Поделиться
Служба каталогов Multidirectory: итоги 2025 года
За 2025 г. служба каталогов Multidirectory (MD) прошла значительный путь развития: было внедрено много новых и полезных функций, направленных на повышение удобства пользователей, улучшение производительности и расширение функциональных возможностей продукта. Об этом CNews сообщили представители компании «Мультифактор».
Внедрение двухфакторной аутентификации (2FA) в Kerberos
Для повышения уровня защиты учетных записей пользователей в службе каталогов Multidirectory появилась интеграция с двухфакторной аутентификацией (2FA) в протоколе Kerberos.
Как это работает: при проверке подлинности пользователя Kerberos отправляет запрос в систему двухфакторной аутентификации Multifactor, которая уже интегрирована в Multidirectory. Если второй фактор успешно пройден, система стандартным образом генерирует и передает пользователю соответствующий тикет. Пользователи Multidirectory могут подтвердить получение TGT-тикетов с помощью push-уведомлений.
Сервер самостоятельно обрабатывает всю логику проверки и отправки уведомлений, поэтому процесс развертывания решения прост, и не требуются дополнительные затраты на обслуживание.
2FA в Kerberos помогает усилить защиту корпоративных ресурсов, ведь даже в случае утечки основного пароля злоумышленнику потребуется пройти дополнительную проверку вторым фактором.
Режим ByPass
Появился режим ByPass. Он обеспечивает бесперебойный доступ сотрудников к ресурсам в случаях временной недоступности облачного сервиса Multifactor, проверяя как сетевую доступность, так и функциональность самой системы двухфакторной аутентификации.
Управление сетевыми политиками безопасности
Расширены настройки сетевых политик безопасности: администратор имеет полный контроль над доступом и ограничениями для конкретных пользователей и служб.
Он может выбирать протокол, к которому применяется политика безопасности, и детально настраивать использование двухфакторной аутентификации (2FA) применительно к определенным группам пользователей: HTTP (авторизация в административной панели через веб-интерфейс); LDAP (аутентификационные запросы по протоколу LDAP); Kerberos (запросы на выдачу билетов TGT).
Выход Enterprise-версии Multidirectory
В 2025 г. вышла Enterprise-версия службы каталогов Multidirectory с официальным техническим сопровождением от вендора. Новая редакция имеет расширенный набор функциональных возможностей и позволяет организациям эффективно управлять инфраструктурой любых размеров благодаря дополнительным инструментам администрирования.
Постепенно Enterprise-версия будет пополняться новыми функциями, которые способствуют быстрому и бесшовному переходу с Microsoft Active Directory.
Включение Enterprise-версии Multidirectory в реестр отечественного ПО
Служба каталогов Multidirectory, предназначенная для централизованного хранения данных и управления информацией о пользователях, группах и ресурсах, была включена в Реестр российского программного обеспечения.
Получение такого статуса подтверждает высокий уровень качества и надежности продукта, а также подчеркивает его соответствие требованиям отечественного рынка и стандартов информационной безопасности.
Расширение схемы домена
Начиная с версии 2.2.0, пользователи могут расширять схему домена новыми атрибутами объектов. К примеру, можно добавить поля вроде «Номер пропуска сотрудника», «Уровень материальной ответственности» или «Расположение техники». Эта функция помогает адаптировать каталог под индивидуальные потребности бизнеса и позволяет создавать детальные отчеты, используя дополнительный объем собранных сведений.
Управление условными зонами пересылки (Conditional Forwarders) для DNS-сервера
В MD реализована настройка условий пересылки DNS-запросов (DNS Conditional Forwarders). Эта опция обеспечивает правильное преобразование имен между доверительными доменами, позволяя серверам и службам одного домена успешно обращаться к ресурсам другого домена по их DNS-именам. Правильное разрешение DNS — необходимое условие для стабильной работы механизмов аутентификации Kerberos и обработки LDAP-запросов между взаимосвязанными доменами.
Управление сессиями пользователей
Появилась новая функция мониторинга пользовательских сессий, направленная на повышение эффективности взаимодействия с каталогом. Системный администратор может отслеживать активность подключений по разным протоколам (LDAP, HTTP), оперативно анализировать внутренние процессы каталога и своевременно обнаруживать потенциальные угрозы и аномалии.
Журналирование событий в Syslog
Служба каталогов Multidirectory начала передавать сведения о действиях и событиях пользователей в систему Syslog. Данная мера упростит мониторинг и анализ защищенности инфраструктуры, обеспечит возможность консолидации журналов событий из разных источников и даст администраторам полный обзор текущих процессов.
Ролевая модель
Благодаря гибкости ролевой модели администраторы могут формировать иерархии прав доступа, рационально распределяя полномочия сотрудников. Пользовательские роли можно настроить под конкретные обязанности каждого работника — это повышает контроль над корпоративными бизнес-процессами.
