A „könyvtár” egy általános kifejezés ennek kiszámításáhozjelenthet egy sor dolgot. A hálózatépítés során azonban a könyvtár általában kapcsolódik a felhasználói adatokhoz és az erőforrások listájához, amelyekkel kapcsolatba léphet a hálózaton.
Tehát kétféle könyvtárat kell megnézniután a hálózaton: az egyik felsorolja az embereket, a másik felsorolja a felszerelést. Ebben az útmutatóban megvizsgáljuk azokat a különféle könyvtári rendszereket, amelyek manapság a hálózatokban működnek.
A könyvtár tárolási formátuma
Az adatok bármilyen listája tárolható afájl formájában vagy adatbázisban. A korai könyvtári rendszerek fájl alapúak voltak. Az adatbázis-kezelési rendszerek fejlesztése azonban az adatbázis-opciót hatékonyabbá tette. Az adatbázisok könnyebben és gyorsabban kereshetők át, és a hozzájuk használt lekérdezési nyelvek (általában SQL) lehetővé teszik a logikai operátorok (ÉS, VAGY, NEM, MEGOSZTÁS, Idő, SELECT, PROJEKT) beépítését a keresésekbe.
Directory elérési eljárások
Olyan könyvtári rendszer alkalmazása, amely egyinkább a nyíltan elérhető protokoll, mint a saját kommunikációs formátumokat használó védett rendszerbe történő vásárlás. A címtárszolgáltatások két alapvető összetevőt igényelnek, amelyek egy ügyfél és egy kiszolgáló. A szerver az az adatbázis, amely az adatbázist tárolja és az adatokhoz való hozzáférést kezeli. Az ügyfelet általában egy olyan felületbe ágyazzák, amely vagy megjeleníti a visszakeresett adatokat, lehetővé teszi az adatok megváltoztatását, vagy lehetővé teszi a műveletek elvégzését az információk kézhezvételekor.
Ha úgy dönt, hogy egy könyvtárrendszert telepít,az univerzális protokollokon alapul, akkor képes lesz „összekeverni és összehangolni” az ügyfél és a kiszolgáló rendszereket, mert garantáltan képesek lesznek kölcsönhatásba lépni egymással, függetlenül attól, ki írta őket. Ezenkívül a hálózati könyvtárakban található információk kihasználhatók megfigyelési és tevékenységi jelentési eszközökkel, például behatolás-észlelési rendszerekkel (IDS). A gyakran használt protokollt megvalósító könyvtárkezelő telepítése biztosítja, hogy az ezekben a könyvtárakban szereplő információk hozzáférhetők legyenek a felhasználói figyelő és erőforrás-vezérlő csomagokhoz.
Könnyű címtár-hozzáférési protokoll (LDAP)
Az LDAP széles körben elterjedt szolgáltatási protokolla hálózati könyvtárak széles skálájához való hozzáférési mechanizmusként valósul meg. Az alább felsorolt számos hálózati címtárszakasz LDAP eljárásokat használ.
Mivel ez egy protokoll, és nem egy szoftver,nem lehet megvásárolni és telepíteni az LDAP-t. Inkább megszerezne és futtatna egy olyan programot, amely végrehajtja az LDAP szabályokat. A protokoll felsorolja azoknak a szabványoknak és munkafolyamatoknak a listáját, amelyek elérik a célt, tehát maga a protokoll nem függ az operációs rendszertől. Ez azt jelenti, hogy bárki kifejleszthet egy LDAP implementációt Windows, Linux, Unix vagy bármely más operációs rendszerhez.
Az LDAP meghatározásának fontos elemehogy meghatároz egy olyan parancsnyelvet, amely lehetővé teszi az ügyfelek számára az LDAP szerverrel való kommunikációt. Mivel a szabvány nyilvánosan elérhető, bárki felhasználhatja annak létrehozására, amely együttműködik egy LDAP-kiszolgálóval. Ez azt jelenti, hogy az LDAP integrálható a kereskedelmi szoftverekbe, és bármilyen házon belüli egyedi programba integrálható, amelyet előállíthat. Ez a rugalmasság és egyetemesség tette az LDAP-t tényleges szabványnak a címtárszolgáltatások működési eljárásában.
