„Adresář“ je běžný termín při výpočtumůže znamenat řadu věcí. V síti je však adresář obvykle spojen s uživatelskými daty a seznamem zdrojů, které lze v síti kontaktovat.
Takže existují dva typy adresářů, které je třeba hledatpoté v síti: jeden seznam lidí a druhý seznam zařízení. V této příručce prozkoumáme různé adresářové systémy, které jsou dnes běžně provozovány v sítích.
Formát úložiště adresářů
Jakýkoli seznam dat lze uchovávat na počítači v systému Windowspodobě souboru nebo v databázi. Počáteční adresářové systémy byly založeny na souborech. Díky vývoji systémů správy databází však byla možnost databáze efektivnější. Prohledávání databází je snazší a rychlejší a jazyky dotazů, které se pro ně používají (obvykle SQL), umožňují zahrnout do vyhledávání booleovské operátory (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT).
Postupy pro přístup k adresáři
Zaměstnání adresářového systému, který se spoléhá naotevřeně dostupný protokol je výhodnější než nákup v proprietárním systému, který používá své vlastní komunikační formáty. Adresářové služby vyžadují dvě základní součásti, kterými jsou klient a server. Server je program, který drží databázi a řídí přístup k datům. Klient je obvykle zabudován do rozhraní, které buď zobrazuje načtená data, umožňuje tato data měnit, nebo umožňuje podmíněně provádět akce po přijetí těchto informací.
Pokud se rozhodnete nainstalovat adresářový systém, kterýje založen na univerzálních protokolech, budete moci „kombinovat“ klientské a serverové systémy, protože jim bude zaručeno, že budou moci vzájemně spolupracovat bez ohledu na to, kdo je napsal. Kromě toho mohou být informace obsažené v síťových adresářích využívány nástroji pro monitorování a vykazování aktivity, jako jsou systémy detekce narušení (IDS). Instalace správce adresářů, který implementuje běžně používaný protokol, zajišťuje, že informace obsažené v těchto adresářích budou přístupné pro ty balíčky monitorování uživatelů a řízení zdrojů.
Protokol lehkého adresářového přístupu (LDAP)
LDAP je široce rozšířený protokol služebimplementován jako přístupový mechanismus k široké škále síťových adresářů. Řada systémů síťového adresáře, které jsou uvedeny níže, používá postupy LDAP.
Protože se jedná o protokol a ne o kus softwaru,nemůžete si koupit LDAP a nainstalovat jej. Spíše byste získali a spustili program, který implementuje pravidla LDAP. Protokol nastiňuje seznam standardů a pracovních postupů, které dosáhnou cíle, takže samotný protokol není závislý na operačním systému. To znamená, že kdokoli může vyvinout implementaci LDAP pro Windows, Linux, Unix nebo jakýkoli jiný operační systém.
Důležitým prvkem definice LDAP ježe stanoví příkazový jazyk, který umožňuje klientům komunikovat se serverem LDAP. Protože je norma veřejně dostupná, může ji kdokoli použít k vytvoření aplikace, která spolupracuje se serverem LDAP. To znamená, že protokol LDAP lze integrovat do komerčního softwaru a také jej lze integrovat do jakéhokoli vlastního vlastního programu, který byste mohli vyvinout. Tato flexibilita a univerzálnost učinily LDAP de facto standardem pro pracovní postup adresářových služeb.
LDAP se používá pro všechny servery DNS (Domain Name Service), takže systém LDAP budete pravidelně používat ve vaší síti, ať už si to uvědomujete nebo ne.
OpenLDAP
Jak název napovídá, OpenLDAP je nejčistšíimplementace systému LDAP, který najdete. Toto je knihovna procedur, které lze integrovat do jiných programů. OpenLDAP je projekt s otevřeným zdrojovým kódem, takže k jeho kódu má přístup kdokoli zdarma. Kód je také implementován projektem OpenLDAP jako knihovny Java, takže je možné přistupovat k systému prostřednictvím rozhraní GUI na jakémkoli operačním systému.
