"Directory" è un termine comune nel calcolo chepuò significare una serie di cose. Tuttavia, nella rete, la directory è in genere correlata ai dati dell'utente e a un elenco di risorse che è possibile contattare sulla rete.
Quindi, ci sono due tipi di directory da cercaredopo su una rete: uno elenca le persone e l'altro elenca le apparecchiature. In questa guida esamineremo i diversi sistemi di directory che sono comunemente in uso oggi sulle reti.
Formato di archiviazione della directory
Qualsiasi elenco di dati può essere conservato su un computer nelforma di un file o in un database. I primi sistemi di directory erano basati su file. Tuttavia, lo sviluppo di sistemi di gestione del database ha reso l'opzione del database più efficiente. I database sono più facili e veloci da cercare e i linguaggi di query utilizzati (di solito SQL) consentono agli operatori booleani (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) di essere inclusi nelle ricerche.
Procedure di accesso alla directory
Impiegando un sistema di directory che si basa su unil protocollo apertamente disponibile è preferibile all'acquisto in un sistema proprietario che utilizza i propri formati di comunicazione. I servizi di directory richiedono due componenti di base, che sono un client e un server. Il server è il programma che contiene il database e gestisce l'accesso ai dati. Il client è generalmente incorporato in un'interfaccia che visualizza i dati recuperati, consente di modificare tali dati o consente di eseguire le azioni in modo condizionale alla ricezione di tali informazioni.
Se si sceglie di installare un sistema di directory chesi basa su protocolli universali, sarai in grado di "mescolare e abbinare" i sistemi client e server perché saranno garantiti in grado di interagire tra loro, indipendentemente da chi li ha scritti. Inoltre, le informazioni contenute nelle directory di rete possono essere sfruttate da strumenti di monitoraggio e reportistica delle attività, come i sistemi di rilevamento delle intrusioni (IDS). L'installazione di un gestore directory che implementa il protocollo comunemente usato garantisce che le informazioni contenute in tali directory siano accessibili a quei pacchetti di monitoraggio delle risorse e di monitoraggio dell'utente.
LDAP (Lightweight Directory Access Protocol)
LDAP è un protocollo di servizio che è stato ampiamenteimplementato come meccanismo di accesso a una vasta gamma di directory di rete. Numerosi sistemi di directory di rete elencati di seguito utilizzano procedure LDAP.
Dato che è un protocollo e non un software,non puoi acquistare LDAP e installarlo. Piuttosto, dovresti acquisire ed eseguire un programma che implementa le regole LDAP. Un protocollo delinea un elenco di standard e procedure operative che raggiungeranno un obiettivo, quindi il protocollo stesso non dipende dal sistema operativo. Ciò significa che chiunque può sviluppare un'implementazione LDAP per Windows, Linux, Unix o qualsiasi altro sistema operativo.
Un elemento importante della definizione LDAP èche stabilisce un linguaggio di comando che consente ai client di comunicare con il server LDAP. Poiché lo standard è pubblicamente disponibile, chiunque può utilizzarlo per creare un'applicazione che interagisce con un server LDAP. Ciò significa che LDAP può essere integrato nel software commerciale e può anche essere integrato in qualsiasi programma personalizzato interno che potresti sviluppare. Questa flessibilità e universalità ha reso LDAP lo standard di fatto per la procedura operativa dei servizi di directory.
LDAP è utilizzato per tutti i server DNS (Domain Name Service), quindi utilizzerai regolarmente il sistema LDAP sulla tua rete, che tu lo realizzi o meno.
OpenLDAP
Come suggerisce il nome, OpenLDAP è il più puroimplementazione del sistema LDAP che troverai. Questa è una libreria di procedure che può essere integrata in altri programmi. OpenLDAP è un progetto open source e quindi chiunque può accedere al suo codice gratuitamente. Il codice è inoltre implementato dal progetto OpenLDAP come librerie Java e quindi è possibile accedere al sistema tramite interfacce GUI su qualsiasi sistema operativo.
