”Hakemisto” on yleinen termi laskettaessa sitävoi tarkoittaa useita asioita. Verkottumisessa hakemisto liittyy kuitenkin yleensä käyttäjätietoihin ja luetteloon resursseista, joihin voidaan ottaa yhteyttä verkossa.
Joten etsittäviä kahta tyyppiä olevia hakemistoja onjälkeen verkossa: yksi luettelee ihmisiä ja toinen luettelee laitteet. Tässä oppaassa tutkimme erilaisia hakemistojärjestelmiä, jotka ovat nykyään yleisesti käytössä verkoissa.
Hakemiston tallennusmuoto
Mitä tahansa tietoluetteloa voidaan pitää tietokoneessatiedoston muoto tai tietokanta. Varhaiset hakemistojärjestelmät olivat tiedostopohjaisia. Tietokannan hallintajärjestelmien kehittäminen kuitenkin teki tietokantavaihtoehdon tehokkaammaksi. Tietokantojen haku on helpompaa ja nopeampaa, ja niihin käytetyillä kyselykieleillä (yleensä SQL) Boolen operaattorit (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) voidaan sisällyttää hakuihin.
Hakemiston käyttömenettelyt
Palvelun hakemistojärjestelmän käyttäminenavoimesti saatavilla oleva protokolla on parempi kuin ostaa omaan järjestelmään, joka käyttää omia viestintämuotojaan. Hakemistopalvelut vaativat kahta peruskomponenttia, jotka ovat asiakas ja palvelin. Palvelin on ohjelma, joka pitää tietokantaa ja hallitsee pääsyä tietoihin. Asiakas on yleensä upotettu käyttöliittymään, joka joko näyttää haetut tiedot, sallii datan muuttamisen tai mahdollistaa toimien suorittamisen ehdollisesti kyseisen tiedon vastaanottamisen jälkeen.
Jos valitset asentaa hakemistojärjestelmän, seperustuu yleispöytäkirjoihin, pystyt ”sekoittamaan ja sovittamaan yhteen” asiakas- ja palvelinjärjestelmät, koska niiden varmuus on vuorovaikutuksessa keskenään riippumatta siitä, kuka ne kirjoitti. Lisäksi verkkohakemistoihin sisältyvää tietoa voidaan hyödyntää seuranta- ja toimintaraportointityökaluilla, kuten tunkeutumisen havaitsemisjärjestelmillä (IDS). Hakemistohallinnan asennus, joka toteuttaa yleisesti käytettyä protokollaa, varmistaa, että hakemistojen sisältämät tiedot ovat näiden käyttäjän seuranta- ja resurssienhallintapakettien käytettävissä.
Kevyt hakemiston käyttöprotokolla (LDAP)
LDAP on palveluprotokolla, joka on ollut laajalti käytössätoteutettu pääsymekanismina monille verkkohakemistoille. Useat alla luetellut verkkohakemistojärjestelmät käyttävät LDAP-menettelyjä.
Koska se on protokolla eikä osa ohjelmistoa,et voi ostaa LDAP: tä ja asentaa sitä. Pikemminkin hankkia ja käyttää ohjelmaa, joka toteuttaa LDAP-säännöt. Protokolla määrittelee luettelon standardeista ja työskentelymenetelmistä, joilla saavutetaan tavoite, joten protokolla itsessään ei ole käyttöjärjestelmäriippuvainen. Tämä tarkoittaa, että kuka tahansa voi kehittää LDAP-toteutuksen Windowsille, Linuxille, Unixille tai mille tahansa muulle käyttöjärjestelmälle.
Tärkeä osa LDAP-määritelmää onettä se asettaa komentokielen, jonka avulla asiakkaat voivat kommunikoida LDAP-palvelimen kanssa. Koska standardi on julkisesti saatavilla, kuka tahansa voi käyttää sitä luomaan sovelluksen, joka on vuorovaikutuksessa LDAP-palvelimen kanssa. Tämä tarkoittaa, että LDAP voidaan integroida kaupalliseen ohjelmistoon ja myös integroida mihin tahansa omaan räätälöityyn ohjelmaan, jonka voit kehittää. Tämä joustavuus ja yleismaailmallisuus ovat tehneet LDAP: stä tosiasiallisen standardin hakemistopalveluiden toimintamenettelyille.
