Функциональные возможности программного комплекса управления разнородными службами каталогов ЦТЛ Домен (ПК ЦТЛ Домен)
Цели и задачи ПК
Программный комплекс позволяет осуществлять единообразное управление объектами служб каталогов различны типов, элементами их доменной инфраструктуры и сервисов через формализованный программный интерфейс.
Область действия ПК ЦТД Домен
Реализация единой среды управления для разнородных доменных структур и их сервисов.
Функциональные характеристики ПК
ПК имеет модульную архитектуру, обеспечивающую возможность расширения функциональных возможностей, в том числе за счет добавления новых функциональных модулей.
Список поддерживаемых служб каталогов:
• Microsoft Аctive Directory версии 2008R2 - 2019;
• Samba DС версии 4.0 - 4.16;
• FreeIPA 4.9-4.13 (ограниченная поддержка);
• ALDPro (ограниченная поддержка).
Представленный ниже перечень возможностей актуален для первых двух типов
Система имеет возможность управлять следующими компонентами внутри каждой поддерживаемой службы каталогов (домене):
1. Объекты для управления:
• Пользователи;
• Подразделения (Organizational Units);
• Группы;
• Компьютеры.
2. Управляемые сервисы и элементы доменной инфраструктуры:
• DNS (Система доменных имен);
• NTP (служба времени);
• Сайты (офисы организации);
• Контроллеры домена.
• Имя;
• Отчество;
• Фамилия;
• Должность;
• Телефон;
• Руководитель;
• Имя учетной записи/имя пользователя служб каталогов;
• Пароль;
•E-mail;
Минимальные данные для редактирования (изменения) пользователя:
• Имя;
• Отчество;
• Фамилия;
• Должность;
• Телефон;
• Руководитель;
• Имя учетной записи/имя пользователя служб каталогов;
•E-mail;
Пользователь может создаваться в любом подразделении.
Основная группа назначается автоматически при создании пользователя.
Реализована возможность отключения и активации отключенного пользователя и изменения пароля
Управление подразделениями
ПК обеспечивает возможность создавать/редактировать/перемещать/удалять подразделения.
Минимальные данные для создания:
• Имя подразделения.
Минимальные возможности редактирования:
• Изменение имени подразделения.
создавать/редактировать/отключать/перемещать/удалять компьютеры.
Минимальные данные для создания:
• Имя компьютера;
Минимальные данные для редактирования:
• Имя компьютера.
Под отключением в данном случае подразумевается временный отказ в авторизации доменом данного компьютера, с запретом всех действий в домене от имени данного устройства, если данный функционал поддерживается целевой службой каталогов.
Группа по умолчанию назначается компьютеру автоматически, согласно правилам присущим каждой целевой службе каталогов или настроенным в каждом отдельном домене.
Управление группами
ПК имеет возможность создавать/редактировать/перемещать/удалять группы объектов.
Минимальные данные для создания:
• Имя группы;
Данные для редактирования:
• Имя группы (не должно оставаться пустым);
• Состав группы, т.е. объекты, включенные в данную группу;
• Группы, в которые входит данная группа (атрибут memberof);
Управление Контроллерами домена
ПК обеспечивает возможность:
повышать/понижать компьютера домена до контроллера домена; назначать (передавать, захватывать) роли FSMO контроллерам домена
Обеспечивается возможность редактирования контроллера домена – аналогично компьютера домена. При попытке удаления компьютера, являющегося контроллером домена, в операции будет оказано.
ПК позволяет получить сведение о состоянии признака глобального каталога.
ПК реализует возможность репликации по требованию для выбранной пары контроллеров домена
Управление системой доменных имен DNS
Комплекс имеет возможность управлять серверами системы доменных имен (DNS) целевых служб каталогов, включая контролируемые ими зоны и ресурсные записи, а также иметь возможность настраивать серверы пересылки для каждого из них.
Поддерживается минимум два типа серверов системы доменных имен:
• Интегрированный вMicrosoft Active Directory;
• Интегрированный c Samba DC Bind9 c модулем DLZ;
Реализована возможность создания/изменения/удаления как прямых, так и обратных зон при их поддержки целевой службой каталогов.
