„Каталог“ е често срещано понятие при изчисляването на товаможе да означава редица неща. Въпреки това, в мрежите директорията обикновено е свързана с потребителски данни и списък с ресурси, с които може да се осъществи контакт в мрежата.
Така че, има два вида директории, които да търситеслед в мрежа: единият изброява хората, а другият списък на оборудване. В това ръководство ще изследваме различните системи директории, които често работят в мрежите днес.
Формат за съхранение на директории
Всеки списък с данни може да се съхранява на компютър вформа на файл или в база данни. Ранните директорийни системи са базирани на файлове. Разработката на системи за управление на базата данни обаче направи опцията за база данни по-ефективна. Базите данни са по-лесни и по-бързи за търсене и използваните за тях езици на заявки (обикновено SQL) позволяват булевите оператори (ИЛИ ИЛИ, НЕ, ДИВИД, ВРЕМЕ, ИЗБЕРЕТЕ, ПРОЕКТ) да бъдат включени в търсенията.
Процедури за достъп до директория
Използване на система директория, която разчита наоткрито достъпен протокол е за предпочитане пред закупуване в собствена система, която използва свои собствени комуникационни формати. Услугите на директории изискват два основни компонента, които са клиент и сървър. Сървърът е програмата, която съхранява базата данни и управлява достъпа до данни. Клиентът обикновено е вграден в интерфейс, който или показва извлечени данни, позволява тези данни да бъдат променяни или дава възможност да се извършват действия условно при получаване на тази информация.
Ако решите да инсталирате система от директории, коятосе основава на универсални протоколи, ще можете да „смесвате и сравнявате“ клиентските и сървърните системи, защото те ще бъдат гарантирани, че ще могат да си взаимодействат помежду си, независимо кой ги е написал. Освен това информацията, съдържаща се в мрежовите директории, може да бъде използвана чрез инструменти за мониторинг и докладване на дейности, като например системи за откриване на проникване (IDS). Инсталирането на мениджър на директории, който реализира често използван протокол, гарантира, че информацията, съдържаща се в тези директории, ще бъде достъпна за тези потребителски пакети за наблюдение и контрол на ресурсите.
Лек протокол за достъп до директория (LDAP)
LDAP е сервизен протокол, който е широко разпространенреализиран като механизъм за достъп до широк спектър от мрежови директории. Редица от изброените по-долу мрежови директорийни системи използват LDAP процедури.
Тъй като това е протокол, а не част от софтуера,не можете да закупите LDAP и да го инсталирате. По-скоро ще придобиете и стартирате програма, която реализира LDAP правилата. Протокол очертава списък на стандарти и работни процедури, които ще постигнат целта, така че самият протокол не зависи от операционната система. Това означава, че всеки може да разработи LDAP реализация за Windows, Linux, Unix или всяка друга операционна система.
Важен елемент от дефиницията на LDAP ече той определя команден език, който дава възможност на клиентите да комуникират със LDAP сървъра. Тъй като стандартът е обществено достъпен, всеки може да го използва, за да създаде приложение, което взаимодейства със LDAP сървър. Това означава, че LDAP може да бъде интегриран в търговски софтуер и също така може да бъде интегриран във всяка собствена персонализирана програма, която може да разработите. Тази гъвкавост и универсалност направи LDAP фактически стандарт за оперативната процедура на услугите на директории.
LDAP се използва за всички DNS сървъри (Domain Name Service), така че ще работите редовно LDAP системата във вашата мрежа, независимо дали я осъзнавате или не.
OpenLDAP
Както подсказва името, OpenLDAP е най-чистиятвнедряване на системата LDAP, която ще намерите. Това е библиотека от процедури, които могат да бъдат интегрирани в други програми. OpenLDAP е проект с отворен код и така всеки може да получи достъп до кода си безплатно. Кодът се реализира и от проекта OpenLDAP като Java библиотеки и така е възможен достъп до системата чрез GUI интерфейси на всяка операционна система.
Тъй като този пакет е библиотека с кодове, малко мрежови администратори прилагат директно процедурата OpenLDAP. Вместо това трябва да внимавате за комерсиални приложения, в които се посочва използването на OpenLDAP.
Active Directory
Active Directory на Microsoft беше новаторска система за управление на потребителите, създадена за Windows. Той е изобретен през 1999 г. и е бил толкова добре планиран, че все още е широко използван.
Active Directory поддържа списък с оторизирани потребителиза мрежа. Той е в състояние да категоризира тези потребители по нива на разрешения, така че потребител с привилегии на администратор се разпознава и му се разрешава по-голям достъп, отколкото на обикновените потребители. Вторично предимство на Active Directory е, че той също така проверява правата на компютрите в мрежата. Това е страхотна услуга за сигурност, тъй като гарантира, че само оторизирани устройства са свързани към мрежата и само оторизирани потребители могат да влизат в тези компютри. Възможно е да се блокира достъпа до определено оборудване до определени потребителски групи и да се запази достъп до конкретни приложения за тези с права на администратор.
