👀 Пока контроль доступа работает, о нём не думают. А стоит!
На Хабре вышла новая статья нашего коллеги Дмитрия Закорючкина – про механизмы контроля доступа в Avanpost Directory Service. Не про ролевую модель, а именно про то, как каталог решает, кому и что он позволяет делать 💡
Тема звучит скучно до того момента, пока скомпрометированная сервисная учётка не открывает доступ ко всей инфраструктуре. А каталог – это как раз та точка, через которую аутентифицируется и авторизуется всё.
🖥 В статье:
🔵 Почему принцип наименьших привилегий для службы каталогов критичнее, чем для любой другой системы
🔵 Честный разбор чужих механизмов: NT ACL в Active Directory, ACI во FreeIPA / 389 DS и olcAccess в OpenLDAP
🔵 Почему за основу мы взяли логику NT ACL и что в нашей реализации сделали иначе
🔵 Какие особенности есть в Avanpost DS, включая фильтры безопасности групповых политик и хранение DNS-записей
В следующий раз обсудим ролевую модель и аудит, если интересно, ставьте реакции ☺️
