"Imenik" je uobičajeni pojam za tomože značiti niz stvari. Međutim, u umrežavanju, direktorij je obično povezan s korisničkim podacima i popisom resursa s kojima možete kontaktirati na mreži.
Postoje dvije vrste mapa koje trebate pogledatinakon na mreži: jedan navodi ljude, a drugi navodi opremu. U ovom ćemo vodiču istražiti različite sustave direktorija koji danas rade u mrežama.
Format pohrane u direktoriju
Bilo koji popis podataka može se čuvati na računalu uobliku datoteke ili u bazi podataka. Sustavi ranih imenika utemeljeni su na datotekama. Međutim, razvoj sustava za upravljanje bazama omogućio je mogućnost baze podataka učinkovitijom. Baze podataka se lakše i brže pretražuju, a jezici upita koji se koriste za njih (obično SQL) omogućuju da se u pretraživanje uključe Booleovi operateri (I, ILI, NE, DIVIDE, TIMES, SELECT, PROJECT).
Postupci pristupa imeniku
Upotreba sustava imenika koji se oslanja naotvoreno dostupan protokol poželjniji je od kupnje u vlasničkom sustavu koji koristi vlastite komunikacijske formate. Usluge imenika trebaju dvije osnovne komponente, a to su klijent i poslužitelj. Poslužitelj je program koji sadrži bazu podataka i upravlja pristupom podacima. Klijent je obično ugrađen u sučelje koje ili prikazuje dohvaćene podatke, omogućava izmjenu tih podataka ili omogućuje uvjetno izvršavanje radnji po primanju tih podataka.
Ako odlučite instalirati sustav direktorija kojitemelji se na univerzalnim protokolima, moći ćete „miješati i uskladiti“ klijentske i poslužiteljske sustave jer će im biti zajamčeno da mogu međusobno komunicirati bez obzira tko ih napisao. Nadalje, informacije sadržane u mrežnim mapama mogu se iskoristiti pomoću alata za praćenje i izvještavanje o aktivnostima, poput sustava za otkrivanje provale (IDS-a). Instaliranje upravitelja direktorija koji implementira često korišteni protokol osigurava da će informacije sadržane u tim mapama biti dostupne onim paketima za nadgledanje i upravljanje resursima.
Lagani protokol pristupa imeniku (LDAP)
LDAP je protokol usluga koji je naširoko primljenimplementiran kao mehanizam pristupa širokom rasponu mrežnih mapa. Brojni mrežni sustavi kataloga koji su ovdje navedeni dolje koriste LDAP procedure.
Kako je to protokol, a ne dio softvera,ne možete kupiti LDAP i instalirati ga. Umjesto toga, vi biste nabavili i pokrenuli program koji implementira LDAP pravila. Protokol prikazuje popis standarda i radnih postupaka kojima će se postići cilj, pa sam protokol ne ovisi o operativnom sustavu. To znači da svatko može razviti LDAP implementaciju za Windows, Linux, Unix ili bilo koji drugi operativni sustav.
Važan element LDAP definicije jeda on postavlja naredbeni jezik koji klijentima omogućuje komunikaciju s LDAP poslužiteljem. Kako je standard javno dostupan, svatko ga može upotrijebiti za izradu aplikacije koja komunicira s LDAP poslužiteljem. To znači da se LDAP može integrirati u komercijalni softver, a također se može integrirati u bilo koji interni prilagođeni program koji biste mogli razviti. Ova fleksibilnost i univerzalnost učinili su LDAP de facto standardom za radni postupak direktorijskih usluga.
LDAP se koristi za sve DNS poslužitelje (Service Name Name), tako da ćete redovito koristiti LDAP sustav na vašoj mreži, bez obzira jeste li svjesni ili ne.
OpenLDAP
Kao što ime sugerira, OpenLDAP je najčišćiimplementaciju LDAP sustava koji ćete naći. Ovo je knjižnica postupaka koji se mogu integrirati u druge programe. OpenLDAP je projekt otvorenog koda i tako svatko može besplatno pristupiti njegovom kodu. Kôd također implementira OpenLDAP projekt kao Java knjižnice i tako je sustavu moguće pristupiti putem GUI sučelja na bilo kojem operacijskom sustavu.
