Обсудить проект

Мы используем cookies и предполагаем, что вы согласны на обработку ваших данных, если продолжите пользоваться сайтом

OK

Обсудить проект

Служба каталогов
«Селенга»

В ограниченные сроки осуществит миграцию компонентов ключевой инфраструктуры на отечественные решения

Узнать больше

О проекте

В контексте задач, определенных указом Президента Российской Федерации № 166 от 30.03.2022, и в целом задач обеспечения технологического суверенитета Российской Федерации в сфере ключевой инфраструктуры мы предлагаем систему управления объектами каталога «Селенга».

Служба каталогов «Селенга» — это проект решения по обеспечению миграции с служб каталогов западного производства, в частности Active Directory, как одно из самых популярных решений для энтерпрайз сектора и государственных органов.

Проект изначально ориентирован на обеспечение максимальной гибкости и скорости доработки решения, так как ориентирован на широкий спектр заказчиков, у которых стоит задача в ограниченные Указом 166 сроки осуществить миграцию компонентов ключевой инфраструктуры на отечественные решения.

Миграция с решений иностранных вендоров

В качестве решения, мы предлагаем систему управления объектами каталога собственной разработки, в качестве платформы для которой мы используем несколько собственных продуктов, функционал которых позволит реализовать проект в кратчайшие сроки.

Собственные продукты

Решаемая проблема

Предоставление импортозамещённого решения отвечающего требования предъявляемым к существующим каталогам пользователей. Решение должно предоставлять следующие возможности:

Обеспечить отказоустойчивую и распределенную инфраструктуру.

Осуществить миграцию с текущих решений, как коммерческих, так и open-source (AD, FreeIPA, OpenLDAP и т. п.).

Обеспечить механизмы интеграции с внешними системами источников данных (например, 1С).

Групповое управление объектами каталога (в том числе рабочими станциями).

Решение должно предоставлять возможности гибкой настройки, поставщик должен обеспечить оперативную доработку решения при возникновении новых требований в процессе миграции.

Предлагаемое решение

Предлагаемым решением является Служба каталогов «Селенга», в основе которой использованы лучшие практики для данного класса решений и технологии обеспечивающие масштабирование, отказоустойчивость и возможность построения распределённой инфраструктуры под потребности Заказчика.

Ключевые особенности

Пользовательский веб-интерфейс для управления объектами каталога

Визуализация архитектуры домена и сводная информация по каждому

Миграция данных из других каталогов

Доменные политики

Управление схемой каталога

Получение данные из смежных систем на непрерывной основе

Встроенные базовые сервисы — CA, DNS, NTP, DHCP

Реализованные технологии и протоколы: Kerberos, LDAP, DSML V2 (SOAP протокол) и REST API

Управление ролями и приложениями

Преимущества

Система управления объектами каталога предоставляет следующие возможности:

Функций миграции и импорта данных из других каталогов;
Встроенные службы NTP, DNS, DHCP;
Поддержка протокола Kerberos;
Управление групповыми политиками;
Поддержка различных протоколов взаимодействия с каталогом LDAP, DSML V2 и REST API;
Пользовательский Web интерфейс.

Ключевые возможности

Компания «Эквирон» входящая в холдинг «Кайрос digital» работает на субподряде в национальных проектах, а так же имеет опыт разработки стартапов. Группа разработки сможет обеспечить кратчайшие сроки реализации доработок под возникающие требования в процессе миграции.

15 лет разработки сложных систем

Собственное платформенное решение, обеспечивающее автоматизацию развертывания, сбора и анализа логов, а так же полный набор эксплуатационных инструментов для сопровождения системы.

Собственное платформенное решение

Проект основах на решениях, чей исходный код может быть изменен под цели и задачи клиентов. Решение изначально разрабатывается под заказчика и его специфику работы — автоматизацию государственных органов, обеспечение миграции, дальнейшую поддержку и развитие.

Решение для российского заказчика

Функции каталога

Управление объектами

«Система управления объектами каталога» предоставляет следующие ключевые функции для управления объектами каталога.

Создание объекта каталога

Изменение значений атрибутов объекта

Перемещение объекта каталога в древе

Импорт объектов из других каталогов

Удаление объектов и восстановление удалённых объектов

Связывание различных объектом между собой посредством ссылок

В системе так же предусмотрены и групповые операции над выбранными объектами каталога, для экономии времени администратора на однотипные операции над множеством объектов каталога.

Шаблоны именования объектов

Система управления объектами каталога обеспечивает управление политиками именования.

