Active Directory и LDAP — Обзор технологий аутентификации
Active Directory (AD) — проприетарная реализация от компании Microsoft службы каталогов — совокупности программных сервисов и баз данных для иерархического представления информационных ресурсов в сети (компьютеров, принтеров, сетевых дисков и пр.) и настройки доступа к ним.
LDAP (Lightweight Directory Access Protocol) — облегчённый протокол доступа к каталогам, открытый стандартизированный протокол, применяемый для работы с различными реализациями служб каталогов, в том числе и Active Directory.
Основной задачей Active Directory является хранение информации обо всех объектах в сети и предоставление её внешним системам. В свою очередь, LDAP позволяет пользователям получить доступ к ресурсам в зависимости от прав, настроенных администратором службы каталогов.
Для работы протокола LDAP по умолчанию используется TCP-порт 389.
Существует защищённая версия протокола LDAP — LDAPS (LDAP over SSL), которая использует безопасное TLS/SSL-соединение для передачи данных. Протокол LDAPS по умолчанию использует TCP-порт 636.
Далее описаны основы Active Directory, более подробную информацию смотрите в официальной документации на сайте Microsoft.
Что такое леса, деревья и домены в Active Directory?
Основными структурными элементами Active Directory являются:
- Домен — группа объектов (пользователей, компьютеров и пр.), основная административная единица AD. Для каждого домена настраиваются правила доступа к нему и политики взаимодействия с другими доменами (отношения доверия);
- Структурное подразделение — необязательный наименьший возможный контейнер, в который при желании можно сгруппировать объекты домена (другие контейнеры, аккаунты пользователей и компьютеров). Могут использоваться, чтобы определить групповые политики и административный доступ для небольшой совокупности ресурсов в пределах одного домена;
- Дерево доменов — коллекция доменов, сгруппированных в иерархическую структуру и имеющих связанное пространство имён;
- Лес — контейнер высшего уровня, включающий в себя все домены каждого конкретного экземпляра AD.
Таким образом, в иерархии Active Directory должен быть как минимум один лес, одно дерево и один домен.
Для каждого домена настраивается минимум один сервер с ролью контроллер домена, на котором работают сервисы AD. Он хранит информацию об объектах своего домена и реализует операции поиска в каталоге, входа пользователей и проверки подлинности.
Контроллер домена, который содержит данные о каждом объекте в лесу AD, называется глобальный каталог. Он хранит полный набор атрибутов объектов своего домена и частичную реплику основных атрибутов (список которых можно настроить) объектов всех остальных доменов. Это позволяет быстро находить информацию независимо от её физического расположения на различных доменах.
В лесу обязательно должен быть минимум один глобальный каталог. По умолчанию им назначается первый контроллер домена, на который устанавливается роль доменных служб Active Directory.
Для связи с глобальным каталогом используется TCP-порт 3268 или 3269 при работе по протоколу LDAP и LDAPS соответственно.
Как работает Active Directory?
Сервисы Active Directory являются частью операционной системы Microsoft Windows Server и устанавливаются в качестве одной или нескольких её ролей.
Основной из них является роль доменные службы Active Directory (Active Directory Domain Services, AD DS) — она используется для организации в защищённую логическую структуру всех объектов сети. Полученная иерархическая схема является независимой от физического расположения объектов и топологии сети. Это значительно упрощает администрирование и настройку доступа, например, изменение физического расположения компьютера не повлияет на его роль в структуре AD. AD FS может использоваться также для организации двухфакторной аутентификации, например, с помощью расширения Indeed AM ADFS Extension.
Основными операциями при работе с Active Directory являются аутентификация пользователей, а также поиск, модификация и сравнение объектов. Эти функции реализуются с помощью протокола LDAP.
Кроме AD DS, могут устанавливаться дополнительные роли, расширяющие возможности использования AD: шифрование чувствительных данных, единый вход без повторной аутентификации пользователей на различные веб-сервисы в сети и пр.
Active Directory содержит:
- Хранилище данных — часть службы каталогов, которая управляет хранением и предоставлением информации на каждом контроллере домена. Данные хранятся в структурированной базе данных (БД), которая иначе называется каталог и содержит совокупность всех объектов AD. Каждый из них относится к определённому классу (пользователи, компьютеры, домены и т.д.). В свою очередь, все объекты каждого класса имеют одинаковый набор атрибутов;
- Схему — совокупность определений классов и атрибутов (именованных параметров) объектов. Она стандартизирует, как данные хранятся в хранилище, и благодаря этому позволяет получать информацию (как сказано выше, используется для этого протокол LDAP);
- Леса, деревья, домены и организационные подразделения — ключевые элементы логической структуры AD, которые были подробно рассмотрены ранее.
Для конвертации зарегистрированных в структуре Active Directory имён сетевых ресурсов (компьютеров, принтеров и пр.) в IP-адреса используется интеграция с DNS (Domain Name System, системой доменных имён). Это позволяет, например, пользователям получить доступ к компьютерам, а компьютерам — к контроллерам доменов.
Каждый объект в AD представляет собой LDAP-запись, состоящую из набора атрибутов и их значений, которые в совокупности полностью его описывают. Например, объект класса сотрудник содержит атрибут email, который выглядит следующим образом: mail: user@example.com.
