Avanpost FAM: Загадочные пропажи
Для организации двухфакторной проверки продукт от Avanpost достаточно хороший.
Поддерживаются отказоустойчивые конфигурации, модули есть под почти все операционные системы, ТОТР можно хранить даже в Яндекс.Ключ.
Пользователей можно создавать прямо там, брать из Microsoft AD, Samba, Freeipa (ALD Pro, Avanpost DS).
База данных немного сложная связями, но специалистам будет просто сформировать отчётные скрипты для выгрузки нужных данных.
Веб-интерфейс Личного кабинета не сказать, чтобы удобный, но терпимый.
Какие-то вещи отключить можно, но только через css-стили.
Веб-интерфейс Административный такой же. Минусы, в невозможности выбора количества отображаемых элементов; малое количество отчетности для ИБ; журналы не выгрузить.
Почти забыл, о чём хотел сказать…
Вернёмся к выгрузке пользователей из каталогов.
Базовые настройки описывать большого смысла нет, документация у Avanpost хорошая.
Но, имейте ввиду, что выгрузки пользователей — это одно, а выгрузки групп — совсем другое.
В настройке списков пользователей мы можем указать большие, даже динамические группы по несколько тысяч пользователей.
Но в настройке выгрузки групп учитывайте нюанс, что каталоги выдают столько членов групп, сколько сможет.
Например, есть у вас группа allusers-g, которую вы настроили в каталоге, включили туда часть пользователей для тестирования, пусть даже 1000 пользователей. Тестирование прошло успешно и вы решаетесь развернуть на всех сотрудников. Добавляете остальные контейнеры в динамическую группу, количество пользователей в группе вырастает. И в какой-то момент вы обнаруживаете, что в Avanpost FAM пропали члены группы, которая раньше прекрасно синхронизировалась.
Окей, пользователи у вас остались и в аварийном режиме можно прокликать пару сотен страниц, чтобы добавить несколько тысяч пользователей в группу доступа.
А причина в особенностях взаимодействия с каталогами. Если менеджер задач Avanpost FAM не смог выгрузить членов, то список членов групп очищается. И в моём случае, только из-за того, что членов в группе превысило 1500 объектов.
Поэтому, учитывайте эти особенности, разбивайте доступа на небольшие группы.
А так, продукт очень неплох. Могу рекомендовать точно, как админам, так и ИБ.
На неделе напишу про Avanpost DS. Пока скажу, что он мне тоже понравился, а как Каталог вообще отличный. Ничего особо лишнего, можно использовать в больших проектах, где есть свои системы развертывания и обслуживания устройств (мы у себя так сделали, тк ald pro, rudesktop и прочие системы слишком сырые, а где-то прикрутили что-то своё даже сбоку к ald pro))