Правила именования учётных записей

Правила именования групп

Правила именования рабочих станций

Правила именования серверов

Правила для именования атрибутов объектов:

Поддерживаются параметры для управления строками, например, все символы, кроме ASCII, сохранение регистра, первый символ должен быть алфавитным или числовым, «префиксы», «суффиксы» для значений атрибутов объектов.

Групповые политики

«Система управления объектами каталога» обеспечивает управление групповыми политиками. Групповые политики — это набор правил, в соответствии с которыми производится настройка рабочей среды доменных объектов таких как АРМ и Пользователь.

Групповые политики создаются в домене и реплицируются в рамках домена. Применение Групповых политик к объектам службы каталогов позволяет создавать эффективную и легко управляемую ИТ-инфраструктуру. Политики применяются сверху вниз по иерархии каталога.

Локальный (индивидуальный компьютер)

Домен

Организационная единица

Порядок обработки групповой политики:

Политики применяются сверху вниз по иерархии каталога. Для вступления настроек в силу, объект групповой политики необходимо связать с одним или несколькими контейнерами каталога.

Политики парольной защиты

«Система управления объектами каталога» обеспечивает управление политиками парольной защиты. Настройка требований к паролям пользователей осуществляется с помощью групповых политик.

Для обеспечения высокого уровня безопасности учетных записей, политика паролей должна обеспечивать достаточную сложность, длину пароля, частоту смены пароля пользователей и сервисных учетных записей.

Вести журнал паролей

Максимальный срок действия пароля

Минимальная длина паролей

Минимальный срок действия пароля

Хранение паролей с использованием обратного шифрования

Соответствие пароля требованиям сложности

Основные настройки политики паролей:

Миграция данных

«Система управления объектами каталога» предоставляет функции, где администратор может воспользоваться функцией миграции данных из других каталогов (например: Active Directory, e-Directory и других каталогов) на основе протокола LDAP, а также на основе импорта данных из CSV файлов.

Определение типа исходного каталога (например, Active Directory, OpenLdap и другие)

Сопоставление объектов и атрибутов исходного каталога и целевого каталога

Выбор конфигурации миграции и ввод учётных данных исходного каталога

Предпросмотр данных исходного каталога перед выполнением миграции

Выбор импортируемых данных в исходном каталоге

Функции миграции:

Просмотр журнала миграции

Импорт данных из CSV файлов

При выполнении миграции данных из исходного каталога осуществляется трансформация исходных данных с применением политик именования объектов и переопределение корневого DIT.

Управление ролями и приложениями

«Система управления объектами каталога» обеспечивает управление ролями и предоставляет возможность управления процессом аутентификации, доступом к приложениям с помощью аутентификации на основе утверждений, а также на основе групп безопасности.

Регистрация приложений и их утверждений (Claims) или групп

Регистрация ролей пользователей

Сопоставление роли с зарегистрированными утверждениями (Claims) или включением роли (ролей) в группы

Функции управления ролями:

Динамическое назначение ролей пользователю на основе фильтров, позволяет при регистрации пользователя сразу обеспечить управление доступом к зарегистрированным приложениям.

Назначение ролей пользователям (поддерживается динамическое назначение ролей пользователям на основе фильтров)

Отказоустойчивая конфигурация

«Система управления объектами каталога» предоставляет возможность построения распределённой и отказоустойчивой инфраструктуры, посредством использования гибкого встроенного механизма репликации «multi-master replication».

Механизм позволяет настроить и реплицировать данные используя различные фильтры, что позволяет реплицировать не все данные, а только их часть.
Таким образом достигая изоляцию содержимого там где она требуется.

Службы DNS, NTP и DHCP

«Система управления объектами каталога» предоставляет службы «Служба доменных имён», «Служба времени» и «Служба динамической настройки узла».

Служба доменных имен (DNS) интегрирована в службу каталогов и осуществляют автоматическую регистрацию объектов в базе каталога.

Предоставление информации о зарегистрированных доменах.

Регистрация, изменение и удаление доменных имён (ресурсных записей).

Поддержка спецификаций RFC 1034 и RFC 1035 (а также спецификаций расширяющих их).

Служба доменных имён (DNS):

Динамическая регистрации узлов (DDNS) в базе данных DNS и поддержка интегрированных в LDAP зон DNS.

Поддержка основных спецификаций RFC 2131, RFC 2132 (расширения RFC 1497).

Поддержка протокола определения местоположения службы (SLP) (RFC 2608).

Служба динамической настройки узла (DHCP):

Служба времени, обеспечивает предоставление информации о текущем времени для синхронизации точного времени.

Осуществляет поддержку протокола «Network Time Protocol» в соответствии со спецификаций RFC 5905.

