👀 Как повзрослел запрос на импортозамещение AD
Ещё пару лет назад типичный запрос на импортозамещение Active Directory звучал примерно так: нужно что-то похожее на AD, только отечественное. Сегодня запрос стал заметно конкретнее – и это хороший знак 😈
Вот что волнует крупные компании при выборе импортонезависимой службы
каталога:
⭐️ Совместимость с тем, что уже есть
Никто не строит инфраструктуру с нуля. Есть legacy, внутренние сервисы, разные системы и внутренние зависимости. Поэтому заказчики смотрят не только на функции, но и на то, как новое решение встроится в существующий ИТ-ландшафт.
⭐️ Доверительные отношения
В зависимости от архитектуры и этапа миграции могут потребоваться и двусторонние, и односторонние доверительные отношения. Особенно если переход планируется постепенно.
⭐️ Понятный сценарий перехода
Заказчики хотят видеть маршрут: этапы, риски, сохранение доступов, откатные сценарии и понимание, что может пойти не по плану.
⭐️ Групповые политики с акцентом на безопасность
Полное повторение роли AD в части управления ОС нужно не всем. Linux-среды нередко закрываются отдельными инструментами. А вот парольные политики, политики хода в систему – must have практически везде.
⭐️ Сохранение SID и групповой вложенности
Доступ в AD завязан на идентификаторы безопасности (SID). При миграции важно сохранить старые SID через механизм SIDHistory, иначе пользователь «переезжает», а доступ к ресурсам нет.
И отдельно: доступы почти всегда выдаются через группы. Потеряли структуру вложенности, и миграция превращается в квест по восстановлению того, что «раньше просто работало».
⭐️ Прозрачная аутентификация Kerberos и LDAP
Kerberos обычно закрывается через доверие. С LDAP сложнее: доверительные отношения не предусматривают LDAP аутентификации, поэтому если пользователь и приложение находятся в разных доменах, доверия недостаточно. Здесь нужен LDAP Proxy.
Рынок взрослеет. И вопросы, которые сегодня задают заказчики, это подтверждают ☝️