LDAP: tä käytetään kaikissa DNS-palvelimissa (Domain Name Service), joten käytät LDAP-järjestelmää säännöllisesti verkossa riippumatta siitä, tunnetko sen vai et.
OpenLDAP
Kuten nimestä voi päätellä, OpenLDAP on puhtainlöytämäsi LDAP-järjestelmän toteutus. Tämä on kirjasto menettelyistä, jotka voidaan integroida muihin ohjelmiin. OpenLDAP on avoimen lähdekoodin projekti, joten kuka tahansa voi käyttää koodiaan ilmaiseksi. Koodi toteutetaan myös OpenLDAP-projektissa Java-kirjastoina ja siten järjestelmään on mahdollista päästä GUI-rajapintojen kautta missä tahansa käyttöjärjestelmässä.
Koska tämä paketti on koodikirjasto, harvat verkonvalvojat toteuttavat OpenLDAP-menettelyn suoraan. Sen sijaan sinun tulisi etsiä kaupallisia sovelluksia, joissa ilmoitetaan heidän käyttävänsä OpenLDAP: ta.
Active Directory
Microsoftin Active Directory oli uraauurtava Windows-käyttöjärjestelmä. Se keksittiin vuonna 1999 ja oli niin hyvin suunniteltu, että se on edelleen laajalti käytössä.
Active Directory pitää luetteloa valtuutetuista käyttäjistäverkolle. Se pystyy luokittelemaan nämä käyttäjät käyttöoikeustasojen perusteella, joten käyttäjä, jolla on järjestelmänvalvojan oikeudet, tunnistetaan ja sallii tavallisten käyttäjien suuremman pääsyn. Active Directoryn toissijainen etu on, että se tarkistaa myös verkossa olevien tietokoneiden oikeudet. Joten, tämä on loistava tietoturvapalvelu, koska se varmistaa, että vain valtuutetut laitteet ovat yhteydessä verkkoon ja vain valtuutetut käyttäjät voivat kirjautua sisään näihin tietokoneisiin. On mahdollista estää pääsy joihinkin laitteisiin tietyille käyttäjäryhmille ja varata pääsy tiettyihin sovelluksiin niille, joilla on järjestelmänvalvojan oikeudet.
Active Directoryn päärajoitus on sese integroituu vain muihin Microsoftin tuotteisiin, joten et voi käyttää sitä Linuxissa. Se ei myöskään pysty hallitsemaan muiden kuin Microsoftin tuottavuusohjelmien, kuten Google-dokumenttien, käyttöä. Kun luettelo onnistuneista kilpailijapalveluista ja pilvipohjaisista järjestelmistä laajenee, Active Directoryn käytettävyys heikkenee.
Novell Directory Services (NDS)
NDS-järjestelmä keksittiin hakemiston tarjoamiseksipalvelut Novell Netware -verkkoihin. Se pystyy kuitenkin toimimaan myös verkoissa, joihin ei ole asennettu Netware-ohjelmistoa. Ohjelmisto voi toimia Windows-, Sun Solaris- ja IBM OS / 390 -käyttöjärjestelmissä. Tämä oli LDAP: n varhainen käyttöönotto, joten siitä tuli vertailukohta muille hakemistopalveluiden toteutuksille. LDAP: n käyttö osoitti etenkin tietä myöhemmälle kehitykselle ja muodosti mallin Active Directorylle.
Kulunvalvontaluettelo (ACL)
ACL on kilpaileva pääsynhallintajärjestelmä LDAP: lle. Vaikka ACL ei ole yhtä laajasti toteutettu kuin LDAP, se on silti hyvin tunnettu järjestelmä ja se on otettu käyttöön riittävän monta kertaa, jotta se voitaisiin ilmoittaa teollisuudessa luotettavana todennuspalveluna.