Основното ограничение на Active Directory е товатой се интегрира само с други продукти на Microsoft, така че не можете да го използвате в Linux. Освен това той не може да контролира достъпа до пакети за производителност извън Microsoft, като например Google Docs. Тъй като списъкът на успешните конкурентни услуги и облачните системи разширява използваемостта на Active Directory намалява.
Услуги на Novell Directory (NDS)
Системата NDS е създадена за осигуряване на директорияуслуги за мрежи на Novell Netware. Той обаче може да работи и в мрежи, в които няма инсталиран Netware. Софтуерът може да работи на Windows, Sun Solaris и IBM OS / 390. Това беше ранно внедряване на LDAP и така той се превърна в еталон за други реализации на директорията. Използването на LDAP по-специално посочи пътя за по-късни разработки и оформи модел за Active Directory.
Списък за контрол на достъпа (ACL)
ACL е конкурентна система за управление на достъпа до LDAP. Въпреки че не е толкова широко внедрен като LDAP, ACL все още е много добре позната система и е прилагана достатъчно пъти, за да я маркира в индустрията като надеждна услуга за удостоверяване.
Системата ACL разчита на формат за съхранение на данникоето създава дърво от атрибути. В терминологията на ACL ресурсът, който се защитава, се нарича „обект.“ На всеки обект се предоставя списък с разрешени потребители и в зависимост от типа обект, който се защитава, на всеки потребител се приписват едно или повече разрешения.
ACL може да се прилага за достъп до файлове или мрежадостъп. Мрежовите базирани ACL могат да бъдат полезни за системи за предотвратяване на проникване (IPS), защото те контролират достъпа до конкретни хост адреси и дори могат избирателно да блокират достъпа до портове. В мрежите правата за достъп, документирани от ACL, се реализират на комутатори и рутери.
Съвременните ACL използват бази данни SQL за разрешениесъхранение, а не файлове. Този напредък също направи възможно ACL да се развива извън контрола за достъп на потребителите до управление на потребителската група. Това опростява администрирането на разрешения за достъп, особено в мрежите, където ACL може да се наложи да регистрира всеки потребител многократно, за да предостави достъп дори до основните изисквания към ресурсите на типичния потребител, базиран в офиса.
Идентификации и решения за управление на достъпа (IAMs)
Категория мрежова програма, която може да дойдекогато проучваме системи за удостоверяване на потребители, са решения за идентичност и управление на достъпа или IAMs. Този термин описва по-широко решение за удостоверяване на потребителя, отколкото просто услуга на директория. Въпреки това, директория или дори няколко директории ще лежат в основата на всеки IAM. Така че, когато пазарувате за системи за достъп и удостоверяване, се стремете към инструменти, които имат много по-широка сфера на действие, отколкото просто управление на директория. Въпреки това, имайте предвид, че се нуждаете от услугата на директория в основата на IAM, за да внедрите отворен протокол, като LDAP, така че достъпът до директория ще бъде достъпен и за други приложения за наблюдение.
Предложения за услуги на мрежови указатели
Този списък представя няколко предложения заприложения, които бихте могли да опитате като специфични услуги на директория във вашата мрежа. Въпреки това, други приложения, които редовно използвате, такива уеб сървъри или мениджъри на IP адреси също ще интегрират услугите на директории.
JumpCloud DaaS
Частта "DaaS" на името на този продукт означава„Директория като услуга“. Това е емулация на термина „софтуер като услуга“. Онлайн, софтуерните услуги, базирани в облак, използват SaaS / софтуера като термин за обслужване, за да опишат тяхната конфигурация. И така, името на JumpCloud мигновено ви казва, че това е онлайн услуга, доставяща директория сървър по интернет.
Това е платен продукт, който внедрява ActiveDirectory. JumpCloud обаче разширява възможностите на Active Directory до Unix и Linux системи, като емулира AD с LDAP реализация за тези операционни системи. JumpCloud предлага чист начин да накарате AD да работи за всичките ви ресурси, а не само за тези, предоставени от Microsoft. Не е нужно да плащате за JumpCloud DaaS, ако го използвате само за до 10 потребители.
Изпълнение на услуги за сигурност по интернетсъздава допълнителен компонент, който може да се провали, а също така създава допълнителна възможност за хакерите да ви пресекат трафика и да пробият процесите ви за удостоверяване. За щастие, JumpCloud криптира всички комуникации между вашия клиент и сървъра, държани на отдалечения сайт на JumpCloud.
