Перенесите рабочие коммуникации из Telegram в Труконф бесплатно

Следите за нами в соц. сетях

Вернуться в терминологию

Active Directory и LDAP — Обзор технологий аутентификации

Active Directory (AD) — проприетарная реализация от компании Microsoft службы каталогов — совокупности программных сервисов и баз данных для иерархического представления информационных ресурсов в сети (компьютеров, принтеров, сетевых дисков и пр.) и настройки доступа к ним.

LDAP (Lightweight Directory Access Protocol) — облегчённый протокол доступа к каталогам, открытый стандартизированный протокол, применяемый для работы с различными реализациями служб каталогов, в том числе и Active Directory.

Основной задачей Active Directory является хранение информации обо всех объектах в сети и предоставление её внешним системам. В свою очередь, LDAP позволяет пользователям получить доступ к ресурсам в зависимости от прав, настроенных администратором службы каталогов.

Для работы протокола LDAP по умолчанию используется TCP-порт 389.

Существует защищённая версия протокола LDAP — LDAPS (LDAP over SSL), которая использует безопасное TLS/SSL-соединение для передачи данных. Протокол LDAPS по умолчанию использует TCP-порт 636.

Далее описаны основы Active Directory, более подробную информацию смотрите в официальной документации на сайте Microsoft.

Что такое леса, деревья и домены в Active Directory?

Основными структурными элементами Active Directory являются:

  • Домен — группа объектов (пользователей, компьютеров и пр.), основная административная единица AD. Для каждого домена настраиваются правила доступа к нему и политики взаимодействия с другими доменами (отношения доверия);
  • Структурное подразделение — необязательный наименьший возможный контейнер, в который при желании можно сгруппировать объекты домена (другие контейнеры, аккаунты пользователей и компьютеров). Могут использоваться, чтобы определить групповые политики и административный доступ для небольшой совокупности ресурсов в пределах одного домена;
  • Дерево доменов — коллекция доменов, сгруппированных в иерархическую структуру и имеющих связанное пространство имён;
  • Лес — контейнер высшего уровня, включающий в себя все домены каждого конкретного экземпляра AD.

Таким образом, в иерархии Active Directory должен быть как минимум один лес, одно дерево и один домен.

Для каждого домена настраивается минимум один сервер с ролью контроллер домена, на котором работают сервисы AD. Он хранит информацию об объектах своего домена и реализует операции поиска в каталоге, входа пользователей и проверки подлинности.

Контроллер домена, который содержит данные о каждом объекте в лесу AD, называется глобальный каталог. Он хранит полный набор атрибутов объектов своего домена и частичную реплику основных атрибутов (список которых можно настроить) объектов всех остальных доменов. Это позволяет быстро находить информацию независимо от её физического расположения на различных доменах.

В лесу обязательно должен быть минимум один глобальный каталог. По умолчанию им назначается первый контроллер домена, на который устанавливается роль доменных служб Active Directory.

Для связи с глобальным каталогом используется TCP-порт 3268 или 3269 при работе по протоколу LDAP и LDAPS соответственно.

Как работает Active Directory?

Сервисы Active Directory являются частью операционной системы Microsoft Windows Server и устанавливаются в качестве одной или нескольких её ролей.

Основной из них является роль доменные службы Active Directory (Active Directory Domain Services, AD DS) — она используется для организации в защищённую логическую структуру всех объектов сети. Полученная иерархическая схема является независимой от физического расположения объектов и топологии сети. Это значительно упрощает администрирование и настройку доступа, например, изменение физического расположения компьютера не повлияет на его роль в структуре AD. AD FS может использоваться также для организации двухфакторной аутентификации, например, с помощью расширения Indeed AM ADFS Extension.

Основными операциями при работе с Active Directory являются аутентификация пользователей, а также поиск, модификация и сравнение объектов. Эти функции реализуются с помощью протокола LDAP.

Кроме AD DS, могут устанавливаться дополнительные роли, расширяющие возможности использования AD: шифрование чувствительных данных, единый вход без повторной аутентификации пользователей на различные веб-сервисы в сети и пр.

Active Directory содержит:

  • Хранилище данных — часть службы каталогов, которая управляет хранением и предоставлением информации на каждом контроллере домена. Данные хранятся в структурированной базе данных (БД), которая иначе называется каталог и содержит совокупность всех объектов AD. Каждый из них относится к определённому классу (пользователи, компьютеры, домены и т.д.). В свою очередь, все объекты каждого класса имеют одинаковый набор атрибутов;
  • Схему — совокупность определений классов и атрибутов (именованных параметров) объектов. Она стандартизирует, как данные хранятся в хранилище, и благодаря этому позволяет получать информацию (как сказано выше, используется для этого протокол LDAP);
  • Леса, деревья, домены и организационные подразделения — ключевые элементы логической структуры AD, которые были подробно рассмотрены ранее.
  Ключевые элементы структуры AD

Для конвертации зарегистрированных в структуре Active Directory имён сетевых ресурсов (компьютеров, принтеров и пр.) в IP-адреса используется интеграция с DNS (Domain Name System, системой доменных имён). Это позволяет, например, пользователям получить доступ к компьютерам, а компьютерам — к контроллерам доменов.

