„Katalogas“ yra įprastas terminas skaičiuojant taigali reikšti daugybę dalykų. Tačiau kuriant tinklą, katalogas paprastai yra susijęs su vartotojo duomenimis ir išteklių, su kuriais galima susisiekti tinkle, sąrašu.
Taigi, reikia ieškoti dviejų tipų katalogųpo tinklo: vienas išvardija žmones, o kitas - įrangą. Šiame vadove mes ištirsime skirtingas katalogų sistemas, kurios šiandien dažniausiai veikia tinkluose.
Katalogų saugojimo formatas
Bet kurį duomenų sąrašą galima laikyti kompiuteryjefailo ar duomenų bazės forma. Ankstyvosios katalogų sistemos buvo pagrįstos failais. Tačiau plėtojant duomenų bazių valdymo sistemas duomenų bazės parinktis tapo efektyvesnė. Duomenų bazėse yra lengviau ir greičiau ieškoti, o joms naudojamos užklausų kalbos (dažniausiai SQL) leidžia Būlio operatorius (IR, ARBA, NE, NESKELBTI, LAIKUS, PASIRINKTI, PROJEKTĄ) įtraukti į paieškas.
Prieigos prie katalogų procedūros
Taikoma katalogų sistema, kuri remiasigeriau pirkti atvirai prieinamą protokolą, o ne pirkti patentuotą sistemą, kuri naudoja savo komunikacijos formatus. Katalogų tarnyboms reikalingi du pagrindiniai komponentai, ty klientas ir serveris. Serveris yra programa, kuri laiko duomenų bazę ir tvarko prieigą prie duomenų. Paprastai klientas yra įterptas į sąsają, kurioje pateikiami gauti duomenys, leidžiama juos keisti arba leidžiama atlikti veiksmus sąlygiškai gavus tą informaciją.
Jei nuspręsite įdiegti katalogų sistemą, taiyra pagrįstas universaliais protokolais, galėsite „sumaišyti ir suderinti“ kliento ir serverio sistemas, nes bus garantuojama, kad jie galės bendrauti tarpusavyje, nesvarbu, kas juos parašė. Be to, tinklo kataloguose esančią informaciją galima panaudoti stebėjimo ir veiklos ataskaitų teikimo priemonėmis, tokiomis kaip įsibrovimų aptikimo sistemos (IDS). Įdiegę katalogų tvarkyklę, kurioje įgyvendinamas dažniausiai naudojamas protokolas, užtikrinama, kad tuose kataloguose esanti informacija būtų prieinama tiems vartotojo stebėjimo ir išteklių valdymo paketams.
Lengvas katalogo prieigos protokolas (LDAP)
LDAP yra plačiai naudojamas paslaugų protokolasįdiegtas kaip prieigos prie įvairių tinklo katalogų mechanizmas. Daugybė čia išvardytų tinklo katalogų sistemų naudoja LDAP procedūras.
Kadangi tai yra protokolas, o ne programinė įranga,negalite nusipirkti LDAP ir įdiegti. Geriau įsigytumėte ir paleistumėte programą, įgyvendinančią LDAP taisykles. Protokole pateikiamas standartų ir darbo procedūrų, kuriomis bus pasiektas tikslas, sąrašas, todėl pats protokolas nepriklauso nuo operacinės sistemos. Tai reiškia, kad kiekvienas gali sukurti LDAP diegimą „Windows“, „Linux“, „Unix“ ar bet kuriai kitai operacinei sistemai.
Svarbus LDAP apibrėžimo elementas yrakad joje nustatyta komandų kalba, leidžianti klientams susisiekti su LDAP serveriu. Kadangi standartas yra viešai prieinamas, kiekvienas gali jį naudoti norėdamas sukurti programą, sąveikaujančią su LDAP serveriu. Tai reiškia, kad LDAP gali būti integruotas į komercinę programinę įrangą ir taip pat gali būti integruotas į bet kurią vidinę pasirinktinę programą, kurią galite sukurti. Šis lankstumas ir universalumas pavertė LDAP faktišku katalogų tarnybų darbo tvarkos standartu.