Расширен функционал ролевой модели. Ранее доступ к административному интерфейсу и полный набор прав были доступны исключительно членам группы Domain Admins. А сейчас появилась возможность самостоятельно формировать роли с индивидуальными правами доступа.
Это нововведение упрощает делегирование полномочий различным сотрудникам, предоставляет удобный инструмент назначения нужных уровней доступа к панели администратора в Multidirectory и способствует улучшению контроля над действиями персонала.
Групповые политики
В MD были добавлены «групповые политики». Групповые политики позволяют компаниям централизованно и эффективно управлять корпоративными ресурсами. Вместо ручной конфигурации отдельных устройств, администраторы могут устанавливать общие правила и настройки сразу для целых групп пользователей или компьютеров.
На сегодняшний день в Multidirectory групповые политики применяются исключительно к компьютерам. Однако в 2026 г. планируется реализовать данную функциональность и для пользователей.
Проверка на последнего пользователя в группе Domain admins
Эта функция служит защитой от непреднамеренного удаления единственного оставшегося администратора домена.
До недавнего времени существовала вероятность того, что администратор Multidirectory мог нечаянно убрать самого себя или последнего представителя группы администраторов, заблокировав доступ ИТ-персоналу к управлению службой каталогов.
Сейчас система автоматически предотвращает исключение последнего участника из группы администраторов домена. Когда группа сокращается до одного сотрудника, никто, даже сам администратор, не сможет исключить его из состава группы.
Добавлены операции побитового «И» и «ИЛИ» для фильтра Search request
Была улучшена эффективность выполнения запросов благодаря внедрению новых логических операторов (AND, OR) в системе фильтрации поиска. Данные изменения способствуют оптимизации работы службы каталогов и ускорению обработки сложных критериев отбора.
Уменьшено время жизни LDAP-сессии в момент сброса/смены пароля пользователя
Продолжительность LDAP-сессии сокращена в момент сброса/смены пароля. Эта функциональность направлена на усиление защиты данных и минимизацию временных интервалов, необходимых для обновления статуса учетных записей.
Добавлен DHCP-сервер
Служба каталогов Multidirectory теперь оснащена собственным встроенным DHCP-сервером, который выполняет автоматическое распределение IP-адресов и прочих настроек (маску подсети, шлюз по умолчанию, DNS-сервер и др.) среди устройств внутренней сети. DHCP-сервер упрощает процесс управления сетью, повышает удобство эксплуатации и улучшает контроль над внутренними сетевыми ресурсами.
Выполнен переход на новую базовую ОС в Docker-контейнерах
Разработчики завершили успешную миграцию нашей инфраструктуры контейнеризации Docker с Debian на Alpine Linux. Основной причиной для смены операционной системы стало преимущество Alpine Linux: ее малый размер, отсутствие ненужных компонентов и экономичное использование ресурсов.
Реализовано двусторонее доверие типа «Realm» и одностороннее доверие LDAP(S)-Forward
Multidirectory теперь поддерживает двустороннее доверие типа Realm и возможность одностороннего проксирования запросов «LDAP-Forward». Эти функции гарантируют правильную работу доверительных связей между доменами, обеспечивая высокую надежность процессов аутентификации и авторизации пользователей.
Помимо этого, появилась опция загрузки корневых сертификатов для организации безопасного LDAPS-соединения при установке режима одностороннего доверительного взаимодействия по типу LDAP-Forward. Такая конфигурация дает возможность предприятию надежно подключаться к внешнему сервису каталогов либо стороннему домену посредством шифрования запросов аутентификации и авторизации, передаваемых между серверами.
Политика паролей
Для повышения уровня безопасности в службе каталогов Multidirectory авторы ввели дополнительные требования к политике паролей, точнее — расширили их ограничения.
Сейчас действуют более строгие правила, которые касаются минимальной длины и периодичности смены пароля, а также исключающие повторное использование старых комбинаций.
Особое внимание уделено внедрению функции блокировки конкретных паролей. Каждая организация имеет возможность создать собственный перечень запрещенных вариантов, предотвращающих применение пользователями легко угадываемых комбинаций либо ранее утекших в сеть паролей.
Также реализован механизм временного отключения доступа при многократном неверном вводе пароля. Это сделано с целью защиты от брутфорс-атаки. Алгоритм предусматривает ограничение числа ошибочных попыток входа в течение фиксированного периода времени. Настройки механизма блокировки настраиваются индивидуально администратором, например, возможна блокировка доступа на 10 минут после четырех подряд неудачных попыток аутентификации.
Еще одно улучшение в разделе «Политика паролей», которое стоит выделить: теперь пользователи могут устанавливать индивидуальные правила формирования паролей для разных категорий пользователей. Новая функция улучшает уровень безопасность благодаря введению специальных требований к длине, сложности паролей и частоте их обновления, настроенных для конкретных категорий пользователей.
Короткая ссылка
