MULTIDIRECTORY – полный обзор российской службы каталогов

Что является центром серьезной информационной сети организации? ИТ-администраторы скажут «центральный маршрутизатор», сотрудники отдела ИБ назовут SIEM-систему, куда со всей локальной сети стекаются события безопасности. Но, безусловно, одним из основополагающих элементов является служба каталогов, другими словами, контроллер домена организации. Когда необходимо управлять доступом сотен пользователей ко множеству сервисов, параллельно контролируя настройки безопасности на серверах и рабочих станциях, трудно обойтись без единой консоли для этого.

Самым популярным решением для службы каталогов долгое время был Microsoft Active Directory. Но уход Microsoft с российского рынка заставил многие компании срочно искать удобную и надежную альтернативу. Причем ввиду сложности и важности системы такая альтернатива должна быть не просто форком open-source продукта, а вендорским решением с технической поддержкой и планами стабильного развития продукта.

В данном обзоре мы рассмотрим службу каталогов MULTIDIRECTORY от российской компании МУЛЬТИФАКТОР – ее Enterprise-версию 2.7.0.

Архитектура и технологический стек

MULTIDIRECTORY построен на собственном ядре, написанном на Python без использования сторонних open-source компонентов (FreeIPA или Samba). В качестве СУБД используется PostgreSQL.

Продукт разворачивается в Docker-контейнерах, а для оркестрации применяется Docker Compose. В качестве обратного прокси и балансировщика нагрузки используется Traefik.

Такая архитектура обеспечивает горизонтальное масштабирование и отказоустойчивость.

Ключевое конкурентное преимущество – полная независимость от зарубежных проприетарных компонентов. Как отметил генеральный директор компании МУЛЬТИФАКТОР Константин Ян: «MULTIDIRECTORY – это продукт, разработанный российской компанией, максимально абстрагированный и защищенный от санкционных рисков. Кроме того, он не базируется на проприетарных и open-source продуктах и не несет их ограничений. Мы гордимся тем, что выпустили новый российский мультиплатформенный LDAP-каталог со встроенной поддержкой второго фактора».

Что нового в версии Enterprise 2.7.0

Релиз Enterprise 2.7.0 от 28 января 2026 года нацелен на улучшение администрирования и безопасности. Руководитель продукта MULTIDIRECTORY Дмитрий Макаров выделил главные нововведения: глобальный каталог для упрощенного доступа к ресурсам, очистку истории паролей и запрет удаления системных объектов.

Global Catalog (глобальный каталог) – централизованная база данных, предоставляющая глобальное представление ключевой информации обо всех пользователях, группах и ресурсах в распределенной инфраструктуре. Он работает как быстрый поисковый индекс организации, ускоряя процессы входа в систему и поиска данных.

Поддержка LDAPS-соединений при настройке доверия между доменами. При построении кросс-доменного взаимодействия MULTIDIRECTORY теперь поддерживает шифрованные SSL/TLS-соединения (LDAPS) с возможностью загрузки собственного сертификата удостоверяющего центра (Root CA). Это существенно усиливает защиту от MitM-атак и обеспечивает конфиденциальность сетевого трафика.

Дополнительные нововведения, доступные в обеих версиях: новая сущность «Контакт» для хранения информации о внешних лицах (партнеры, заказчики, подрядчики); очистка истории паролей вручную администратором; запрет на удаление и перемещение системных контейнеров для защиты критически важных элементов; переименование организационной единицы Services в System; принудительная смена пароля Kerberos-принципала при обнаружении дублирующей LDAP-записи.

Подробнее о MULTIDIRECTORY Enterprise V2.7.0 можно прочитать на официальном сайте.

Возможности MULTIDIRECTORY

Рассмотрим возможности MULTIDIRECTORY подробнее.

1. Управление доступом (IAM) и политиками безопасности

MULTIDIRECTORY позволяет централизованно управлять учетными записями, ролями и политиками безопасности. Структура каталога MULTIDIRECTORY аналогична Active Directory, включая стандартные LDAP-атрибуты и схемы объектов, что позволяет приложениям, ориентированным на Microsoft Active Directory, работать без изменения логики. Есть возможность использовать свои атрибуты объектов.

Для облегчения поиска объектов в инфраструктуре в недавнем обновлении

Фрагмент настроек объекта типа «пользователь»

Для удобства централизованного администрирования существуют различные политики:

• парольные политики задают требования к паролям: минимальную длину, сложность, периодичность обязательной смены, запрет на повторное использование предыдущих паролей, а также параметры блокировки учетной записи после серии неудачных попыток входа. Опционально можно включить черный список паролей – конкретные запрещенные к использованию популярные пароли вроде P@ssw0rd. Коробочный список содержит 100 паролей, и администратор может добавлять туда значения по своему усмотрению. Поддерживаются кириллические пароли. Можно назначать индивидуальные парольные политики для разных групп пользователей. Парольные политики синхронизированы между Kerberos и LDAP;

