"Directorio" es un término común en informática quepuede significar una variedad de cosas. Sin embargo, en las redes, el directorio generalmente está relacionado con los datos del usuario y una lista de recursos con los que se puede contactar en la red.
Entonces, hay dos tipos de directorios para buscardespués en una red: uno enumera personas y el otro enumera equipos. En esta guía, investigaremos los diferentes sistemas de directorios que comúnmente funcionan en las redes actuales.
Formato de almacenamiento de directorio
Cualquier lista de datos se puede guardar en una computadora en elforma de un archivo o en una base de datos. Los primeros sistemas de directorio estaban basados en archivos. Sin embargo, el desarrollo de sistemas de gestión de bases de datos hizo que la opción de base de datos fuera más eficiente. Las bases de datos son más fáciles y rápidas de buscar y los lenguajes de consulta utilizados para ellas (generalmente SQL) permiten que los operadores booleanos (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) se incluyan en las búsquedas.
Procedimientos de acceso al directorio
Empleando un sistema de directorio que se basa en unEl protocolo disponible de forma abierta es preferible a comprar en un sistema propietario que utiliza sus propios formatos de comunicación. Los servicios de directorio requieren dos componentes básicos, que son un cliente y un servidor. El servidor es el programa que contiene la base de datos y administra el acceso a los datos. El cliente generalmente está incrustado en una interfaz que muestra los datos recuperados, permite que esos datos se modifiquen o permite que las acciones se realicen condicionalmente al recibir esa información.
Si elige instalar un sistema de directorio quese basa en protocolos universales, podrá "mezclar y combinar" los sistemas cliente y servidor porque se garantizará que podrán interactuar entre sí sin importar quién los haya escrito. Además, la información contenida en los directorios de red puede explotarse mediante herramientas de supervisión y de informes de actividad, como los sistemas de detección de intrusos (IDS). La instalación de un administrador de directorios que implementa el protocolo de uso común asegura que la información contenida en esos directorios sea accesible para esos paquetes de monitoreo de usuarios y control de recursos.
Protocolo ligero de acceso a directorios (LDAP)
LDAP es un protocolo de servicio que ha sido ampliamenteimplementado como mecanismo de acceso a una amplia gama de directorios de red. Varios de los sistemas de directorio de red que se enumeran a continuación utilizan procedimientos LDAP.
Como es un protocolo y no una pieza de software,no puedes comprar LDAP e instalarlo. Más bien, adquiriría y ejecutaría un programa que implementa las reglas LDAP. Un protocolo describe una lista de estándares y procedimientos de trabajo que lograrán un objetivo, por lo que el protocolo en sí no depende del sistema operativo. Eso significa que cualquiera puede desarrollar una implementación LDAP para Windows, Linux, Unix o cualquier otro sistema operativo.
Un elemento importante de la definición de LDAP esestablece un lenguaje de comando que permite a los clientes comunicarse con el servidor LDAP. Como el estándar está disponible públicamente, cualquiera puede usarlo para crear una aplicación que interactúe con un servidor LDAP. Esto significa que LDAP puede integrarse en software comercial y también puede integrarse en cualquier programa personalizado interno que pueda desarrollar. Esta flexibilidad y universalidad han convertido a LDAP en el estándar de facto para el procedimiento operativo de los servicios de directorio.
LDAP se utiliza para todos los servidores DNS (Servicio de nombres de dominio), por lo que empleará el sistema LDAP regularmente en su red, ya sea que se dé cuenta o no.
OpenLDAP
Como su nombre indica, OpenLDAP es el más puro.implementación del sistema LDAP que encontrarás. Esta es una biblioteca de procedimientos que se pueden integrar en otros programas. OpenLDAP es un proyecto de código abierto, por lo que cualquiera puede acceder a su código de forma gratuita. El proyecto OpenLDAP también implementa el código como bibliotecas Java, por lo que es posible acceder al sistema a través de interfaces GUI en cualquier sistema operativo.
