Управление идентификаторами в AccentOS VDI¶

Управление идентификаторами в AccentOS VDI осуществляется двумя механизмами:

• Встроенной службой аутентификации Keystone
• Внешней службой аутентификации на основе LDAP

Встроенная служба аутентификации Keystone обладает достаточным функционалом для реализации парольной политики, предъявляемой регулятором, имеет хорошую интеграцию с AccentOS VDI для реализации ролевой модели (RBAC), но не имеет расширенного набора функций для интеграции с протоколом Kerberos, файловыми системами и проч.

Служба единого каталога обладает наряду с базовыми возможностями обладает широким функционалом для поддержки ИТ инфраструктуры крупных организаций.

При реализации крупных проектов AccentOS VDI рекомендуется использовать Keystone для идентификации только в особых случаях, отдавая предпочтение использованию LDAP для идентификации и авторизации пользователей виртуальных рабочих столов.

Требования к управлению идентификаторами, в том числе по созданию, присвоению, уничтожению идентификаторов для информационных систем, требующих последующей сертификации описываются в соответствующих приказах ФСТЭК (Приказы №№ 17,21,31,239,187).

Поскольку служба LDAP является элементом операционной системы и лишь используется в AccentOS VDI, для определения возможностей и соответствия требованиям управления идентификаторами необходимо обращаться к формулярам и иным документам данной сертифицированной операционной системы.

В качестве LDAP рекомендуется использовать наиболее проверенные, поддерживаемые сообществом или крупными вендорами LDAP – FreeIPA, Samba, MS AD (при большом количестве служб и АРМ Windows).