نصائح تقنية لتجعلك أكثر ذكاءً - مسؤول الشبكة - أفضل خدمات دليل الشبكة وأدوات الرصد

أفضل خدمات دليل الشبكة وأدوات الرصد

"الدليل" هو مصطلح شائع في حساب ذلكيمكن أن يعني مجموعة من الأشياء. ومع ذلك ، في الشبكات ، يرتبط الدليل عادةً ببيانات المستخدم وقائمة بالموارد التي يمكن الاتصال بها على الشبكة.

لذلك ، هناك نوعان من الدلائل للنظربعد على شبكة: واحد يسرد الناس ، والآخر يسرد المعدات. سنبحث في هذا الدليل في أنظمة الدليل المختلفة التي تعمل عادة على الشبكات اليوم.

تنسيق تخزين الدليل

أي قائمة من البيانات يمكن أن تعقد على جهاز كمبيوتر فيشكل ملف ، أو في قاعدة بيانات. كانت أنظمة الدليل المبكر قائمة على الملفات. ومع ذلك ، فإن تطوير نظم إدارة قواعد البيانات جعل خيار قاعدة البيانات أكثر كفاءة. تعد قواعد البيانات أسهل وأسرع في البحث ، وتسمح لغات الاستعلام المستخدمة (عادةً ما تكون SQL) لمشغلي Boolean (AND ، OR ، NOT ، DIVIDE ، TIMES ، SELECT ، PROJECT) بإدراجها في عمليات البحث.

إجراءات الوصول إلى الدليل

توظيف نظام الدليل الذي يعتمد علىيُعد البروتوكول المتاح علنًا هو الأفضل في نظام الملكية الذي يستخدم تنسيقات الاتصال الخاصة به. تتطلب خدمات الدليل عنصرين أساسيين ، وهما عميل وخادم. الخادم هو البرنامج الذي يحتفظ بقاعدة البيانات ويدير الوصول إلى البيانات. عادةً ما يكون العميل مضمنًا في واجهة تعرض إما البيانات المستردة أو تتيح تغيير تلك البيانات أو تتيح تنفيذ الإجراءات بشكل مشروط عند استلام تلك المعلومات.

إذا اخترت تثبيت نظام الدليل ذلكيعتمد على البروتوكولات العالمية ، ستكون قادرًا على "مزج ومطابقة" أنظمة العميل والخادم لأنه سيتم ضمان أن تكون قادرة على التفاعل مع بعضها البعض بغض النظر عمن كتبها. علاوة على ذلك ، يمكن استغلال المعلومات الموجودة في دلائل الشبكة من خلال أدوات الرصد والإبلاغ عن النشاط ، مثل أنظمة كشف التسلل (IDS). يضمن تثبيت مدير دليل يقوم بتنفيذ البروتوكول شائع الاستخدام أن المعلومات الواردة في هذه الدلائل ستكون في متناول حزم مراقبة الموارد والتحكم في المستخدم.

بروتوكول الوصول إلى الدليل الخفيف (LDAP)

LDAP هو بروتوكول خدمة تم على نطاق واسعنفذت كآلية الوصول إلى مجموعة واسعة من الدلائل الشبكة. يستخدم عدد من أنظمة دليل الشبكة المسردة هنا أدناه إجراءات LDAP.

كما هو بروتوكول وليس قطعة من البرمجيات ،لا يمكنك شراء LDAP وتثبيته. بدلاً من ذلك ، ستحصل على برنامج يقوم بتنفيذ قواعد LDAP وتشغيله. يحدد البروتوكول قائمة بالمعايير وإجراءات العمل التي ستحقق الهدف ، وبالتالي فإن البروتوكول نفسه لا يعتمد على نظام التشغيل. هذا يعني أنه يمكن لأي شخص تطوير تطبيق LDAP لنظام التشغيل Windows أو Linux أو Unix أو أي نظام تشغيل آخر.

عنصرا هاما من تعريف LDAP هوأنه يحدد لغة الأوامر التي تمكن العملاء من التواصل مع خادم LDAP. نظرًا لأن المعيار متاح للجمهور ، يمكن لأي شخص استخدامه لإنشاء تطبيق يتفاعل مع خادم LDAP. هذا يعني أنه يمكن دمج LDAP في البرامج التجارية ويمكن أيضًا دمجه في أي برنامج مخصص داخلي قد تقوم بتطويره. جعلت هذه المرونة والعالمية LDAP المعيار الفعلي لإجراءات تشغيل خدمات الدليل.