В итоге вся запись для сотрудника, принадлежащего классу employee, может иметь такой вид:
dn: cn=Ivan Petrov,ou=employee,dc=example,dc=com
objectclass: employee
sn: Petrov
cn: Ivan Petrov
mail: petrov@example.com
ou: people
Обратим внимание на значение первого атрибута записи: cn=Ivan Petrov,ou=employee,dc=example,dc=com. Это уникальное имя (Distinguished Name, DN), которое однозначно идентифицирует запись в пределах леса и представляет собой полный путь от корневой записи AD до рассматриваемого объекта. В данном случае запись, содержащая сведения о сотруднике Ivan Petrov, является дочерней записью организационного подразделения ou=employee, а у неё в качестве родителя выступает доменное имя example.com. При этом значения, уникальные в пределах своей родительской записи, называются относительным уникальным именем (Relative Distinguished Name, RDN). Например, cn=Ivan Petrov — RDN по отношению к ou=employee. Совокупность всех RDN в виде иерархической цепочки и составляет DN каждой записи.
Схематически это можно изобразить таким образом:
Значения атрибутов можно использовать для фильтров поиска объектов AD, а значения DN — чтобы однозначно идентифицировать объект (например, для его модификации).
Преимущества Active Directory/LDAP в ВКС
Участники видеоконференции могут быть «разбросаны» по разным местам (разные города, страны и даже континенты). Число пользователей сервера видеоконференцсвязи может варьироваться от единиц до сотен тысяч. В этом случае Active Directory/LDAP значительно облегчает работу администратора, который занимается обслуживанием каталога корпоративных пользователей.
Интеграция со службами каталогов по протоколу LDAP избавляет администратора от повторного заведения учётных записей в панели управления сервером, что значительно экономит его время. Пользователи, в свою очередь, избавляются от сеанса повторной авторизации. Active Directory/LDAP даёт возможность использовать на ВКС терминале существующий механизм авторизации без необходимости повторного ввода своего логина и пароля вначале работы (механизм единого входа, SSO). Если протокол LDAP будет использоваться в локальной сети, пользователь сможет подключаться и аутентифицироваться на любом компьютере, который входит в корпоративную сеть.
FAQ
Как именно работает механизм единого входа (SSO) при интеграции ВКС-сервера с Active Directory?
При настройке SSO через LDAP или AD система видеосвязи автоматически проверяет доменные учётные данные пользователя, избавляя его от необходимости вводить логин и пароль повторно. В TrueConf Server этот механизм реализован максимально бесшовно: авторизованный в корпоративной сети сотрудник может подключаться к видеоконференциям в один клик, используя свои стандартные доменные права.
Насколько безопасно использовать обычный порт LDAP (389) для аутентификации, или обязательно нужен LDAPS?
Использование незащищенного LDAP рискованно, так как учётные данные и атрибуты могут быть перехвачены при передаче по сети. Для защиты корпоративных коммуникаций настоятельно рекомендуется применять LDAPS (порт 636) с TLS/SSL-шифрованием, что полностью поддерживается TrueConf Server для безопасной аутентификации пользователей без угрозы утечки паролей.
Можно ли использовать LDAP для авторизации в системе видеосвязи, если в компании нет Microsoft Active Directory?
Да, LDAP является открытым стандартом и успешно работает с множеством других служб каталогов, таких как OpenLDAP, FreeIPA или 389 Directory Server. TrueConf Server поддерживает стандартные протоколы LDAP/LDAPS, позволяя организациям с любой ИТ-инфраструктурой настроить централизованную аутентификацию без привязки к продуктам Microsoft.
Что происходит с доступом к видеоконференциям, если сотрудник уволен и его учётная запись заблокирована в Active Directory?
При интеграции со службой каталогов изменения в AD автоматически синхронизируются с сервером видеосвязи. В TrueConf отключение или удаление доменной учётной записи мгновенно лишает бывшего сотрудника доступа к корпоративным видеоконференциям и чатам, что исключает риски утечки информации и избавляет администраторов от ручной очистки прав.
Как интеграция с Active Directory помогает администрировать ВКС-сервер при тысячах пользователей в разных филиалах?
LDAP позволяет серверу видеосвязи автоматически импортировать структуру организации, включая леса, деревья и домены, вместе с правами доступа. Благодаря этому TrueConf Server способен масштабироваться на десятки тысяч пользователей, автоматически применяя групповые политики AD для разграничения прав на создание конференций и управление комнатами без ручного ввода каждого аккаунта.
Нужно ли конечным пользователям устанавливать дополнительное ПО для аутентификации через Active Directory при подключении к видеозвонку?
Нет, при корректной настройке SSO и интеграции с доменом процесс авторизации происходит скрыто и не требует действий со стороны пользователя. Клиентские приложения TrueConf для Windows, macOS, Linux и мобильных ОС, а также веб-версия, автоматически подхватывают доменные учётные данные, обеспечивая мгновенный и безопасный вход на видеоконференцию.








Следите за нами в соц. сетях