Чек-лист: Как выбрать замену Microsoft Active Directory и безболезненно мигрировать на нее

Миграция на отечественные ИТ-решения — сложный процесс, часто сопровождаемый нехваткой экспертизы и сложностью переноса инфраструктур Заказчика. Особенного внимания требуют опорные системы корпоративной инфраструктуры, такие как служба каталогов. Выбирая отечественный аналог такого важного компонента, важно обращать внимание на функциональность систем, процессы их внедрения и дальнейшую поддержку. Руководитель развития продукта Avanpost Directory Services, Дмитрий Закорючкин, сформировал чек-лист для компаний, которые планируют заменить Microsoft Active Directory на российское решение.

Выбор лицензии

На волне активного импортозамещения российские разработчики создают собственные продукты практически для любых бизнес-задач.

Узкие, специфические инструменты, которые раньше были представлены продуктами-монополистами, часто замещают при помощи готовых Open Source решений или созданных на их основе систем. Но и в таких нишах постепенно появляются проприетарные решения.

Выбирая подход к лицензированию, стоит обратить внимание на следующие моменты:

1. Стоимость. Решения на базе открытого исходного кода часто дешевле проприетарных или бесплатны. Но стоимость владения Open Source решением может оказаться дороже из-за постоянного устранения недоработок и поиска специалистов.
2. Техническая поддержка. Готовые Open Source-решения или вендорские доработки на их основе имеют общие проблемы — огромный техдолг и отсутствие владения кодом. Например, решения на базе Samba долгое время имели ограничения на размер базы данных в 4 Гбайт, пока коммьюнити не выпустило обновление спустя почти 5 лет.

Некоторые поставщики ПО закрывают недостатки ядра внешними обвязками, но этот подход может ухудшить производительность системы или помешать её росту.

Проприетарное ПО, как правило, написано на современных языках разработки и позволяет вносить изменения в продукт быстрее, а также обеспечивает защищённость и отказоустойчивость через регулярное тестирование.

Возможность обеспечения длительного сосуществования ПО Microsoft и Linux

При миграции важно сохранить прозрачный доступ сотрудников компании к ресурсам, независимо от среды (Windows или Linux). Новая служба каталогов должна поддерживать двусторонние отношения доверия, позволяя сотрудникам получать доступ к ресурсам в обеих средах до завершения миграции.

Если доступ невозможен через доверительные отношения, можно использовать синхронизацию учётных записей через IDM-решение. Это позволяет пользователю с одинаковыми учётными данными работать как с почтовым сервером, так и с новой службой каталогов.

Наличие древовидной схемы организации каталогов

Microsoft AD обеспечивает удобную древовидную схему организации каталогов, позволяющую эффективно управлять правами доступа. Однако некоторые российские решения предлагают плоскую структуру хранения информации, что значительно ограничивает возможности управления и поиска пользователей.

Управление компьютерным парком с помощью групповых политик

Групповые политики — ключевая функция Microsoft AD. При выборе отечественного решения важно убедиться, что оно поддерживает управление группами через встроенные или интегрированные механизмы, совместимые с различными дистрибутивами Linux.

Поддержка различных дистрибутивов Linux

Отечественная служба каталогов должна обеспечивать интеграцию с клиентами на базе различных дистрибутивов Linux, что критично при слиянии компаний. Продукты, ограниченные поддержкой одного дистрибутива, могут усложнить процесс миграции и увеличат затраты на замену инфраструктуры.

Требования к безопасности

Безопасность включает два аспекта:

1. Безопасность продукта. Open Source решения более уязвимы из-за открытого кода, однако их проблемы могут оперативно решаться сообществом. Проприетарные продукты лучше защищены благодаря закрытому коду и регулярному тестированию.
2. Безопасность использования. Гибкое делегирование полномочий позволяет реализовать принцип наименьших привилегий, ограничивая доступ сотрудников к функциям.

Уровень производительности системы и её масштабируемость

Производительность службы каталогов зависит от используемого технологического стека. Современные проприетарные решения, такие как Avanpost DS, демонстрируют высокую производительность благодаря использованию передовых технологий, например, Golang и BadgerDB.

Система репликации с полными копиями данных на каждом контроллере домена обеспечивает отказоустойчивость и масштабируемость для больших инфраструктур.

Требования к проекту внедрения и процессу миграции

Миграция должна включать функциональное и нагрузочное тестирование, пилотный проект и поэтапное развертывание решения. Внедрение обычно занимает около года, включая тестовый и пилотный этапы.

Поддержка и SLA от вендора

Техническая поддержка критически важна при внедрении. Проприетарные решения обеспечивают быстрые доработки и централизованную помощь, тогда как внедрение Open Source требует больших ресурсов со стороны компании.

Чьими силами реализуется внедрение

Внедрение возможно силами заказчика, вендора или интегратора. Самый безопасный вариант — привлечение интегратора, который делит риски с вендором и обеспечивает комплексную замену систем.

Этапы проекта

Этапы внедрения включают тестирование, пилотный проект, развертывание и промышленную эксплуатацию. Тщательное выполнение этих этапов минимизирует риски и обеспечивает стабильную работу системы.

* * *

Российский бизнес постепенно переходит на отечественное ПО. Выбор оптимального решения требует времени, поэтому компании рекомендуют начать миграцию заранее, следуя чек-листу, чтобы найти наиболее подходящую замену Microsoft Active Directory.