Служба каталогов MULTIDIRECTORY обновлена до версий 2.8.0e-01 и 2.8.0

Компания МУЛЬТИФАКТОР сообщает о значимых обновлениях службы каталогов MULTIDIRECTORY, которые касаются коммерческой версии и открытой. Новые изменения улучшают функциональность поиска и аудита, ускоряют обработку запросов к базе данных, упрощают администрирование и оптимизируют общую структуру каталога. 

Рассказываем подробно обо всех ключевых нововведениях.

MULTIDIRECTORY коммерческая версия 2.8.0е-01

1. При создании принципала добавлена возможность выбора типов шифрования и установки пароля для совместимости с MS Windows (функция доступна только в коммерческой версии).

Теперь при создании нового принципала администратор может выбрать алгоритм шифрования для Kerberos-записей. 

Также стало возможным задать пароль вручную — что особенно важно для успешной интеграции с системами Microsoft Windows. Эта мера значительно повышает совместимость приложений и служб, работающих в гибридных средах с участием продуктов Microsoft.

2. Добавлено разделение потоков для чтения и записи в базу данных PostgreSQL (функция доступна в коммерческой версии и открытой).

Для повышения производительности базы данных было реализовано раздельное кэширование запросов на чтение и запись. Такое решение минимизирует конкуренцию между этими двумя видами операций, ускоряя выполнение транзакций и улучшая масштабируемость системы при увеличении нагрузки.

3. Выполнен переход на PowerDNS (обновление также доступно в открытой версии 2.8.0).

DNS-сервер BIND9 был заменен на PowerDNS. PowerDNS обладает высокой производительностью и надежностью, что обеспечивает стабильность работы инфраструктуры и снижает задержки при обработке DNS-запросов. Использование PowerDNS повышает общую отказоустойчивость и улучшает взаимодействие каталога с клиентами и приложениями. 

4. Реализован рекурсивный поиск по атрибуту «Member» (функция также доступна в открытой версии 2.8.0). 

Ранее поиск участников группы осуществлялся лишь в рамках одной глубины иерархии. После внедрения рекурсивного поиска появилась проверка вложенности групп, что существенно ускоряет выявление цепочки подчиненности и помогает быстро определить полный состав пользователей и ресурсов, принадлежащих конкретной группе. Например, при поиске члена определенной группы система автоматически учитывает подписки вложенных групп, упрощая процессы аудита и контроля прав доступа.

5. Добавлено поле «Severity» в события аудита (изменения также доступны в открытой версии 2.8.0).

В журнале аудита появилась новая категория полей — «Severity» (уровень важности). Каждое событие аудита теперь сопровождается классификацией по уровню важности: 

• emergency — авария (или emergency — система неработоспособна);
• alert — тревога (требуется немедленное вмешательство);
• critical — критический (критическое состояние);
• error — ошибка;
• warning — предупреждение;
• notice — уведомление (или замечание);
• info — информационный;
• debug — отладка (или отладочный).

Таким образом, с помощью добавленной категории «Severity» администратору стало проще настроить правила реагирования в SIEM-системах. 

6. Добавлен атрибут «SAM-Account-Type» (обновление также доступно в открытой версии 2.8.0). 

Этот атрибут — важный элемент механизма идентификации в системах Microsoft Active Directory. Его внедрение помогает унифицировать управление пользователями и группами внутри инфраструктуры, поддерживая стандарты протокола SAMBA/SAM, используемые в продуктах Microsoft. Данный атрибут определяет типы учетных записей и дает возможность правильно интерпретировать запросы клиентов Windows.

7. Появилась возможность создавать LDAP-запись для контроллера домена (функция также доступна в открытой версии 2.8.0).

Данная функция автоматизирует процесс добавления LDAP-записей, необходимых для функционирования контроллеров домена (DCs). Ранее эта процедура выполнялась вручную, что создавало риск ошибок конфигурации. Автоматизация процесса способствует повышению надежности и простоты обслуживания инфраструктуры.

8. Переименованы все базовые контейнеры (изменение также доступно в открытой версии 2.8.0).

Базовые контейнеры были переименованы таким образом, чтобы они соответствовали структуре и названиям, принятым в среде Microsoft Active Directory. Эти изменения обеспечивают прозрачность миграции и легкость адаптации существующих инструментов и скриптов для среды Microsoft. Так, стандартные инструменты анализа и мониторинга будут корректно распознавать структуру каталога и смогут взаимодействовать с ним без необходимости значительных модификаций.

«Приведенные выше обновления — лишь первый шаг на пути к нашей главной цели — обеспечить все  условия для перехода с Active Directory на MULTIDIRECTORY. Уже совсем скоро мы реализуем двустороннее доверие типа „лес“ и геораспределенную инсталляцию. Эти новые функции позволят предприятиям масштабироваться и поддерживать единую инфраструктуру даже в распределенных географически филиалах, обеспечивая бесперебойную работу и безопасность всех подразделений», — Дмитрий Макаров, руководитель продукта MULTIDIRECTORY.

Используемые термины: 

• LDAP — Lightweight Directory Access Protocol, облегченный протокол доступа к каталогам.
• MS Windows — Microsoft Windows, операционная система корпорации Microsoft. 
• Kerberos — защищенный сетевой протокол аутентификации.
• PostgreSQL — объектно-реляционная система управления базами данных (СУБД) с открытым исходным кодом.
• DNS — Domain Name System, система доменных имен.
• PowerDNS — DNS-сервер.
• Member (участники) — атрибут в Active Directory. 
• Severity — поле уровня важности, критичности.
• SIEM — Security Information and Event Management, управление информацией о безопасности и событиями безопасности. 
• SAM-Account-Type — атрибут в Active Directory. 
• SAMBA — свободное ПО, реализующее сетевой протокол для обмена файлами и принтерами. 
• SAM — Security Account Manager, диспетчер учетных записей безопасности.