"Annuaire" est un terme courant dans le domaine informatique quipeut signifier un éventail de choses. Cependant, en réseau, l'annuaire est généralement lié aux données utilisateur et à une liste de ressources pouvant être contactées sur le réseau.
Il existe donc deux types de répertoires à rechercheraprès sur un réseau: l'un répertorie les personnes et l'autre les équipements. Dans ce guide, nous étudierons les différents systèmes d'annuaire couramment utilisés sur les réseaux aujourd'hui.
Format de stockage du répertoire
Toute liste de données peut être conservée sur un ordinateursous forme de fichier, ou dans une base de données. Les premiers systèmes de répertoires étaient basés sur des fichiers. Cependant, le développement de systèmes de gestion de base de données a rendu l'option de base de données plus efficace. Les bases de données sont plus faciles et plus rapides à parcourir et les langages de requête utilisés pour celles-ci (généralement SQL) permettent aux opérateurs booléens (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) d'être inclus dans les recherches.
Procédures d'accès à l'annuaire
Utiliser un système d'annuaire qui repose sur unle protocole ouvertement disponible est préférable à l'achat dans un système propriétaire qui utilise ses propres formats de communication. Les services d'annuaire nécessitent deux composants de base, qui sont un client et un serveur. Le serveur est le programme qui contient la base de données et gère l'accès aux données. Le client est généralement intégré dans une interface qui affiche les données récupérées, permet de modifier ces données ou autorise des actions à effectuer conditionnellement à la réception de ces informations.
Si vous choisissez d'installer un système d'annuaireest basé sur des protocoles universels, vous pourrez «mélanger et assortir» les systèmes client et serveur car ils seront garantis capables d'interagir les uns avec les autres, peu importe qui les a écrits. De plus, les informations contenues dans les annuaires du réseau peuvent être exploitées par des outils de surveillance et de rapport d'activité, tels que les systèmes de détection d'intrusion (IDS). L'installation d'un gestionnaire de répertoires qui implémente un protocole couramment utilisé garantit que les informations contenues dans ces répertoires seront accessibles à ces packages de surveillance des utilisateurs et de contrôle des ressources.
Protocole LDAP (Lightweight Directory Access Protocol)
LDAP est un protocole de service largement utilisémis en œuvre comme mécanisme d'accès à un large éventail de répertoires réseau. Un certain nombre de systèmes d'annuaire réseau répertoriés ci-dessous utilisent des procédures LDAP.
Comme il s'agit d'un protocole et non d'un logiciel,vous ne pouvez pas acheter LDAP et l'installer. Vous devez plutôt acquérir et exécuter un programme qui implémente les règles LDAP. Un protocole décrit une liste de normes et de procédures de travail qui permettront d'atteindre un objectif, de sorte que le protocole lui-même ne dépend pas du système d'exploitation. Cela signifie que n'importe qui peut développer une implémentation LDAP pour Windows, Linux, Unix ou tout autre système d'exploitation.
Un élément important de la définition LDAP estqu'il définit un langage de commande qui permet aux clients de communiquer avec le serveur LDAP. La norme étant accessible au public, n'importe qui peut l'utiliser pour créer une application qui interagit avec un serveur LDAP. Cela signifie que LDAP peut être intégré dans un logiciel commercial et peut également être intégré dans n'importe quel programme personnalisé que vous pourriez développer. Cette flexibilité et cette universalité ont fait de LDAP la norme de facto pour la procédure d'exploitation des services d'annuaire.
LDAP est utilisé pour tous les serveurs DNS (Domain Name Service), vous utiliserez donc régulièrement le système LDAP sur votre réseau, que vous le réalisiez ou non.
OpenLDAP
Comme son nom l'indique, OpenLDAP est le plus purmise en œuvre du système LDAP que vous trouverez. Il s'agit d'une bibliothèque de procédures qui peuvent être intégrées à d'autres programmes. OpenLDAP est un projet open source et donc tout le monde peut accéder gratuitement à son code. Le code est également implémenté par le projet OpenLDAP en tant que bibliothèques Java et il est donc possible d'accéder au système via des interfaces GUI sur n'importe quel système d'exploitation.
