“Directory” er et almindeligt udtryk inden for beregning af detkan betyde en række ting. I netværk er mappen dog normalt relateret til brugerdata og en liste over ressourcer, der kan kontaktes på netværket.
Så der er to typer biblioteker at se påefter på et netværk: den ene lister mennesker, og den anden lister udstyr. I denne vejledning undersøger vi de forskellige katalogsystemer, der almindeligvis fungerer i netværk i dag.
Directory lagringsformat
Enhver liste over data kan opbevares på en computer iform af en fil eller i en database. Tidlige katalogsystemer var filbaserede. Udviklingen af databasestyringssystemer gjorde databasemuligheden dog mere effektiv. Databaser er lettere og hurtigere at søge igennem, og de sprog, der bruges til dem (normalt SQL), giver mulighed for at inkludere boolske operatører (OG, ELLER, IKKE, DIVID, TIDER, VÆLG, PROJEKT) i søgninger.
Procedurer til biblioteksadgang
Anvender et katalogsystem, der er afhængig af etåbent tilgængelig protokol foretrækkes frem for at købe et proprietært system, der bruger sine egne kommunikationsformater. Katalogtjenester kræver to grundlæggende komponenter, som er en klient og en server. Serveren er det program, der indeholder databasen og administrerer adgang til data. Klienten er normalt indlejret i en grænseflade, der enten viser hentede data, tillader, at data ændres, eller gør det muligt at udføre handlinger betinget af modtagelse af disse oplysninger.
Hvis du vælger at installere et katalogsystem, derer baseret på universelle protokoller, vil du være i stand til at "blande og matche" klient- og serversystemer, fordi de garanteres at være i stand til at interagere med hinanden uanset hvem der har skrevet dem. Endvidere kan informationerne i netværksdirektører udnyttes ved overvågnings- og aktivitetsrapporteringsværktøjer, såsom indtrængningsdetektionssystemer (IDS'er). Installation af en biblioteksadministrator, der implementerer almindeligt anvendte protokoller, sikrer, at oplysningerne i disse mapper er tilgængelige for disse brugerovervågnings- og ressourcekontrolpakker.
Letvægtsvejledningsadgangsprotokol (LDAP)
LDAP er en tjenesteprotokol, der har været bredtimplementeret som adgangsmekanismen til en lang række netværksmapper. Et antal af de netværkskatalogsystemer, der er vist her nedenfor, bruger LDAP-procedurer.
Da det er en protokol og ikke et stykke software,du kan ikke købe LDAP og installere det. Snarere vil du erhverve og køre et program, der implementerer LDAP-reglerne. En protokol skitserer en liste over standarder og arbejdsprocedurer, der vil nå et mål, så selve protokollen ikke er operativsystemafhængig. Det betyder, at enhver kan udvikle en LDAP-implementering til Windows, Linux, Unix eller ethvert andet operativsystem.
Et vigtigt element i LDAP-definitionen erat det angiver et kommandosprog, der gør det muligt for klienter at kommunikere med LDAP-serveren. Da standarden er offentligt tilgængelig, kan enhver bruge den til at oprette et program, der interagerer med en LDAP-server. Dette betyder, at LDAP kan integreres i kommerciel software og også kan integreres i ethvert internt tilpasset program, du måtte udvikle. Denne fleksibilitet og universalitet har gjort LDAP til de facto standard for driftsproceduren for katalogtjenester.
LDAP bruges til alle DNS-servere (Domain Name Service), så du anvender LDAP-systemet regelmæssigt på dit netværk, uanset om du er klar over det eller ej.
OpenLDAP
Som navnet antyder, er OpenLDAP den renesteimplementering af det LDAP-system, som du finder. Dette er et bibliotek med procedurer, der kan integreres i andre programmer. OpenLDAP er et open source-projekt, så enhver kan få adgang til dens kode gratis. Koden implementeres også af OpenLDAP-projektet som Java-biblioteker, og det er således muligt at få adgang til systemet via GUI-grænseflader på ethvert operativsystem.