Az LDAP-t minden DNS-kiszolgálóra (Domain Name Service) használják, így rendszeresen alkalmazni fogja az LDAP rendszert a hálózatán, függetlenül attól, hogy megvalósítja-e vagy sem.
OpenLDAP
Ahogy a neve is sugallja, az OpenLDAP a legtisztábba megtalált LDAP rendszer megvalósítása. Ez egy olyan eljáráskönyvtár, amelyet más programokba lehet integrálni. Az OpenLDAP egy nyílt forráskódú projekt, így bárki ingyenesen hozzáférhet annak kódjához. A kódot az OpenLDAP projekt Java könyvtárakként is megvalósítja, így a rendszerhez bármilyen operációs rendszer GUI felületén keresztül lehet hozzáférni.
Mivel ez a csomag kódkönyvtár, néhány hálózati rendszergazda közvetlenül hajtja végre az OpenLDAP eljárást. Ehelyett érdemes figyelnie olyan kereskedelmi alkalmazásokra, amelyek ismertetik az OpenLDAP használatát.
Active Directory
A Microsoft Active Directory egy úttörő felhasználókezelő rendszer volt, amelyet a Windows számára hoztak létre. 1999-ben találták fel, és olyan jól megtervezték, hogy még mindig széles körben használják.
Az Active Directory vezeti az engedélyezett felhasználók listájátegy hálózat számára. Képes kategorizálni ezeket a felhasználókat engedélyszint alapján, tehát egy rendszergazdai jogosultságokkal rendelkező felhasználót felismernek és nagyobb hozzáférést engednek meg, mint a szokásos felhasználók. Az Active Directory másodlagos előnye, hogy ellenőrzi a hálózaton lévő számítógépek jogait is. Tehát ez egy nagyszerű biztonsági szolgáltatás, mivel gondoskodik arról, hogy csak engedélyezett eszközök csatlakozzanak a hálózathoz, és csak engedélyezett felhasználók tudnak bejelentkezni ezeken a számítógépeken. Lehetőség van bizonyos felhasználói csoportok számára bizonyos készülékekhez való hozzáférés letiltására, és a meghatározott alkalmazásokhoz való hozzáférést a rendszergazdai jogokkal rendelkezők számára fenntarthatja.
Az Active Directory fő korlátozása azcsak más Microsoft termékekkel integrálódik, így Linuxon nem használható. Ezenkívül nem tudja ellenőrizni a nem Microsoft termelékenységi csomagokhoz, például a Google Dokumentumokhoz való hozzáférést. A sikeres versenytársak és felhőalapú rendszerek listájának bővülésével az Active Directory használhatósága csökken.
Novell Directory Services (NDS)
Az NDS rendszert úgy hozták létre, hogy könyvtárat biztosítsonszolgáltatások a Novell Netware hálózatokhoz. Azonban olyan hálózatokon is működhet, amelyekben nincs telepítve Netware. A szoftver Windows, Sun Solaris és IBM OS / 390 rendszereken futtatható. Ez az LDAP korai megvalósítása volt, és így referenciapontjává vált a többi címtárszolgáltatás-megvalósításhoz. Az LDAP használata különösen rámutatott a későbbi fejlesztések útjára, és modellt adott az Active Directory számára.
Hozzáférés-ellenőrzési lista (ACL)
Az ACL rivális hozzáférési menedzsment rendszer az LDAP-hoz. Bár az ACL nem olyan széles körben valósult meg, mint az LDAP, az ACL továbbra is egy nagyon jól ismert rendszer, és elegendő idő alatt került bevezetésre, hogy az iparban megbízható hitelesítési szolgáltatásként jelölje meg.