يتم استخدام LDAP لجميع خوادم DNS (خدمة اسم المجال) ، لذا ستوظف نظام LDAP بانتظام على شبكتك ، سواء أكنت تدرك ذلك أم لا.

ب OpenLDAP

كما يوحي الاسم ، OpenLDAP هو أنقىتنفيذ نظام LDAP الذي ستجده. هذه مكتبة الإجراءات التي يمكن دمجها في برامج أخرى. OpenLDAP هو مشروع مفتوح المصدر وبالتالي يمكن لأي شخص الوصول إلى الرمز الخاص به مجانًا. يتم تنفيذ التعليمات البرمجية أيضًا بواسطة مشروع OpenLDAP كمكتبات Java ومن ثم يمكن الوصول إلى النظام من خلال واجهات واجهة المستخدم الرسومية على أي نظام تشغيل.

نظرًا لأن هذه الحزمة عبارة عن مكتبة تعليمات برمجية ، فإن القليل من مسؤولي الشبكة يقومون بتنفيذ إجراء OpenLDAP مباشرة. بدلاً من ذلك ، يجب عليك البحث عن التطبيقات التجارية التي توضح استخدامهم لـ OpenLDAP.

الدليل النشط

كان Microsoft Active Directory بمثابة نظام إدارة مستخدم رائد ، تم إنشاؤه لنظام Windows. تم اختراعه في عام 1999 وتم التخطيط له بشكل جيد لدرجة أنه لا يزال قيد الاستخدام.

يحتفظ Active Directory بقائمة المستخدمين المصرح لهملشبكة. إنه قادر على تصنيف هؤلاء المستخدمين حسب مستويات الأذونات ، بحيث يتم التعرف على المستخدم الذي يتمتع بامتيازات المسؤول والسماح بوصول أكبر للمستخدمين العاديين. فائدة ثانوية من Active Directory هو أنه يتحقق أيضًا من حقوق أجهزة الكمبيوتر على الشبكة. لذلك ، هذه خدمة أمان رائعة لأنها تتأكد من أن الأجهزة المصرح بها فقط متصلة بالشبكة وأن المستخدمين المصرح لهم فقط يمكنهم تسجيل الدخول على أجهزة الكمبيوتر هذه. من الممكن حظر الوصول إلى بعض المعدات لمجموعات مستخدمين معينة وحجز الوصول إلى تطبيقات محددة لتلك التي لها حقوق المسؤول.

القيد الرئيسي من Active Directory هو ذلكإنه يتكامل فقط مع منتجات Microsoft الأخرى ، لذلك لا يمكنك استخدامه على Linux. أيضًا ، لا يمكنها التحكم في الوصول إلى مجموعات الإنتاجية بخلاف Microsoft ، مثل محرّر مستندات Google. نظرًا لتوسيع قائمة خدمات المنافسين الناجحة والأنظمة المستندة إلى مجموعة النظراء ، فإن قابلية استخدام Active Directory تتناقص.

خدمات دليل Novell (NDS)

تم اختراع نظام NDS لتوفير الدليلخدمات لشبكات Novell Netware. ومع ذلك ، يمكنه أيضًا العمل على الشبكات التي لم يتم تثبيت Netware عليها. يمكن تشغيل البرنامج على Windows و Sun Solaris و IBM OS / 390. كان هذا تطبيقًا مبكرًا لـ LDAP وبالتالي أصبح معيارًا لتطبيقات خدمة الدليل الأخرى. أشار استخدامه LDAP بشكل خاص إلى الطريق للتطورات اللاحقة وشكل نموذجًا لـ Active Directory.

قائمة التحكم في الوصول (ACL)

ACL هو نظام إدارة وصول منافس لـ LDAP. على الرغم من عدم تطبيقه على نطاق واسع مثل LDAP ، إلا أن ACL لا يزال نظامًا معروفًا جيدًا وتم تنفيذه مرات كافية لوضع علامة عليه في الصناعة كخدمة مصادقة موثوقة.