Каждый объект в AD представляет собой LDAP-запись, состоящую из набора атрибутов и их значений, которые в совокупности полностью его описывают. Например, объект класса сотрудник содержит атрибут email, который выглядит следующим образом: mail: user@example.com.

В итоге вся запись для сотрудника, принадлежащего классу employee, может иметь такой вид:

dn: cn=Ivan Petrov,ou=employee,dc=example,dc=com

objectclass: employee

sn: Petrov

cn: Ivan Petrov

mail: petrov@example.com

ou: people

Обратим внимание на значение первого атрибута записи: cn=Ivan Petrov,ou=employee,dc=example,dc=com. Это уникальное имя (Distinguished Name, DN), которое однозначно идентифицирует запись в пределах леса и представляет собой полный путь от корневой записи AD до рассматриваемого объекта. В данном случае запись, содержащая сведения о сотруднике Ivan Petrov, является дочерней записью организационного подразделения ou=employee, а у неё в качестве родителя выступает доменное имя example.com. При этом значения, уникальные в пределах своей родительской записи, называются относительным уникальным именем (Relative Distinguished Name, RDN). Например, cn=Ivan Petrov — RDN по отношению к ou=employee. Совокупность всех RDN в виде иерархической цепочки и составляет DN каждой записи.

Схематически это можно изобразить таким образом:

  Иерархическая цепочка

Значения атрибутов можно использовать для фильтров поиска объектов AD, а значения DN — чтобы однозначно идентифицировать объект (например, для его модификации).

Преимущества Active Directory/LDAP в ВКС

Интерфейс ВКС-сервера

Участники видеоконференции могут быть «разбросаны» по разным местам (разные города, страны и даже континенты). Число пользователей сервера видеоконференцсвязи может варьироваться от единиц до сотен тысяч. В этом случае Active Directory/LDAP значительно облегчает работу администратора, который занимается обслуживанием каталога корпоративных пользователей.

Интеграция со службами каталогов по протоколу LDAP избавляет администратора от повторного заведения учётных записей в панели управления сервером, что значительно экономит его время. Пользователи, в свою очередь, избавляются от сеанса повторной авторизации. Active Directory/LDAP даёт возможность использовать на ВКС терминале существующий механизм авторизации без необходимости повторного ввода своего логина и пароля вначале работы (механизм единого входа, SSO). Если протокол LDAP будет использоваться в локальной сети, пользователь сможет подключаться и аутентифицироваться на любом компьютере, который входит в корпоративную сеть.

Расширьте границы возможностей вместе с TrueConf!

Подробнее

FAQ

Как именно работает механизм единого входа (SSO) при интеграции ВКС-сервера с Active Directory?

При настройке SSO через LDAP или AD система видеосвязи автоматически проверяет доменные учётные данные пользователя, избавляя его от необходимости вводить логин и пароль повторно. В TrueConf Server этот механизм реализован максимально бесшовно: авторизованный в корпоративной сети сотрудник может подключаться к видеоконференциям в один клик, используя свои стандартные доменные права.

Насколько безопасно использовать обычный порт LDAP (389) для аутентификации, или обязательно нужен LDAPS?

Использование незащищенного LDAP рискованно, так как учётные данные и атрибуты могут быть перехвачены при передаче по сети. Для защиты корпоративных коммуникаций настоятельно рекомендуется применять LDAPS (порт 636) с TLS/SSL-шифрованием, что полностью поддерживается TrueConf Server для безопасной аутентификации пользователей без угрозы утечки паролей.

Можно ли использовать LDAP для авторизации в системе видеосвязи, если в компании нет Microsoft Active Directory?

Да, LDAP является открытым стандартом и успешно работает с множеством других служб каталогов, таких как OpenLDAP, FreeIPA или 389 Directory Server. TrueConf Server поддерживает стандартные протоколы LDAP/LDAPS, позволяя организациям с любой ИТ-инфраструктурой настроить централизованную аутентификацию без привязки к продуктам Microsoft.

Что происходит с доступом к видеоконференциям, если сотрудник уволен и его учётная запись заблокирована в Active Directory?

При интеграции со службой каталогов изменения в AD автоматически синхронизируются с сервером видеосвязи. В TrueConf отключение или удаление доменной учётной записи мгновенно лишает бывшего сотрудника доступа к корпоративным видеоконференциям и чатам, что исключает риски утечки информации и избавляет администраторов от ручной очистки прав.

Как интеграция с Active Directory помогает администрировать ВКС-сервер при тысячах пользователей в разных филиалах?

LDAP позволяет серверу видеосвязи автоматически импортировать структуру организации, включая леса, деревья и домены, вместе с правами доступа. Благодаря этому TrueConf Server способен масштабироваться на десятки тысяч пользователей, автоматически применяя групповые политики AD для разграничения прав на создание конференций и управление комнатами без ручного ввода каждого аккаунта.

Нужно ли конечным пользователям устанавливать дополнительное ПО для аутентификации через Active Directory при подключении к видеозвонку?

Нет, при корректной настройке SSO и интеграции с доменом процесс авторизации происходит скрыто и не требует действий со стороны пользователя. Клиентские приложения TrueConf для Windows, macOS, Linux и мобильных ОС, а также веб-версия, автоматически подхватывают доменные учётные данные, обеспечивая мгновенный и безопасный вход на видеоконференцию.