Экспертная статья: гранулярное восстановление и обеспечение жизненного цикла каталогов Linux

Вигель Антонов

В современных корпоративных сетях служба каталогов выполняет роль системного «позвоночника» – ее стабильность определяет работоспособность всей информационной инфраструктуры. Это технологический фундамент, на котором держится вся цифровая инфраструктура компании: от базовых сервисов аутентификации до критически важных бизнес-приложений. Любой сбой в работе каталога мгновенно парализует доступ к корпоративным ресурсам и останавливает ключевые бизнес-процессы.  Особую уязвимость это создает для географически распределенных инфраструктур, функционирующих в рамках единого управляемого пространства.

Как критически важный компонент ИТ-архитектуры, служба каталогов требует особого уровня поддержки. Однако, стандартные средства обеспечения жизненного цикла каталогов обладают существенными ограничениями. Они не способны оперативно помочь при некоторых аварийных сценариях и демонстрируют недостаточную эффективность при выполнении повседневных операций администрирования.

 Для сложных корпоративных сред с десятками тысяч объектов каталога и разветвленной иерархической структурой критически важна возможность точечного восстановления отдельных элементов. Гранулярный подход позволяет работать не только с базовыми сущностями – пользователями, компьютерами и организационными единицами, но и с их атрибутами, членством в группах, схемой распределения прав и другими сервисными параметрами.

В условиях высокой динамики корпоративной среды, где состав объектов каталога и их конфигурации постоянно изменяются, особую важность приобретает возможность избирательного отката. Речь идет о возврате не всей системы, а только определенных данных к нужному состоянию на заданный момент времени. Ключевые требования при этом – оперативность и минимальное влияние на работоспособность остальных служб.

Как ключевой сервис аутентификации и авторизации, служба каталогов требует особо надежных механизмов защиты. Однако традиционные средства резервного копирования ориентированы преимущественно на катастрофные сценарии – физические повреждения   при пожарах, потопах или масштабных кибератаках, когда необходимо полное восстановление служб. Хотя такие ситуации возможны, возникают они относительно редко.

Гораздо чаще происходят частичные повреждения данных: из-за ошибок администрирования, сбоев автоматизированных процессов или некорректной работы скриптов. Здесь классические системы восстановления оказываются слишком медленными и неэффективными, тогда как гранулярный подход позволяет мгновенно восстановить только поврежденные компоненты без остановки работы системы.

Уровни резервного копирования и восстановления каталога безопасности

Поддержка службы каталогов охватывает не только резервное копирование и восстановление, но и другие повседневные задачи: поиск и анализ данных, массовое изменение объектов, диагностику проблем. Для службы каталогов Microsoft Active Directory существует множество специализированных решений. Однако для Linux-ориентированных служб каталогов ALD Pro, FreeIPA, РЕД АДМ и Альт Домен аналогичные инструменты долгое время отсутствовали.

В условиях импортозамещения и стратегической важности отечественных ИТ-решений российский разработчик «МД Информационные Системы» представил комплекс Granulex, закрывающий критический пробел в инструментарии для Linux-каталогов. Это первое российское решение, обеспечивающее полный жизненный цикл управления службами каталогов с функцией гранулярного восстановления – технологией, ранее недоступной для отечественных Linux-платформ.

Решение получило официальные сертификаты совместимости от ведущих разработчиков российских каталогов – ALD Pro (РусБИТех-Астра), Альт Домен (Базальт СПО) и РЕД АДМ (РЕД СОФТ), подтвердивших полную интеграционную совместимость. С этими компаниями заключены соглашения о стратегическом партнерстве.

Факт включения в Единый реестр российского ПО (регистрационный № 22969 от 28.06.2024) подтверждает соответствие решения государственным стандартам и его значимость для технологического суверенитета.

Для сравнения, аналогичные функции в экосистеме Microsoft Active Directory реализованы разрозненными инструментами:

• гранулярное восстановление (аналоги Granulex Recovery): Quest Recovery Manager, ManageEngine RecoveryManager Plus;
• просмотр сырых данных каталога (аналоги Granulex Viewer): ADSI Edit, Apache Directory Studio;
• диагностика репликации (аналоги Granulex Insight): Microsoft RepAdmin, SolarWinds AD Health Check;
• генерация тестовых данных (аналоги Granulex Generator): Specops Data Generator, PowerShell AD Test Data Generator.