Kako je ovaj paket knjižnica koda, nekoliko mrežnih administratora izravno implementira OpenLDAP postupak. Umjesto toga, treba paziti na komercijalne aplikacije u kojima se navodi njihovo korištenje OpenLDAP-a.
Aktivni direktorij
Microsoftov Active Directory bio je revolucionarni sustav upravljanja korisnicima, stvoren za Windows. Izumljen je 1999. godine i bio je tako dobro planiran da je i dalje široko u upotrebi.
Active Directory vodi popis ovlaštenih korisnikaza mrežu. Može kategorizirati te korisnike prema razinama dozvola, tako da se prepoznaje korisnik s povlasticama administratora i omogućuje veći pristup onim redovitim korisnicima. Sekundarna prednost Active Directorya je da provjerava i prava računala na mreži. Dakle, ovo je sjajna sigurnosna usluga jer osigurava da su na mrežu spojeni samo ovlašteni uređaji i na njima se mogu prijaviti samo ovlašteni korisnici. Moguće je blokirati pristup nekoj opremi određenim grupama korisnika i rezervirati pristup određenim aplikacijama onima koji imaju administratorska prava.
Glavno ograničenje Active Directory-a je tointegrira se samo s ostalim Microsoftovim proizvodima pa ga ne možete koristiti na Linuxu. Također ne može kontrolirati pristup paketima produktivnosti koji nisu Microsoftovi, kao što su Google dokumenti. Kako se popis uspješnih konkurentskih usluga i sustava utemeljenih na oblaku proširuje, upotrebljivost Active Directory smanjuje se.
Novell imeničke usluge (NDS)
NDS sustav izumljen je za osiguravanje direktorijausluge Novell Netware mrežama. Međutim, također može raditi u mrežama na kojima nije instaliran Netware. Softver se može izvoditi na Windowsima, Sun Solarisu i IBM OS / 390. Ovo je bila rana implementacija LDAP-a i tako je postala mjerilo za ostale implementacije usluga direktorija. Njegova upotreba LDAP-a posebno je ukazala put za kasnije razvoj i oblikovala model za Active Directory.
Popis kontrole pristupa (ACL)
ACL je suparnički sustav upravljanja pristupom LDAP-u. Iako nije tako široko implementiran kao LDAP, ACL je i dalje vrlo poznat sustav i dovoljno je puta implementiran da ga u industriji označi kao pouzdanu uslugu provjere autentičnosti.
ACL sustav oslanja se na format za pohranu podatakašto stvara stablo atributa. U ACL terminologiji, resurs koji se štiti naziva se "objektom". Svakom se objektu dodjeljuje popis dopuštenih korisnika, a ovisno o vrsti objekta koji se štiti, svakom korisniku se pripisuje jedno ili više dozvola.
ACL se može primijeniti na pristup datotekama ili na mrežupristup. Mrežni ACL-ovi mogu biti korisni za sustave za sprečavanje upada (IPS) jer kontroliraju pristup određenim adresama domaćina i mogu čak selektivno blokirati pristup portovima. Na mrežama se prava pristupa dokumentirana od strane ACL-a implementiraju na prekidače i usmjerivače.
Moderni ACL-ovi koriste SQL baze podataka za dopuštenjepohranu, a ne datoteke. Ovo napredovanje omogućilo je i da ACL evoluira izvan korisničkih kontrola pristupa upravljanju grupom korisnika. To pojednostavljuje administraciju dopuštenja za pristup, posebno na mrežama, gdje će ACL možda trebati svaki korisnik više puta zapisati kako bi omogućio pristup čak i osnovnim potrebama resursa tipičnog uredskog korisnika.
Identiteti i rješenja za upravljanje pristupom (IAM)
Kategorija mrežnog uslužnog programa koji biste mogli doćikada istražuju sustave provjere identiteta korisnika su rješenja identiteta i pristupa, ili IAM-ovi. Ovaj izraz opisuje šire rješenje za provjeru autentičnosti korisnika nego samo direktorijska usluga. Međutim, direktorij, ili čak nekoliko direktorija, nalazit će se u središtu bilo kojeg IAM-a. Dakle, prilikom kupovine sustava za pristup i provjeru autentičnosti, nastojite za alatima koji imaju puno šire područje djelovanja nego samo upravljanje direktorijima. Međutim, imajte na umu da vam je potrebna usluga direktorija u jezgri IAM-a za implementaciju otvorenog protokola, kao što je LDAP, tako da će pristup direktoriju biti dostupan i ostalim aplikacijama za nadzor.