Comme ce package est une bibliothèque de code, peu d'administrateurs réseau implémentent directement la procédure OpenLDAP. Au lieu de cela, vous devez rechercher les applications commerciales qui indiquent leur utilisation d'OpenLDAP.
Active Directory
Active Directory de Microsoft était un système de gestion des utilisateurs révolutionnaire, créé pour Windows. Il a été inventé en 1999 et était si bien planifié qu'il est encore largement utilisé.
Active Directory conserve une liste des utilisateurs autoriséspour un réseau. Il est capable de classer ces utilisateurs par niveaux d'autorisation, de sorte qu'un utilisateur doté de privilèges d'administrateur est reconnu et bénéficie d'un accès plus étendu que les utilisateurs réguliers. Un avantage secondaire d'Active Directory est qu'il vérifie également les droits des ordinateurs sur le réseau. Il s'agit donc d'un excellent service de sécurité car il garantit que seuls les appareils autorisés sont connectés au réseau et que seuls les utilisateurs autorisés peuvent se connecter sur ces ordinateurs. Il est possible de bloquer l'accès à certains équipements à certains groupes d'utilisateurs et de réserver l'accès à des applications spécifiques à ceux disposant de droits d'administrateur.
La principale limitation d'Active Directory est queil s'intègre uniquement avec d'autres produits Microsoft, vous ne pouvez donc pas l'utiliser sur Linux. De plus, il n'est pas en mesure de contrôler l'accès aux suites de productivité non Microsoft, telles que Google Docs. À mesure que la liste des services concurrents et des systèmes infonuagiques réussis s'allonge, l'utilisabilité d'Active Directory diminue.
Services d'annuaire Novell (NDS)
Le système NDS a été inventé pour fournir un répertoireaux réseaux Novell Netware. Cependant, il peut également fonctionner sur des réseaux sur lesquels Netware n’est pas installé. Le logiciel peut fonctionner sur Windows, Sun Solaris et IBM OS / 390. Il s'agissait d'une première implémentation de LDAP et elle est donc devenue une référence pour d'autres implémentations de services d'annuaire. Son utilisation de LDAP a particulièrement ouvert la voie à des développements ultérieurs et a formé un modèle pour Active Directory.
Liste de contrôle d'accès (ACL)
ACL est un système de gestion d'accès rival à LDAP. Bien qu'il ne soit pas aussi largement implémenté que LDAP, ACL est toujours un système très connu et il a été implémenté suffisamment de fois pour le signaler dans l'industrie comme un service d'authentification fiable.
Le système ACL repose sur un format de stockage des donnéesqui crée un arbre d'attributs. Dans la terminologie ACL, la ressource qui est protégée est appelée un «objet». Chaque objet se voit attribuer une liste d'utilisateurs autorisés et, selon le type d'objet protégé, chaque utilisateur se voit attribuer une ou plusieurs autorisations.
ACL peut être appliqué à l'accès aux fichiers ou au réseauaccès. Les listes de contrôle d'accès basées sur le réseau peuvent être utiles pour les systèmes de prévention des intrusions (IPS) car elles contrôlent l'accès à des adresses d'hôtes spécifiques et peuvent même bloquer sélectivement l'accès aux ports. Sur les réseaux, les droits d'accès documentés par ACL sont mis en œuvre sur les commutateurs et les routeurs.
Les listes de contrôle d'accès modernes utilisent des bases de données SQL pour l'autorisationstockage plutôt que des fichiers. Cette évolution a également permis à ACL d'évoluer au-delà des contrôles d'accès des utilisateurs vers la gestion des groupes d'utilisateurs. Cela simplifie l'administration des autorisations d'accès, en particulier sur les réseaux, où l'ACL peut avoir besoin de se connecter plusieurs fois à chaque utilisateur afin de donner accès aux besoins en ressources de base même d'un utilisateur de bureau typique.