Функциональность

Продуктовая линейка Granulex для Linux-сред предлагает принципиально новый подход к работе со службами каталогов, выходящий за рамки классического резервного копирования. Решение предоставляет администраторам уникальный набор функций, включая гранулярное восстановление отдельных объектов и их атрибутов, параллельный просмотр данных в исходных каталогах Active Directory и Linux при миграции, а также комплексную диагностику репликации между контроллерами и генерацию тестовых сред для миграционных сценариев. Особую практическую ценность Granulex демонстрирует в типовых ситуациях частичного повреждения данных, когда при сохранении общей работоспособности инфраструктуры требуется точечное восстановление конкретных ошибочно измененных или удаленных элементов без необходимости полного отката системы.

Основным компонентом программного комплекса Granulex выступает инструмент Granulex Recovery, обеспечивающий резервное копирование и гранулярное восстановление объектов каталога. Решение предоставляет администратору необходимые средства для коррекции логических ошибок и отката службы каталогов к стабильным состояниям.

Granulex Recovery поддерживает работу со следующими службами каталогов LDAP:

• FreeIPA – свободно распространяемое программное обеспечение;
• программный комплекс ALD Pro – коммерческий продукт компании «РусБИТех-Астра», использующий FreeIPA;
• Samba DC – свободно распространяемое программное обеспечение;
• «Альт Домен» – продукт компании «Базальт СПО»;
• «РЕД АДМ» – продукт компании «РЕД СОФТ»;
• Avanpost DS – продукт компании «Аванпост»;
• другие типы каталогов, поддерживающие стандарт LDAP v3.

Granulex Recovery позволяет решать задачи обеспечения стабильности функционирования сервисов корпоративного домена, а также задачи его аварийного восстановления включая:

• создание резервных копий данных каталога LDAP в автоматическом и ручном режимах;
• сравнение данных в резервной копии с текущим состоянием каталога LDAP с отображением обнаруженных расхождений и несоответствий;
• выборочное гранулярное восстановление отдельных объектов каталога LDAP и их атрибутов;
• восстановление объектов и атрибутов каталога LDAP без прерывания функционирования сервисов домена.

Функциональные возможности Granulex Recovery постоянно расширяются. На текущий момент инструмент предоставляет следующие ключевые функции:

• автоматическое резервное копирование данных каталога LDAP по расписанию (выбор одного или нескольких контроллеров домена для резервирования, гибкая настройка периодичности и времени создания копий);
• ручное резервное копирование данных LDAP-каталога;
• сравнение текущего состояния любых объектов и атрибутов с их состоянием в выбранной резервной копии;
• выборочное гранулярное восстановление и откат изменений объектов каталога LDAP;
• восстановление расширенного состава объектов (роли, привилегии, разрешения, групповые политики, контейнеры и подразделения);
• восстановление атрибутов контроля доступа ACI объектов каталога;
• возможность восстановления объектов каталога LDAP из «Корзины» (перемещение объектов, восстановление значений атрибутов)
• формирование отчетов в форматах PDF и CSV (детальный отчет по результатам операции сравнения и по объектам, выбранным для восстановления);
• применение настраиваемых фильтров для операций сравнения;
• настройка нескольких независимых расписаний автоматического резервного копирования, где для каждого расписания может быть задан индивидуальный набор контроллеров домена;
• рассылка уведомлений по электронной почте на заданные адреса.

Granulex Recovery реализует строгое разделение полномочий между операторами резервного копирования и администраторами домена, обеспечивая детализированный контроль доступа к функциям и данным системы в соответствии с ролевой моделью. Решение поддерживает выбор конкретного контроллера домена для точечного восстановления и предоставляет полнофункциональный REST API для интеграции с внешними системами.