Prijedlozi za usluge mrežnih direktorija
Ovaj popis sadrži nekoliko prijedloga zaaplikacije koje biste mogli isprobati kao određene usluge direktorija na vašoj mreži. Međutim, druge aplikacije koje redovno koristite, kao što su web-poslužitelji ili upravitelji IP adresa, također će integrirati usluge direktorija.
JumpCloud DaaS
Dio "DaaS" naziva ovog proizvoda znači"Direktorij kao usluga". Ovo je emulacija termina "softver kao usluga". Internetske softverske usluge temeljene na oblaku koriste SaaS / softver kao servisni izraz za opisivanje njihove konfiguracije. Dakle, ime JumpCloud vam odmah govori da je internetska usluga koja isporučuje poslužitelj direktorija putem interneta.
Ovo je plaćeni proizvod koji implementira ActiveImenik. Međutim, JumpCloud proširuje mogućnosti Active Directory-a na Unix i Linux sustave oponašajući AD s LDAP implementacijom za te operativne sustave. JumpCloud nudi uredan način rada za AD koji radi za sve vaše resurse, a ne samo one koje pruža Microsoft. Ne morate platiti JumpCloud DaaS ako ga koristite samo do 10 korisnika.
Trčanje sigurnosnih usluga putem internetastvara dodatnu komponentu koja ne može uspjeti, a također stvara dodatnu priliku hakeri da vam presreću promet i probiju vaše procese autentifikacije. Srećom, JumpCloud šifrira sve komunikacije između vašeg klijenta i poslužitelja koji se nalaze na udaljenom web mjestu JumpCloud.
Stavljanje AD-a na web zanimljivo je rješenjeza one koji ne koriste mnogo resursa na licu mjesta, ali se oslanjaju na oblačne poslužitelje i SaaS za korisničke aplikacije. Model temeljen na oblaku zanimljiv je i za one tvrtke koje imaju puno radnika iz kuće, ili za agente, savjetnike ili obrtnike koji cijelo vrijeme rade na stranicama klijenata.
JumpCloud DaaS je primjer koliko tradicionalanaplikacije utemeljene na web lokaciji mogu se lako prilagoditi za isporuku na udaljenim poslužiteljima i kako nikad nije kasno da inovator dođe i obnovi ili proširi funkcionalnost uspostavljenih usluga.
Usluga AWS imenika
Amazon Web Services nudi alternativuJumpCloud DaaS. Ovo je još jedna implementacija aktivnog direktorija utemeljena na oblaku, a pruža je jedan od velikih Cloud usluga. Možete koristiti ovu uslugu direktorija kao trenutnu postavku na licu mjesta ili je koristiti za premještanje pohrane i softvera u druge AWS usluge.
Za razliku od JumpCloud, AWS direktorijska usluga ne proširuje AD-ove mogućnosti na Unix i Linux. Umjesto toga, ovo je čista Microsoft Active Directory implementacija koja se nalazi u Cloudu.
Amazon ne nudi uslugu AWS imenika zabesplatno. Međutim, model cijene vrlo je skalabilan i temelji se na satu mjerne stope, koja pokriva dvije domene, s nižom stopom za svaku dodatnu domenu dodanom u plan. Ovo nije sasvim dobro kao besplatno. Međutim, uslugu možete isprobati besplatno 30 dana.
389 Imenik poslužitelj
Web stranica 389 Directory Server to tvrdiovaj softver je "stvrdnut uporabom u stvarnom svijetu". Kao očvrsnuti mrežni administrator, vjerojatno ćete se odnositi na tu upotrebu riječi. Ovo je projekt otvorenog koda i proizvod je koji se ne proizvodi. Ako niste u stanju sami sastaviti programe i nemate smisla češljati preko koda, svidjet će vam se ovaj sistem direktorija. Paket uključuje krajnji font GUI-ja za okruženja Gnome kako bi vam omogućio jednostavnost upotrebe putem i klika.