يعتمد نظام ACL على تنسيق تخزين البياناتأن يخلق شجرة من السمات. في مصطلحات ACL ، يُطلق على المورد المحمي "كائن". ويتم تخصيص كل كائن لقائمة من المستخدمين المسموح لهم ، وبناءً على نوع الكائن المحمي ، يُنسب كل مستخدم واحدًا أو أكثر من الأذونات.

يمكن تطبيق ACL على الوصول إلى الملفات أو الشبكةالتمكن من. يمكن أن تكون قوائم ACL المستندة إلى الشبكة مفيدة لأنظمة منع الاختراق (IPS) لأنها تتحكم في الوصول إلى عناوين مضيف محددة ويمكنها حتى منع الوصول إلى المنافذ بشكل انتقائي. على الشبكات ، يتم تطبيق حقوق الوصول الموثقة بواسطة ACL على المحولات وأجهزة التوجيه.

ACLs الحديثة استخدام قواعد بيانات SQL للحصول على إذنتخزين بدلا من الملفات. أتاح هذا التقدم أيضًا لـ ACL أن تتطور إلى ما بعد عناصر تحكم وصول المستخدم إلى إدارة مجموعة المستخدمين. يعمل ذلك على تبسيط إدارة أذونات الوصول ، خاصة على الشبكات ، حيث قد تحتاج ACL إلى تسجيل دخول كل مستخدم عدة مرات من أجل منح حق الوصول إلى متطلبات الموارد الأساسية للمستخدم النموذجي القائم على المكتب.

الهويات وحلول إدارة الوصول (IAMs)

فئة من أدوات الشبكة المساعدة التي قد تأتيعبر عند التحقق من أنظمة مصادقة المستخدم هو حلول إدارة الوصول والهوية أو IAMs. يصف هذا المصطلح حلاً أوسع لمصادقة المستخدم من مجرد خدمة دليل. ومع ذلك ، فإن الدليل ، أو حتى العديد من الأدلة ، يكمن في قلب أي IAM. لذلك ، عند التسوق لأنظمة الوصول والمصادقة ، استهدف الأدوات التي لها اختصاص أوسع بكثير من مجرد إدارة الدليل. ومع ذلك ، يجب أن تدرك أنك بحاجة إلى خدمة الدليل في قلب IAM لتطبيق بروتوكول مفتوح ، مثل LDAP بحيث يكون الوصول إلى الدليل متاحًا أيضًا لتطبيقات المراقبة الأخرى.

اقتراحات لخدمات دليل الشبكة

تقدم هذه القائمة بعض الاقتراحات لالتطبيقات التي يمكنك تجربتها كخدمات دليل محددة على شبكتك. ومع ذلك ، فإن التطبيقات الأخرى التي تستخدمها بانتظام ، مثل خوادم الويب أو مديري عناوين IP هذه ستدمج أيضًا خدمات الدليل.

JumpCloud DaaS

يُشار إلى الجزء "DaaS" من اسم هذا المنتج"الدليل كخدمة". هذا محاكاة لمصطلح "البرنامج كخدمة". تستخدم خدمات البرامج عبر الإنترنت المستندة إلى مجموعة النظراء / SaaS / برنامج كمصطلح خدمة لوصف التكوين الخاص بها. لذلك ، يخبرك اسم JumpCloud على الفور بأنها خدمة عبر الإنترنت تقدم خادم دليل عبر الإنترنت.

هذا هو المنتج المدفوع الذي ينفذ نشطدليل. ومع ذلك ، يعمل JumpCloud على توسيع قدرات Active Directory إلى أنظمة Unix و Linux من خلال محاكاة AD بتطبيق LDAP لأنظمة التشغيل هذه. تقدم JumpCloud طريقة رائعة لجعل AD يعمل لجميع مواردك وليس فقط تلك التي تقدمها Microsoft. ليس عليك الدفع مقابل JumpCloud DaaS إذا كنت تستخدمه فقط لما يصل إلى 10 مستخدمين.