LDAP yra naudojamas visiems DNS serveriams (domeno vardo paslauga), taigi jūs reguliariai naudosite LDAP sistemą savo tinkle, nesvarbu, ar ją suprantate, ar ne.
„OpenLDAP“
Kaip rodo pavadinimas, gryniausia yra „OpenLDAP“įdiegtos LDAP sistemos įdiegimas. Tai procedūrų biblioteka, kurią galima integruoti į kitas programas. „OpenLDAP“ yra atvirojo kodo projektas, todėl kiekvienas gali nemokamai naudotis jo kodu. Kodą taip pat įgyvendina „OpenLDAP“ projektas kaip „Java“ bibliotekas, taigi prie sistemos galima prisijungti per bet kurios operacinės sistemos GUI sąsajas.
Kadangi šis paketas yra kodo biblioteka, nedaugelis tinklo administratorių tiesiogiai įgyvendina OpenLDAP procedūrą. Vietoj to turėtumėte atkreipti dėmesį į komercines programas, kuriose nurodoma, kad jos naudoja OpenLDAP.
„Active Directory“
„Microsoft“ „Active Directory“ buvo novatoriška vartotojų valdymo sistema, sukurta „Windows“. Jis buvo išrastas 1999 m. Ir buvo taip gerai suplanuotas, kad vis dar plačiai naudojamas.
„Active Directory“ saugo įgaliotų vartotojų sąrašątinklui. Tai gali suskirstyti tuos vartotojus į kategorijas pagal leidimų lygius, todėl vartotojas, turintis administratoriaus teises, yra atpažįstamas ir jam suteikiama didesnė prieiga nei įprastiems vartotojams. Antrinis „Active Directory“ pranašumas yra tas, kad ji taip pat tikrina tinklo kompiuterių teises. Taigi, tai yra puiki saugos tarnyba, nes ji užtikrina, kad prie tinklo būtų prijungti tik įgalioti įrenginiai ir tuose kompiuteriuose galėtų prisijungti tik įgalioti vartotojai. Galima užblokuoti prieigą prie tam tikros įrangos tam tikroms vartotojų grupėms ir suteikti prieigą prie konkrečių programų tiems, kurie turi administratoriaus teises.
Pagrindinis „Active Directory“ apribojimas yra tasjis integruojamas tik su kitais „Microsoft“ produktais, todėl negalite jo naudoti „Linux“. Be to, jis negali valdyti prieigos prie ne „Microsoft“ produktyvumo rinkinių, tokių kaip „Google“ dokumentai. Išplečiant sėkmingų konkurentų paslaugų ir debesimis pagrįstų sistemų sąrašą, „Active Directory“ naudojimas sumažėja.
„Novell Directory Services“ (NDS)
NDS sistema buvo sugalvota pateikti katalogąpaslaugas „Novell Netware“ tinklams. Tačiau jis taip pat gali veikti tinkluose, kuriuose nėra įdiegtos internetinės programos. Programinė įranga gali veikti „Windows“, „Sun Solaris“ ir „IBM OS / 390“. Tai buvo ankstyvas LDAP diegimas, todėl jis tapo kitų katalogų paslaugų diegimo etalonu. LDAP naudojimas ypač atkreipė dėmesį į vėlesnius pokyčius ir sudarė „Active Directory“ modelį.
Prieigos kontrolės sąrašas (ACL)
ACL yra konkuruojanti prieigos prie LDAP valdymo sistema. Nors ACL nėra taip plačiai įdiegta kaip LDAP, ji vis dar yra labai gerai žinoma sistema ir ji buvo įdiegta pakankamai kartų, kad pramonėje ji būtų pažymėta kaip patikima autentifikavimo paslauga.
ACL sistema remiasi duomenų saugojimo formatukuris sukuria atributų medį. ACL terminologijoje saugomas išteklius vadinamas „objektu“. Kiekvienam objektui priskiriamas leidžiamų vartotojų sąrašas ir, atsižvelgiant į saugomo objekto tipą, kiekvienam vartotojui suteikiama viena ar daugiau teisių.