Poiché questo pacchetto è una libreria di codice, pochi amministratori di rete implementano direttamente la procedura OpenLDAP. Invece, dovresti cercare le applicazioni commerciali che dichiarano il loro uso di OpenLDAP.
Active Directory
Active Directory di Microsoft era un innovativo sistema di gestione degli utenti, creato per Windows. È stato inventato nel 1999 ed era così ben pianificato che è ancora ampiamente utilizzato.
Active Directory mantiene un elenco di utenti autorizzatiper una rete. È in grado di classificare quegli utenti in base ai livelli di autorizzazione, quindi un utente con privilegi di amministratore viene riconosciuto e consente un maggiore accesso rispetto agli utenti normali. Un vantaggio secondario di Active Directory è che controlla anche i diritti dei computer sulla rete. Pertanto, si tratta di un ottimo servizio di sicurezza perché garantisce che solo i dispositivi autorizzati siano connessi alla rete e che solo gli utenti autorizzati possano accedere a tali computer. È possibile bloccare l'accesso ad alcune apparecchiature a determinati gruppi di utenti e riservare l'accesso ad applicazioni specifiche a quelli con diritti di amministratore.
La principale limitazione di Active Directory è quellasi integra solo con altri prodotti Microsoft, quindi non è possibile utilizzarlo su Linux. Inoltre, non è in grado di controllare l'accesso a suite di produttività non Microsoft, come Google Docs. Man mano che l'elenco dei servizi della concorrenza di successo e dei sistemi basati su cloud aumenta l'usabilità di Active Directory diminuisce.
Novell Directory Services (NDS)
Il sistema NDS è stato inventato per fornire directoryservizi alle reti Novell Netware. Tuttavia, è anche in grado di operare su reti su cui non è installato Netware. Il software può essere eseguito su Windows, Sun Solaris e IBM OS / 390. Questa è stata un'implementazione anticipata di LDAP e quindi è diventata un punto di riferimento per altre implementazioni di servizi di directory. Il suo utilizzo di LDAP ha particolarmente indicato la strada per gli sviluppi successivi e ha formato un modello per Active Directory.
Elenco controllo accessi (ACL)
ACL è un sistema concorrenziale di gestione degli accessi a LDAP. Sebbene non sia ampiamente implementato come LDAP, ACL è ancora un sistema molto noto ed è stato implementato abbastanza volte da segnalarlo nel settore come un servizio di autenticazione affidabile.
Il sistema ACL si basa su un formato di archiviazione dei datiche crea un albero di attributi. Nella terminologia ACL, la risorsa che viene protetta viene chiamata "oggetto". Ad ogni oggetto viene assegnato un elenco di utenti consentiti e, a seconda del tipo di oggetto protetto, a ogni utente vengono attribuite una o più autorizzazioni.
ACL può essere applicato all'accesso ai file o alla reteaccesso. Gli ACL di rete possono essere utili per i sistemi di prevenzione delle intrusioni (IPS) perché controllano l'accesso a indirizzi host specifici e possono persino bloccare selettivamente l'accesso alle porte. Sulle reti, i diritti di accesso documentati da ACL sono implementati su switch e router.
Gli ACL moderni utilizzano database SQL per l'autorizzazionearchiviazione anziché file. Questo progresso ha anche permesso ad ACL di evolversi oltre i controlli di accesso degli utenti alla gestione dei gruppi di utenti. Ciò semplifica l'amministrazione delle autorizzazioni di accesso, in particolare sulle reti, in cui potrebbe essere necessario che l'ACL acceda più volte ogni utente per consentire l'accesso anche ai requisiti di base delle risorse di un tipico utente con sede in ufficio.