Az ACL rendszer adattárolási formátumra támaszkodikamely létrehoz egy attribútumok fáját. Az ACL terminológiában a védett erőforrást „objektumnak” hívják. Minden objektumhoz hozzá van rendelve az engedélyezett felhasználók listája, és a védett objektum típusától függően minden felhasználóhoz egy vagy több engedélyt kapnak.
Az ACL alkalmazható fájlhozzáférésre vagy hálózatrahozzáférés. A hálózati alapú ACL-k hasznosak lehetnek a behatolás-megakadályozó rendszereknél (IPS), mivel ellenőrzik a hozzáférést az adott host címekhez, és szelektíven blokkolhatják is a portokhoz való hozzáférést. Hálózatokon az ACL által dokumentált hozzáférési jogok a kapcsolókon és az útválasztókon vannak megvalósítva.
A modern ACL-ek SQL adatbázisokat használnak engedélyheztárolás helyett fájlok. Ez a fejlődés lehetővé tette az ACL számára, hogy a felhasználói hozzáférés-vezérlésen túl is fejlődjön a felhasználói csoport kezelése felé. Ez leegyszerűsíti a hozzáférési engedélyek kezelését, különösen a hálózatokon, ahol az ACL-nek szükségessé válhat minden felhasználó többszöri naplózása, hogy hozzáférést biztosítson a tipikus irodai alapú felhasználók alapvető erőforrásigényeihez is.
Identitások és hozzáférés-kezelési megoldások (IAM)
A hálózati segédprogram egy olyan kategóriája, amelyre esetleg jönA felhasználói hitelesítési rendszerek vizsgálata során az Identity and Access Management Solutions vagy IAM-ok találhatók. Ez a kifejezés a felhasználói hitelesítés szélesebb megoldását írja le, nem csupán egy címtárszolgáltatás. Azonban egy könyvtár vagy akár több könyvtár is az IAM középpontjában áll. Tehát, amikor hozzáférési és hitelesítési rendszereket vásárol, olyan eszközöket célozzon meg, amelyek sokkal szélesebb hatáskörrel bírnak, mint a könyvtárkezelés. Ne feledje azonban, hogy az IAM központjában a címtárszolgáltatásra van szüksége egy olyan nyílt protokoll, mint például az LDAP, megvalósításához, így a címtárszolgáltatás más megfigyelő alkalmazások számára is elérhető lesz.
Javaslatok a hálózati címtárszolgáltatásokhoz
Ez a lista néhány javaslatot tartalmaz a következőkre:olyan alkalmazások, amelyeket saját hálózatának speciális címtárszolgáltatásaként kipróbálhat Más rendszeresen használt alkalmazások, például a webkiszolgálók vagy az IP-címkezelők azonban a könyvtári szolgáltatásokat is integrálják.
JumpCloud DaaS
A termék nevének „DaaS” része jelentése„Könyvtár mint szolgáltatás”. Ez a „szoftver mint szolgáltatás” kifejezés emulációja. Az internetes, felhőalapú szoftveres szolgáltatások a SaaS / szoftvert szolgáltató kifejezésként használják a konfiguráció leírására. Tehát a JumpCloud neve azonnal kijelenti, hogy online szolgáltatás, amely címtárszervert szolgáltat az interneten.
Ez egy fizetett termék, amely az Active alkalmazást valósítja megKönyvtár. A JumpCloud azonban az Active Directory képességeit kiterjeszti az Unix és a Linux rendszerekre az AD emulációjával az operációs rendszerek LDAP megvalósításával. A JumpCloud ügyes módot kínál arra, hogy az AD működjön az összes erőforráson, nem csak a Microsoft által biztosított erőforrásoknál. Nem kell fizetnie a JumpCloud DaaSért, ha csak 10 felhasználó számára használja.
Biztonsági szolgáltatások futtatása az interneten keresztüllétrehoz egy extra összetevőt, amely meghibásodhat, és extra lehetőséget teremt a hackerek számára a forgalom elfogására és a hitelesítési folyamatok áttörésére. Szerencsére a JumpCloud az ügyfél és a JumpCloud távoli webhelyen tartott szerver közötti kommunikációt titkosítja.