ACL galima pritaikyti prieigai prie failų ar tinkluiprieiga. Tinkle esantys ACL gali būti naudingi įsilaužimo prevencijos sistemoms (IPS), nes jie kontroliuoja prieigą prie konkrečių pagrindinio kompiuterio adresų ir netgi gali pasirinktinai blokuoti prieigą prie prievadų. Tinkluose ACL dokumentuotos prieigos teisės yra įgyvendinamos perjungikliuose ir maršrutizatoriuose.
Šiuolaikiniai ACL leidimams naudoja SQL duomenų bazessaugojimas, o ne failai. Šis patobulinimas taip pat leido ACL peržengti vartotojo prieigos kontrolės galimybes, o ne vartotojų grupes. Tai supaprastina prieigos leidimų administravimą, ypač tinkluose, kur ACL gali tekti daug kartų registruoti kiekvieną vartotoją, kad būtų suteikta prieiga net prie pagrindinių išteklių, būdingų tipiniam biuro vartotojui.
Tapatybės ir prieigos valdymo sprendimai (IAM)
Tinklo naudingumo kategorija, kuri jums gali būtitiriant vartotojų autentifikavimo sistemas, yra tapatybės ir prieigos valdymo sprendimai arba IAM. Šis terminas apibūdina platesnį vartotojo autentifikavimo sprendimą nei vien tik katalogų tarnyba. Bet katalogas ar net keli katalogai bus kiekvieno IAM pagrindas. Taigi, pirkdami prieigos ir autentifikavimo sistemas, pasitelkite įrankius, kurie turi daug platesnę kompetenciją nei tik katalogų tvarkymas. Tačiau atminkite, kad jums reikia katalogų tarnybos, esančios IAM šerdyje, norint įgyvendinti atvirą protokolą, pvz., LDAP, kad prieiga prie katalogo būtų prieinama ir kitoms stebėjimo programoms.
Tinklo katalogų paslaugų pasiūlymai
Šiame sąraše pateikti keli pasiūlymaiprogramas, kurias galėtumėte išbandyti kaip specifines katalogų paslaugas savo tinkle. Tačiau kitos programos, kurias naudojate reguliariai, tokie žiniatinklio serveriai ar IP adresų tvarkytojai taip pat integruos katalogų paslaugas.
„JumpCloud DaaS“
Šio produkto pavadinimo dalis „DaaS“ reiškia„Katalogas kaip paslauga“. Tai yra termino „programinė įranga kaip paslauga“ emuliacija. Internetinės debesies programinės įrangos paslaugos naudoja „SaaS“ / programinę įrangą kaip paslaugų terminą jų konfigūracijai apibūdinti. Taigi „JumpCloud“ vardas akimirksniu praneša, kad tai internetinė paslauga, teikianti katalogų serverį internetu.
Tai yra mokamas produktas, diegiantis „Active“Katalogas. Tačiau „JumpCloud“ išplečia „Active Directory“ galimybes iki „Unix“ ir „Linux“ sistemų, imituodamas AD su tų operacinių sistemų LDAP diegimu. „JumpCloud“ siūlo tvarkingą būdą, kaip pritraukti AD prie visų jūsų išteklių, ne tik tų, kuriuos teikia „Microsoft“. Jums nereikia mokėti už „JumpCloud DaaS“, jei ja naudojatės tik iki 10 vartotojų.
Apsaugos paslaugų teikimas internetusukuria papildomą komponentą, kuris gali nepavykti, ir taip pat sukuria papildomą galimybę įsilaužėliams sulaikyti jūsų srautą ir nutraukti jūsų autentifikavimo procesus. Laimei, „JumpCloud“ užkoduoja visą jūsų kliento ir serverio, esančio „JumpCloud“ nuotolinėje svetainėje, ryšius.
