTP, файловый сервер, включая управление ACL и DFS, сервер установки ОС по сети, подсистема инвентаризации и отчетности).
Когда использовать:
- РЕД ОС используется как основная операционная система для автоматизированных рабочих мест;
- Планируется создание или масштабирование ИТ-инфраструктуры на продуктах экосистемы РЕД СОФТ;
- Требуется длительное использование автоматизированных рабочих мест с ОС Windows и Linux в одном домене РЕД АДМ;
- Если в инфраструктуре организации планируется использовать различные отечественные ОС: Astra Linux, РЕД ОС.
ALD Pro
Основные преимущества:
- Автоматизация развертывания и управление инфраструктурными службами из графического интерфейса (контроллеры домена, DNS, DHCP, NTP, файловый сервер, сервер печати, репозиторий программного обеспечения, установка ОС по сети, мониторинг, журналирование событий);
- Возможность автоматизированного развертывания ALD Pro посредством ПО Astra Automation;
- Встроенный мониторинг всех подсистем ALD Pro;
- Наличие встроенных инструментов миграции и синхронизации с MS AD.
Когда использовать:
- Astra Linux используется как основная операционная система на автоматизированных рабочих местах;
- Планируется создание или масштабирование ИТ-инфраструктуры на продуктах экосистемы Группы Астра;
- Если в инфраструктуре организации планируется использовать различные отечественные ОС: Astra Linux, РЕД ОС, Альт;
- Требуется расширенный функционал управления средствами защиты информации ОС Astra Linux.
Альт Домен
Основное преимущество — единое управление групповыми политиками для Альт и Windows из одного окна.
Когда использовать:
- Операционная система Альт используется как основная для автоматизированных рабочих мест;
- Требуется длительное использование автоматизированных рабочих мест с ОС Windows и Linux в одном домене Альт;
- Планируется использовать преимущественно «ванильные» Open Source решения в ИТ-инфраструктуре компании.
Dynamic Directory
Основное преимущество — Dynamic Directory позволяет управлять разными отечественными оОС внутри разнородной ИТ-инфраструктуры.
Когда использовать: если в инфраструктуре организации используются различные дистрибутивы ОС Linux.
Avanpost DS
Основные преимущества:
- Возможность создания комплексного решения по безопасной аутентификации в связке с другими решениями того же производителя (MFA, SSO, IDM, РАМ);
- Обеспечивает высокую производительность каталога при большом количестве объектов;
- Позволяет управлять разными отечественными ОС.
Когда использовать:
- Если в инфраструктуре организации используются различные дистрибутивы ОС Linux;
- При высокой нагрузке на службу каталога;
- В качестве каталога для централизованных ИС (ресурсного домена) в крупных инфраструктурах.
Эллес
Основные преимущества:
- Наилучшая совместимость с Microsoft Active Directory;
- Возможность создания леса доменов.
Когда использовать:
- Требуется длительное использование автоматизированных рабочих мест с операционной системой Windows и Linux в одном домене;
- Если для управления конфигурацией компьютеров используется отдельная система управления, например, Осмакс;
- Требуется создание леса доменов.
Мнение эксперта
Мы рекомендуем выбирать службу каталога, опираясь на ваш план по импортозамещению инфраструктуры:
- Какие операционные системы будут выбраны основными;
- Как будет организовано управление автоматизированными рабочими местами;
- Как вы будете использовать Windows — интегрировать в новую службу каталога или сопровождать параллельно;
- С какими службами каталогов совместимы информационные системы.
Если в приоритете выбор клиентских операционных систем, то мы рекомендуем использовать программное обеспечение от того же вендора.
Если в приоритете возможность автоматизированной настройки сервисов программной инфраструктуры и работа в графическом интерфейсе, рекомендуем использовать решения от РЕД СОФТ (РЕД АДМ) и Группы Астра (ALD Pro).
Если важна миграция службы каталога, то мы видим два основных варианта:
- Создать целевой домен на базе отечественной службы каталога и последовательно перенести все службы и сервисы в целевую ИТ-инфраструктуру. Данный вариант возможен с любой отечественной службой каталога.
- Интегрировать серверы отечественной службы каталога на базе Linux в состав существующего домена Active Directory и постепенно вывести из обращения контроллер домена AD. В таком случае подойдут решения РЕД СОФТ (РЕД АДМ), Базальт СПО (Альт Домен), Т1 Иннотех (Эллес).
Если планируется использовать в ИТ-инфраструктуре несколько дистрибутивов отечественных операционных систем, рассмотрите Avanpost DS, Dynamic Directory, ALD Pro, РЕД АДМ, Эллес. Либо используйте в дополнение к службе каталога решения по централизованному управлению конфигурациями, например, Зодиак АйТиЭм, Колибри-АРМ, ruDesktop (см. раздел «Системы управления конфигурациями»).
Александр Усов
Для обеспечения быстрого восстановления данных службы каталога рекомендуем использовать специализированные средства резервного копирования, такие как Granulex Recovery, предоставляющие возможность гранулярного восстановления объектов без остановки сервиса. В российских СРК аналогичной функциональности пока нет (см. раздел «Системы резервного копирования»).
Общее сравнение решений
.jpg)
Комментарии 0