Da denne pakke er et bibliotek med kode, implementerer få netværksadministratorer OpenLDAP-proceduren direkte. I stedet skal du kigge efter kommercielle applikationer, der angiver deres brug af OpenLDAP.
Active Directory
Microsofts Active Directory var et banebrydende brugeradministrationssystem oprettet til Windows. Det blev opfundet i 1999 og var så godt planlagt, at det stadig bruges vidt.
Active Directory fører en liste over autoriserede brugeretil et netværk. Det er i stand til at kategorisere disse brugere efter tilladelsesniveauer, så en bruger med administratorrettigheder genkendes og giver større adgang til almindelige brugere. En sekundær fordel ved Active Directory er, at den også kontrollerer computerens rettigheder på netværket. Så dette er en fantastisk sikkerhedstjeneste, fordi den sørger for, at kun autoriserede enheder er tilsluttet netværket, og at kun autoriserede brugere kan logge på disse computere. Det er muligt at blokere adgang til noget udstyr til bestemte brugergrupper og forbeholde adgang til specifikke applikationer til dem med administratorrettigheder.
Den vigtigste begrænsning af Active Directory er detdet integreres kun med andre Microsoft-produkter, så du kan ikke bruge det på Linux. Det er heller ikke i stand til at kontrollere adgangen til ikke-Microsoft-produktivitetssuiter, f.eks. Google Docs. Efterhånden som listen over vellykkede konkurrenttjenester og skybaserede systemer udvides, reduceres brugen af Active Directory.
Novell Directory Services (NDS)
NDS-systemet blev opfundet til at levere katalogtjenester til Novell Netware-netværk. Det er dog også i stand til at fungere på netværk, der ikke har Netware installeret. Softwaren kan køre på Windows, Sun Solaris og IBM OS / 390. Dette var en tidlig implementering af LDAP, og det blev derfor en benchmark for andre implementeringer af katalogtjenester. Dens brug af LDAP pegede især vejen for senere udviklinger og dannede en model for Active Directory.
Liste over adgangskontrol (ACL)
ACL er et rivaliserende adgangsstyringssystem til LDAP. Selvom det ikke er så bredt implementeret som LDAP, er ACL stadig et meget velkendt system, og det er blevet implementeret nok gange til at markere det i branchen som en pålidelig godkendelsestjeneste.
ACL-systemet er afhængig af et datalagringsformatder skaber et træ af attributter. I ACL-terminologi kaldes den ressource, der er beskyttet, et "objekt." Hvert objekt tildeles en liste over tilladte brugere, og afhængigt af typen af objekt, der er beskyttet, tildeles hver bruger en eller flere tilladelser.
ACL kan anvendes til filadgang eller netværkadgang. Netværksbaserede ACL'er kan være nyttige til indtrængenforebyggelsessystemer (IPS'er), fordi de kontrollerer adgangen til specifikke værtsadresser og endda selektivt kan blokere adgangen til porte. På netværk implementeres adgangsrettighederne, der er dokumenteret af ACL, på switches og routere.
Moderne ACL'er bruger SQL-databaser til tilladelseopbevaring snarere end filer. Denne fremgang gjorde det også muligt for ACL at udvikle sig ud over brugeradgangskontroller til brugergruppestyring. Dette forenkler administrationen af adgangstilladelser, især på netværk, hvor ACL muligvis skal logge hver bruger mange gange for at give adgang til endda de grundlæggende ressourcebehov for en typisk kontorbaseret bruger.
Identiteter og adgangsstyringsløsninger (IAM'er)
En kategori af netværksværktøj, som du måske kommerpå tværs af når undersøgelse af brugergodkendelsessystemer er Identity and Access Management Solutions eller IAM'er. Dette udtryk beskriver en bredere løsning til brugergodkendelse end kun en katalogtjeneste. Imidlertid vil et bibliotek eller endda flere mapper ligge i hjertet af enhver IAM. Så når du handler efter adgangs- og godkendelsessystemer, skal du sige dig efter værktøjer, der har en meget bredere ansvarsområde end blot katalogstyring. Vær dog opmærksom på, at du har brug for katalogtjenesten i kernen af IAM for at implementere en åben protokol, såsom LDAP, så katalogadgang også vil være tilgængelig for andre overvågningsprogrammer.