Como este paquete es una biblioteca de código, pocos administradores de red implementan el procedimiento OpenLDAP directamente. En su lugar, debe buscar aplicaciones comerciales que indiquen su uso de OpenLDAP.
Directorio Activo
El Active Directory de Microsoft fue un innovador sistema de administración de usuarios, creado para Windows. Fue inventado en 1999 y estaba tan bien planeado que todavía se usa ampliamente.
Active Directory mantiene una lista de usuarios autorizadospara una red Es capaz de clasificar a esos usuarios por niveles de permisos, por lo que un usuario con privilegios de administrador es reconocido y se le permite un mayor acceso que los usuarios normales. Un beneficio secundario de Active Directory es que también verifica los derechos de las computadoras en la red. Por lo tanto, este es un gran servicio de seguridad porque se asegura de que solo los dispositivos autorizados estén conectados a la red y que solo los usuarios autorizados puedan iniciar sesión en esas computadoras. Es posible bloquear el acceso a algunos equipos a ciertos grupos de usuarios y reservar acceso a aplicaciones específicas para aquellos con derechos de administrador.
La principal limitación de Active Directory es quesolo se integra con otros productos de Microsoft, por lo que no puede usarlo en Linux. Además, no puede controlar el acceso a conjuntos de productividad que no son de Microsoft, como Google Docs. A medida que la lista de servicios competidores exitosos y sistemas basados en la nube se extiende, la usabilidad de Active Directory disminuye.
Servicios de directorio de Novell (NDS)
El sistema NDS fue inventado para proporcionar directorioservicios a redes Novell Netware. Sin embargo, también puede operar en redes que no tienen instalado Netware. El software puede ejecutarse en Windows, Sun Solaris e IBM OS / 390. Esta fue una implementación temprana de LDAP y se convirtió en un punto de referencia para otras implementaciones de servicios de directorio. Su uso de LDAP señaló especialmente el camino para desarrollos posteriores y formó un modelo para Active Directory.
Lista de control de acceso (ACL)
ACL es un sistema de administración de acceso rival para LDAP. Aunque no está tan ampliamente implementado como LDAP, ACL sigue siendo un sistema muy conocido y se ha implementado suficientes veces para marcarlo en la industria como un servicio de autenticación confiable.
El sistema ACL se basa en un formato de almacenamiento de datos.eso crea un árbol de atributos. En la terminología de ACL, el recurso que se protege se denomina "objeto". A cada objeto se le asigna una lista de usuarios permitidos y, según el tipo de objeto que se protege, a cada usuario se le atribuyen uno o más permisos.
ACL se puede aplicar al acceso a archivos o a la redacceso. Las ACL basadas en red pueden ser útiles para los sistemas de prevención de intrusiones (IPS) porque controlan el acceso a direcciones de host específicas e incluso pueden bloquear selectivamente el acceso a los puertos. En las redes, los derechos de acceso documentados por ACL se implementan en conmutadores y enrutadores.
Las ACL modernas usan bases de datos SQL para obtener permisoalmacenamiento en lugar de archivos. Este avance también hizo posible que ACL evolucionara más allá de los controles de acceso de usuarios a la gestión de grupos de usuarios. Esto simplifica la administración de permisos de acceso, particularmente en redes, donde la ACL puede necesitar registrar cada usuario muchas veces para dar acceso incluso a los requisitos básicos de recursos de un usuario típico basado en la oficina.
Identidades y soluciones de gestión de acceso (IAM)
Una categoría de utilidad de red que puede venirAl investigar los sistemas de autenticación de usuarios, se encuentran las soluciones de administración de identidad y acceso, o IAM. Este término describe una solución más amplia para la autenticación de usuarios que solo un servicio de directorio. Sin embargo, un directorio, o incluso varios directorios, estarán en el corazón de cualquier IAM. Por lo tanto, cuando compre sistemas de acceso y autenticación, busque herramientas que tengan un alcance mucho más amplio que solo la administración de directorios. Sin embargo, tenga en cuenta que necesita el servicio de directorio en el núcleo del IAM para implementar un protocolo abierto, como LDAP, de modo que el acceso al directorio también esté disponible para otras aplicaciones de monitoreo.
