Czym jest Active Directory bridging? Dowiedz się jak to zrobić dobrze.

Zacznijmy od podstaw. Czym jest most (bridge) Active Directory? Most Active Directory jest mechanizmem, za pomocą którego można zalogować się do systemów innych niż Windows przy użyciu poświadczeń usługi Active Directory (np. nazwa użytkownika i hasło). Dość proste, ale trzeba się też upewnić, że wszyscy rozumieją, czym most Active Directory nie jest.

AD Bridge nie jest narzędziem do administracji użytkownikami ani synchronizacji

Kiedyś, posiadając narzędzia, które dawały możliwość utrzymania synchronizacji haseł i tworzenia kont na wszystkich systemach docelowych poprzez całą gamę agentów, konektorów i polityk dawały użytkownikom wrażenie, że zostali oni zalogowani przy użyciu jednego konta. Ale to podejście było obarczone problemami.

Niektóre z oczywistych problemów z podejściem synchronizacji to: problemy z połączeniami,  agentami, radzenia sobie ze zmianami aplikacji, platform i systemów operacyjnych, czyszczenia kont (deprovisioning kont) i opóźnienia/problemy replikacji, takie jak oczekiwanie na proste resetowanie hasła aby dostać się do hosta docelowego.

Jak powinien działać most AD?

Most Active Directory powinien umożliwić korzystanie z poświadczeń usługi Active Directory w celu uwierzytelnienia w Active Directory w taki sam sposób jak zachowuje się klient Windows (np. Windows 8, Windows 10, itd.). Przecież nie robimy kopii wszystkich użytkowników Active Directory na każdej stacji roboczej. Zamiast tego stacja robocza korzysta z czegoś, co nazywa się Kerberos do sprawdzania poprawności poświadczeń użytkownika w katalogu.

Dlaczego AD?

Active Directory nie musi być jedyną platformą usługi katalogowej, ale nie ma wątpliwości, że zdominowała przestrzeń i występuje w prawie każdej dzisiejszej sieci biznesowej. Chociaż zazwyczaj nie jest autorytatywnym źródłem danych użytkowników (jest to zwykle system HR), niemal każdy użytkownik będzie w końcu korzystał z poświadczeń AD. Dlatego AD jest zwykle traktowane jako najbardziej obszerna baza danych z informacjami na temat logowania do kont w większości sieci. Ponadto, z takim wykorzystaniem usługi Active Directory, katalog ten będzie prawdopodobnie najbardziej solidny pod względem dostępności i dokładny pod względem danych konta. To czyni go idealnym wyborem jako dostawcy usług uwierzytelniania dla “innych systemów”.

Dobrzy kandydaci do połączenia mostem z AD

Każdy system lub aplikacja, która albo utrzymuje swoją własną listę nazw użytkowników i haseł, lub która może korzystać z innych platform do uwierzytelniania, są dobrymi kandydatami aby połączyć je z Active Directory.

Jaki powinien być prawdziwy most AD?

Dlaczego warto korzystać z mostu AD? Odpowiedź jest taka, że most AD zapewnia konsolidację katalogu, w przeciwieństwie do propagacji konta i/lub synchronizacji. Skraca to czas i koszty administracyjne poprzez zmniejszenie obciążeń administracyjnych, skrócenie czasu spędzanego na wykonywanie zadań i audyty oraz zwiększenie produktywności użytkownika/administratora poprzez usunięcie potencjalnych problemów z kontem. Niektóre z kluczowych korzyści płynących z prawdziwego mostu AD obejmują:

  • Jedno miejsce do administrowania użytkownikami
  • Jedno miejsce do zdefiniowania zasad haseł
  • Jedno miejsce w celu resetowania haseł użytkowników
  • Jedno miejsce do przypisywania praw dostępu
  • Jedno miejsce do konfigurowania list kontroli dostępu
  • Redukcja Sign-on (autentykacja Kerberos/Automatyczna)

Jak można się domyślić jest to obszar, w którym BeyondTrust może pomóc, w niektórych z najbardziej powszechnie stosowanych platformach innych niż Windows – Unix, Linux i Mac. W przeciwieństwie do konkurencyjnych rozwiązań, które nie są naprawdę mostami AD, BeyondTrust zapewnia wszystkie funkcje niezbędne do uproszczenia zarządzania systemami Unix, Linux, Mac i Windows.

Przeczytaj więcej o PowerBroker Identity Services i zobacz jak wygląda prawdziwy most AD.

Dodaj komentarz