Identità e soluzioni di gestione degli accessi (IAM)
Una categoria di utilità di rete che potresti venireattraverso quando si studiano i sistemi di autenticazione degli utenti è Identity and Access Management Solutions, o IAM. Questo termine descrive una soluzione più ampia per l'autenticazione dell'utente rispetto a un semplice servizio di directory. Tuttavia, una directory o anche diverse directory saranno al centro di qualsiasi IAM. Quindi, quando acquisti sistemi di accesso e autenticazione, punta a strumenti che hanno un mandato molto più ampio della semplice gestione delle directory. Tuttavia, tenere presente che è necessario il servizio di directory al centro di IAM per implementare un protocollo aperto, come LDAP, in modo che l'accesso alla directory sia disponibile anche per altre applicazioni di monitoraggio.
Suggerimenti per i servizi di directory di rete
Questo elenco presenta alcuni suggerimenti perapplicazioni che potresti provare come servizi di directory specifici sulla tua rete. Tuttavia, anche altre applicazioni utilizzate regolarmente, come server Web o gestori di indirizzi IP, integreranno i servizi di directory.
JumpCloud DaaS
La parte "DaaS" del nome di questo prodotto rappresenta"Directory as a service". Questa è un'emulazione del termine "software as a service". I servizi software online basati su cloud utilizzano SaaS / software come termine di servizio per descrivere la loro configurazione. Quindi, il nome JumpCloud ti dice immediatamente che si tratta di un servizio online che fornisce un server di directory su Internet.
Questo è un prodotto a pagamento che implementa ActiveDirectory. Tuttavia, JumpCloud estende le capacità di Active Directory ai sistemi Unix e Linux emulando AD con un'implementazione LDAP per tali sistemi operativi. JumpCloud offre un modo accurato per far funzionare l'AD per tutte le tue risorse, non solo quelle fornite da Microsoft. Non devi pagare JumpCloud DaaS se lo usi solo per un massimo di 10 utenti.
Esecuzione di servizi di sicurezza su Internetcrea un componente aggiuntivo che potrebbe non funzionare e crea anche un'opportunità in più per gli hacker di intercettare il tuo traffico e interrompere i tuoi processi di autenticazione. Fortunatamente, JumpCloud crittografa tutte le comunicazioni tra il client e il server presenti sul sito remoto JumpCloud.
Mettere AD sul web è una soluzione interessanteper coloro che non usano molte risorse in loco ma si affidano a server cloud e SaaS per le applicazioni degli utenti. Il modello basato su cloud è interessante anche per quelle aziende che hanno molti lavoratori basati da casa o con agenti, consulenti o artigiani che lavorano sempre sui siti dei clienti.
JumpCloud DaaS è un esempio di come tradizionalele applicazioni basate sul sito possono essere facilmente adattate per la consegna su server remoti e su come non è mai troppo tardi per un innovatore entrare, rinnovare o estendere la funzionalità dei servizi stabiliti.
Servizio directory AWS
Amazon Web Services offre un'alternativa aJumpCloud DaaS. Questa è un'altra implementazione di Active Directory basata su cloud ed è fornita da uno dei grandi successi del Cloud. Puoi scegliere di utilizzare questo servizio di directory solo come impostazione corrente sul sito o di utilizzarlo per migrare la memoria e il software ad altri servizi AWS.
A differenza di JumpCloud, AWS Directory Service non estende le funzionalità di AD a Unix e Linux. Piuttosto, si tratta di una pura implementazione di Microsoft Active Directory ospitata sul cloud.
Amazon non offre il servizio di directory AWS pergratuito. Tuttavia, il modello dei prezzi è molto scalabile e basato su una tariffa oraria, che copre due domini, con una tariffa inferiore per ogni dominio aggiuntivo aggiunto al piano. Questo non è abbastanza buono come gratuito. Tuttavia, puoi provare il servizio gratuitamente per 30 giorni.
389 Directory Server
Lo afferma il sito Web di 389 Directory Serverquesto software è “rafforzato dall'uso nel mondo reale”. Come amministratore di rete rafforzato, probabilmente ti relazionerai a quell'uso di parole. Questo è un progetto open source ed è un prodotto senza fronzoli. Se stai bene sulla compilazione dei programmi da solo e non ti dispiace pettinare il codice, adorerai questo sistema di directory. Il pacchetto include un font-end della GUI per gli ambienti Gnome per darti la facilità d'uso point-and-click.