ACL-järjestelmä luottaa tietojen tallennusmuotoonjoka luo ominaisuuspuun. ACL-terminologiassa suojattavaa resurssia kutsutaan ”objektiksi”. Jokaiselle objektille osoitetaan luettelo sallituista käyttäjistä ja suojattavan objektin tyypistä riippuen jokaiselle käyttäjälle annetaan yksi tai useampi käyttöoikeus.
ACL: ää voidaan käyttää tiedostoihin pääsyyn tai verkkoonpääsy. Verkkopohjaiset ACL: t voivat olla hyödyllisiä tunkeutumisen estävien järjestelmien (IPS), koska ne ohjaavat pääsyä tiettyihin isäntäosoitteisiin ja voivat jopa valikoivasti estää pääsyn satamiin. Verkkoissa ACL: n dokumentoimat käyttöoikeudet toteutetaan kytkimissä ja reitittimissä.
Nykyaikaiset ACL: t käyttävät SQL-tietokantoja lupaantallennustila tiedostojen sijasta. Tämä edistys mahdollisti myös ACL: n kehittymisen käyttäjän pääsynhallinnan ulkopuolelle käyttäjäryhmien hallintaan. Tämä yksinkertaistaa käyttöoikeuksien hallintaa, etenkin verkoissa, joissa ACL: n on ehkä jouduttava kirjaamaan jokainen käyttäjä monta kertaa, jotta pääsy jopa tyypillisen toimistopohjaisen käyttäjän resurssien perusvaatimuksiin saadaan.
Identiteetit ja pääsynhallintaratkaisut (IAM)
Luokka verkkoapuohjelmia, joista saatat tullaKäyttäjien todennusjärjestelmiä tutkittaessa on Identity and Access Management Solutions tai IAM. Tämä termi kuvaa laajempaa ratkaisua käyttäjän todennukseen kuin pelkkä hakemistopalvelu. Hakemisto tai jopa useita hakemistoja on kuitenkin minkä tahansa IAM: n ytimessä. Joten, ostaessasi käyttöoikeus- ja todennusjärjestelmiä, keskity työkaluihin, joilla on paljon laajempi tehtävä kuin pelkkä hakemistojen hallinta. Huomaa kuitenkin, että tarvitset hakemistopalvelun IAM: n ytimessä avoimen protokollan, kuten LDAP: n, toteuttamiseksi, jotta hakemiston käyttö on myös muiden valvontasovellusten käytettävissä.
Ehdotuksia verkkohakemistopalveluiksi
Tässä luettelossa on muutamia ehdotuksiasovelluksia, joita voit kokeilla verkon erityisinä hakemistopalveluina. Muut säännöllisesti käyttämäsi sovellukset, kuten verkkopalvelimet tai IP-osoitteiden hallinta, integroivat kuitenkin myös hakemistopalvelut.
JumpCloud DaaS
Tämän tuotteen nimen DaaS-osa tarkoittaa”Hakemisto palveluna”. Tämä on termin “ohjelmisto palveluna” emulointi. Online-pilvipohjaiset ohjelmistopalvelut käyttävät SaaS / ohjelmistoa palveluterminä kuvaamaan niiden kokoonpanoa. JumpCloudin nimi kertoo heti, että se on verkkopalvelu, joka tarjoaa hakemistopalvelimen Internetissä.
Tämä on maksettu tuote, joka toteuttaa ActiveHakemistoon. JumpCloud kuitenkin laajentaa Active Directoryn ominaisuuksia Unix- ja Linux-järjestelmiin emuloimalla AD: tä näiden käyttöjärjestelmien LDAP-toteutuksella. JumpCloud tarjoaa hienon tavan saada AD toimimaan kaikilla resursseillasi paitsi Microsoftin tarjoamilla resursseilla. Sinun ei tarvitse maksaa JumpCloud DaaS -sovelluksesta, jos käytät sitä enintään 10 käyttäjälle.
Turvapalvelujen ylläpito Internetissäluo ylimääräisen komponentin, joka voi epäonnistua, ja se myös antaa hakkereille ylimääräisen mahdollisuuden siepata liikenteesi ja käydä läpi todennusprosessit. Onneksi JumpCloud salaa kaiken viestinnän asiakkaasi ja JumpCloud-etäsivuston palvelimen välillä.