تشغيل خدمات الأمن عبر الإنترنتينشئ مكونًا إضافيًا يمكن أن يفشل ، كما أنه يخلق فرصة إضافية للمتسللين لاعتراضك حركة المرور واقتحام عمليات المصادقة الخاصة بك. لحسن الحظ ، يقوم JumpCloud بتشفير جميع الاتصالات بين العميل والخادم الموجود على موقع JumpCloud البعيد.

وضع إعلان على الويب هو حل مثير للاهتمامبالنسبة لأولئك الذين لا يستخدمون العديد من الموارد في الموقع ولكنهم يعتمدون على الخوادم السحابية و SaaS لتطبيقات المستخدم. يعد هذا النموذج المستند إلى مجموعة النظراء مثيراً للاهتمام بالنسبة إلى الشركات التي لديها الكثير من العمال الموجودين في المنزل ، أو مع الوكلاء أو الاستشاريين أو الحرفيين الذين يعملون في مواقع العملاء طوال الوقت.

JumpCloud DaaS هو مثال على الطريقة التقليديةيمكن بسهولة تكييف التطبيقات المستندة إلى الموقع للتسليم على الخوادم البعيدة ، وكيف لم يفت الأوان على الإطلاق للمبتدئين أن يدخلوا ويجدّدوا أو يوسعوا وظائف الخدمات القائمة.

خدمة دليل AWS

تقدم خدمات الويب من Amazon بديلاً لـJumpCloud DaaS. هذا تطبيق Active Directory قائم على السحابة ويتم توفيره بواسطة أحد الضاربون الكبار في Cloud. يمكنك فقط اختيار استخدام خدمة الدليل هذه كإعداد حالي في الموقع ، أو استخدامها لترحيل التخزين والبرامج الخاصة بك إلى خدمات AWS الأخرى.

على عكس JumpCloud ، لا تعمل خدمة دليل AWS على توسيع إمكانيات AD إلى Unix و Linux. بدلاً من ذلك ، هذا تطبيق Microsoft Active Directory خالص مستضاف على السحابة.

الأمازون لا تقدم خدمة دليل AWS لـحر. ومع ذلك ، فإن نموذج التسعير قابل للتطوير بدرجة كبيرة ويستند إلى معدل العداد بالساعة الذي يغطي مجالين ، مع إضافة معدل أقل لكل مجال إضافي إلى الخطة. هذا ليس جيدًا تمامًا مجانًا. ومع ذلك ، يمكنك تجربة الخدمة مجانًا لمدة 30 يومًا.

389 خادم الدليل

موقع 389 خادم الدليل يدعي ذلكهذا البرنامج "صارم عن طريق الاستخدام في العالم الحقيقي." هذا مشروع مفتوح المصدر وهو منتج بلا هدب. إذا كنت موافقًا على تجميع البرامج بنفسك ولا تمانع في التمرير عبر الكود ، فستحب نظام الدليل هذا. تتضمن الحزمة نهاية خط واجهة المستخدم الرسومية لبيئات Gnome لتوفر لك سهولة الاستخدام.

خادم الدليل 389 متاح لنظام Linux وهو مجاني للاستخدام. تتم كتابة إجراءات الخدمة وفقًا لمعايير LDAP ، وهذا يشبه Active Directory لنظام التشغيل Linux.

دليل اباتشي

إذا كنت تدير موقعًا على شبكة الإنترنت ، فمن المرجح أنك أيضًالديها أيضا خادم الويب اباتشي. Apache Directory هو تطبيق LDAP مجاني تتم إدارته بواسطة نفس المؤسسة التي تقوم برعاية برنامج خادم الويب. لا يوجد أي إمكانية تشغيل صارمة بين Apache Directory و Apache Web Server - وهما منتجان متميزان. ومع ذلك ، فإن حقيقة اعتمادك على حزمة خادم الويب من Apache يجب أن تمنحك الثقة لتجربة دليل Apache ، وهو مجاني للاستخدام.