Protože tento balíček je knihovna kódu, jen málo správců sítě implementuje proceduru OpenLDAP přímo. Místo toho byste měli hledat komerční aplikace, které uvádějí, jak používají OpenLDAP.
Aktivní adresář
Microsoft Active Directory byl průkopnický systém správy uživatelů vytvořený pro Windows. Byl vynalezen v roce 1999 a byl tak dobře naplánovaný, že se stále používá.
Služba Active Directory udržuje seznam oprávněných uživatelůpro síť. Je schopen kategorizovat tyto uživatele podle úrovní oprávnění, takže uživatel s oprávněními správce je rozpoznán a povolil větší přístup než běžní uživatelé. Druhou výhodou služby Active Directory je to, že také kontroluje práva počítačů v síti. Jedná se tedy o skvělou bezpečnostní službu, protože zajišťuje, že k síti jsou připojena pouze autorizovaná zařízení a na těchto počítačích se mohou přihlásit pouze oprávnění uživatelé. Je možné zablokovat přístup k některým zařízením určitým skupinám uživatelů a vyhradit přístup k určitým aplikacím těm, kteří mají práva správce.
Hlavním omezením služby Active Directory je tointegruje se pouze s dalšími produkty společnosti Microsoft, takže je nelze použít v systému Linux. Rovněž není schopen řídit přístup k sadám produktivity jiných než Microsoft, jako jsou například Dokumenty Google. S rozšiřováním seznamu úspěšných konkurenčních služeb a cloudových systémů klesá použitelnost služby Active Directory.
Novell Directory Services (NDS)
Systém NDS byl vynalezen jako adresářslužby do sítí Novell Netware. Je však také schopen pracovat v sítích, které nemají nainstalovanou síť Netware. Software může běžet na Windows, Sun Solaris a IBM OS / 390. Toto byla časná implementace LDAP, a tak se stala měřítkem pro další implementace adresářových služeb. Jeho použití LDAP zvláště nasměrovalo cestu pro další vývoj a vytvořilo model pro Active Directory.
Seznam řízení přístupu (ACL)
ACL je konkurenční systém řízení přístupu k LDAP. Ačkoli to není tak rozšířené jako LDAP, ACL je stále velmi dobře známý systém a byl implementován dostatečně dlouho, aby jej v tomto odvětví označil jako spolehlivou autentizační službu.
Systém ACL spoléhá na formát ukládání datkterý vytváří strom atributů. V terminologii ACL je chráněný prostředek nazýván „objekt“. Každému objektu je přidělen seznam povolených uživatelů a v závislosti na typu chráněného objektu je každému uživateli přiděleno jedno nebo více oprávnění.
ACL lze použít pro přístup k souborům nebo do sítěpřístup. Síťové ACL mohou být užitečné pro systémy prevence narušení (IPS), protože řídí přístup ke konkrétním hostitelským adresám a mohou dokonce selektivně blokovat přístup k portům. V sítích jsou přístupová práva dokumentovaná ACL implementována na přepínačích a směrovačích.
Moderní seznamy ACL používají k povolení databáze SQLúložiště spíše než soubory. Tento pokrok také umožnil, aby se ACL vyvíjel mimo řízení přístupu uživatelů k řízení skupiny uživatelů. To zjednodušuje správu přístupových oprávnění, zejména v sítích, kde ACL může potřebovat mnohokrát přihlásit každého uživatele, aby poskytl přístup k i základním požadavkům na zdroje typického kancelářského uživatele.
Řešení pro správu identit a přístupu (IAM)
Kategorie síťového nástroje, který byste mohli přijítpři zkoumání systémů ověřování uživatelů je řešení Identity and Access Management Solutions nebo IAM. Tento termín popisuje širší řešení autentizace uživatelů než pouze adresářovou službu. Jádrem každého IAM však bude adresář nebo i několik adresářů. Když tedy nakupujete systémy pro přístup a ověřování, zaměřte se na nástroje, které mají mnohem širší působnost než jen správa adresářů. Mějte však na paměti, že pro implementaci otevřeného protokolu, jako je například LDAP, potřebujete adresářovou službu v jádru IAM, aby byl přístup k adresáři dostupný i pro další monitorovací aplikace.