• групповые политики задают допустимые параметры различных аспектов безопасности на устройствах (конфигурации SSH, аудита, использование USB и т.п.). Применение политик безопасности можно отслеживать в интерфейсе MULTIDIRECTORY;

• политики доступа позволяют настраивать для каждой группы пользователей и для сервера назначения разрешенные протоколы аутентификации, обязательность применения MFA в зависимости от протокола (LDAP, Kerberos, HTTP). Платформа может быть интегрирована с облачным сервисом MULTIFACTOR, обеспечивающим двухфакторную аутентификацию для всех ключевых протоколов LDAP, Kerberos и HTTP. Например, при аутентификации пользователя Kerberos запрос отправляется в систему MULTIFACTOR, и только после подтверждения второго фактора через push-уведомление выдается TGT-билет. Благодаря политике Bypass система может автоматически разрешить доступ, если сервис MULTIFACTOR временно недоступен. Для пользователей доступен портал самообслуживания для самостоятельной настройки второго фактора.

В качестве дополнительной меры управления безопасностью MULTIDIRECTORY позволяет администраторам просматривать сводку по активным сессиям и принудительно завершать их при необходимости.

2. SSO

MULTIDIRECTORY обеспечивает SSO для бесшовной аутентификации пользователей в сетевых сервисах, веб-приложениях и на устройствах (локальный вход и SSH-аутентификация на Linux-серверах, Windows-устройства в планах на 2 квартал 2026 года).

Поддерживаются следующие стандарты:

• Kerberos
• LDAP/LDAPS
• SAML, OIDC, OAuth (при использовании MULTIFACTOR)
• RADIUS (при использовании MULTIFACTOR Radius Adapter)

Для каждого сервиса, куда производится вход, можно через политику доступа гранулярно настраивать обязательное подтверждение через push-уведомление от MULTIFACTOR. Таким образом, после входа в свой аккаунт пользователь может, например, войти в почту без дополнительного подтверждения – но для входа в корпоративную ERP ему понадобится ввести второй фактор.

3. Доверие доменов: Realm-доверие и LDAP-Forward

Если необходимо обеспечить интеграцию MULTIDIRECTORY с Microsoft Active Directory или другими каталогами, можно настроить двустороннее Realm-доверие для полноценной кросс-доменной Kerberos-аутентификации (пользователи доменов смогут входить на ресурсы друг друга) либо одностороннее доверие типа LDAP-Forward с поддержкой загрузки root-сертификата для защищенного LDAPS-соединения между доменами.

4. Встроенные DNS и DHCP-серверы

Как и полагается центральному серверу службы каталогов, MULTIDIRECTORY содержит встроенный DNS-сервер. Реализована поддержка условной переадресации DNS (DNS Conditional Forwarders), обеспечивающей корректное разрешение имен между доверенными доменами, а также TSIG-ключей для интеграции с внешними DNS-серверами. Управление зонами DNS и зонами пересылки доступно через веб-интерфейс. Встроенный DHCP-сервер автоматически раздает IP-адреса, маски подсетей, адреса шлюза и DNS-серверов устройствам во внутренней сети.

5. Отказоустойчивая архитектура

В архитектуре MULTIDIRECTORY предусмотрена возможность построения отказоустойчивого кластера. СУБД PostgreSQL реплицируется через Patroni и etcd, а HAProxy обеспечивает балансировку нагрузки и высокую доступность LDAP/Kerberos-запросов. Кроме того, ПО MULTIDIRECTORY изначально работает в контейнерах – в случае проблем переразвертывание сервиса займет не больше нескольких минут (и может быть автоматизировано при провале healthcheck).

6. Консоль MULTIDIRECTORY: ролевая модель и безопасность

В MULTIDIRECTORY используется гибкая ролевая модель (RBAC) с возможностью создать произвольную роль с индивидуальным набором прав. По умолчанию доступны роли Domain Admins, Read Only и Kerberos Role. При создании или изменении роли задается одна или несколько групп, члены которых получат эту роль. Область действия правил настраивается тремя способами: «Этот объект», «Один уровень» (вложенности) и «Все поддерево». Разрешения включают создание дочерних объектов, удаление, чтение и запись. Предусмотрена системная защита от удаления последнего администратора – нельзя исключить последнего члена группы Domain Admins.

MULTIDIRECTORY производит детальное журналирование событий консоли, есть возможность настройки отправки событий (к примеру, в SIEM) по syslog.

7. Наличие REST API

MULTIDIRECTORY предоставляет REST API для управления каталогом, Kerberos, политиками безопасности, DNS, сессиями и другими компонентами службы каталогов. API позволяет автоматизировать конфигурации, интегрировать сервис с CI/CD, SIEM и системами сопровождения. Примеры вызовов включают настройки доверенных доменов, генерацию keytab-файлов и управление политиками доступа с параметрами MFA и TTL.