Mainosten mainostaminen verkossa on mielenkiintoinen ratkaisuniille, jotka eivät käytä monia paikan päällä olevia resursseja, mutta käyttäjien sovelluksiin luottavat pilvipalvelimiin ja SaaS: iin. Pilvipohjainen malli on mielenkiintoinen myös niille yrityksille, joilla on paljon työntekijöitä kotoa, tai edustajien, konsulttien tai käsityöläisten kanssa, jotka työskentelevät asiakassivustoilla koko ajan.
JumpCloud DaaS on esimerkki siitä, kuinka perinteinensivustopohjaisia sovelluksia voidaan helposti mukauttaa toimittamiseen etäpalvelimilla, ja miten on koskaan liian myöhäistä, että uudistaja saapuu sisään ja uudistaa tai laajentaa vakiintuneiden palvelujen toimintoja.
AWS-hakemistopalvelu
Amazon Web Services tarjoaa vaihtoehdonJumpCloud DaaS. Tämä on toinen pilvipohjainen Active Directory -sovellus, ja sen tarjoaa yksi pilven isoista hakijoista. Voit valita, käytetäänkö tätä hakemistopalvelua vain nykyisenä asennuksena paikan päällä, tai siirrät tallennustilasi ja ohjelmistosi muihin AWS-palveluihin.
Toisin kuin JumpCloud, AWS Directory Service ei laajenna AD: n ominaisuuksia Unixiin ja Linuxiin. Pikemminkin tämä on puhdas Microsoft Active Directory -sovellus, jota ylläpidetään Cloudissa.
Amazon ei tarjoa AWS Directory Service -palveluavapaa. Hinnoittelumalli on kuitenkin erittäin skaalautuva ja perustuu tuntimittariin, joka kattaa kaksi verkkotunnusta, ja jokaiseen suunnitelmaan lisättyyn verkkotunnukseen lisätään alhaisempi hinta. Tämä ei ole aivan yhtä hyvä kuin ilmainen. Voit kuitenkin kokeilla palvelua ilmaiseksi 30 päivän ajan.
389 Hakemistopalvelin
389 Directory Serverin verkkosivusto väittää, ettätämä ohjelmisto on ”kokenut tosiasiallisessa käytössä”. Kovettuneena verkon ylläpitäjänä luultavasti suhtautuvat sanan käyttöön. Tämä on avoimen lähdekoodin projekti, joka on tyylikäs tuote. Rakastat tätä hakemistojärjestelmää, jos olet pärjäänyt itse ohjelmien laatimiseen etkä halua sekoittaa koodia. Paketti sisältää graafisen käyttöliittymän fonttipään Gnome-ympäristöille, jotta käytät pistettä ja napsauta -käyttöä.
389 Directory Server on saatavana Linuxille ja sitä voi käyttää vapaasti. Palvelun proseduurit on kirjoitettu LDAP-standardeihin, joten tämä on kuin Active Directory for Linux.
Apache-hakemisto
Jos ylläpidät verkkosivustoa, on todennäköistä, että sinäon myös Apache Web Server. Apache Directory on ilmainen LDAP-toteutus, jota hallinnoi sama organisaatio, joka kuratoi verkkopalvelinohjelmiston. Apache Directoryn ja Apache Web Serverin välillä ei ole tiukkaa yhteentoimivuutta - ne ovat kaksi erillistä tuotetta. Tosiasia, että luotat Apachen Web Server -pakettiin, antaa sinulle kuitenkin varmuuden kokeilla Apache Directorya, jota voi käyttää vapaasti.
Sinun on ladattava ja asennettava kaksi kappalettaohjelmisto, jotta Apache Directory olisi täysin toteutettavissa. Molemmat ovat kuitenkin täysin LDAP-yhteensopivia, joten voit korvata joko toisen sovelluksen, kunhan sekin on LDAP-pohjainen. Palvelinmoduulin nimi on Apache DirectoryDS ja asiakkaan nimi on Apache Directory Studio. Näistä kahdesta paketista toisella voit tarkastella ja muuttaa palvelimella olevia hakemistotietueita. Sekä asiakas että palvelin ovat täysin vapaita käyttää, ja molemmat toimivat Windows-, Unix-, Linux- ja Mac OS -käyttöjärjestelmissä.
