あなたを賢くするための技術的なヒント - ネットワーク管理者 -最高のネットワークディレクトリサービスと監視ツール

最高のネットワークディレクトリサービスと監視ツール

「ディレクトリ」は、コンピューティングの一般的な用語ですさまざまなことを意味します。ただし、ネットワークでは、ディレクトリは通常、ユーザーデータと、ネットワークで接続できるリソースのリストに関連付けられます。

したがって、検索するディレクトリには2つのタイプがあります。ネットワーク上で：1つは人をリストし、もう1つは機器をリストします。このガイドでは、現在ネットワーク上で一般的に運用されているさまざまなディレクトリシステムを調査します。

ディレクトリ保存形式

データのリストは、コンピューターのファイルの形式、またはデータベース内。初期のディレクトリシステムはファイルベースでした。ただし、データベース管理システムの開発により、データベースオプションがより効率的になりました。データベースの検索はより簡単かつ迅速になり、データベースに使用されるクエリ言語（通常はSQL）により、ブール演算子（AND、OR、NOT、DIVIDE、TIMES、SELECT、PROJECT）を検索に含めることができます。

ディレクトリアクセス手順

に依存するディレクトリシステムの採用独自の通信形式を使用する独自のシステムで購入するよりも、公開されているプロトコルの方が適しています。ディレクトリサービスには、クライアントとサーバーの2つの基本コンポーネントが必要です。サーバーは、データベースを保持し、データへのアクセスを管理するプログラムです。クライアントは通常、取得したデータを表示したり、データの変更を許可したり、その情報を受信したときに条件付きでアクションを実行したりできるインターフェイスに組み込まれます。

ディレクトリシステムをインストールすることを選択した場合ユニバーサルプロトコルに基づいているため、クライアントシステムとサーバーシステムを「ミックスアンドマッチ」することができます。なぜなら、それらは誰が書いたとしても相互にやり取りできることが保証されるからです。さらに、ネットワークディレクトリに含まれる情報は、侵入検知システム（IDS）などの監視およびアクティビティレポートツールによって悪用される可能性があります。一般的に使用されるプロトコルを実装するディレクトリマネージャをインストールすると、これらのディレクトリに含まれる情報に、それらのユーザー監視およびリソース制御パッケージがアクセスできるようになります。

ライトウェイトディレクトリアクセスプロトコル（LDAP）

LDAPは広く普及しているサービスプロトコルです広範囲のネットワークディレクトリへのアクセスメカニズムとして実装されます。以下にリストされている多くのネットワークディレクトリシステムは、LDAP手順を使用しています。

これはプロトコルであり、ソフトウェアではないため、LDAPを購入してインストールすることはできません。むしろ、LDAPルールを実装するプログラムを取得して実行します。プロトコルは、目標を達成する標準と作業手順のリストを概説しているため、プロトコル自体はオペレーティングシステムに依存しません。つまり、Windows、Linux、Unix、またはその他のオペレーティングシステム用のLDAP実装を誰でも開発できるということです。

LDAP定義の重要な要素はクライアントがLDAPサーバーと通信できるようにするコマンド言語を設定していること。標準は公開されているため、誰でもこの標準を使用して、LDAPサーバーと対話するアプリケーションを作成できます。つまり、LDAPは商用ソフトウェアに統合でき、開発する社内カスタムプログラムに統合することもできます。この柔軟性と普遍性により、LDAPはディレクトリサービスの操作手順の事実上の標準となっています。

LDAPはすべてのDNSサーバー（ドメインネームサービス）に使用されるため、LDAPシステムは、気づいているかどうかにかかわらず、ネットワーク上で定期的に使用します。

OpenLDAP

名前が示すように、OpenLDAPは最も純粋ですあなたが見つけるLDAPシステムの実装。これは、他のプログラムに統合できるプロシージャのライブラリです。 OpenLDAPはオープンソースプロジェクトであるため、誰でも無料でコードにアクセスできます。コードはOpenLDAPプロジェクトによってJavaライブラリとして実装されているため、任意のオペレーティングシステムのGUIインターフェースを介してシステムにアクセスできます。

このパッケージはコードのライブラリであるため、OpenLDAPプロシージャを直接実装するネットワーク管理者はほとんどいません。代わりに、OpenLDAPの使用を記載した商用アプリケーションを探す必要があります。

Active Directory

MicrosoftのActive Directoryは、Windows用に作成された画期的なユーザー管理システムでした。 1999年に発明され、非常によく計画されていたため、まだ広く使用されています。