Įdėkite AD internete yra įdomus sprendimastiems, kurie nenaudoja daug resursų vietoje, bet naudojasi debesies serveriais ir „SaaS“ vartotojų programoms. Debesis pagrįstas modelis taip pat įdomus toms įmonėms, kuriose dirba daug darbuotojų iš namų, arba su agentais, konsultantais ar amatininkais, kurie visą laiką dirba klientų svetainėse.
„JumpCloud DaaS“ yra tradicinio pavyzdysvietines programas galima lengvai pritaikyti pristatymui į nuotolinius serverius ir kaip niekada nevėlu atvykti novatoriui atnaujinti ar išplėsti nustatytų paslaugų funkcionalumą.
AWS katalogų tarnyba
„Amazon Web Services“ siūlo alternatyvą„JumpCloud DaaS“. Tai yra dar vienas debesies pagrindu sukurtas „Active Directory“ diegimas, kurį teikia vienas iš didžiausių „Cloud“ kūrėjų. Galite pasirinkti naudoti šią katalogų paslaugą tiesiog kaip esamą sąranką vietoje arba naudoti ją perkelti saugyklą ir programinę įrangą į kitas AWS paslaugas.
Kitaip nei „JumpCloud“, „AWS Directory Service“ neišplečia AD galimybių „Unix“ ir „Linux“. Atvirkščiai, tai yra grynas „Microsoft Active Directory“ diegimas, priglobtas „Cloud“.
„Amazon“ nesiūlo „AWS Directory Service“Laisvas. Tačiau kainodaros modelis yra labai keičiamas ir pagrįstas valandos skaitiklio tarifu, apimančiu du domenus, o kiekvienam papildomam domenui, pridedamam prie plano, yra mažesnis tarifas. Tai ne visai taip gerai, kaip nemokama. Tačiau 30 dienų galite nemokamai išbandyti paslaugą.
389 Katalogų serveris
389 Directory Server svetainė teigia, kadši programinė įranga yra „užgrūdinta realiame pasaulyje“. Būdamas užkietėjęs tinklo administratorius, tikriausiai susisieksite su tuo žodžių vartojimu. Tai yra atvirojo kodo projektas ir tai nėra paprastas produktas. Jei jums gerai sekasi sudaryti programas patiems ir negalvojate apie kodo sukūrimą, jums patiks ši katalogų sistema. Komplektą sudaro GUI šrifto pabaiga, skirta „Gnome“ aplinkoms, kad būtų lengviau naudotis „spustelk ir spustelėkite“.
„389 Directory Server“ galima naudoti „Linux“ ir ja galima nemokamai naudotis. Paslaugos procedūros yra parašytos pagal LDAP standartus, taigi tai yra panašu į „Active Directory for Linux“.
„Apache“ katalogas
Jei valdote svetainę, labai tikėtina, kad jūstaip pat turite „Apache“ žiniatinklio serverį. „Apache Directory“ yra nemokamas LDAP diegimas, kurį valdo ta pati organizacija, kuruojanti žiniatinklio serverio programinę įrangą. Nėra griežto „Apache Directory“ ir „Apache Web Server“ suderinamumo - jie yra du atskiri produktai. Tačiau faktas, kad pasitikite „Apache“ žiniatinklio serverio paketu, turėtų suteikti jums pasitikėjimo išbandyti „Apache Directory“, kuriuo galima nemokamai naudotis.
Turite atsisiųsti ir įdiegti duprograminę įrangą, kad būtų galima visiškai įdiegti „Apache Directory“. Tačiau abu jie visiškai atitinka LDAP, todėl galite juos pakeisti bet kuria kita programa, jei ji taip pat pagrįsta LDAP. Serverio modulis vadinamas Apache DirectoryDS, o klientas - Apache Directory Studio. Antrasis iš šių dviejų paketų leidžia peržiūrėti ir pakeisti katalogų įrašus, laikomus serveryje. Tiek klientas, tiek serveris yra visiškai laisvai naudojami ir abu veikia „Windows“, „Unix“, „Linux“ ir „Mac OS“.