Sugerencias para servicios de directorio de red.
Esta lista presenta algunas sugerencias paraaplicaciones que podría probar como servicios de directorio específicos en su red. Sin embargo, otras aplicaciones que usa regularmente, como servidores web o administradores de direcciones IP, también integrarán servicios de directorio.
JumpCloud DaaS
La parte "DaaS" del nombre de este producto significa“Directorio como servicio”. Esta es una emulación del término “software como servicio”. Los servicios de software en línea basados en la nube usan el software SaaS / software como un término de servicio para describir su configuración. Entonces, el nombre de JumpCloud le dice instantáneamente que es un servicio en línea que ofrece un servidor de directorio a través de Internet.
Este es un producto pago que implementa ActiveDirectorio. Sin embargo, JumpCloud extiende las capacidades de Active Directory a los sistemas Unix y Linux emulando AD con una implementación LDAP para esos sistemas operativos. JumpCloud ofrece una forma ordenada de hacer que AD funcione para todos sus recursos, no solo para aquellos proporcionados por Microsoft. No tiene que pagar JumpCloud DaaS si solo lo usa para hasta 10 usuarios.
Ejecutar servicios de seguridad por internetcrea un componente adicional que podría fallar y también crea una oportunidad adicional para que los piratas informáticos intercepten su tráfico y rompan sus procesos de autenticación. Afortunadamente, JumpCloud cifra todas las comunicaciones entre su cliente y el servidor que se encuentra en el sitio remoto de JumpCloud.
Poner AD en la web es una solución interesantepara aquellos que no usan muchos recursos en el sitio pero confían en servidores en la nube y SaaS para aplicaciones de usuario. El modelo basado en la nube también es interesante para aquellas empresas que tienen muchos trabajadores desde su hogar, o con agentes, consultores o artesanos que trabajan en los sitios de los clientes todo el tiempo.
JumpCloud DaaS es un ejemplo de lo tradicionalLas aplicaciones basadas en el sitio se pueden adaptar fácilmente para la entrega en servidores remotos, y cómo nunca es demasiado tarde para que un innovador entre y renueve o amplíe la funcionalidad de los servicios establecidos.
Servicio de directorio de AWS
Amazon Web Services ofrece una alternativa aJumpCloud DaaS. Esta es otra implementación de Active Directory basada en la nube y es proporcionada por uno de los grandes bateadores de la nube. Puede elegir usar este servicio de directorio como su configuración actual en el sitio, o usarlo para migrar su almacenamiento y software a otros servicios de AWS.
A diferencia de JumpCloud, el servicio de directorio de AWS no extiende las capacidades de AD a Unix y Linux. Más bien, esta es una implementación pura de Microsoft Active Directory que está alojada en la nube.
Amazon no ofrece AWS Directory Service paragratis. Sin embargo, el modelo de precios es muy escalable y se basa en una tarifa por metro por hora, que cubre dos dominios, con una tarifa más baja para cada dominio adicional agregado al plan. Esto no es tan bueno como gratis. Sin embargo, puede probar el servicio de forma gratuita durante 30 días.
389 Servidor de directorio
El sitio web de 389 Directory Server afirma queeste software está "reforzado por el uso en el mundo real". Como administrador de red reforzado, probablemente se relacionará con ese uso de palabras. Este es un proyecto de código abierto y es un producto sencillo. Si está de acuerdo en compilar los programas usted mismo y no le importa revisar el código, le encantará este sistema de directorio. El paquete incluye un final de fuente GUI para entornos Gnome para darle facilidad de uso de apuntar y hacer clic.