Поддерживается управление (создание, удаление, изменение) следующими типами ресурсных записей:
• А-запись;
• CNAME-запись;
• MX – запись;
• NS-запись;
• AAAA-запись;
• SRV-запись;
• TXT-запись;
• SOA-запись (редактирование зоны)
• PTR-запись.
Управление службой времени
В ПК предусмотрена возможность создания/изменения/удаления списка внешних источников точного времени для целевых службы каталогов.
В SambaDC функционал реализован для службы ntpd
Управление сайтами домена
В ПК предусмотрена возможность создания/изменения/удаления следующих категорий объектов:
• сайтов;
• подсетей;
• межсетевых соединений(ликов) на базе предопределенных транспортов;
И их сопоставление между собой.
Реализована возможность переноса контроллеров домена между сайтами.
Интерфейсы управления
Основным интерфейсом управления целевыми службами каталога через ПК ЦТЛ Домен является программный интерфейс REST-API. Ознакомится с интерфейсом отдельных можно посредством web-интерфейса на базе OpenAPI/Swagger. Основными интерфейсом управления ПК является системная консоль сервера.
Надежность и защищенность
ПК предназначена для работы в доверенной среде. Комплекс позволяет работать по защищенным протоколам https, ldaps, tls. В качестве дополнительной меры защиты рекомендуется использование пользовательских SSL сертификатов. При включении данного режима запросы к API, не содержащие сведения о таком сертификате обработаны не будут. Первичный доступ к сертификату возможно получить только привилегированным пользователем непосредственно с системной консоли сервера ПК.
Модульная архитектура ПК позволяет избежать полной неработоспособности при выходе из строя одного из модулей. А использование контейнеров на основе подготовленных образов позволяет быстро восстановить исходное состояние системы в случае повреждения данных. Использование СУБД PostgreSQL, имеющую широкие возможности по управлению данными, позволяет обеспечить надежное хранение и восстановление данных без необходимости полной повторной синхронизации данных.
Цели и задачи ПК
Программный комплекс позволяет осуществлять единообразное управление объектами служб каталогов различны типов, элементами их доменной инфраструктуры и сервисов через формализованный программный интерфейс.
Область действия ПК ЦТД Домен
Реализация единой среды управления для разнородных доменных структур и их сервисов.
Функциональные характеристики ПК
ПК имеет модульную архитектуру, обеспечивающую возможность расширения функциональных возможностей, в том числе за счет добавления новых функциональных модулей.
Список поддерживаемых служб каталогов:
• Microsoft Аctive Directory версии 2008R2 - 2019;
• Samba DС версии 4.0 - 4.16;
• FreeIPA 4.9-4.13 (ограниченная поддержка);
• ALDPro (ограниченная поддержка).
Представленный ниже перечень возможностей актуален для первых двух типов
Система имеет возможность управлять следующими компонентами внутри каждой поддерживаемой службы каталогов (домене):
1. Объекты для управления:
• Пользователи;
• Подразделения (Organizational Units);
• Группы;
• Компьютеры.
2. Управляемые сервисы и элементы доменной инфраструктуры:
• DNS (Система доменных имен);
• NTP (служба времени);
• Сайты (офисы организации);
• Контроллеры домена.
Реализуемые функции управления.
Управление доменными пользователями
Обеспечиваются создавание/редактирование/перемещение/удаление пользователя со следующим наборов атрибутов• Имя;
• Отчество;
• Фамилия;
• Должность;
• Телефон;
• Руководитель;
• Имя учетной записи/имя пользователя служб каталогов;
• Пароль;
•E-mail;
Минимальные данные для редактирования (изменения) пользователя:
• Имя;
• Отчество;
• Фамилия;
• Должность;
• Телефон;
• Руководитель;
• Имя учетной записи/имя пользователя служб каталогов;
•E-mail;
Пользователь может создаваться в любом подразделении.
Основная группа назначается автоматически при создании пользователя.
Реализована возможность отключения и активации отключенного пользователя и изменения пароля
Управление подразделениями
ПК обеспечивает возможность создавать/редактировать/перемещать/удалять подразделения.