Il 389 Directory Server è disponibile per Linux ed è gratuito. Le procedure del servizio sono scritte secondo gli standard LDAP, quindi questo è come Active Directory per Linux.
Directory di Apache
Se gestisci un sito Web, è molto probabile che tuhanno anche Apache Web Server. Apache Directory è un'implementazione LDAP gratuita gestita dalla stessa organizzazione che cura il software del server web. Non esiste una stretta interoperabilità tra Apache Directory e Apache Web Server: sono due prodotti distinti. Tuttavia, il fatto che tu faccia affidamento sul pacchetto Web Server di Apache dovrebbe darti la sicurezza di provare la Directory di Apache, che è libera di usare.
Devi scaricare e installare due pezzi disoftware per avere un'implementazione completa di Apache Directory. Tuttavia, entrambi sono pienamente conformi a LDAP, quindi è possibile sostituire o con un'applicazione diversa, purché sia basata su LDAP. Il modulo server si chiama Apache DirectoryDS e il client si chiama Apache Directory Studio. Il secondo di questi due pacchetti consente di visualizzare e modificare i record di directory che si trovano sul server. Sia il client che il server sono completamente gratuiti ed entrambi funzionano su Windows, Unix, Linux e Mac OS.
FreeIPA
Prima hai letto delle gestioni delle identitàsistemi (IMS) e FreeIPA sono inclusi in questo elenco di servizi di directory da provare perché è un buon esempio di IMS. Non devi preoccuparti di sprecare soldi per provare questa utility perché è gratuita da usare.
"IPA" sta per identità, politica e audit. Queste tre priorità incapsulano i processi di autenticazione necessari per la tua rete e tutte le tue risorse IT. Come spiegato sopra, i servizi di directory fanno parte dei sistemi IMS. Nel caso di FreeIPA, il componente server directory è fornito da 389 Directory Server. Quindi, puoi scegliere di installare 389 Directory Server per ottenere un'implementazione LDAP o espandere i tuoi servizi di autenticazione e controllo degli accessi scegliendo un IMS completo con FreeIPA.
FreeIPA è un progetto open source, quindi puoi farloesaminare il codice per assicurarsi che non vi siano procedure di raccolta dati nascoste contenute all'interno. Il servizio offre opzioni sulle metodologie di autenticazione implementate nel framework IMS: Kerberos è una buona opzione open source gratuita disponibile all'interno di questa categoria di attività IMS.
Questo IMS funziona su Unix o Linux. Tuttavia, è anche in grado di monitorare i sistemi Windows e può anche installare e monitorare l'ambiente Mac OS compatibile Unix. Il concetto di FreeIPA raccoglie tecnologie preesistenti, tra cui il server HTTP Apache e le API di programmazione Python per fornire un IMS completo basato su componenti che si sa siano "rafforzati dall'uso nel mondo reale".
Monitoraggio directory di rete
Il vantaggio di utilizzare una directory ben notail servizio è che molte applicazioni di monitoraggio del sistema possono sfruttare le informazioni contenute nei record di controllo dell'accesso alle risorse al fine di gestire e controllare completamente la rete e i suoi servizi.
Esistono numerosi sistemi di monitoraggio della rete molto utili che sfruttano i dati delle directory per darti il pieno controllo delle attività della tua rete. Ecco quelli che devi davvero conoscere:
Server SolarWinds e Application Monitor (PROVA GRATUITA)
I prodotti SolarWinds funzionano quindi su Windows Servernon esiste alcun problema di compatibilità con Active Directory. Come sistema di monitoraggio destinato agli ambienti Windows, SolarWinds si è assicurato di integrare il monitoraggio di Active Directory in questo strumento. I record AD sulla tua rete consentono al monitor di etichettare il carico del server in base alla domanda dell'utente e di tenere traccia di tale attività attraverso la rete se hai anche installato NetFlow Traffic Analyzer e User Device Tracker.