Поставянето на AD в интернет е интересно решениеза тези, които не използват много ресурси на място, но разчитат на облачни сървъри и SaaS за потребителски приложения. Облачният модел е интересен и за онези фирми, които имат много работници от дома си, или с агенти, консултанти или занаятчии, които работят на клиентски сайтове през цялото време.
JumpCloud DaaS е пример за това колко е традиционенприложенията, базирани на сайтове, могат лесно да бъдат адаптирани за доставка на отдалечени сървъри и как никога не е късно иноваторът да влезе и да обнови или разшири функционалността на установените услуги.
AWS Directory Service
Amazon Web Services предлага алтернатива наJumpCloud DaaS. Това е поредната облачна базова версия на Active Directory и тя се предоставя от един от големите хитове в облака. Можете да изберете просто да използвате тази услуга на директория като текуща настройка на място или да я използвате, за да преместите вашето хранилище и софтуер към други AWS услуги.
За разлика от JumpCloud, AWS Directory Service не разширява възможностите на AD до Unix и Linux. По-скоро това е чиста реализация на Microsoft Active Directory, която се хоства в облака.
Amazon не предлага AWS Directory Service заБезплатно. Моделът на ценообразуване обаче е много мащабируем и се основава на часова ставка на метър, обхващаща два домейна, с по-ниска ставка за всеки допълнителен домейн, добавен към плана. Това не е толкова добро, колкото безплатно. Можете обаче да изпробвате услугата безплатно за 30 дни.
389 Каталог сървър
Уебсайтът на 389 Directory Server твърди товатози софтуер е „закален от реална употреба.“ Като закален мрежов администратор вероятно ще се свържете с тази употреба на думи. Това е проект с отворен код и е безпроблемен продукт. Ако не сте готови сами да компилирате програмите и нямате нищо против да комбинирате код, ще ви хареса тази директория. Пакетът включва графичен интерфейс на GUI за среди на Gnome, за да ви даде лесно и удобно използване.
389 Directory Server е достъпен за Linux и е безплатен за използване. Процедурите на услугата са написани в съответствие със стандартите LDAP, така че това е като Active Directory за Linux.
Каталог на Apache
Ако имате уебсайт, е много вероятно да стесъщо имат уеб сървър Apache. Apache Directory е безплатна реализация на LDAP, която се управлява от същата организация, която лекува софтуера на уеб сървъра. Няма строга оперативна съвместимост между Apache Directory и Apache Web Server - те са два различни продукта. Фактът, че разчитате на пакета за уеб сървър от Apache, трябва да ви вдъхне увереност да изпробвате директорията Apache, която е свободна за използване.
Трябва да изтеглите и инсталирате две части отсофтуер, за да имате пълна реализация на Apache Directory. И двете обаче са напълно съвместими с LDAP, така че можете да замените или с друго приложение, стига това да е и на базата на LDAP. Сървърният модул се нарича Apache DirectoryDS, а клиентът се нарича Apache Directory Studio. Вторият от тези два пакета ви позволява да преглеждате и променяте директорийните записи, които се съхраняват на сървъра. И клиентът, и сървърът са напълно безплатни за използване и двете работят на Windows, Unix, Linux и Mac OS.
FreeIPA
По-рано четете за управлението на идентичносттасистеми (IMS) и FreeIPA са включени в този списък на услугите на директории, които да опитате, защото това е добър пример за IMS. Не е нужно да се притеснявате да губите пари, за да опитате тази програма, защото е безплатна за употреба.
„IPA“ означава идентичност, политика и одит. Тези три приоритета капсулират процесите за удостоверяване, които са ви необходими за вашата мрежа и всичките ви ИТ ресурси. Както беше обяснено по-горе, услугите на директории са част от IMS системите. В случай на FreeIPA, компонентният сървър на директории се предоставя от 389 Directory Server. Така че можете да изберете да инсталирате 389 Directory Server, за да получите LDAP реализация или да разширите вашите услуги за удостоверяване и контрол на достъпа, като отидете за пълен IMS с FreeIPA.
FreeIPA е проект с отворен код, така че можетепроучете кода, за да се уверите, че няма скрити процедури за събиране на данни, съдържащи се в него. Услугата ви дава възможности за методологиите за удостоверяване, които прилагате в рамките на IMS - Kerberos е добра безплатна опция с отворен код, достъпна в тази категория задачи на IMS.
Този IMS работи на Unix или Linux. Въпреки това, той също е в състояние да наблюдава системите на Windows и също така може да инсталира и следи Unix-съвместимата Mac OS среда. Концепцията FreeIPA събира съществуващи технологии, включително API на Apache HTTP Server и Python за програмиране, за да предостави цялостен IMS, който се основава на компоненти, за които знаете, че са „закалени от реална употреба“.