Служба времени (NTP):

Интеграция и безопасность

Управление доступом

«Система управления объектами каталога» для обеспечения безопасности объектов каталога, имеет встроенный механизм управления доступом к объектам каталога и его атрибутам.

Критерии определения доступа к объекту или объектам каталога

Выбор конкретного объекта или фильтра для выбора объекта или объектов.

Определение объекта

Уровни доступа:

запрет доступа;
чтение данных;

Определение уровня доступа

Уровень древа каталога:

только к этому объекту;
только к дочерним объектам в древе каталога;
ко всем вложенным объектам каталога.

Определение уровня дерева каталога

Выбор сущности доступа:

анонимные и прошедшие аутентификацию пользователи;
анонимные пользователи;
пользователи, прошедшие аутентификацию;
пользователи, ассоциированные с целевой записью.

Определение сущности доступа

изменение данных;
управление объектом каталога.

Определение атрибутов на которые накладывается правило доступа

Доступ к объектам каталога контролируется так же, как при использовании протокола LDAP и REST API.

Службы сетевой аутентификации и смены пароля

«Система управления объектами каталога» предоставляет службу сетевой аутентификации Kerberos V5 и службу смены и установки пароля Kerberos.

Служба смены и установки пароля

Служба смены пароля — это поставщик протокола, который реализует RFC 3244 для обслуживания запросов Kerberos на смену пароля и установку пароля. Change Password — это протокол запрос-ответ, который использует инфраструктуру Kerberos, чтобы позволить пользователям безопасно устанавливать первоначальные пароли или изменять существующие пароли. Протокол смены пароля взаимодействует с исходным протоколом смены пароля Kerberos, добавляя при этом возможность для администратора устанавливать пароль для нового пользователя.

Служба аутентификации

Сетевая служба аутентификации Kerberos V5 предоставляет проверку подлинности (пользователей или служб) — RFC 1510.

Доступ по протоколу LDAP, DSML V2 и REST API

«Система управления объектами каталога» предоставляет интерфейсы для интеграции других смежных систем по REST API, DSML V2 (SOAP протокол) и по протоколу LDAP.

При использовании REST API или протокола LDAP, доступ ко всем объектам каталога осуществляется в соответствии с правами доступа текущего пользователя.

Интерфейс доступа REST API к объектам каталога, позволит реализовывать интеграцию смежных информационных систем с «Системой управления объектами каталога» как с обычным микро-сервисом, что снижает затраты на интеграцию.

Получение данных из смежных систем на непрерывной основе

Адаптеры позволяют получать данные из смежных систем выступающими в предприятии — системами мастер-данных для получения данных и обновлений по организационной структуре предприятия, сотрудникам и другим данным.

Так как разновидность систем выступающими в роли мастер-данных очень разнообразны, в системе предусмотрена возможность разработки адаптеров сторонними разработчиками на основе предоставленной SDK.

Система управления объектами каталога обеспечивает получение данных из смежных систем посредством адаптеров.

В Системе также предусмотрены и предустановленные адаптеры к наиболее популярным системам. Данная функция в настоящее время находиться на этапе разработки.

Зарегистрированный адаптер в системе, обеспечивает получение эталонных данных из систем мастер данных.

О компании

Мы — компания «Эквирон». Специализируемся на разработке распределённых кластерных систем с использованием технологий контейнеризации. Мы занимаемся разработкой ПО различной степени сложности с 2007 года и нацелены на решение социально важных задач.

Грамотно выстроенные процессы отбора и адаптации персонала

Мы создаем условия, чтобы наши специалисты росли, развивались и делали мир лучше

Высокая квалификация специалистов

Забота о сотрудниках, которая позволяет добиться высокого уровня лояльности

Нашими сильными сторонами являются:

Другие продукты

С нашей платформой можно легко и быстро перейти от традиционных методов разработки ПО к полностью контейнеризированным решениям. В Imagenarium есть большой выбор инструментов для решения больших задач по упаковке, конфигурированию, тестированию и развёртыванию разрабатываемых программных решений.

Это Java-фреймворк для разработки приложений под Imagenarium. Он позволяет сократить время разработки за счёт использования готовых компонентов, которые упрощают и ускоряют разработку приложений, работающих на нашей платформе.

«Эквирон» также является разработчиком СУБД «Енисей» — распределенной документно-ориентированной NoSQL СУБД с поддержкой JSON как формата хранения данных, имеющей интерфейс REST API. В основе СУБД «Енисей» лежит метод multi master replication.
СУБД «Енисей» интересна не только, как удобная и высокоскоростная NoSQL СУБД, но и как основа для транспортной инфраструктуры, позволяющая быстро разрабатывать сложные системы.