تحتاج إلى تنزيل وتثبيت قطعتين منالبرنامج من أجل الحصول على تطبيق Apache Directory الكامل. ومع ذلك ، فإن كلاهما متوافق تمامًا مع LDAP ، بحيث يمكنك استبداله إما بتطبيق مختلف ، طالما أن ذلك يعتمد على LDAP أيضًا. وحدة الخادم تسمى Apache DirectoryDS ويطلق على العميل Apache Directory Studio. تسمح لك الحزمة الثانية من هاتين الحزمتين بعرض سجلات الدليل الموجودة على الخادم وتعديلها. يتمتع كل من العميل والخادم بحرية الاستخدام بالكامل ويعمل كلاهما على أنظمة تشغيل Windows و Unix و Linux و Mac OS.

FreeIPA

في وقت سابق قرأت عن إدارات الهويةيتم تضمين أنظمة (IMS) و FreeIPA في قائمة خدمات الدليل هذه للمحاولة لأنها مثال جيد على IMS. لا داعي للقلق بشأن إهدار الأموال وإعطاء هذه الأداة تجربة لأنه مجاني للاستخدام.

"IPA" تعني الهوية والسياسة والتدقيق. تتضمن هذه الأولويات الثلاثة عمليات المصادقة التي تحتاجها لشبكتك وجميع موارد تكنولوجيا المعلومات الخاصة بك. كما هو موضح أعلاه ، خدمات الدليل هي جزء من أنظمة IMS. في حالة FreeIPA ، يتم توفير مكون خادم الدليل بواسطة 389 Directory Server. لذلك ، يمكنك اختيار تثبيت 389 Directory Server للحصول على تطبيق LDAP ، أو توسيع خدمات المصادقة والتحكم في الوصول من خلال الانتقال إلى IMS كامل مع FreeIPA.

FreeIPA هو مشروع مفتوح المصدر ، حتى تتمكن من ذلكفحص الكود للتأكد من عدم وجود أي إجراءات مخفية لجمع البيانات واردة في. تمنحك الخدمة خيارات عبر منهجيات المصادقة التي تقوم بتطبيقها في إطار عمل IMS - Kerberos هو خيار مجاني مفتوح المصدر جيد متاح ضمن هذه الفئة من مهام IMS.

يعمل IMS على نظامي التشغيل Unix أو Linux. ومع ذلك ، فإنه قادر أيضًا على مراقبة أنظمة Windows ويمكنه أيضًا تثبيت بيئة نظام التشغيل Mac OS المتوافقة مع Unix ومراقبتها. يجمع مفهوم FreeIPA التقنيات الموجودة مسبقًا ، بما في ذلك Apache HTTP Server وواجهات برمجة التطبيقات لبرمجة Python لتوفير IMS كامل يستند إلى مكونات تعرف أنها "مقسّمة باستخدام العالم الحقيقي".

رصد دليل الشبكة

فائدة استخدام دليل معروفالخدمة هي أن العديد من تطبيقات مراقبة النظام يمكنها استغلال المعلومات الموجودة في سجلات التحكم في الوصول إلى الموارد الخاصة بك من أجل إدارة الشبكة الخاصة بك وخدماتها والتحكم فيها بشكل كامل.

هناك عدد من أنظمة مراقبة الشبكة المفيدة للغاية التي تستغل بيانات الدليل لتمنحك سيطرة كاملة على أنشطة شبكتك. إليك تلك التي تحتاج حقًا إلى معرفتها:

SolarWinds خادم ومراقبة التطبيق (تجربة مجانية)

تعمل منتجات SolarWinds على Windows Server ، لذلكلا توجد مشكلة في التوافق مع Active Directory. كنظام مراقبة مخصص لبيئات Windows ، تأكدت SolarWinds من إنشاء مراقبة Active Directory في هذه الأداة. تُمكِّن سجلات الإعلانات على شبكتك جهاز العرض من تحميل حمل الخادم حسب طلب المستخدم وأيضًا تتبع هذا النشاط من خلال الشبكة إذا كان لديك أيضًا محلل حركة مرور NetFlow في الشركة ومتعقب جهاز المستخدم.

SolarWinds تنتج مجموعة من المواردمراقبة المرافق وجميعها مكتوبة على منصة مشتركة ، ودعا أوريون. يعمل ذلك على تمكين كل وحدة نمطية تقوم بتثبيتها من التفاعل مع منتجات SolarWinds الأخرى التي تقوم بتشغيلها على الخادم الخاص بك. تعمل وحدة PerfStack الخاصة بالخادم ومراقبة التطبيقات بشكل أفضل إذا كان لديك تثبيتات مراقبة الشبكة أيضًا ، مثل مراقب أداء الشبكة في SolarWinds. وذلك لأن PerfStack يعرض كل مستوى من حزمة الخدمة معًا ، بحيث يمكنك تحديد مكان وجود مشكلات الأداء فعليًا بسرعة.