Active Directoryは許可されたユーザーのリストを保持しますネットワーク用。これらのユーザーをアクセス許可レベルで分類できるため、管理者権限を持つユーザーが認識され、通常のユーザーよりも大きなアクセスが許可されます。 Active Directoryの2番目の利点は、ネットワーク上のコンピューターの権限もチェックすることです。したがって、これは優れたセキュリティサービスです。承認されたデバイスのみがネットワークに接続され、承認されたユーザーのみがそれらのコンピューターにログインできるようにするためです。特定のユーザーグループへの一部の機器へのアクセスをブロックし、管理者権限を持つユーザーへの特定のアプリケーションへのアクセスを予約することができます。

Active Directoryの主な制限は他のマイクロソフト製品と統合するだけなので、Linuxで使用することはできません。また、Googleドキュメントなど、Microsoft以外の生産性スイートへのアクセスを制御することはできません。競合他社のサービスとクラウドベースのシステムが成功すると、Active Directoryの使いやすさが低下します。

ノベルディレクトリサービス（NDS）

NDSシステムは、ディレクトリを提供するために発明されましたNovell Netwareネットワークへのサービス。ただし、Netwareがインストールされていないネットワークでも動作できます。ソフトウェアは、Windows、Sun Solaris、およびIBM OS / 390で実行できます。これはLDAPの初期の実装であったため、他のディレクトリサービス実装のベンチマークになりました。 LDAPの使用は、特に後の開発への道を示し、Active Directoryのモデルを形成しました。

アクセス制御リスト（ACL）

ACLは、LDAPのライバルアクセス管理システムです。 LDAPほど広くは実装されていませんが、ACLは依然として非常によく知られたシステムであり、信頼できる認証サービスとして業界でフラグを立てるのに十分な回数実装されています。

ACLシステムはデータストレージ形式に依存していますそれは属性のツリーを作成します。 ACLの用語では、保護されているリソースは「オブジェクト」と呼ばれます。各オブジェクトには許可されたユーザーのリストが割り当てられ、保護されているオブジェクトの種類に応じて、各ユーザーには1つ以上のアクセス許可が割り当てられます。

ACLはファイルアクセスまたはネットワークに適用できますアクセス。ネットワークベースのACLは、特定のホストアドレスへのアクセスを制御し、ポートへのアクセスを選択的にブロックすることもできるため、侵入防止システム（IPS）に役立ちます。ネットワークでは、ACLによって文書化されたアクセス権がスイッチとルーターに実装されます。

最新のACLは許可にSQLデータベースを使用しますファイルではなくストレージ。また、この進歩により、ACLはユーザーアクセス制御を超えてユーザーグループ管理に進化することができました。これにより、特にネットワーク上でアクセス許可の管理が簡単になります。ACLでは、一般的なオフィスベースのユーザーの基本的なリソース要件にさえアクセスできるように、ACLが各ユーザーを何度もログオンする必要があります。

IDおよびアクセス管理ソリューション（IAM）

あなたが来るかもしれないネットワークユーティリティのカテゴリユーザー認証システムを調査する際には、IDおよびアクセス管理ソリューション（IAM）が使用されます。この用語は、単なるディレクトリサービスよりも幅広いユーザー認証ソリューションを意味します。ただし、ディレクトリ、または複数のディレクトリでさえ、IAMの中心にあります。そのため、アクセスおよび認証システムを購入するときは、単なるディレクトリ管理よりもはるかに幅広い権限を持つツールを目指します。ただし、LDAPなどのオープンプロトコルを実装するには、IAMのコアにディレクトリサービスが必要であるため、ディレクトリアクセスは他の監視アプリケーションでも利用できることに注意してください。

ネットワークディレクトリサービスの提案

このリストは、いくつかの提案を示していますネットワーク上の特定のディレクトリサービスとして試すことができるアプリケーション。ただし、WebサーバーやIPアドレスマネージャーなど、定期的に使用する他のアプリケーションもディレクトリサービスを統合します。

JumpCloud DaaS

この製品の名前の「DaaS」の部分は「サービスとしてのディレクトリ」。これは「サービスとしてのソフトウェア」という用語のエミュレーションです。オンラインのクラウドベースのソフトウェアサービスは、SaaS /ソフトウェアをサービス用語として使用して構成を説明します。そのため、JumpCloudの名前は、インターネット経由でディレクトリサーバーを配信するオンラインサービスであることを即座に示しています。

これはアクティブを実装する有料製品ですディレクトリ。ただし、JumpCloudはActive Directoryの機能をUnixおよびLinuxシステムに拡張し、それらのオペレーティングシステムのLDAP実装でADをエミュレートします。 JumpCloudは、Microsoftが提供するリソースだけでなく、すべてのリソースでADを機能させるきちんとした方法を提供します。最大10人のユーザーのみに使用する場合、JumpCloud DaaSに料金を支払う必要はありません。