„FreeIPA“
Anksčiau jūs skaitėte apie tapatybės valdymąsistemos (IMS) ir FreeIPA yra įtrauktos į šį katalogo paslaugų sąrašą, kurį reikia išbandyti, nes tai yra geras IMS pavyzdys. Nereikia jaudintis dėl pinigų švaistymo šiam įrankiui išbandyti, nes juo galima laisvai naudotis.
„IPA“ reiškia tapatybę, politiką ir auditą. Šie trys prioritetai apima autentifikavimo procesus, kurių jums reikia jūsų tinklui ir visiems jūsų IT ištekliams. Kaip paaiškinta aukščiau, katalogų paslaugos yra IMS sistemų dalis. „FreeIPA“ atveju katalogo serverio komponentą teikia „389 Directory Server“. Taigi, galite pasirinkti įdiegti 389 katalogų serverį, kad gautumėte LDAP diegimą, arba išplėskite autentifikavimo paslaugas ir prieigos valdymą, eidami į pilną IMS su FreeIPA.
„FreeIPA“ yra atvirojo kodo projektas, todėl jūs galitepatikrinkite kodą, kad įsitikintumėte, jog jame nėra paslėptų duomenų rinkimo procedūrų. Ši paslauga suteikia galimybę pasirinkti autentifikavimo metodikas, kurias įgyvendinate pagal IMS - „Kerberos“ yra gera nemokamo atvirojo kodo parinktis, prieinama šios kategorijos IMS užduotims.
Ši IMS veikia „Unix“ ar „Linux“. Tačiau jis taip pat gali stebėti „Windows“ sistemas, taip pat gali įdiegti ir stebėti „Unix“ suderinamą „Mac OS“ aplinką. „FreeIPA“ koncepcija renka jau egzistuojančias technologijas, įskaitant „Apache HTTP Server“ ir „Python“ programavimo API, kad gautų išsamią IMS, pagrįstą komponentais, kuriuos, jūsų žiniomis, „sukietina realus pasaulis“.
Tinklo katalogų stebėjimas
Žinomo katalogo naudojimo naudapaslauga yra ta, kad daugelis sistemos stebėjimo programų gali išnaudoti informaciją, esančią jūsų prieigos prie išteklių valdymo įrašuose, kad galėtų visiškai valdyti ir valdyti jūsų tinklą ir jo paslaugas.
Yra keletas labai naudingų tinklo stebėjimo sistemų, kurios išnaudoja katalogų duomenis, kad galėtumėte visiškai valdyti savo tinklo veiklą. Štai tie, apie kuriuos tikrai reikia žinoti:
„SolarWinds“ serveris ir programų monitorius (NEMOKAMAS BANDYMAS)
„SolarWinds“ produktai veikia „Windows Server“, taiginėra problemų dėl suderinamumo su „Active Directory“. Kaip stebėjimo sistema, skirta „Windows“ aplinkoms, „SolarWinds“ įsitikino, kad į šį įrankį turi integruoti „Active Directory“ stebėjimą. Jūsų tinklo AD įrašai leidžia monitoriui žymėti serverio apkrovą pagal vartotojo poreikius ir taip pat sekti tą veiklą tinkle, jei taip pat turite įdiegtą įmonės „NetFlow“ srauto analizatorių ir vartotojo įrenginių stebėjimo priemonę.
„SolarWinds“ teikia daugybę ištekliųkomunalinių paslaugų stebėjimas ir visos jos surašytos bendroje platformoje, vadinamoje „Orion“. Tai leidžia kiekvienam įdiegtam moduliui sąveikauti su kitais „SolarWinds“ produktais, kuriuos naudojate savo serveryje. „PerfStack“ serverio ir „Application Monitor“ modulis geriausiai veikia, jei turite įdiegtus tinklo monitorius, pvz., „SolarWinds“ tinklo efektyvumo monitorių. Taip yra todėl, kad „PerfStack“ rodo kiekvieną paslaugų krūvos lygį kartu, todėl galite greitai nustatyti, kur iš tikrųjų yra našumo problemų.