Érdekes megoldás az AD internetes elhelyezéseazok számára, akik nem sok helyszíni erőforrást használnak, de a felhőkiszolgálókra és a SaaS-re támaszkodnak a felhasználói alkalmazásokhoz. A felhőalapú modell azoknak a vállalkozásoknak is érdekes, amelyeknek sok munkavállalója van otthoni munkavégzésből, vagy ügynökökkel, tanácsadókkal vagy kézművesekkel, akik állandóan az ügyfelek webhelyein dolgoznak.
A JumpCloud DaaS egy példa arra, hogy milyen hagyományosA helyalapú alkalmazások könnyen adaptálhatók a távoli szerverekre történő kézbesítéshez, és hogy soha nem késő, ha az újító bejelentkezik, és megújítja vagy kibővíti a létrehozott szolgáltatások funkcionalitását.
AWS Directory Service
Az Amazon Web Services alternatívát kínál aJumpCloud DaaS. Ez egy másik felhőalapú Active Directory-megvalósítás, amelyet a Cloud egyik nagy ütője biztosítja. Dönthet úgy, hogy ezt a címtárszolgáltatást csak a jelenlegi helyszíni beállításként használja, vagy felhasználhatja tárhelyének és szoftverének más AWS-szolgáltatásokra történő áttelepítésére.
A JumpCloud-nal ellentétben az AWS Directory Service nem terjeszti az AD képességeit az Unix és Linux rendszerekre. Inkább ez egy tiszta Microsoft Active Directory megvalósítás, amelyet a Cloud tárol.
Az Amazon nem kínál AWS Directory szolgáltatástingyenes. Az árképzési modell azonban nagyon skálázható, és egy órás mérési tarifán alapul, amely két domént lefed, és minden további domainhez hozzáadódik a terv. Ez nem olyan jó, mint ingyen. 30 napig ingyenesen kipróbálhatja a szolgáltatást.
389 Directory Server
A 389 Directory Server webhelye ezt állítjaezt a szoftvert „a valós használat megkeményíti”. Megeredett hálózati rendszergazdaként valószínűleg a szóhasználattal fog kapcsolatba kerülni. Ez egy nyílt forráskódú projekt, és egy egyszerű termék. Ha jól gondolod, hogy a programokat maguk állítják össze, és nem gondolja a kód átfésülését, imádni fogja ezt a könyvtári rendszert. A csomag tartalmaz egy GUI betűkészletet a Gnome környezetekhez, hogy egyszerűbbé tegye a kattintás és kattintás használatát.
A 389 Directory Server elérhető Linux operációs rendszerhez és ingyenesen használható. A szolgáltatás eljárásait az LDAP szabványok írják le, tehát ez olyan, mint az Active Directory for Linux.
Apache könyvtár
Ha webhelyet működtet, nagyon valószínű, hogy teaz Apache webszerverrel is rendelkezik. Az Apache Directory egy ingyenes LDAP-megvalósítás, amelyet ugyanaz a szervezet kezeli, amely a webkiszolgáló szoftvert kurálja. Az Apache Directory és az Apache Web Server között nincs szigorú interoperabilitás - ezek két különálló termék. Azonban az a tény, hogy az Apache webkiszolgálói csomagjára támaszkodik, bizalmat adhat az ingyenesen használható Apache Directory kipróbálásához.
Töltse le és telepítse két darabotszoftvert annak érdekében, hogy teljes Apache Directory megvalósításra kerüljön. Mindazonáltal mindkettő teljes mértékben megfelel az LDAP-nak, tehát akár egy másik alkalmazást is helyettesítheti, feltéve, hogy ez szintén LDAP-alapú. A kiszolgálómodul Apache DirectoryDS, az ügyfél Apache Directory Studio. A két csomag második része lehetővé teszi a kiszolgálón tárolt könyvtári rekordok megtekintését és megváltoztatását. Mind az ügyfél, mind a szerver teljesen szabadon használható, és mindkettő Windows, Unix, Linux és Mac OS rendszereken fut.