El 389 Directory Server está disponible para Linux y es de uso gratuito. Los procedimientos del servicio están escritos según los estándares LDAP, por lo que esto es como Active Directory para Linux.
Directorio de Apache
Si ejecuta un sitio web, es muy probable queTambién tengo Apache Web Server. Apache Directory es una implementación gratuita de LDAP que es administrada por la misma organización que cura el software del servidor web. No existe una interoperabilidad estricta entre Apache Directory y Apache Web Server: son dos productos distintos. Sin embargo, el hecho de que confíe en el paquete de servidor web de Apache debería darle confianza para probar el directorio de Apache, que es de uso gratuito.
Necesita descargar e instalar dos piezas desoftware para tener una implementación completa de Apache Directory. Sin embargo, ambos son totalmente compatibles con LDAP, por lo que puede sustituirlos por una aplicación diferente, siempre que también esté basada en LDAP. El módulo del servidor se llama Apache DirectoryDS y el cliente se llama Apache Directory Studio. El segundo de estos dos paquetes le permite ver y modificar los registros de directorio que se encuentran en el servidor. Tanto el cliente como el servidor son completamente gratuitos y ambos se ejecutan en Windows, Unix, Linux y Mac OS.
FreeIPA
Anteriormente leyó sobre las gestiones de identidadSystems (IMS) y FreeIPA se incluyen en esta lista de servicios de directorio para probar porque es un buen ejemplo de un IMS. No tiene que preocuparse por malgastar dinero probando esta utilidad porque es de uso gratuito.
"IPA" significa Identidad, Política y Auditoría. Esas tres prioridades encapsulan los procesos de autenticación que necesita para su red y todos sus recursos de TI. Como se explicó anteriormente, los servicios de directorio son parte de los sistemas IMS. En el caso de FreeIPA, 389 Directory Server proporciona el componente del servidor de directorio. Por lo tanto, puede optar por instalar 389 Directory Server para obtener una implementación LDAP, o expandir sus servicios de autenticación y control de acceso al obtener un IMS completo con FreeIPA.
FreeIPA es un proyecto de código abierto, por lo que puedeexamine el código para asegurarse de que no haya procedimientos ocultos de recolección de datos contenidos en él. El servicio le ofrece opciones sobre las metodologías de autenticación que implementa en el marco de IMS: Kerberos es una buena opción de código abierto disponible dentro de esta categoría de tareas de IMS.
Este IMS se ejecuta en Unix o Linux. Sin embargo, también puede monitorear sistemas Windows y también puede instalar y monitorear el entorno Mac OS compatible con Unix. El concepto FreeIPA recopila tecnologías preexistentes, incluido el Servidor Apache HTTP y las API de programación Python para proporcionar un IMS completo basado en componentes que usted sabe que están "reforzados por el uso en el mundo real".
Monitoreo de directorio de red
El beneficio de usar un directorio conocidoEl servicio es que muchas aplicaciones de monitoreo del sistema pueden explotar la información contenida en sus registros de control de acceso a recursos para administrar y controlar completamente su red y sus servicios.
Existen varios sistemas de monitoreo de red muy útiles que explotan los datos de directorio para brindarle un control total sobre las actividades de su red. Estos son los que realmente necesita saber:
Servidor SolarWinds y Monitor de aplicaciones (PRUEBA GRATIS)
Los productos SolarWinds funcionan en Windows Server, por lo queNo hay problema de compatibilidad con Active Directory. Como un sistema de monitoreo destinado a entornos Windows, SolarWinds se aseguró de incorporar el monitoreo de Active Directory en esta herramienta. Los registros de AD en su red permiten al monitor etiquetar la carga del servidor según la demanda del usuario y también rastrear esa actividad a través de la red si también tiene instalado el NetFlow Traffic Analyzer y el Device Device Tracker de la compañía.