SolarWinds produce una gamma di risorsele utility di monitoraggio e tutte sono scritte su una piattaforma comune, chiamata Orion. Ciò consente a ciascun modulo installato di interagire con gli altri prodotti SolarWinds in esecuzione sul server. Il modulo PerfStack di Server e Application Monitor funziona in modo ottimale se sono installati anche monitor di rete, come SolarWinds Network Performance Monitor. Questo perché PerfStack mostra tutti i livelli dello stack di servizi insieme, in modo da poter identificare rapidamente dove esistono realmente i problemi di prestazioni.
User Device Tracker sfrutta in particolare ilinformazioni conservate in Active Directory per informare gli altri monitor nella suite dell'origine del caricamento delle risorse. Il tracker ti aiuta a individuare le violazioni della sicurezza e Network Performance Monitor e NetFlow Traffic Analyzer ti mostreranno un traffico eccessivo che potrebbe significare attività di intruso. Puoi ottenere tutti questi prodotti SolarWinds con una prova gratuita di 30 giorni.
PRTG Network Monitor
PRTG è una rete unificata, un server emonitor dell'applicazione. Se utilizzi questo strumento, puoi scegliere di implementarlo nel modo più ampio o ristretto che desideri perché il suo ambito è completamente personalizzabile. Il sistema PRTG è composto da centinaia di sensori. Ogni sensore deve essere attivato, quindi senza il tuo intervento, tutte le funzionalità del sistema rimarranno inattive. Un sensore si concentra su un aspetto dei servizi di rete o su una risorsa. Ad esempio, esiste un sensore Ping per il monitoraggio del traffico e c'è anche una serie di sensori che sfruttano le tue directory LDAP per informazioni.
Paessler non addebita alcun costo per PRTG se solo tuattiva fino a 100 sensori. Quindi, potresti semplicemente usare lo strumento come monitor di Active Directory. Mentre hai l'utilità per guardare le tue attività AD, hai anche spazio all'interno dell'offerta di servizi gratuiti per monitorare un paio di altre attività sulla tua rete. È possibile attivare i sensori SNMP e NetFlow per ottenere feedback sul traffico di rete o scegliere di attivare i monitor delle porte o i sensori di stato del server.
Se si desidera utilizzare più di solo 100 sensori, è possibile ottenere PRTG in una prova gratuita di 30 giorni. PRTG si installa nell'ambiente Windows Server.
ManageEngine ADAudit Plus
ManageEngine produce una suite di eccellentimonitor delle risorse eseguiti su Windows o Linux. Nella scuderia ManageEngine troverai una serie di strumenti appositamente studiati per il monitoraggio di Active Directory. ADAudit Plus è una di queste utility. Questo strumento ti aiuterà ad amministrare AD attraverso l'interfaccia ManageEngine e monitorerà anche tutte le attività dell'utente, inclusi l'accesso e la disconnessione. Ciò ti aiuterà a individuare l'attività dell'utente illogica e tentativi di accesso eccessivi che potrebbero indicare la presenza di un intruso.
ADAudit Plus è ricco di funzionalità e includestrutture di tracciamento e comunicazione. Puoi ottenerlo in una prova gratuita di 30 giorni. Se non hai voglia di pagare dopo il periodo di prova, puoi optare per la versione gratuita di questo strumento ManageEngine. ManageEngine offre una serie di strumenti gratuiti di Active Directory, tra cui Active Director Query Tool, CSV Generator, che estrae record AD, Last Login Reporter e AD Replication Manager, tra gli altri.
Servizi di directory
Hai molte opzioni quando inizi a cercare i servizi di directory di rete. Speriamo che questa guida ti abbia dato un punto di partenza per la tua ricerca.
Utilizzi una delle utility menzionate in questa guida? Preferisci uno strumento che non abbiamo trattato qui? Lascia un messaggio nella sezione Commenti qui sotto per condividere le tue conoscenze con la community.
Commenti