Solutions de gestion des identités et des accès (IAM)
Une catégorie d'utilitaire réseau que vous pourriez utiliserlors de l’enquête sur les systèmes d’authentification des utilisateurs se trouvent les solutions de gestion des identités et des accès, ou IAM. Ce terme décrit une solution plus large pour l'authentification des utilisateurs qu'un simple service d'annuaire. Cependant, un répertoire, ou même plusieurs répertoires seront au cœur de tout IAM. Ainsi, lorsque vous magasinez pour des systèmes d'accès et d'authentification, visez des outils qui ont une mission beaucoup plus large que la gestion de l'annuaire. Cependant, sachez que vous avez besoin du service d'annuaire au cœur de l'IAM pour implémenter un protocole ouvert, tel que LDAP, afin que l'accès à l'annuaire soit également disponible pour d'autres applications de surveillance.
Suggestions de services d'annuaire réseau
Cette liste présente quelques suggestionsapplications que vous pouvez essayer en tant que services d'annuaire spécifiques sur votre réseau. Cependant, d'autres applications que vous utilisez régulièrement, comme des serveurs Web ou des gestionnaires d'adresses IP, intégreront également des services d'annuaire.
JumpCloud DaaS
La partie «DaaS» du nom de ce produit signifie«Annuaire en tant que service». Il s'agit d'une émulation du terme «logiciel en tant que service». Les services logiciels en ligne basés sur le cloud utilisent le SaaS / logiciel comme terme de service pour décrire leur configuration. Ainsi, le nom de JumpCloud vous indique instantanément qu'il s'agit d'un service en ligne fournissant un serveur d'annuaire sur Internet.
Ceci est un produit payant qui met en œuvre ActiveAnnuaire. Cependant, JumpCloud étend les capacités d'Active Directory aux systèmes Unix et Linux en émulant AD avec une implémentation LDAP pour ces systèmes d'exploitation. JumpCloud offre un moyen pratique de faire fonctionner AD pour toutes vos ressources, pas seulement celles fournies par Microsoft. Vous n'avez pas à payer pour JumpCloud DaaS si vous ne l'utilisez que pour 10 utilisateurs maximum.
Exécution de services de sécurité sur Internetcrée un composant supplémentaire qui pourrait échouer et crée également une opportunité supplémentaire pour les pirates informatiques d'intercepter le trafic et de traverser vos processus d'authentification. Heureusement, JumpCloud crypte toutes les communications entre votre client et le serveur détenu sur le site distant JumpCloud.
Mettre AD sur le web est une solution intéressantepour ceux qui n'utilisent pas beaucoup de ressources sur site mais qui s'appuient sur des serveurs cloud et SaaS pour les applications utilisateur. Le modèle basé sur le cloud est également intéressant pour les entreprises qui ont beaucoup de travailleurs basés à domicile, ou avec des agents, des consultants ou des artisans qui travaillent sur les sites des clients tout le temps.
JumpCloud DaaS est un exemple de la façon traditionnelleles applications basées sur site peuvent facilement être adaptées pour être livrées sur des serveurs distants, et comment il n'est jamais trop tard pour qu'un innovateur vienne réorganiser ou étendre la fonctionnalité des services établis.
Service d'annuaire AWS
Amazon Web Services offre une alternative àJumpCloud DaaS. Il s'agit d'une autre implémentation Active Directory basée sur le cloud et elle est fournie par l'un des plus grands utilisateurs du cloud. Vous pouvez choisir d'utiliser simplement ce service d'annuaire comme configuration actuelle sur site ou de l'utiliser pour migrer votre stockage et vos logiciels vers d'autres services AWS.
Contrairement à JumpCloud, AWS Directory Service n’étend pas les capacités d’AD à Unix et Linux. Il s'agit plutôt d'une implémentation pure de Microsoft Active Directory hébergée sur le cloud.
Amazon n'offre pas AWS Directory Service pourlibre. Cependant, le modèle de tarification est très évolutif et basé sur un taux horaire, couvrant deux domaines, avec un taux inférieur pour chaque domaine supplémentaire ajouté au plan. Ce n'est pas aussi bon que gratuit. Cependant, vous pouvez essayer le service gratuitement pendant 30 jours.
389 Directory Server
Le site Web de 389 Directory Server affirme quece logiciel est «renforcé par une utilisation dans le monde réel». En tant qu'administrateur réseau renforcé, vous serez probablement lié à cette utilisation des mots. Il s'agit d'un projet open source et d'un produit sans fioritures. Si vous êtes d'accord pour compiler les programmes vous-même et que cela ne vous dérange pas de parcourir le code, vous allez adorer ce système d'annuaire. Le package comprend une police de fin GUI pour les environnements Gnome pour vous donner une facilité d'utilisation pointer-cliquer.