Мониторинг на мрежовата директория
Ползата от използването на добре позната директорияуслуга е, че много приложения за мониторинг на системата могат да използват информацията, съдържаща се в записите ви за контрол на достъпа до ресурси, за да управляват и контролират напълно вашата мрежа и нейните услуги.
Съществуват редица много полезни мрежови системи за наблюдение, които използват данни от директорията, за да ви дадат пълен контрол върху дейностите на вашата мрежа. Ето тези, които наистина трябва да знаете за:
SolarWinds сървър и монитор на приложения (БЕЗПЛАТЕН ПРОБЕН ПЕРИОД)
Продуктите на SolarWinds работят на Windows Server, така ченяма проблем със съвместимостта с Active Directory. Като система за мониторинг, предназначена за Windows среда, SolarWinds се погрижи да вгради мониторинга на Active Directory в този инструмент. AD записите във вашата мрежа позволяват на монитора да маркира натоварването на сървъра според потребителското търсене и също така проследяват тази активност през мрежата, ако имате също инсталиран анализатор на трафика на NetFlow и проследяване на потребителски устройства.
SolarWinds произвежда редица ресурсипомощни програми за наблюдение и всички те са написани на обща платформа, наречена Orion. Това дава възможност на всеки инсталиран модул да взаимодейства с другите продукти на SolarWinds, които работи на вашия сървър. Модулът PerfStack на монитора на сървъра и приложенията работи най-добре, ако имате инсталирани и мрежови монитори, като например SolarWinds Network Monitor Monitor. Това е така, защото PerfStack показва всяко ниво на стека на услуги заедно, така че можете бързо да идентифицирате къде наистина съществуват проблеми с производителността.
Потребителският проследяващ устройство особено използваинформация, която държите в Active Directory, за да информирате другите монитори в пакета за произхода на зареждането с ресурси. Проследяващият инструмент ви помага да забележите нарушения на сигурността, а Network Monitor Monitor и NetFlow Traffic Analyzer ще ви покажат прекомерен трафик, който би могъл да означава нарушителни дейности. Можете да получите всички и всички тези продукти на SolarWinds в 30-дневна безплатна пробна версия.
PRTG Network Monitor
PRTG е обединена мрежа, сървър имонитор на приложението. Ако вземете този инструмент, можете да изберете да го приложите толкова широко или толкова тясно, колкото искате, тъй като неговият обхват е напълно адаптивен. Системата PRTG е съставена от стотици сензори. Всеки сензор трябва да бъде активиран, така че без вашата намеса всички възможности на системата ще останат в съня. Сензорът се фокусира върху един аспект на вашите мрежови услуги или върху един ресурс. Например, има Ping сензор за мониторинг на трафика, а също така има серия от сензори, които използват вашите LDAP директории за информация.
Paessler не таксува PRTG, ако сте само виеактивирайте до 100 сензора. Така че можете просто да използвате инструмента като монитор на Active Directory. Докато имате помощната програма да наблюдава вашите AD дейности, вие също имате място в рамките на тази безплатна услуга, за да наблюдавате няколко други дейности във вашата мрежа. Можете да активирате SNMP и NetFlow сензорите, за да получите обратна връзка за мрежовия трафик или да изберете да активирате порт монитори или сензори за състоянието на сървъра.
Ако искате да използвате повече от 100 сензора, можете да получите PRTG на 30-дневна безплатна пробна версия. PRTG се инсталира в Windows Server среда.
ManageEngine ADAudit Plus
ManageEngine произвежда отличен пакетмонитори за ресурси, които работят на Windows или Linux. В стабилната ManageEngine ще намерите редица инструменти, които са специално пригодени за мониторинг на Active Directory. ADAudit Plus е една от тези помощни програми. Този инструмент ще ви помогне да администрирате AD чрез интерфейса ManageEngine и също така ще проследи всички потребителски дейности, включително влизане и излизане от системата. Това ще ви помогне да забележите нелогична потребителска активност и прекомерни опити за влизане, които могат да показват присъствие на нарушител.
ADAudit Plus е богат на функции и включвасъоръжения за проследяване и отчитане. Можете да го получите в 30-дневна безплатна пробна версия. Ако не искате да платите след пробния период, можете да изберете безплатната версия на този инструмент ManageEngine. ManageEngine предлага редица безплатни инструменти на Active Directory, включително инструмента за заявки за активен директор, генератора на CSV, който извлича записи от AD, репортера за последно влизане и мениджъра на репликациите на AD, между другото.
Услуги за директории
Имате много възможности, когато започнете да пазарувате за услугите на мрежовите директории. Да се надяваме, че това ръководство ви даде начална точка за вашето търсене.
Използвате ли някоя от помощните програми, споменати в това ръководство? Предпочитате инструмент, който не сме обхванали тук? Оставете съобщение в секцията за коментари по-долу, за да споделите знанията си с общността.
Коментари