Forslag til netværkskatalogtjenester
Denne liste præsenterer et par forslag tilapplikationer, som du kan prøve som specifikke katalogtjenester på dit netværk. Andre applikationer, som du bruger regelmæssigt, sådan en webserver eller IP-adresseadministratorer, integrerer imidlertid også katalogtjenester.
JumpCloud DaaS
"DaaS" -delen af dette produkts navn står for“Bibliotek som en service.” Dette er en emulering af udtrykket “software som en service.” Online, skybaserede softwaretjenester bruger SaaS / softwaren som en serviceterm for at beskrive deres konfiguration. Så JumpCloud's navn fortæller dig øjeblikkeligt, at det er en onlinetjeneste, der leverer en katalogserver over internettet.
Dette er et betalt produkt, der implementerer ActiveVejviser. JumpCloud udvider imidlertid Active Directory's muligheder til Unix og Linux-systemer ved at emulere AD med en LDAP-implementering for disse operativsystemer. JumpCloud tilbyder en pæn måde at få AD til at arbejde for alle dine ressourcer, ikke kun dem, der leveres af Microsoft. Du behøver ikke betale for JumpCloud DaaS, hvis du kun bruger det til op til 10 brugere.
Kører sikkerhedstjenester over internettetskaber en ekstra komponent, der kan mislykkes, og det skaber også en ekstra mulighed for hackere til at aflytte din trafik og bryde igennem dine godkendelsesprocesser. Heldigvis krypterer JumpCloud al kommunikation mellem din klient og serveren, der findes på JumpCloud-fjernwebstedet.
At sætte AD på nettet er en interessant løsningfor dem, der ikke bruger mange ressourcer på stedet, men er afhængige af cloud-servere og SaaS til brugerapplikationer. Den skybaserede model er også interessant for de virksomheder, der har en masse arbejdere, der er hjemme hjemmefra, eller med agenter, konsulenter eller håndværkere, der arbejder på kundesider hele tiden.
JumpCloud DaaS er et eksempel på, hvor traditioneltwebstedsbaserede applikationer kan let tilpasses til levering på eksterne servere, og hvordan det aldrig er for sent for en innovatør at komme ind og forny eller udvide funktionaliteten af etablerede tjenester.
AWS Directory Service
Amazon Web Services tilbyder et alternativ tilJumpCloud DaaS. Dette er en anden skybaseret Active Directory-implementering, og den leveres af en af Cloud's store møder. Du kan vælge bare at bruge denne katalogtjeneste som din nuværende installation på stedet, eller bruge den til at migrere dit lager og software til andre AWS-tjenester.
I modsætning til JumpCloud udvider AWS Directory Service ikke mulighederne for AD til Unix og Linux. Det er snarere en ren Microsoft Active Directory-implementering, der er vært på Cloud.
Amazon tilbyder ikke AWS Directory Service tilgratis. Prisfastsættelsesmodellen er imidlertid meget skalerbar og baseret på en timemålerpris, der dækker to domæner, med en lavere sats for hvert ekstra domæne tilføjet til planen. Dette er ikke så godt som gratis. Du kan dog prøve tjenesten gratis i 30 dage.
389 Directory Server
Webstedet til 389 Directory Server hævder detdenne software er "hærdet ved brug i den virkelige verden." Som en hærdet netværksadministrator vil du sandsynligvis forholde dig til den brug af ord. Dette er et open source-projekt og er et ikke-frill produkt. Hvis du har det godt med at udarbejde programmerne selv og ikke har noget imod at kombinere kode, vil du elske dette katalogsystem. Pakken indeholder en GUI-font-ende til Gnome-miljøer for at give dig brugervenlighed ved at klikke og klik.