FreeIPA
Korábban olvasott az identitáskezelésrőlA rendszereket (IMS) és a FreeIPA szerepel a könyvtárszolgáltatások ezen listáján, hogy kipróbálhassa, mert ez jó példa az IMS-re. Nem kell aggódnia, hogy pazarolja a pénzt ennek a segédprogramnak, mert szabadon használható.
Az „IPA” az identitás, a politika és az audit jelentését jelenti. Ez a három prioritás tartalmazza a hálózatához szükséges hitelesítési folyamatokat és az összes informatikai erőforrást. A fentiek szerint a címtárszolgáltatások az IMS rendszerek részét képezik. FreeIPA esetén a címtárszerver-összetevőt a 389 Directory Server biztosítja. Tehát dönthet úgy, hogy telepíti a 389 Directory Server szolgáltatást egy LDAP megvalósítás megszerzéséhez, vagy kibővítheti a hitelesítési szolgáltatásokat és a hozzáférés-vezérlést egy teljes IMS létrehozásával a FreeIPA segítségével.
A FreeIPA egy nyílt forráskódú projekt, tehát megtehetivizsgálja meg a kódot, hogy megbizonyosodjon arról, hogy nincsenek benne rejtett adatgyűjtési eljárások. A szolgáltatás opciókat kínál az IMS keretén belül alkalmazott hitelesítési módszerekhez - a Kerberos jó ingyenes nyílt forráskódú opció elérhető az IMS feladatok ezen kategóriájában.
Ez az IMS Unix vagy Linux rendszeren fut. Ugyanakkor képes megfigyelni a Windows rendszereket, és telepítheti és megfigyelheti az Unix-kompatibilis Mac OS környezetet. A FreeIPA koncepció összegyűjti a már létező technológiákat, beleértve az Apache HTTP Server és a Python programozási API-kat, hogy teljes IMS-t nyújtson, amely olyan összetevőkön alapul, amelyekről tudod, hogy „valódi felhasználásuk megkeményedett”.
A hálózati könyvtár figyelése
A jól ismert könyvtár használatának előnyeA szolgáltatás az, hogy sok rendszerfigyelő alkalmazás ki tudja használni az erőforrás-hozzáférés-vezérlő nyilvántartásokban szereplő információkat annak érdekében, hogy teljes mértékben kezelje és ellenőrizze a hálózatot és annak szolgáltatásait.
Számos nagyon hasznos hálózati megfigyelő rendszer létezik, amely a könyvtárak adatait kihasználva teljes körű irányítást biztosít a hálózat tevékenységei felett. Itt van azok, amelyekről valóban tudnia kell:
SolarWinds szerver és alkalmazásfigyelő (INGYENES PRÓBAVERZIÓ)
A SolarWinds termékek a Windows Server rendszeren működnek, tehátnincs probléma az Active Directoryval való kompatibilitással. A Windows környezethez szánt megfigyelő rendszerként a SolarWinds gondoskodott arról, hogy az Active Directory megfigyelést beépítse ebbe az eszközbe. A hálózaton lévő AD-rekordok lehetővé teszik a monitor számára, hogy a kiszolgálói terhelést a felhasználó igényei szerint jelölje meg, és nyomon kövesse ezt a tevékenységet a hálózaton keresztül, ha telepítve van a cég NetFlow forgalmi elemzője és a felhasználói eszközkövető is.
A SolarWinds számos forrást termela közművek figyelését és mindegyikét egy közös platformon írják, Orion néven. Ez lehetővé teszi, hogy minden telepített modul kölcsönhatásba lépjen a kiszolgálón futó többi SolarWinds termékkel. A Szerver és az Alkalmazásfigyelő PerfStack modulja akkor működik legjobban, ha hálózati monitorok is vannak telepítve, például a SolarWinds Network Performance Monitor. Ennek oka az, hogy a PerfStack együtt jeleníti meg a szolgáltatáscsomag minden szintjét, így gyorsan azonosíthatja, hol vannak a teljesítményproblémák.