インターネットを介したセキュリティサービスの実行失敗する可能性のある追加のコンポーネントを作成し、ハッカーがトラフィックを傍受して認証プロセスを突破する追加の機会を作成します。幸い、JumpCloudは、クライアントとJumpCloudリモートサイトに保持されているサーバー間のすべての通信を暗号化します。

WebにADを置くことは興味深いソリューションです多くのオンサイトリソースを使用しないが、ユーザーアプリケーションのクラウドサーバーとSaaSに依存しているユーザー向け。クラウドベースのモデルは、自宅から、または常にクライアントサイトで働くエージェント、コンサルタント、職人をベースにした多くの労働者を抱える企業にとっても興味深いものです。

JumpCloud DaaSは従来の方法の例ですサイトベースのアプリケーションは、リモートサーバーでの配信に簡単に適応できます。また、イノベーターが既存のサービスの機能を改良または拡張するのに遅すぎることはありません。

AWS Directory Service

Amazon Web Servicesは、JumpCloud DaaS。これは別のクラウドベースのActive Directory実装であり、クラウドの大物の1つによって提供されます。このディレクトリサービスを現在のオンサイトセットアップとして使用するか、ストレージおよびソフトウェアを他のAWSサービスに移行するために使用するかを選択できます。

JumpCloudとは異なり、AWS Directory ServiceはADの機能をUnixおよびLinuxに拡張しません。むしろ、これはクラウドでホストされる純粋なMicrosoft Active Directory実装です。

AmazonはAWS Directory Serviceを提供していません無料です。ただし、価格設定モデルは非常にスケーラブルで、1時間ごとのメーターレートに基づいており、2つのドメインをカバーし、プランに追加される各ドメインのレートは低くなります。これは無料ほどではありません。ただし、30日間無料でサービスを試すことができます。

389 Directory Server

389 Directory ServerのWebサイトは、このソフトウェアは、「実際の使用によって強化されています」。強化されたネットワーク管理者として、おそらくその言葉の使用に関連するでしょう。これはオープンソースプロジェクトであり、飾り気のない製品です。プログラムを自分でコンパイルしても問題がなく、コードをくまなくてもかまわない場合は、このディレクトリシステムを気に入るはずです。パッケージには、Gnome環境用のGUIフォントエンドが含まれており、ポイントアンドクリックで簡単に使用できます。

389 Directory ServerはLinuxで使用でき、無料で使用できます。サービスの手順はLDAP標準に準拠しているため、これはLinuxのActive Directoryに似ています。

Apacheディレクトリ

ウェブサイトを運営している場合、あなたはApache Webサーバーもあります。 Apache Directoryは、Webサーバーソフトウェアをキュレートする同じ組織によって管理される無料のLDAP実装です。 Apache DirectoryとApache Web Serverの間に厳密な相互運用性はありません—これらは2つの異なる製品です。ただし、ApacheのWeb Serverパッケージに依存しているという事実により、Apache Directoryを無料で使用できます。

次の2つをダウンロードしてインストールする必要がありますApache Directoryを完全に実装するためのソフトウェア。ただし、どちらもLDAPに完全に準拠しているため、LDAPベースである限り、いずれかを別のアプリケーションに置き換えることができます。サーバーモジュールはApache DirectoryDSと呼ばれ、クライアントはApache Directory Studioと呼ばれます。これら2つのパッケージの2番目では、サーバーに保持されているディレクトリレコードを表示および変更できます。クライアントとサーバーはどちらも完全に無料で使用でき、Windows、Unix、Linux、およびMac OSで実行できます。

FreeIPA

以前にID管理について読んだことがありますシステム（IMS）およびFreeIPAは、IMSの良い例であるため、このディレクトリサービスのリストに含まれています。このユーティリティは無料で使用できるため、このユーティリティを試してお金を無駄にすることを心配する必要はありません。

「IPA」は、アイデンティティ、ポリシー、および監査の略です。これらの3つの優先順位は、ネットワークとすべてのITリソースに必要な認証プロセスをカプセル化します。上記で説明したように、ディレクトリサービスはIMSシステムの一部です。 FreeIPAの場合、ディレクトリサーバーコンポーネントは389 Directory Serverによって提供されます。したがって、389 Directory ServerをインストールしてLDAP実装を取得するか、FreeIPAを備えた完全なIMSを使用して認証サービスとアクセス制御を拡張することを選択できます。

FreeIPAはオープンソースプロジェクトであるため、次のことができます。コードを調べて、隠されたデータ収集手順が含まれていないことを確認します。このサービスは、IMSフレームワーク内で実装する認証方法のオプションを提供します— Kerberosは、IMSタスクのこのカテゴリ内で利用できる優れた無料のオープンソースオプションです。