Минимальные данные для создания:
• Имя подразделения.
Минимальные возможности редактирования:
• Изменение имени подразделения.
Управление компьютерами
Система обеспечивает возможностьсоздавать/редактировать/отключать/перемещать/удалять компьютеры.
Минимальные данные для создания:
• Имя компьютера;
Минимальные данные для редактирования:
• Имя компьютера.
Под отключением в данном случае подразумевается временный отказ в авторизации доменом данного компьютера, с запретом всех действий в домене от имени данного устройства, если данный функционал поддерживается целевой службой каталогов.
Группа по умолчанию назначается компьютеру автоматически, согласно правилам присущим каждой целевой службе каталогов или настроенным в каждом отдельном домене.
Управление группами
ПК имеет возможность создавать/редактировать/перемещать/удалять группы объектов.
Минимальные данные для создания:
• Имя группы;
Данные для редактирования:
• Имя группы (не должно оставаться пустым);
• Состав группы, т.е. объекты, включенные в данную группу;
• Группы, в которые входит данная группа (атрибут memberof);
Управление Контроллерами домена
ПК обеспечивает возможность:
повышать/понижать компьютера домена до контроллера домена; назначать (передавать, захватывать) роли FSMO контроллерам домена
Обеспечивается возможность редактирования контроллера домена – аналогично компьютера домена. При попытке удаления компьютера, являющегося контроллером домена, в операции будет оказано.
ПК позволяет получить сведение о состоянии признака глобального каталога.
ПК реализует возможность репликации по требованию для выбранной пары контроллеров домена
Управление системой доменных имен DNS
Комплекс имеет возможность управлять серверами системы доменных имен (DNS) целевых служб каталогов, включая контролируемые ими зоны и ресурсные записи, а также иметь возможность настраивать серверы пересылки для каждого из них.
Поддерживается минимум два типа серверов системы доменных имен:
• Интегрированный вMicrosoft Active Directory;
• Интегрированный c Samba DC Bind9 c модулем DLZ;
Реализована возможность создания/изменения/удаления как прямых, так и обратных зон при их поддержки целевой службой каталогов.
Поддерживается управление (создание, удаление, изменение) следующими типами ресурсных записей:
• А-запись;
• CNAME-запись;
• MX – запись;
• NS-запись;
• AAAA-запись;
• SRV-запись;
• TXT-запись;
• SOA-запись (редактирование зоны)
• PTR-запись.
Управление службой времени
В ПК предусмотрена возможность создания/изменения/удаления списка внешних источников точного времени для целевых службы каталогов.
В SambaDC функционал реализован для службы ntpd
Управление сайтами домена
В ПК предусмотрена возможность создания/изменения/удаления следующих категорий объектов:
• сайтов;
• подсетей;
• межсетевых соединений(ликов) на базе предопределенных транспортов;
И их сопоставление между собой.
Реализована возможность переноса контроллеров домена между сайтами.
Интерфейсы управления
Основным интерфейсом управления целевыми службами каталога через ПК ЦТЛ Домен является программный интерфейс REST-API. Ознакомится с интерфейсом отдельных можно посредством web-интерфейса на базе OpenAPI/Swagger. Основными интерфейсом управления ПК является системная консоль сервера.
Надежность и защищенность
ПК предназначена для работы в доверенной среде. Комплекс позволяет работать по защищенным протоколам https, ldaps, tls. В качестве дополнительной меры защиты рекомендуется использование пользовательских SSL сертификатов. При включении данного режима запросы к API, не содержащие сведения о таком сертификате обработаны не будут. Первичный доступ к сертификату возможно получить только привилегированным пользователем непосредственно с системной консоли сервера ПК.
Модульная архитектура ПК позволяет избежать полной неработоспособности при выходе из строя одного из модулей. А использование контейнеров на основе подготовленных образов позволяет быстро восстановить исходное состояние системы в случае повреждения данных. Использование СУБД PostgreSQL, имеющую широкие возможности по управлению данными, позволяет обеспечить надежное хранение и восстановление данных без необходимости полной повторной синхронизации данных.