Le 389 Directory Server est disponible pour Linux et son utilisation est gratuite. Les procédures du service sont écrites selon les normes LDAP, c'est donc comme Active Directory pour Linux.
Répertoire Apache
Si vous gérez un site Web, il est très probable que vousont également Apache Web Server. Apache Directory est une implémentation LDAP gratuite gérée par la même organisation qui gère le logiciel du serveur Web. Il n'y a pas d'interopérabilité stricte entre Apache Directory et Apache Web Server - ce sont deux produits distincts. Cependant, le fait que vous vous appuyiez sur le package Web Server d'Apache devrait vous donner confiance pour essayer le répertoire Apache, qui est gratuit à utiliser.
Vous devez télécharger et installer deux morceaux deafin d'avoir une implémentation complète du répertoire Apache. Cependant, les deux sont entièrement compatibles avec LDAP, vous pouvez donc les remplacer par une autre application, à condition qu'elle soit également basée sur LDAP. Le module serveur est appelé Apache DirectoryDS et le client est appelé Apache Directory Studio. Le deuxième de ces deux packages vous permet d'afficher et de modifier les enregistrements de répertoire qui sont conservés sur le serveur. Le client et le serveur sont entièrement gratuits et fonctionnent tous les deux sous Windows, Unix, Linux et Mac OS.
FreeIPA
Plus tôt, vous avez lu sur les gestions d'identité(IMS) et FreeIPA sont inclus dans cette liste de services d'annuaire à essayer car c'est un bon exemple d'IMS. Vous n'avez pas à vous soucier de gaspiller de l'argent en essayant cet utilitaire car il est gratuit.
«IPA» signifie identité, politique et audit. Ces trois priorités résument les processus d'authentification dont vous avez besoin pour votre réseau et toutes vos ressources informatiques. Comme expliqué ci-dessus, les services d'annuaire font partie des systèmes IMS. Dans le cas de FreeIPA, le composant serveur d'annuaire est fourni par 389 Directory Server. Ainsi, vous pouvez choisir d'installer 389 Directory Server pour obtenir une implémentation LDAP, ou étendre vos services d'authentification et de contrôle d'accès en optant pour un IMS complet avec FreeIPA.
FreeIPA est un projet open source, vous pouvez doncexaminez le code pour vous assurer qu'il ne contient aucune procédure de collecte de données masquée. Le service vous donne des options sur les méthodologies d'authentification que vous implémentez dans le cadre IMS - Kerberos est une bonne option open source gratuite disponible dans cette catégorie de tâches IMS.
Cet IMS fonctionne sous Unix ou Linux. Cependant, il est également capable de surveiller les systèmes Windows et il peut également installer et surveiller l'environnement Mac OS compatible Unix. Le concept FreeIPA recueille des technologies préexistantes, y compris le serveur HTTP Apache et les API de programmation Python pour fournir un IMS complet basé sur des composants que vous savez «renforcés par une utilisation réelle».
Surveillance du répertoire réseau
L'avantage d'utiliser un répertoire bien connuLe service est que de nombreuses applications de surveillance du système peuvent exploiter les informations contenues dans vos enregistrements de contrôle d'accès aux ressources afin de gérer et de contrôler pleinement votre réseau et ses services.
Il existe un certain nombre de systèmes de surveillance réseau très utiles qui exploitent les données d’annuaire pour vous donner un contrôle total sur les activités de votre réseau. Voici ceux que vous devez vraiment connaître:
SolarWinds Server et Application Monitor (ESSAI GRATUIT)
Les produits SolarWinds fonctionnent sur Windows Server, doncil n'y a pas de problème de compatibilité avec Active Directory. En tant que système de surveillance destiné aux environnements Windows, SolarWinds s'est assuré d'intégrer la surveillance Active Directory dans cet outil. Les enregistrements AD sur votre réseau permettent au moniteur d’étiqueter la charge du serveur en fonction de la demande des utilisateurs et également de suivre cette activité via le réseau si vous avez également installé NetFlow Traffic Analyzer et User Device Tracker.