Экосистема продуктов, поддерживаемые интеграции

MULTIDIRECTORY интегрируется с другим продуктом компании MULTIFACTOR, что позволяет поддерживать аутентификацию в клиентских приложениях по протоколам SAML, OIDC, OAuth, RADIUS. Для повышения удобства использования разработчики постоянно добавляют готовые инструкции по настройке клиентских приложений, уже есть инструкции для:

• Автоматизация бизнеса: ELMA365
• LDAP-аутентификация на SSH-клиенте
• Менеджеры паролей и секретов: Пассворк, Vault, BearPass, StarVault / Nova
• Почтовые системы: DeepMail, Kerio Connect, RuPost, TEGU
• Системы для видеоконференций: Apache OpenMeetings, IVA MCU, TrueConf, Zimbra
• Системы единого рабочего пространства: VK Workspace
• Системы мониторинга: Grafana, Kibana, Zabbix
• Системы управления печатью: Print-X
• Системы управления проектами и знаниями: Confluence, Jira, Snipe-IT
• Телефония и VoIP: FreePBX
• Управление доступом и идентификацией (IAM/SSO): Authelia, Keycloak
• Файловые хранилища: S3 MinIO, Nextсloud, ownCloud, Seafile
• DevOps, CI/CD и управление инфраструктурой: Ansible AWX, argoCD, GitLab, GitFlic, Jenkins, Harbor, Nexus, PostgreSQL, Proxmox VE, Rancher
• VPN и сетевой доступ: Континент 4, OpenVPN, UserGate NGFW

Установка и первоначальная настройка

Сервер каталогов MULTIDIRECTORY устанавливается в контейнерном исполнении на любой хост, поддерживающий контейнеризацию с помощью Docker: Linux (например, Astra Linux, Ubuntu, Debian) или Windows. Данные хранятся в БД PostgreSQL (может использоваться СУБД, разворачиваемая как один из контейнеров MULTIDIRECTORY, либо внешняя СУБД).

Требования для работы 1000 пользователей:

• 4 CPU
• 8 GB RAM
• 40 GB HDD

Установка (создание и запуск контейнеров) достаточно простая и выполняется готовым скриптом, поставляемым производителем. При установке ключевые сервисы (Kerberos, DNS) конфигурируются автоматически.

MULTIDIRECTORY поддерживает сценарии бесшовной миграции с Microsoft Active Directory с акцентом на нулевой простой. Все настройки выполняются на стороне серверов, и пользователи не замечают процесса перехода. MULTIDIRECTORY обеспечивает проксирование запросов в MS AD: немигрированные сервисы продолжают работать без изменений, а пароли пользователей остаются в Active Directory до полного переноса учетных записей. Данные можно переносить одномоментно или поэтапно благодаря доверительным отношениям между доменами. Поддерживается работа со всеми сервисами AD, за исключением Exchange и SharePoint. Дополнительно подтверждена совместимость с Pragmatic Tools Migrator – специализированным инструментом для автоматизированной миграции, который обеспечивает перенос организационной структуры, учетных записей (включая пароли), групп и групповых политик, а также синхронизацию матрицы доступа файлового сервера.

Схема взаимодействия компонентов MULTIDIRECTORY (объединены под цифрой 4). Компоненты DNS Server (11) и PostgreSQL могут быть вынесены на отдельные серверы.

Лицензирование и сертификаты

Стоимость лицензии MULTIDIRECTORY определяется количеством пользователей, которых можно будет создать в домене, цена лицензии за пользователя снижается в зависимости от общего количества приобретаемых лицензий.

MULTIDIRECTORY зарегистрирован в Реестре отечественного ПО, запись №28333 от 06.06.2025.

Компания МУЛЬТИФАКТОР является лицензиатом ФСТЭК России. В октябре 2025 года компания прошла сертификацию PCI DSS v4.0.1.

Заключение

MULTIDIRECTORY – это зрелый, технологически независимый продукт, который за два года активной разработки (2024 год – старт Community-версии, 2025 год старт Enterprise версии) вырос из базового LDAP-каталога в полноценную службу каталогов корпоративного уровня.

Три ключевых свойства выделяют продукт на российском рынке:

• Собственное ядро на Python/PostgreSQL без зависимости от FreeIPA или Samba,
• 2FA на уровне каждого протокола (включая уникальную реализацию в Kerberos)
• Проксирование запросов в Active Directory для миграции с нулевым простоем.

Docker-развертывание за минуты, Realm-доверие и опции легкой миграции делают MULTIDIRECTORY доступным для быстрого импортозамещения Microsoft Active Directory. Разработчики планируют в будущих релизах добавить возможность настройки кросс-доменного взаимодействия типа «Лес» с Microsoft AD, что еще больше упростит переход и позволит работать в гетерогенной среде.

Компания создала открытый чат в Telegram для обсуждения продукта, вы можете к нему присоединиться и узнать у разработчиков напрямую о решении: t.me/multidirectory_community.

Сайт решения: multidirectory.ru

Реклама. ООО «МУЛЬТИФАКТОР», ИНН: 9725026066, Erid: 2SDnjd3zsVb