FreeIPA
Aiemmin olet lukenut identiteetinhallinnastajärjestelmät (IMS) ja FreeIPA sisältyvät tähän luettelopalvelupalvelujen luetteloon, koska ne ovat hyvä esimerkki IMS: stä. Sinun ei tarvitse huolehtia rahan tuhlaamisesta, kun yrität käyttää tätä apuohjelmaa, koska sitä voi käyttää vapaasti.
”IPA” tarkoittaa identiteettiä, politiikkaa ja tarkastusta. Nämä kolme prioriteettia kiteyttävät verkon ja kaikkien IT-resurssien tarvitsemat todennusprosessit. Kuten edellä selitettiin, hakemistopalvelut ovat osa IMS-järjestelmiä. FreeIPA: n tapauksessa hakemistopalvelinkomponentin tarjoaa 389 Directory Server. Joten voit halutessasi asentaa 389 Directory Server -sovelluksen saadaksesi LDAP-toteutuksen tai laajentaa todennuspalveluita ja käyttöoikeuksien hallintaa suorittamalla täysi IMS FreeIPA: n avulla.
FreeIPA on avoimen lähdekoodin projekti, joten voittarkista koodi varmistaaksesi, ettei siinä ole piilotettuja tietojen keruumenetelmiä. Palvelu antaa sinulle vaihtoehtoja todentamismenetelmistä, jotka otat käyttöön IMS-kehyksessä - Kerberos on hyvä ilmainen avoimen lähdekoodin vaihtoehto, joka on käytettävissä tämän luokan IMS-tehtävissä.
Tämä IMS toimii Unix- tai Linux-käyttöjärjestelmässä. Se pystyy kuitenkin myös tarkkailemaan Windows-järjestelmiä, ja se voi myös asentaa ja seurata Unix-yhteensopivaa Mac OS -ympäristöä. FreeIPA-konsepti kerää olemassa olevat tekniikat, mukaan lukien Apache HTTP Server- ja Python-ohjelmointirajapinta-sovellusliittymät, tarjoamaan täydellisen IMS: n, joka perustuu komponentteihin, joiden tiedät olevan "kokenut todellisessa maailmassa".
Verkkohakemistojen seuranta
Tunnetun hakemiston käytön etuPalveluna on, että monet järjestelmänvalvontasovellukset voivat hyödyntää resurssien käytön valvontatietueissa olevia tietoja verkon ja sen palveluiden hallitsemiseksi ja hallitsemiseksi.
On olemassa useita erittäin hyödyllisiä verkonvalvontajärjestelmiä, jotka hyödyntävät hakemistotietoja antamaan sinulle täyden hallinnan verkon toiminnoista. Tässä on ne, joista sinun on todella tiedettävä:
SolarWinds-palvelin ja sovellusmonitori (ILMAINEN KOKEILU)
SolarWinds-tuotteet toimivat Windows Serverillä, jotenYhteensopivuudessa Active Directoryn kanssa ei ole ongelmia. Windows-ympäristöille tarkoitettuna valvontajärjestelmänä SolarWinds varmasti rakensi Active Directory -valvonnan tähän työkaluun. Verkkosi AD-tietueiden avulla monitori voi merkitä palvelimen kuormituksen käyttäjän kysynnän mukaan ja seurata toimintaa myös verkon kautta, jos yrityksessäsi on myös NetFlow Traffic Analyzer ja User Device Tracker.
SolarWinds tuottaa erilaisia resurssejaapuohjelmien seuranta ja kaikki ne kirjoitetaan yhdelle alustalle, nimeltään Orion. Tämä mahdollistaa jokaisen asentamasi moduulin olla vuorovaikutuksessa muiden palvelimellasi käyttämien SolarWinds-tuotteiden kanssa. Palvelimen ja sovellusmonitorin PerfStack-moduuli toimii parhaiten, jos myös verkkomonitorit on asennettu, kuten SolarWinds Network Performance Monitor. Tämä johtuu siitä, että PerfStack näyttää palvelutason jokaisen tason yhdessä, joten voit nopeasti tunnistaa, missä suorituskykyongelmia todella esiintyy.