Poslužitelj imenika 389 dostupan je za Linux i besplatan je za upotrebu. Postupci usluge napisani su prema LDAP standardima, tako da je ovo slično Active Directoryu za Linux.
Apache direktorij
Ako imate web mjesto, velika je vjerojatnost da ćete to učinitiimaju i Apache Web Server. Apache Directory besplatna je LDAP implementacija kojom upravlja ista organizacija koja njeguje softver web poslužitelja. Ne postoji stroga interoperabilnost između Apache Directory i Apache Web Server - to su dva različita proizvoda. Međutim, činjenica da se oslanjate na paket web poslužitelja od Apachea trebala bi vam dati samopouzdanje za isprobavanje direktorija Apache koji je besplatan za upotrebu.
Trebate preuzeti i instalirati dva komadasoftver za potpunu implementaciju Apache Directory. Međutim, oba su u potpunosti usklađena s LDAP-om, tako da ih možete zamijeniti bilo kojim drugim programom, pod uslovom da se i to temelji na LDAP-u. Modul poslužitelja zove se Apache DirectoryDS, a klijent naziva Apache Directory Studio. Drugi od ova dva paketa omogućava pregled i izmjenu zapisa u imeniku koji se nalaze na poslužitelju. I klijent i poslužitelj potpuno su slobodni za korištenje i oba se izvode u Windowsima, Unixu, Linuxu i Mac OS-u.
FreeIPA
Ranije ste pročitali o upravljanju identitetomsustavi (IMS) i FreeIPA uključeni su na ovaj popis usluga kataloga koje treba isprobati jer je to dobar primjer IMS-a. Ne morate brinuti da ćete trošiti novac na isprobavanje ovog uslužnog programa jer je besplatan za upotrebu.
"IPA" označava identitet, politiku i reviziju. Ta tri prioriteta obuhvaćaju procese provjere autentičnosti koji su vam potrebni za mrežu i sve vaše informatičke resurse. Kao što je gore objašnjeno, usluge direktorija su dio IMS sustava. U slučaju FreeIPA, komponentu poslužitelja imenika pruža 389 Directory Server. Dakle, možete odlučiti instalirati 389 Directory Server da biste dobili implementaciju LDAP-a ili proširiti svoje usluge provjere autentičnosti i kontrolu pristupa tako da prođete cjelovit IMS sa FreeIPA.
FreeIPA je projekt otvorenog koda, pa možetepregledajte kôd da biste bili sigurni da nema skrivenih postupaka za prikupljanje podataka. Usluga vam daje opcije preko metodologija provjere autentičnosti koje implementirate u okviru IMS okvira - Kerberos je dobra besplatna opcija otvorenog koda koja je dostupna u ovoj kategoriji zadataka IMS.
Ovaj IMS radi na Unixu ili Linuxu. Međutim, također može nadzirati Windows sustave, a može se instalirati i nadzirati Unix kompatibilno Mac OS okruženje. Koncept FreeIPA prikuplja već postojeće tehnologije, uključujući Apache HTTP poslužitelj i Python programske API-jeve kako bi se pružio cjelovit IMS koji se temelji na komponentama za koje znate da su "otvrdnute uporabom u stvarnom svijetu".
Nadgledanje mrežnog imenika
Prednost korištenja dobro poznatog imenikaUsluga je u tome što mnoge aplikacije za nadzor sustava mogu iskoristiti informacije sadržane u vašim zapisima kontrole pristupa resursima kako bi u potpunosti upravljali i kontrolirali mrežu i njene usluge.
Postoji nekoliko vrlo korisnih sustava mrežnog praćenja koji koriste podatke direktorija kako bi vam pružili potpunu kontrolu nad mrežnim aktivnostima. Evo onih o kojima stvarno trebate znati:
SolarWinds Monitor poslužitelja i aplikacija (BESPLATNO ISPITIVANJE)
Proizvodi SolarWinds djeluju na Windows Serveru, daklenema problema s kompatibilnošću s Active Directoryom. Kao sustav praćenja namijenjen Windows okruženjima, SolarWinds se pobrinuo da ugradi nadzor nad Active Directoryom u ovaj alat. AD zapisi na vašoj mreži omogućuju monitoru da označi učitavanje poslužitelja prema potrebama korisnika, a također prati tu aktivnost kroz mrežu ako imate i instaliran analizator prometa tvrtke NetFlow i Korisnički uređaj za praćenje.