このIMSはUnixまたはLinuxで実行されます。ただし、Windowsシステムを監視することもでき、Unix互換のMac OS環境にインストールして監視することもできます。 FreeIPAの概念は、Apache HTTPサーバーやPythonプログラミングAPIなどの既存のテクノロジーを収集し、「実際の使用によって強化されている」ことがわかっているコンポーネントに基づいた完全なIMSを提供します。

ネットワークディレクトリの監視

既知のディレクトリを使用する利点サービスとは、多くのシステム監視アプリケーションがリソースアクセス制御レコードに含まれる情報を活用して、ネットワークとそのサービスを完全に管理および制御できることです。

ディレクトリデータを活用してネットワークのアクティビティを完全に制御できる、非常に便利なネットワーク監視システムが多数あります。本当に知っておくべきことは次のとおりです。

SolarWinds Serverおよびアプリケーションモニター（無料トライアル）

SolarWinds製品はWindows Server上で動作するため、Active Directoryとの互換性の問題はありません。 SolarWindsは、Windows環境向けの監視システムとして、このツールにActive Directory監視を組み込むようにしました。ネットワーク上のADレコードにより、モニターはユーザーの需要によってサーバーの負荷にラベルを付け、会社のNetFlow Traffic AnalyzerとUser Device Trackerもインストールしている場合はネットワークを介してそのアクティビティを追跡できます。

SolarWindsはさまざまなリソースを生成します監視ユーティリティとそのすべては、Orionと呼ばれる共通のプラットフォームで書かれています。これにより、インストールした各モジュールが、サーバーで実行している他のSolarWinds製品と対話できるようになります。サーバーおよびアプリケーションモニターのPerfStackモジュールは、SolarWinds Network Performance Monitorなどのネットワークモニターもインストールしている場合に最適に機能します。これは、PerfStackがサービススタックの各レベルを一緒に表示するため、パフォーマンスの問題が実際に存在する場所をすばやく特定できるためです。

User Device Trackerは特にActive Directoryに保持されている情報で、スイート内の他のモニターにリソース負荷の発生元を通知します。トラッカーは、セキュリティ違反を見つけるのに役立ち、ネットワークパフォーマンスモニターとNetFlowトラフィックアナライザーは、侵入者のアクティビティを示す可能性のある過剰なトラフィックを表示します。これらのSolarWinds製品は、30日間の無料トライアルで入手できます。

無料トライアル：ダウンロード SolarWinds Serverおよびアプリケーションモニターで https://www.solarwinds.com/server-application-monitor/

PRTGネットワークモニター

PRTGは、統合されたネットワーク、サーバー、およびアプリケーションモニター。このツールを使用する場合、そのスコープは完全にカスタマイズ可能であるため、好きなだけ広くまたは狭く実装することを選択できます。 PRTGシステムは、数百のセンサーで構成されています。各センサーをアクティブにする必要があるため、ユーザーの介入なしでは、システムのすべての機能が休止状態のままになります。センサーは、ネットワークサービスの1つの側面または1つのリソースに焦点を合わせます。たとえば、トラフィックモニタリング用のPingセンサーがあり、情報用にLDAPディレクトリを活用する一連のセンサーもあります。

PaesslerはあなただけがPRTGを請求することはありません最大100個のセンサーをアクティブにします。したがって、このツールをActive Directoryモニターとして使用できます。ユーティリティでADアクティビティを監視している間は、その無料サービスオファー内にネットワーク上の他のいくつかのアクティビティを監視するスペースもあります。 SNMPおよびNetFlowセンサーをアクティブにして、ネットワークトラフィックに関するフィードバックを取得するか、ポートモニターまたはサーバーステータスセンサーをアクティブにすることを選択できます。

100個以上のセンサーを使用する場合は、30日間の無料トライアルでPRTGを入手できます。 PRTGはWindows Server環境にインストールされます。

ManageEngine ADAudit Plus

ManageEngineは優れたスイートを生成しますWindowsまたはLinuxで実行されるリソースモニター。 ManageEngine安定版には、Active Directoryの監視用に特別に調整された多くのツールがあります。 ADAudit Plusはこれらのユーティリティの1つです。このツールは、ManageEngineインターフェイスを介してADを管理するのに役立ち、ログオンやログオフなどのすべてのユーザーアクティビティも追跡します。これは、不正なユーザーアクティビティと、侵入者の存在を示す可能性のある過度のログイン試行を見つけるのに役立ちます。

ADAudit Plusは機能が豊富で、次のものが含まれます。追跡およびレポート機能。 30日間の無料トライアルで入手できます。試用期間後に支払いを希望しない場合は、このManageEngineツールの無料版を選択できます。 ManageEngineには、Active Director Query Tool、ADレコードを抽出するCSV Generator、Last Login Reporter、AD Replication Managerなど、無料のActive Directoryツールが多数用意されています。