Интерфейс Granulex Recovery. Автоматическое создание резервных копий

Интерфейс Granulex Recovery. Сравнение состояния объектов в резервной копии и текущем состоянии каталога

Granulex Viewer представляет собой специализированный инструмент для просмотра и анализа содержимого LDAP-каталогов. Решение обеспечивает полномасштабный доступ к данным каталога, позволяя администраторам осуществлять детальный просмотр структуры объектов и их атрибутов, а также выполнять расширенный поиск по заданным параметрам. Поддерживается работа со всеми основными LDAP-совместимыми службами каталогов:

• FreeIPA – свободно распространяемое программное обеспечение;
• программный комплекс ALD Pro – продукт компании «РусБИТех-Астра», использующий FreeIPA;
• Active Directory (AD) – продукт компании Microsoft;
• Samba DC – свободно распространяемое программное обеспечение;
• «Альт Домен» – коммерческий продукт компании «Базальт СПО»;
• «РЕД АДМ» – коммерческий продукт компании «РЕД СОФТ»;
• Avanpost DS – коммерческий продукт компании «Аванпост»;
• другие типы каталогов, поддерживающие стандарт LDAP v3.

Инструмент Granulex Viewer в текущей версии предоставляет следующий набор функциональных возможностей:

• отображение структуры LDAP-каталога и его объектов в виде интерактивного иерархического дерева с поддержкой навигации по всем уровням вложенности;
• просмотр и анализ схемы LDAP-каталога с возможностью изучения всех зарегистрированных классов объектов и их атрибутов;
• получение списка доступных naming-контекстов и мгновенное переключение между ними для работы с разными разделами каталога;
• отображение статистической информации о количестве обрабатываемых объектов как при навигации по дереву каталога, так и при выполнении поисковых операций;
• гибкое представление атрибутов объектов в нескольких форматах отображения: текстовом, табличном, JSON и LDIF;
• интеллектуальный поиск объектов через графический конструктор запросов с поддержкой комплексной фильтрации по: области поиска, типу объекта, конкретным атрибутам, операторам сравнения и искомым значениям;
• расширенный поиск с использованием произвольных LDAP-запросов, составленных по стандартному синтаксису, с возможностью точного указания области поиска.

Granulex Viewer оснащен современным графическим интерфейсом, специально разработанным для удобной работы с LDAP-каталогами. Инструмент предоставляет гибкие возможности тонкой настройки отображения данных, позволяя администраторам адаптировать интерфейс для комфортной работы с каталогом в соответствии с индивидуальными предпочтениями и решаемыми задачами.

Интерфейс Granulex Viewer. Поиск объектов в каталоге

Granulex Insight предназначен для комплексного анализа топологии домена и диагностики состояния репликации каталога в режиме реального времени. Решение обеспечивает визуализацию связей между контроллерами домена и детальный мониторинг параметров репликации. Granulex Insight поддерживает работу со следующим службами каталогов LDAP:

• FreeIPA – свободно распространяемое программное обеспечение;
• программный комплекс ALD Pro – продукт компании «РусБИТех-Астра», использующий FreeIPA.

Программа оснащена интуитивно понятным интерфейсом и представляет следующие функциональные возможности:

• сбор информации и ее автоматическое обновление через заданный интервал времени;
• графическое отображение топологии: сайтов и контроллеров домена;
• визуализация соглашений о репликации, направлений передачи данных и их статуса;
• детальная информация об ошибках репликации.

Интерфейс Granulex Insight. Отображение топологии домена

Granulex Generator представляет собой специализированное решение для генерации тестовых данных LDAP-каталогов, максимально приближенных по своим характеристикам к реальным промышленным средам. Инструмент обеспечивает создание реалистичных данных, полностью соответствующих структуре и содержанию рабочих каталогов.

Granulex Generator не только генерирует тестовые данные, но позволяет выполнять массовые пакетные изменения данных в каталоге, позволяя имитировать как типовые операции администраторов домена, так и повседневную работу пользователей. Это делает решение незаменимым при тестировании новых конфигураций, отработке сценариев миграции, проведении нагрузочных испытаний и обучении персонала.

Granulex Generator поддерживает работу со следующим службами каталогов LDAP:

• FreeIPA – свободно распространяемое программное обеспечение;
• программный комплекс ALD Pro – коммерческий продукт компании «РусБИТех-Астра», использующий FreeIPA;
• Samba DC – свободно распространяемое программное обеспечение;
• «Альт Домен» – продукт компании «Базальт СПО»;
• «РЕД АДМ» – продукт компании «РЕД СОФТ»;
• Avanpost DS – продукт компании «Аванпост»;
• другие типы каталогов, поддерживающие стандарт LDAP v3.

Granulex Generator представляет следующие функции:

• создание объектов LDAP-каталога в диапазоне от единичных экземпляров до крупномасштабной генерации (до 1 000 000 объектов);
• массовое изменение атрибутов объектов каталога с возможностью пакетной обработки;
• автоматизированное перемешивание состава групп;
• автоматизированное изменение иерархических связей между группами.