SolarWinds proizvodi niz resursaalate za nadzor i svi su napisani na zajedničkoj platformi, nazvanoj Orion. To omogućuje svakom modulu koji instalirate da komunicira s ostalim SolarWinds proizvodima koje imate na svom poslužitelju. PerfStack modul monitora poslužitelja i aplikacija najbolje radi ako imate instalirane i mrežne monitore, poput SolarWinds Network Performance Monitor-a. To je zato što PerfStack prikazuje zajedno sve razine skupa usluga, tako da možete brzo prepoznati gdje problemi s performansama stvarno postoje.
Tragač korisničkih uređaja posebno iskorištavainformacije koje imate u Active Directoryu kako biste obavijestili ostale monitore u izvoru o izvoru opterećenja. Tragač vam pomaže u otkrivanju sigurnosnih kršenja, a Network Performance Monitor i NetFlow Traffic Analyzer pokazat će vam pretjerani promet koji bi mogao značiti aktivnosti uljeza. Bilo koji i sve ove proizvode SolarWinds možete dobiti na 30-dnevnoj besplatnoj probnoj verziji.
PRTG mrežni monitor
PRTG je objedinjena mreža, poslužitelj imonitor aplikacija. Ako preuzmete ovaj alat, možete ga primijeniti onoliko široko ili usko kako želite jer je njegov opseg potpuno prilagodljiv. PRTG sustav čine stotine senzora. Svaki senzor mora biti aktiviran, tako da će bez vaše intervencije sve mogućnosti sustava ostati u stanju mirovanja. Senzor se fokusira na jedan aspekt mrežnih usluga ili na jedan resurs. Na primjer, postoji Ping senzor za praćenje prometa, a postoji i niz senzora koji koriste informacije o vašim LDAP mapama.
Paessler ne naplaćuje PRTG samo akoaktivirati do 100 senzora. Dakle, alat možete koristiti kao monitor Active Directory-a. Dok vi uslužni program prati svoje aktivnosti na AD-u, također imate prostora unutar te besplatne ponude usluga za praćenje nekoliko drugih aktivnosti na vašoj mreži. Možete aktivirati SNMP i NetFlow senzore da biste dobili povratnu informaciju o mrežnom prometu ili se odlučili za aktiviranje monitora porta ili senzora statusa poslužitelja.
Ako želite koristiti više od 100 senzora, PRTG možete dobiti na 30-dnevnoj besplatnoj probnoj verziji. PRTG se instalira na Windows Server okruženje.
ManageEngine ADAudit Plus
ManageEngine proizvodi odličan paketmonitori resursa koji se izvode na Windows ili Linuxu. U stabilnom ManageEngine pronaći ćete niz alata koji su posebno prilagođeni nadzoru Active Directory-a. ADAudit Plus jedno je od ovih uslužnih programa. Ovaj će vam alat pomoći da upravljate AD-om putem sučelja ManageEngine te će također pratiti sve korisničke aktivnosti, uključujući prijavu i odjava. To će vam pomoći da uočite nelogične korisničke aktivnosti i prekomjerne pokušaje prijave koji mogu ukazivati na prisutnost uljeza.
ADAudit Plus je bogat značajkama i uključujeobjekti za praćenje i izvještavanje Možete ga dobiti u 30-dnevnoj besplatnoj probnoj verziji. Ako nakon probnog razdoblja ne želite platiti, možete se odlučiti za besplatnu verziju ovog ManageEngine alata. ManageEngine nudi niz besplatnih alata Active Directory, uključujući alat za upit aktivnog direktora, CSV Generator koji izvlači zapise AD, Izvještavaču posljednjeg prijavljivanja i upravitelja replikacije AD, između ostalih.
Usluge direktorija
Kada počnete kupovati za usluge mrežnih direktorija, imate mnogo opcija. Nadamo se da vam je ovaj vodič dao početnu točku za vašu pretragu.
Koristite li neki od uslužnih programa navedenih u ovom vodiču? Da li više volite alat koji ovdje nismo pokrili? Ostavite poruku u odjeljku Komentari u nastavku kako biste svoje znanje podijelili sa zajednicom.
komentari