SolarWinds produce una gama de recursosLas utilidades de monitoreo y todas ellas están escritas en una plataforma común, llamada Orion. Esto permite que cada módulo que instale interactúe con los otros productos de SolarWinds que está ejecutando en su servidor. El módulo PerfStack del Servidor y Monitor de aplicación funciona mejor si también tiene monitores de red instalados, como el Monitor de rendimiento de red SolarWinds. Esto se debe a que PerfStack muestra cada nivel de la pila de servicios juntos, por lo que puede identificar rápidamente dónde realmente existen problemas de rendimiento.
El Rastreador de dispositivos de usuario explota particularmente elinformación que tiene en Active Directory para informar a los otros monitores en el conjunto del origen de la carga de recursos. El rastreador lo ayuda a detectar infracciones de seguridad y el Monitor de rendimiento de red y NetFlow Traffic Analyzer le mostrarán un tráfico excesivo que podría significar actividades de intrusos. Puede obtener cualquiera de estos productos SolarWinds en una prueba gratuita de 30 días.
PRTG Network Monitor
PRTG es una red unificada, servidor ymonitor de aplicaciones Si utiliza esta herramienta, puede optar por implementarla tan amplia o estrechamente como desee porque su alcance es completamente personalizable. El sistema PRTG está compuesto por cientos de sensores. Cada sensor debe activarse, por lo que sin su intervención, todas las capacidades del sistema permanecerán inactivas. Un sensor se enfoca en un aspecto de sus servicios de red o en un recurso. Por ejemplo, hay un sensor Ping para la supervisión del tráfico y también hay una serie de sensores que explotan sus directorios LDAP para obtener información.
Paessler no cobra por PRTG si soloactiva hasta 100 sensores. Entonces, podría usar la herramienta como monitor de Active Directory. Mientras tiene la utilidad para ver sus actividades de AD, también tiene espacio dentro de esa oferta de servicio gratuito para monitorear un par de otras actividades en su red. Puede activar los sensores SNMP y NetFlow para obtener comentarios sobre el tráfico de la red o elegir activar los monitores de puerto o los sensores de estado del servidor.
Si desea utilizar más de 100 sensores, puede obtener PRTG en una prueba gratuita de 30 días. PRTG se instala en el entorno de Windows Server.
ManageEngine ADAudit Plus
ManageEngine produce un conjunto de excelentesmonitores de recursos que se ejecutan en Windows o Linux. En el establo ManageEngine, encontrará una serie de herramientas específicamente diseñadas para la supervisión de Active Directory. ADAudit Plus es una de estas utilidades. Esta herramienta lo ayudará a administrar AD a través de la interfaz ManageEngine y también hará un seguimiento de todas las actividades del usuario, incluidos el inicio y el cierre de sesión. Esto lo ayudará a detectar la actividad ilógica del usuario y los intentos excesivos de inicio de sesión que pueden indicar la presencia de intrusos.
ADAudit Plus es rico en funciones e incluyeInstalaciones de seguimiento y presentación de informes. Puede obtenerlo en una prueba gratuita de 30 días. Si no desea pagar después del período de prueba, puede optar por la versión gratuita de esta herramienta ManageEngine. ManageEngine ofrece una serie de herramientas gratuitas de Active Directory, incluida la herramienta de consulta Active Director, el generador CSV, que extrae registros de AD, el último reportero de inicio de sesión y el administrador de replicación de AD, entre otros.
Directorio de Servicios
Tienes muchas opciones cuando comienzas a buscar servicios de directorio de red. Con suerte, esta guía le ha dado un punto de partida para su búsqueda.
¿Utiliza alguna de las utilidades mencionadas en esta guía? ¿Prefieres una herramienta que no hemos cubierto aquí? Deje un mensaje en la sección de Comentarios a continuación para compartir sus conocimientos con la comunidad.
Comentarios