Vartotojo įrenginių sekimo priemonė ypač išnaudojainformaciją, kurią laikote „Active Directory“, norėdami informuoti kitus rinkinio monitorius apie išteklių įkėlimo kilmę. Stebėjimo priemonė padeda pastebėti saugumo pažeidimus, o tinklo našumo stebėjimo įrankis ir „NetFlow“ srauto analizatorius parodys jums per didelį srautą, kuris gali reikšti įsibrovėlių veiklą. Galite įsigyti bet kurį iš šių „SolarWinds“ produktų per 30 dienų nemokamą bandomąją versiją.
PRTG tinklo monitorius
PRTG yra vieningas tinklas, serveris irprogramos monitorius. Pasirinkę šį įrankį, galite pasirinkti jį įgyvendinti kuo plačiau ar siauriau, nes jums visiškai tinka jo taikymo sritis. PRTG sistemą sudaro šimtai jutiklių. Kiekvienas jutiklis turi būti suaktyvintas, todėl be jūsų įsikišimo visos sistemos galimybės liks neveikiančios. Jutiklis sutelkia dėmesį į vieną tinklo paslaugų aspektą arba į vieną išteklių. Pvz., Yra „Ping“ jutiklis, skirtas srauto stebėjimui, taip pat yra keletas jutiklių, kurie naudojasi jūsų LDAP katalogais norėdami gauti informacijos.
„Paessler“ neima mokesčio už PRTG, jei tik jūssuaktyvinti iki 100 jutiklių. Taigi, įrankį galite tiesiog naudoti kaip „Active Directory“ monitorių. Kol turite naudingumo funkciją, stebėkite savo AD veiklą, tame nemokamame paslaugų pasiūlyme taip pat yra vietos stebėti dar keletą kitų jūsų tinklo veiklų. Galite suaktyvinti jutiklius SNMP ir NetFlow, kad gautumėte grįžtamąjį ryšį apie tinklo srautą, arba pasirinkti aktyvuoti prievadų monitorius ar serverio būsenos jutiklius.
Jei norite naudoti daugiau nei 100 jutiklių, galite gauti PRTG per 30 dienų nemokamą bandymą. PRTG įdiegia „Windows Server“ aplinkoje.
„ManageEngine ADAudit Plus“
„ManageEngine“ sukuria puikų rinkinįišteklių monitoriai, kurie veikia „Windows“ ar „Linux“. Tvarkyklėje „ManageEngine“ rasite daugybę įrankių, specialiai pritaikytų „Active Directory“ stebėjimui. „ADAudit Plus“ yra viena iš šių paslaugų. Šis įrankis padės jums administruoti AD per „ManageEngine“ sąsają ir taip pat stebės visas vartotojo veiklas, įskaitant prisijungimą ir atsijungimą. Tai padės pastebėti nelogišką vartotojo veiklą ir per daug prisijungimo bandymų, kurie gali reikšti įsibrovėlių buvimą.
„ADAudit Plus“ yra daug funkcijų ir apimastebėjimo ir ataskaitų teikimo priemonės. Galite jį gauti per 30 dienų nemokamą bandomąją versiją. Jei nesijaudinate mokėti po bandomojo laikotarpio, galite pasirinkti nemokamą šio „ManageEngine“ įrankio versiją. „ManageEngine“ siūlo daugybę nemokamų „Active Directory“ įrankių, įskaitant „Active Director Query“ įrankį, CSV generatorių, iš kurio išgaunami AD įrašai, „Last Login Reporter“ ir AD replikacijos tvarkyklę.
Katalogų paslaugos
Kai pradedate ieškoti tinklo katalogų paslaugų, turite daug galimybių. Tikimės, kad šis vadovas davė jums atskaitos tašką jūsų paieškai.
Ar naudojate kurią nors iš šiame vadove paminėtų komunalinių paslaugų? Ar jums labiau patinka įrankis, kurio čia neapibūdinome? Jei norite pasidalinti savo žiniomis su bendruomene, palikite pranešimą žemiau esančiame komentarų skyriuje.
Komentarai