المستخدم جهاز تعقب خاصة يستغلالمعلومات التي تحتفظ بها في Active Directory لإعلام الشاشات الأخرى في مجموعة أصل تحميل المورد. يساعدك المقتفي على اكتشاف خروقات الأمان وسيعرض لك Network Network Monitor و NetFlow Traffic Analyzer حركة المرور المفرطة التي قد تشير إلى أنشطة الدخيل. يمكنك الحصول على أي وجميع منتجات SolarWinds في نسخة تجريبية مجانية مدتها 30 يومًا.

تجربة مجانية: تحميل SolarWinds خادم ومراقبة التطبيق في https://www.solarwinds.com/server-application-monitor/

PRTG مراقبة الشبكة

PRTG هي شبكة موحدة ، والخادم ، ومراقبة التطبيق. إذا كنت تستخدم هذه الأداة ، يمكنك اختيار تنفيذها على نطاق واسع أو ضيق كما تريد لأن نطاقها قابل للتخصيص تمامًا. يتكون نظام PRTG من مئات من أجهزة الاستشعار. يجب تنشيط كل مستشعر ، لذلك بدون تدخلك ، ستظل جميع إمكانات النظام كامنة. يركز المستشعر على جانب واحد من خدمات الشبكة أو على مورد واحد. على سبيل المثال ، يوجد مستشعر Ping لمراقبة حركة المرور وهناك أيضًا سلسلة من أجهزة الاستشعار التي تستغل أدلة LDAP للحصول على معلومات.

لا يتقاضى Paessler رسومًا مقابل PRTG إذا كنت فقطتفعيل ما يصل إلى 100 أجهزة الاستشعار. لذلك ، يمكنك فقط استخدام الأداة كشاشة Active Directory. على الرغم من أن لديك الأداة المساعدة لمشاهدة أنشطة AD الخاصة بك ، فإن لديك أيضًا مساحة ضمن عرض الخدمة المجانية هذا لمراقبة نشاطين آخرين على شبكتك. يمكنك تنشيط مستشعري SNMP و NetFlow للحصول على ملاحظات حول حركة مرور الشبكة أو اختيار تنشيط شاشات المنافذ أو مستشعرات حالة الخادم.

إذا كنت ترغب في استخدام أكثر من 100 جهاز استشعار ، يمكنك الحصول على PRTG في نسخة تجريبية مجانية لمدة 30 يوما. تثبيت PRTG على بيئة Windows Server.

ManageEngine ADAudit Plus

ManageEngine تنتج مجموعة ممتازةشاشات الموارد التي تعمل على ويندوز أو لينكس. في مستقر ManageEngine ، ستجد عددًا من الأدوات المصممة خصيصًا لمراقبة Active Directory. ADAudit Plus هي واحدة من هذه الأدوات المساعدة. ستساعدك هذه الأداة في إدارة AD من خلال واجهة ManageEngine وستتعقب أيضًا جميع أنشطة المستخدم ، بما في ذلك تسجيل الدخول وتسجيل الخروج. سيساعدك هذا على تحديد نشاط المستخدم غير المنطقي ومحاولات تسجيل الدخول المفرطة التي قد تشير إلى وجود متسلل.

ADAudit Plus ميزة غنية وتشملمرافق التتبع والإبلاغ. يمكنك الحصول عليها في نسخة تجريبية مجانية لمدة 30 يوما. إذا كنت لا ترغب في الدفع بعد الفترة التجريبية ، فيمكنك اختيار الإصدار المجاني من أداة ManageEngine هذه. تقدم ManageEngine عددًا من أدوات Active Directory المجانية ، بما في ذلك أداة Active Director Query Tool ، و CSV Generator ، التي تستخرج سجلات AD ، ومراسل آخر تسجيل دخول ، ومدير النسخ المتماثل AD ، من بين أشياء أخرى.