User Device Tracker hyödyntää erityisestiActive Directory -sivustollasi olevat tiedot, jotta muille sarjassa oleville näytöille ilmoitetaan resurssien kuormituksen alkuperä. Seuranta auttaa sinua havaitsemaan tietoturvaloukkauksia, ja Network Performance Monitor sekä NetFlow Traffic Analyzer osoittavat sinulle liiallisen liikenteen, joka voi merkitä tunkeilijoiden toimintaa. Voit hankkia minkä tahansa näistä SolarWinds-tuotteista 30 päivän ilmaisella kokeilukerralla.
PRTG-verkkomonitori
PRTG on yhtenäinen verkko, palvelin jasovellusmonitori. Jos otat tämän työkalun käyttöön, voit valita sen ottavan käyttöön niin laajasti tai suppeasti kuin haluat, koska sen laajuus on täysin muokattavissa. PRTG-järjestelmä koostuu satoista antureista. Jokainen anturi on aktivoitava, joten ilman interventiota kaikki järjestelmän ominaisuudet pysyvät lepotilassa. Anturi keskittyy yhteen verkkopalveluiden osaan tai yhteen resurssiin. Esimerkiksi liikennevalvonnassa on Ping-anturi ja on myös joukko antureita, jotka hyödyntävät tietoja LDAP-hakemistoistasi.
Paessler ei veloita PRTG: tä, jos vain sinäaktivoi jopa 100 anturia. Joten voit käyttää työkalua vain Active Directory -monitorina. Vaikka sinulla on apuohjelma tarkkailla AD-toimintoja, sinulla on myös tilaa ilmaisen palvelutarjonnan sisällä pari muun verkon toiminnan seuraamiseksi. Voit aktivoida SNMP- ja NetFlow-anturit saadaksesi palautetta verkkoliikenteestä tai valita aktivoimaan porttinäytöt tai palvelimen tilaanturit.
Jos haluat käyttää enemmän kuin 100 anturia, saat PRTG: n 30 päivän ilmaisella kokeilulla. PRTG asentuu Windows Server -ympäristöön.
ManageEngine ADAudit Plus
ManageEngine tuottaa sarjan erinomaisiaresurssimonitorit, jotka toimivat Windowsissa tai Linuxissa. ManageEngine-vakiosta löydät useita työkaluja, jotka on räätälöity erityisesti Active Directory -tarkkailuun. ADAudit Plus on yksi näistä apuohjelmista. Tämä työkalu auttaa sinua hallitsemaan AD: tä ManageEngine-käyttöliittymän kautta ja se seuraa myös kaikkia käyttäjän toimia, mukaan lukien sisäänkirjautuminen ja kirjautuminen ulos. Tämä auttaa sinua havaitsemaan epäloogisen käyttäjän toiminnan ja liialliset kirjautumisyritykset, jotka voivat viitata tunkeilijan läsnäoloon.
ADAudit Plus on ominaisuusrikas ja sisältääseuranta- ja raportointipalvelut. Voit hankkia sen 30 päivän ilmaisessa kokeiluversiossa. Jos et halua maksaa kokeilujakson jälkeen, voit valita tämän ManageEngine-työkalun ilmaisen version. ManageEngine tarjoaa useita ilmaisia Active Directory -työkaluja, kuten Active Director Query Tool, CSV Generator, joka purkaa AD-tietueita, Last Login Reporter ja AD Replication Manager.
Hakemistopalvelut
Sinulla on paljon vaihtoehtoja, kun alat tehdä ostoksia verkkohakemistopalveluista. Toivottavasti tämä opas on antanut sinulle lähtökohdan haullesi.
Käytätkö jotain tässä oppaassa mainituista apuohjelmista? Pidätkö mieluummin työkalusta, jota meillä ei ole täällä käsitelty? Jätä viesti alla olevaan Kommentit-osioon jakaaksesi tietosi yhteisölle.
Kommentit