Skip to main content

Принципы

В каталоге учетных записей хранятся данные, с помощью которых пользователи могут входить в корпоративную сеть и получать доступ к информационным ресурсам. На основе таких каталогов администраторы могут создавать пользователей и группы в базе данных сервера аутентификации и обогащать данные о пользователях дополнительными свойствами и связями с другими объектами, например административными ролями.

Такой подход позволяет оптимизировать рутинные операции администратора, ускорить их выполнение и сократить вероятность ошибок.

Этот подход реализован в функции синхронизации данных о пользователях из каталога LDAP в сервис MFA компании «Индид Облако». Информация о пользователях и группах из внешних каталогов LDAP используется для того, чтобы автоматически создавать в сервисе MFA пользователей и группы пользователей и выдавать токены и назначать административные роли в соответствии с заданными правилами и принадлежностью этих пользователей к определенным группам.

Поддерживаются LDAP-совместимые каталоги Microsoft Active Directory и FreeIPA. Информация из каталога читается с помощью сервисной учетной записи. Скачиваются только нужные для сервиса MFA поля — свойства, атрибуты — к паролям обращения нет.

Агент синхронизации LDAP

Для извлечения информации из каталога LDAP используется агент синхронизации LDAP — LDAP Synchronization Agent (LSA). Этот агент периодически подключается к каталогу, скачивает из него нужные свойства выбранных для синхронизации объектов и сравнивает их с базой данных синхронизированных объектов в базе сервиса MFA. Если с этими объектами произошли любые изменения, то локальная база агента обновляется, затем изменения в ней асинхронно отправляются в базу данных сервера аутентификации через модуль синхронизации LDAP.

Такие события, как подключение к серверам каталога, ошибки при доступе к объектам LDAP и при записи в базу данных сервиса MFA, регистрируются в локальном журнале LSA. Для подключения к каталогу агент может использовать как базовый протокол LDAP, так и LDAP через SSL (LDAPS). По соображениям безопасности агент рекомендуется размещать в пределах общего с сервером каталогов корпоративного сетевого периметра.

Модуль синхронизации LDAP

Этот модуль принимает информацию от агентов LDAP и записывает ее в базу данных сервиса MFA. Модуль синхронизации может принимать информацию сразу для нескольких виртуальных серверов, в том числе и от нескольких агентов сразу при условии, что все агенты имеют одинаковые настройки для одних и тех же виртуальных серверов. Передача данных от агентов зашифрована с помощью протокола SSL. Поток данных от агентов проверяется с помощью идентификатора и ключа.

Объекты, созданные посредством синхронизации, могут быть изменены только модулем синхронизации LDAP: в консоли администрирования они доступны только на чтение и ни одно из синхронизированных свойств изменить нельзя.

Автоназначение

Синхронизацию LDAP удобно использовать в сочетании с автоназначением. Всякий раз, когда создается новый пользователь, срабатывает одно или несколько правил, по которым пользователю автоматически выдаются токены, а также могут назначаться роли менеджера аккаунта или оператора виртуального сервера. Набор таких правил для каждого виртуального сервера свой, а в качестве одного из критериев для срабатывания правила используется принадлежность пользователя к группам в каталоге LDAP. Автоназначение не только освобождает администраторов решения от рутинной работы, но и сокращает время от создания учетной записи в корпоративном каталоге до выдачи пользователю токенов.

Отказоустойчивость и балансировка нагрузки

Чтобы обеспечить отказоустойчивость процесса синхронизации, можно запустить два или более агентов LDAP, при этом они могут подключаться к разным серверам каталога, между которыми настроена репликация.