Добавить в корзинуПозвонить
Найти в Дзене
AVANPOST
828 подписчиков

☝️ ID-mapping в Avanpost DS: как мы обеспечиваем уникальные идентификаторы для доверенных доменов

1 мин
? Для корректной работы инфраструктуры, включающей домены Active Directory и Avanpost DS, (или несколько доменов Avanpost DS), необходим способ преобразования и сопоставления уникальных идентификаторов пользователей из доверенных доменов. ☝️ Основная задача здесь состоит в том, чтобы не допустить пересечения идентификаторов безопасности для нескольких пользователей или групп: 🔘 Идентификаторы участников безопасности в Windows представлены в виде SID (security identifier). SID включает в себя уникальный доменный префикс и идентификатор самого участника безопасности. Такая структура позволяет обеспечить уникальность идентификаторов безопасности в Windows экосистеме. 🔘 В то же время авторизация в Linux среде основана на POSIX идентификаторах – uidnumber/gidnumber, представляющих собой целое число без разбивки на префиксы. Использовать их напрямую из доверенных доменов нельзя, возникает риск пересечения идентификаторов безопасности. Именно для Linux окружения и реализуется в Avanpost

☝️ ID-mapping в Avanpost DS: как мы обеспечиваем уникальные идентификаторы для доверенных доменов?

Для корректной работы инфраструктуры, включающей домены Active Directory и Avanpost DS, (или несколько доменов Avanpost DS), необходим способ преобразования и сопоставления уникальных идентификаторов пользователей из доверенных доменов.

☝️ Основная задача здесь состоит в том, чтобы не допустить пересечения идентификаторов безопасности для нескольких пользователей или групп:

🔘 Идентификаторы участников безопасности в Windows представлены в виде SID (security identifier). SID включает в себя уникальный доменный префикс и идентификатор самого участника безопасности. Такая структура позволяет обеспечить уникальность идентификаторов безопасности в Windows экосистеме.

🔘 В то же время авторизация в Linux среде основана на POSIX идентификаторах – uidnumber/gidnumber, представляющих собой целое число без разбивки на префиксы. Использовать их напрямую из доверенных доменов нельзя, возникает риск пересечения идентификаторов безопасности. Именно для Linux окружения и реализуется в Avanpost DS механизм ID-Mapping.

🔘 Контроллеры домена Avanpost DS управляют всеми типами уникальных идентификаторов для доменных пользователей и групп, поддерживая внутри домена уникальность SID и uidnumber/gidnumber идентификаторов за счёт реализации механизма RID Master (роль хозяина относительных идентификаторов) по аналогии с MS AD.

🔘 А для участников безопасности из доверенных доменов в Avanpost DS регистрируются при запросе специальные объекты – ForeignPrincipal – в которых содержится ссылка на фактического пользователя доверенного домена и уникальный POSIX идентификатор из диапазона нашего домена.

Именно из ForeignPrincipal объекта мы и получаем идентификаторы для авторизации пользователя на доменном клиенте (а ещё используем этот объект для включения пользователя доверенного домена в группы нашего домена для предоставления доступа к ресурсам).

Механизм ID-mapping в Avanpost DS позволяет администраторам не беспокоится о проблемах с идентификаторами в разветвленной инфраструктуре. Доверительные отношения настраиваются очень просто в веб-интерфейсе Avanpost DS 🙂

🅰️ Подписаться на Avanpost

Гаджеты и электроника
5,73 млн интересуются