Návrhy na služby síťových adresářů
Tento seznam obsahuje několik návrhů proaplikace, které byste mohli vyzkoušet jako specifické adresářové služby ve vaší síti. Ostatní aplikace, které pravidelně používáte, například webové servery nebo správci IP adres, budou také integrovat adresářové služby.
JumpCloud DaaS
Část „DaaS“ názvu tohoto produktu znamená„Adresář jako služba.“ Toto je emulace pojmu „software jako služba“. Online softwarové služby založené na cloudu používají SaaS / software jako termín služby pro popis jejich konfigurace. Jméno JumpCloud vám tedy okamžitě řekne, že se jedná o online službu, která doručuje adresářový server přes internet.
Toto je placený produkt, který implementuje ActiveAdresář. JumpCloud však rozšiřuje možnosti Active Directory na systémy Unix a Linux emulací AD s implementací LDAP pro tyto operační systémy. JumpCloud nabízí úhledný způsob, jak zajistit, aby služba AD fungovala pro všechny vaše zdroje, nejen pro zdroje poskytované společností Microsoft. Za JumpCloud DaaS nemusíte platit, pokud jej používáte pouze pro 10 uživatelů.
Provozování bezpečnostních služeb přes internetvytváří další součást, která by mohla selhat, a také vytváří další příležitost pro hackery, aby vás zachytili a přerušili vaše autentizační procesy. Naštěstí JumpCloud šifruje veškerou komunikaci mezi klientem a serverem na vzdáleném webu JumpCloud.
Zajímavým řešením je uvedení reklamy na webpro ty, kteří nevyužívají mnoho místních zdrojů, ale spoléhají na cloudové servery a SaaS pro uživatelské aplikace. Cloudový model je také zajímavý pro ty podniky, které mají mnoho pracovníků z domova, nebo s agenty, konzultanty nebo řemeslníky, kteří neustále pracují na klientských webech.
JumpCloud DaaS je příkladem toho, jak tradičníwebové aplikace lze snadno přizpůsobit pro doručování na vzdálené servery a to, jak není nikdy pozdě, aby inovátor přišel a vylepšil nebo rozšířil funkčnost zavedených služeb.
Adresářová služba AWS
Amazon Web Services nabízí alternativu kJumpCloud DaaS. Toto je další implementace služby Active Directory v cloudu a je poskytována jedním z velkých hitterů cloudu. Můžete si vybrat, zda chcete tuto adresářovou službu použít pouze jako aktuální nastavení na místě, nebo ji použít k migraci úložiště a softwaru na jiné služby AWS.
Na rozdíl od JumpCloud, AWS Directory Service nerozšiřuje možnosti AD na Unix a Linux. Jedná se spíše o implementaci čistě Microsoft Active Directory, která je hostována v cloudu.
Amazon nenabízí adresářovou službu AWS provolný, uvolnit. Cenový model je však velmi škálovatelný a je založen na hodinové metrické sazbě pokrývající dvě domény, s nižší sazbou pro každou další doménu přidanou do plánu. To není tak dobré jako zdarma. Službu však můžete vyzkoušet zdarma po dobu 30 dnů.
389 Directory Server
Webové stránky 389 Directory Server tvrdí, žetento software je „zatvrzen skutečným používáním“. Jako správce zatvrzované sítě se pravděpodobně budete vztahovat k tomuto používání slov. Jedná se o projekt s otevřeným zdrojovým kódem a jedná se o bezplatný produkt. Pokud jste v pořádku s kompilací programů sami a nevadí vám prohledávat kód, budete tento adresářový systém milovat. Balíček obsahuje GUI písmo-end pro prostředí Gnome, aby vám point-and-click snadné použití.
Adresářový server 389 je k dispozici pro Linux a je zdarma k použití. Procedury služby jsou zapsány podle standardů LDAP, takže je to jako služba Active Directory pro Linux.