A felhasználói eszközkövető különösen aaz Active Directory-ban tárolt információk, amelyek a készletben lévő többi monitort tájékoztatják az erőforrás-terhelés eredetéről. A nyomkövető segítségével felismerheti a biztonsági megsértéseket, és a Network Performance Monitor és a NetFlow Traffic Analyzer megmutatja a túlzott forgalmat, amely jelezheti a betolakodók tevékenységeit. A SolarWinds termékek közül bármelyik beszerezhető egy 30 napos ingyenes próbaverzió alatt.
PRTG hálózati monitor
A PRTG egységes hálózat, szerver ésalkalmazás monitor. Ha elfogadja ezt az eszközt, dönthet úgy, hogy a lehető legszélesebb körben vagy szűk mértékben implementálja, mivel az alkalmazási köre teljesen testreszabható. A PRTG rendszer több száz érzékelőből áll. Minden érzékelőt aktiválni kell, így az Ön beavatkozása nélkül a rendszer összes képessége nem működik. Az érzékelő a hálózati szolgáltatások egyik aspektusára vagy egy erőforrásra összpontosít. Például van egy Ping-érzékelő a forgalom megfigyelésére, és létezik egy sor olyan érzékelő is, amely információként felhasználja az LDAP könyvtárakat.
A Paessler nem számít fel díjat a PRTGért, ha csak teaktiváljon akár 100 érzékelőt. Tehát az eszközt csak Active Directory-monitorként használhatja. Miközben a segédprogram megfigyeli az AD tevékenységeit, az ingyenes szolgáltatási ajánlaton belül van hely a hálózat néhány további tevékenységének figyelemmel kísérésére. Aktiválhatja az SNMP és a NetFlow érzékelőket, hogy visszajelzést kapjon a hálózati forgalomról, vagy aktiválhatja a portmonitorokat vagy a szerverállapot-érzékelőket.
Ha nem csak 100 érzékelőt szeretne használni, akkor PRTG-t kaphat egy 30 napos ingyenes próbaverzióra. A PRTG telepítésre kerül a Windows Server környezetbe.
ManageEngine ADAudit Plus
A ManageEngine kiváló csomagot készíterőforrás-figyelők, amelyek Windows vagy Linux rendszeren futnak. A ManageEngine stabilban számos olyan eszközt találsz, amelyeket kifejezetten az Active Directory megfigyeléshez alakítottak ki. Az ADAudit Plus egyike ezeknek a segédprogramoknak. Ez az eszköz segít az AD adminisztrálásában a ManageEngine felületen keresztül, és nyomon követi az összes felhasználói tevékenységet, beleértve a bejelentkezést és a kijelentkezést. Ez segít észlelni a logikátlan felhasználói tevékenységeket és a túlzott bejelentkezési kísérleteket, amelyek jelezhetik a betolakodók jelenlétét.
Az ADAudit Plus szolgáltatásban gazdag, és magában foglaljanyomon követési és jelentési lehetőségek. 30 napos ingyenes próbaverzió alatt kaphatja meg. Ha nem érzi magát fizetni a próbaidőszak után, választhatja a ManageEngine eszköz ingyenes verzióját. A ManageEngine számos ingyenes Active Directory-eszközt kínál, köztük az Active Director Query Tool-ot, a CSV-generátort, amely kibontja az AD-rekordokat, a Last Login Reporter és az AD Replication Manager-et.
Directory szolgáltatások
Nagyon sok lehetőség van, amikor elkezdi vásárolni a hálózati címtárszolgáltatásokat. Remélhetőleg ez az útmutató megadta a kezdőpontját a kereséshez.
Használ-e az útmutatóban említett segédprogramokat? Inkább olyan szerszámot szeretsz, amelyre itt még nem terjedünk ki? Ha megosztja tudását a közösséggel, hagyjon üzenetet az alábbi megjegyzés részben.
Hozzászólások