Предусмотрены два режима создания объектов каталога. Оба метода поддерживают все виды операций с объектами каталога и могут использоваться в сочетании друг с другом:

• оффлайн-генерация: создание файла в формате LDIF для последующего импорта в каталог стандартными утилитами (например, ldapadd).
• онлайн-генерация: прямое добавление объектов в каталог через программный интерфейс (API) в реальном времени.

Данные максимально приближены к реальным: имена пользователей создаются на русском языке, а их атрибуты – имена, фамилии, должности, города, телефоны, почтовые адреса – генерируются на основе подготовленных справочников. Все это используется в случайном порядке, чтобы сделать тестовые данные максимально реалистичными. 

Дополнительные функции Granulex Generator

1. Работа с JSON-RPC API:
• получение списка ролей каталога;
• получение списка привилегий каталога;
• получение списка разрешений каталога.
2. Операции через LDAP:
• очистка контейнера deleted_users (хранение удаленных объектов);
• очистка контейнера users_history (архив изменений пользователей).

Интерфейс Granulex Generator. Массовое изменение объектов каталога

Планы развития Granulex включают добавление двух новых модулей. Granulex Auditor предоставит возможности визуализации структуры делегированных прав и аудита действий привилегированных пользователей. Granulex Admin автоматизирует рутинные задачи управления каталогом и оптимизирует процессы делегирования прав Directory Manager.

Granulex формирует комплексное решение для управления жизненным циклом служб каталогов, объединяя специализированные инструменты под единой платформой. Каждый продукт линейки решает строго определенный круг задач администрирования:

1. Granulex Recovery – резервное копирование и выборочное восстановление поврежденных объектов без необходимости полного обновления каталога;
2. Granulex Viewer – анализ и сравнение данных каталога при миграции с Microsoft AD на Linux;
3. Granulex Insight – отображение топологии домена и диагностика состояния репликации в режиме реального времени;
4. Granulex Generator – нагрузочное тестирование каталога в тестовых средах и прогнозирование возможных рисков на этапе подготовки миграции с Microsoft AD на Linux-каталог.

Программное обеспечение Granulex построено по клиент-серверной архитектуре. Серверная компонента реализована на Python с использованием стандартных библиотек, включая python-ldap для работы с протоколами каталогов. Клиентская часть разработана на TypeScript с применением фреймворка React, что обеспечивает современный и отзывчивый веб-интерфейс для администрирования. Обе компоненты взаимодействуют через REST API с сериализацией данных в JSON.

Выводы

Программное обеспечение Granulex вместе с ключевым инструментом Granulex Recovery является уникальным предложением на рынке российского ПО для комплексного решения задач защиты от деструктивных воздействий и нежелательных изменений данных каталога безопасности в Linux средах. Granulex помогает обеспечить устойчивость сетевого домена, позволяя администраторам своевременно обнаруживать ошибочные конфигурации объектов каталога и нежелательные изменения данных, а также оперативно восстанавливать консистентное состояние каталога и штатное функционирование его сервисов.

Решение Granulex сочетает простоту развертывания с удобством эксплуатации благодаря интуитивно понятному графическому интерфейсу, который может быть адаптирован под конкретные задачи администрирования. Флагманский продукт Granulex Recovery предоставляет REST API для глубокой интеграции с корпоративными ИТ-сервисами и автоматизации процессов управления жизненным циклом домена.

Granulex демонстрирует универсальность применения в организациях любого масштаба и профиля деятельности. Особую ценность решение представляет при переходе на импортозамещающие технологии, обеспечивая полную совместимость с различными архитектурами информационных систем и поддержку российских технологических стандартов.

Ключевые эксплуатационные преимущества включают сокращение сроков внедрения, минимальные требования к обучению персонала, бесшовную интеграцию в существующие ИТ-процессы и полное соответствие требованиям импортозамещения.

Решения разработчика доступны в Merlion. Подробная информация и заказ онлайн: на партнерском сайте Merlion b2b.merlion.com (при наличии доступа) или у менеджеров департамента продаж zapros_RUsoft@merlion.ru.

Запросить демонстрацию решений можно по ссылке.

Материал предоставлен директором технического центра Вигелем Антоновым.