389 Directory Server er tilgængelig for Linux, og den er gratis at bruge. Procedurerne for tjenesten er skrevet til LDAP-standarderne, så dette ligner Active Directory til Linux.
Apache-bibliotek
Hvis du driver et websted, er det meget sandsynligt, at duhar også Apache Web Server. Apache Directory er en gratis LDAP-implementering, der administreres af den samme organisation, der kuraterer webserverens software. Der er ingen streng interoperabilitet mellem Apache Directory og Apache Web Server - de er to forskellige produkter. Det faktum, at du er afhængig af webserverpakken fra Apache, skal give dig selvtillid til at prøve Apache-biblioteket, som er gratis at bruge.
Du skal downloade og installere to stykker afsoftware for at få en fuldstændig implementering af Apache Directory. Begge er dog fuldt ud kompatible med LDAP, så du kan erstatte enten en anden applikation, så længe det også er LDAP-baseret. Servermodulet kaldes Apache DirectoryDS, og klienten kaldes Apache Directory Studio. Den anden af disse to pakker giver dig mulighed for at se og ændre katalogposter, der findes på serveren. Både klienten og serveren er helt gratis at bruge og kører begge på Windows, Unix, Linux og Mac OS.
FreeIPA
Tidligere læste du om identitetsstyringersystems (IMS) og FreeIPA er inkluderet på denne liste over katalogtjenester, som du kan prøve, fordi det er et godt eksempel på en IMS. Du behøver ikke at bekymre dig om at spilde penge med at prøve dette værktøj, fordi det er gratis at bruge.
“IPA” står for identitet, politik og revision. Disse tre prioriteringer indkapsler de godkendelsesprocesser, du har brug for dit netværk og alle dine IT-ressourcer. Som forklaret ovenfor er katalogtjenester en del af IMS-systemer. I tilfælde af FreeIPA leveres katalogserverkomponenten af 389 Directory Server. Så du kan vælge at installere 389 Directory Server for at få en LDAP-implementering eller udvide dine godkendelsestjenester og adgangskontrol ved at gå efter et komplet IMS med FreeIPA.
FreeIPA er et open source-projekt, så du kanundersøge koden for at sikre dig, at der ikke er nogen skjulte datahøstningsprocedurer indeholdt i. Tjenesten giver dig muligheder i forhold til godkendelsesmetodologier, som du implementerer inden for IMS-rammen - Kerberos er en god gratis open source-indstilling tilgængelig inden for denne kategori af IMS-opgaver.
Denne IMS kører på Unix eller Linux. Det er dog også i stand til at overvåge Windows-systemer, og det kan også installere og overvåge det Unix-kompatible Mac OS-miljø. FreeIPA-konceptet indsamler allerede eksisterende teknologier, herunder Apache HTTP-server og Python-programmerings-API'er for at give et komplet IMS, der er baseret på komponenter, som du ved, er "hærdet af den virkelige verden."
Netværkskatalogovervågning
Fordelen ved at bruge et velkendt bibliotektjenesten er, at mange systemovervågningsapplikationer kan udnytte de oplysninger, der findes i dine ressourceadgangskontrolposter for fuldt ud at styre og kontrollere dit netværk og dets tjenester.
Der er en række meget nyttige netværksovervågningssystemer, der udnytter katalogdata for at give dig fuld kontrol over dit netværks aktiviteter. Her er dem, du virkelig har brug for at vide om:
SolarWinds Server og applikationsmonitor (GRATIS PRØVEVERSION)
SolarWinds-produkter fungerer på Windows Server, såder er ikke noget problem med kompatibilitet med Active Directory. Som et overvågningssystem beregnet til Windows-miljøer sørgede SolarWinds for at opbygge Active Directory-overvågning til dette værktøj. AD-posterne på dit netværk gør det muligt for skærmen at mærke serverbelastning efter brugernes efterspørgsel og også spore denne aktivitet gennem netværket, hvis du også har firmaets NetFlow Traffic Analyzer og User Device Tracker installeret.