SolarWinds produit une gamme de ressourcesles utilitaires de surveillance et tous sont écrits sur une plate-forme commune, appelée Orion. Cela permet à chaque module que vous installez d'interagir avec les autres produits SolarWinds que vous exécutez sur votre serveur. Le module PerfStack du serveur et du moniteur d'application fonctionne mieux si vous avez également des moniteurs réseau installés, comme le SolarWinds Network Performance Monitor. Cela est dû au fait que PerfStack affiche chaque niveau de la pile de services ensemble, afin que vous puissiez identifier rapidement où les problèmes de performances existent réellement.
Le User Device Tracker exploite particulièrementinformations que vous détenez dans Active Directory pour informer les autres moniteurs de la suite de l'origine du chargement des ressources. Le tracker vous aide à repérer les failles de sécurité et le Network Performance Monitor et NetFlow Traffic Analyzer vous montrent un trafic excessif qui pourrait signifier des activités d'intrus. Vous pouvez obtenir tous ces produits SolarWinds lors d'un essai gratuit de 30 jours.
PRTG Network Monitor
PRTG est un réseau, un serveur et unmoniteur d'application. Si vous utilisez cet outil, vous pouvez choisir de l'implémenter aussi largement ou aussi étroitement que vous le souhaitez car sa portée est entièrement personnalisable. Le système PRTG est composé de centaines de capteurs. Chaque capteur doit être activé, donc sans votre intervention, toutes les capacités du système resteront inactives. Un capteur se concentre sur un aspect de vos services réseau ou sur une ressource. Par exemple, il existe un capteur Ping pour la surveillance du trafic et il existe également une série de capteurs qui exploitent vos annuaires LDAP pour obtenir des informations.
Paessler ne facture pas PRTG si vousactiver jusqu'à 100 capteurs. Ainsi, vous pouvez simplement utiliser l'outil comme moniteur Active Directory. Pendant que l'utilitaire surveille vos activités AD, vous disposez également d'un espace dans cette offre de service gratuite pour surveiller quelques autres activités sur votre réseau. Vous pouvez activer les capteurs SNMP et NetFlow pour obtenir des informations sur le trafic réseau ou choisir d'activer les moniteurs de port ou les capteurs d'état du serveur.
Si vous souhaitez utiliser plus de 100 capteurs, vous pouvez obtenir PRTG sur un essai gratuit de 30 jours. PRTG s'installe sur l'environnement Windows Server.
ManageEngine ADAudit Plus
ManageEngine produit une suite d'excellentsmoniteurs de ressources qui s'exécutent sur Windows ou Linux. Dans l'écurie ManageEngine, vous trouverez un certain nombre d'outils spécialement adaptés à la surveillance Active Directory. ADAudit Plus est l'un de ces utilitaires. Cet outil vous aidera à administrer AD via l'interface ManageEngine et il suivra également toutes les activités des utilisateurs, y compris l'ouverture et la fermeture de session. Cela vous aidera à repérer les activités illogiques des utilisateurs et les tentatives de connexion excessives qui peuvent indiquer la présence d'intrus.
ADAudit Plus est riche en fonctionnalités et comprendinstallations de suivi et de déclaration. Vous pouvez l'obtenir dans un essai gratuit de 30 jours. Si vous n’avez pas envie de payer après la période d’essai, vous pouvez opter pour la version gratuite de cet outil ManageEngine. ManageEngine propose un certain nombre d'outils Active Directory gratuits, notamment l'Active Director Query Tool, le générateur CSV, qui extrait les enregistrements AD, le Last Login Reporter et le gestionnaire de réplication AD, entre autres.
Services d'annuaire
Vous avez beaucoup d'options lorsque vous commencez à magasiner pour les services d'annuaire réseau. J'espère que ce guide vous a donné un point de départ pour votre recherche.
Utilisez-vous l'un des utilitaires mentionnés dans ce guide? Préférez-vous un outil que nous n'avons pas couvert ici? Laissez un message dans la section Commentaires ci-dessous pour partager vos connaissances avec la communauté.
commentaires