Adresář Apache
Pokud provozujete web, je velmi pravděpodobné, že vytaké mají webový server Apache. Apache Directory je bezplatná implementace LDAP, která je spravována stejnou organizací, která spravuje software webového serveru. Mezi adresářem Apache a webovým serverem Apache neexistuje žádná přísná interoperabilita - jedná se o dva odlišné produkty. Skutečnost, že se spoléháte na balíček webového serveru od společnosti Apache, by vám však měla poskytnout důvěru při vyzkoušení adresáře Apache, který je zdarma k použití.
Musíte si stáhnout a nainstalovat dva kusysoftware, aby byla plná implementace adresáře Apache. Oba jsou však plně kompatibilní s LDAP, takže můžete nahradit kteroukoli jinou aplikací, pokud je to také založené na LDAP. Serverový modul se nazývá Apache DirectoryDS a klient se nazývá Apache Directory Studio. Druhý z těchto dvou balíčků vám umožňuje prohlížet a měnit záznamy adresářů, které jsou drženy na serveru. Klient i server jsou zcela zdarma a obě běží na Windows, Unixu, Linuxu a Mac OS.
FreeIPA
Dříve jste si přečetli správu identitsystémy (IMS) a FreeIPA jsou zahrnuty v tomto seznamu adresářových služeb, které lze vyzkoušet, protože je to dobrý příklad IMS. Nemusíte si dělat starosti s plýtváním peněz a vyzkoušet tento nástroj, protože je zdarma k použití.
„IPA“ znamená Identita, Zásady a Audit. Tyto tři priority zapouzdřují procesy autentizace, které potřebujete pro vaši síť a všechny vaše IT zdroje. Jak je vysvětleno výše, adresářové služby jsou součástí systémů IMS. V případě FreeIPA poskytuje komponentu adresářového serveru 389 Directory Server. Můžete se tedy rozhodnout nainstalovat 389 Directory Server, abyste získali implementaci LDAP, nebo rozšířit své autentizační služby a řízení přístupu pomocí plné IMS s FreeIPA.
FreeIPA je projekt s otevřeným zdrojovým kódem, takže můžeteprozkoumejte kód a ujistěte se, že v něm nejsou žádné skryté postupy sběru dat. Tato služba vám poskytuje možnosti ohledně metodik autentizace, které implementujete v rámci IMS - Kerberos je dobrá volná open source možnost dostupná v této kategorii úkolů IMS.
Tento IMS běží na Unixu nebo Linuxu. Je však také schopen sledovat systémy Windows a může také instalovat a monitorovat prostředí Mac OS kompatibilní s Unixem. Koncept FreeIPA shromažďuje již existující technologie, včetně API Apache HTTP Server a Python, aby poskytoval kompletní IMS, který je založen na komponentách, o kterých víte, že jsou „zatvrzovány skutečným používáním“.
Monitorování síťového adresáře
Výhoda použití známého adresářeSlužba je, že mnoho aplikací pro monitorování systému může využívat informace obsažené ve vašich záznamech řízení přístupu k prostředkům, aby bylo možné plně spravovat a řídit vaši síť a její služby.
Existuje celá řada velmi užitečných systémů pro monitorování sítě, které využívají data adresářů a poskytují vám plnou kontrolu nad činnostmi vaší sítě. Zde jsou ty, o kterých opravdu potřebujete vědět:
Monitor serverů a aplikací SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
Produkty SolarWinds fungují na Windows Serverunení problém s kompatibilitou se službou Active Directory. Jako monitorovací systém určený pro prostředí Windows zajistil SolarWinds zabudování monitorování Active Directory do tohoto nástroje. Záznamy AD ve vaší síti umožňují monitoru označit zatížení serveru podle požadavků uživatele a také sledovat tuto aktivitu v síti, pokud máte také nainstalován analyzátor provozu NetFlow a zařízení pro sledování uživatelů.