SolarWinds producerer en række ressourcerovervågningsværktøjer og alle af dem er skrevet på en fælles platform, kaldet Orion. Dette gør det muligt for hvert modul, du installerer, at interagere med de andre SolarWinds-produkter, du har kørt på din server. PerfStack-modulet på serveren og applikationsmonitoren fungerer bedst, hvis du også har installeret netværksmonitorer, f.eks. SolarWinds Network Performance Monitor. Dette skyldes, at PerfStack viser hvert niveau i servicestakken sammen, så du hurtigt kan identificere, hvor effektivitetsproblemer virkelig findes.
User Device Tracker udnytter isæroplysninger, som du har i Active Directory for at informere de andre skærme i pakken om oprindelsen af ressourcebelastningen. Trackeren hjælper dig med at se sikkerhedsbrud, og Network Performance Monitor og NetFlow Traffic Analyzer viser dig for stor trafik, der kan betyde indtrængende aktiviteter. Du kan få alle disse SolarWinds-produkter i en 30-dages gratis prøveperiode.
PRTG Network Monitor
PRTG er et samlet netværk, server ogapplikationsmonitor. Hvis du tager på dette værktøj, kan du vælge at implementere det så vidt eller så snævert, som du vil, fordi dets omfang er fuldstændigt tilpasselig. PRTG-systemet består af hundreder af sensorer. Hver sensor skal aktiveres, så uden dit indgreb forbliver alle systemets funktioner sovende. En sensor fokuserer på et aspekt af dine netværkstjenester eller på en ressource. For eksempel er der en Ping-sensor til trafikovervågning, og der er også en række sensorer, der udnytter dine LDAP-mapper til information.
Paessler opkræver ikke gebyr for PRTG, hvis du kunaktiver op til 100 sensorer. Så du kan bare bruge værktøjet som en Active Directory-skærm. Mens du har værktøjet til at se dine AD-aktiviteter, har du også plads inden for dette gratis servicetilbud til at overvåge et par andre aktiviteter på dit netværk. Du kan aktivere SNMP- og NetFlow-sensorer for at få feedback på netværkstrafik eller vælge at aktivere portmonitorer eller serverstatussensorer.
Hvis du vil bruge mere end 100 sensorer, kan du få PRTG i en 30-dages gratis prøveperiode. PRTG installeres i Windows Server-miljøet.
ManageEngine ADAudit Plus
ManageEngine producerer en suite af fremragenderessource skærme, der kører på Windows eller Linux. I ManageEngine-stallen finder du et antal værktøjer, der er specielt tilpasset Active Directory-overvågning. ADAudit Plus er en af disse værktøjer. Dette værktøj hjælper dig med at administrere AD via ManageEngine-grænsefladen, og det sporer også alle brugeraktiviteter, herunder logon og logoff. Dette vil hjælpe dig med at se ulogisk brugeraktivitet og overdrevne loginforsøg, der kan indikere indtrængende tilstedeværelse.
ADAudit Plus er funktionsrig og inkluderersporings- og rapporteringsfaciliteter. Du kan få det i en 30-dages gratis prøveperiode. Hvis du ikke har lyst til at betale efter prøveperioden, kan du vælge den gratis version af dette ManageEngine-værktøj. ManageEngine tilbyder et antal gratis Active Directory-værktøjer, herunder Active Director Query Tool, CSV Generator, der uddrager AD-poster, Last Login Reporter og AD Replication Manager, blandt andre.
Katalogtjenester
Du har en masse muligheder, når du begynder at shoppe rundt for netværkskatalogtjenester. Forhåbentlig har denne guide givet dig et udgangspunkt for din søgning.
Bruger du nogen af de hjælpeprogrammer, der er nævnt i denne vejledning? Foretrækker du et værktøj, som vi ikke har dækket her? Efterlad en besked i afsnittet Kommentarer nedenfor for at dele din viden med samfundet.
Kommentarer