SolarWinds vytváří řadu zdrojůmonitorovací nástroje a všechny jsou psány na společné platformě nazvané Orion. To umožňuje každému nainstalovanému modulu komunikovat s ostatními produkty SolarWinds, které používáte na serveru. Modul PerfStack Server a Application Monitor funguje nejlépe, pokud máte také nainstalované síťové monitory, například SolarWinds Network Performance Monitor. Je to proto, že PerfStack ukazuje každou úroveň zásobníku služeb dohromady, takže můžete rychle zjistit, kde skutečně existují problémy s výkonem.
Uživatel zařízení Tracker využívá zejménainformace, které držíte ve službě Active Directory, abyste informovali ostatní monitory v sadě o původu načtení prostředků. Sledovač vám pomůže odhalit narušení zabezpečení a Monitor výkonu sítě a NetFlow Traffic Analyzer vám ukážou nadměrný provoz, který by mohl znamenat aktivity vetřelce. Jakékoli a všechny tyto produkty SolarWinds můžete získat 30denní bezplatnou zkušební verzí.
Monitor sítě PRTG
PRTG je sjednocená síť, server amonitor aplikací. Pokud přijmete tento nástroj, můžete se rozhodnout jej implementovat tak široce nebo tak úzce, jak chcete, protože jeho rozsah je zcela přizpůsobitelný. Systém PRTG se skládá ze stovek senzorů. Každý senzor musí být aktivován, takže bez vašeho zásahu zůstanou všechny možnosti systému v klidu. Senzor se zaměřuje na jeden aspekt vašich síťových služeb nebo na jeden zdroj. Například existuje senzor Ping pro monitorování provozu a existuje také řada senzorů, které využívají vaše adresáře LDAP pro informaci.
Paessler neúčtuje poplatky za PRTG, pouze pokudaktivovat až 100 senzorů. Nástroj tedy můžete použít pouze jako monitor služby Active Directory. I když máte nástroj, který sleduje vaše AD aktivity, máte také prostor v rámci této nabídky bezplatných služeb pro sledování několika dalších aktivit ve vaší síti. Mohli byste aktivovat senzory SNMP a NetFlow, abyste získali zpětnou vazbu o síťovém provozu, nebo si můžete aktivovat monitory portů nebo senzory stavu serveru.
Pokud chcete použít více než 100 senzorů, můžete získat PRTG na 30denní bezplatnou zkušební verzi. PRTG se instaluje v prostředí Windows Server.
SpravovatEngine ADAudit Plus
ManageEngine produkuje sadu vynikajícíchmonitory prostředků, které běží na Windows nebo Linuxu. Ve stáji ManageEngine najdete řadu nástrojů, které jsou speciálně přizpůsobeny sledování Active Directory. ADAudit Plus je jedním z těchto nástrojů. Tento nástroj vám pomůže spravovat AD prostřednictvím rozhraní ManageEngine a bude také sledovat všechny uživatelské aktivity, včetně přihlášení a odhlášení. To vám pomůže zjistit nelogickou aktivitu uživatelů a nadměrné pokusy o přihlášení, které mohou naznačovat přítomnost vetřelce.
ADAudit Plus je bohatý na funkce a zahrnujesledovací a ohlašovací zařízení. Můžete si ji získat v 30denní bezplatné zkušební verzi. Pokud nechcete platit ani po zkušební době, můžete si vybrat bezplatnou verzi tohoto nástroje ManageEngine. ManageEngine nabízí řadu bezplatných nástrojů služby Active Directory, včetně nástroje Active Director Query Tool, generátoru CSV, který extrahuje mimo jiné záznamy AD, Last Login Reporter a AD Replication Manager.
Adresářové služby
Když začnete nakupovat služby síťového adresáře, máte mnoho možností. Doufejme, že tento průvodce vám dal výchozí bod pro vaše hledání.
Používáte některý z nástrojů uvedených v této příručce? Dáváte přednost nástroji, který jsme zde nezahrnuli? Nechte zprávu v sekci Komentáře níže a podělte se o své znalosti s komunitou.
Komentáře