“Katalogs” ir izplatīts termins tā aprēķināšanāvar nozīmēt virkni lietu. Tomēr tīkla izveidošanā direktorijs parasti ir saistīts ar lietotāja datiem un to resursu sarakstu, ar kuriem var sazināties tīklā.
Jāmeklē divu veidu direktorijaspēc tīkla: vienā ir uzskaitīti cilvēki, bet otrā - aprīkojums. Šajā rokasgrāmatā mēs izpētīsim dažādas direktoriju sistēmas, kuras mūsdienās parasti darbojas tīklos.
Kataloga glabāšanas formāts
Jebkuru datu sarakstu var glabāt datorāfaila forma vai datu bāzē. Agrīnās direktoriju sistēmas bija balstītas uz failiem. Tomēr datu bāzu pārvaldības sistēmu izstrāde padarīja datu bāzes iespēju efektīvāku. Datubāzes ir vieglāk un ātrāk meklējamas, un tām izmantotās vaicājumu valodas (parasti SQL) ļauj Būlijas operatorus (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) iekļaut meklējumos.
Katalogiem piekļuves procedūras
Izmantojot direktoriju sistēmu, kas balstās uzatvērts protokols ir labāks nekā pirkšana patentētā sistēmā, kas izmanto savus komunikācijas formātus. Direktorija pakalpojumiem nepieciešami divi pamata komponenti, kas ir klients un serveris. Serveris ir programma, kas uztur datu bāzi un pārvalda piekļuvi datiem. Klients parasti tiek iestrādāts saskarnē, kas vai nu parāda iegūtos datus, ļauj mainīt šos datus, vai arī ļauj veikt darbības ar nosacījumu, ka saņemta šī informācija.
Ja izvēlaties instalēt direktoriju sistēmu, tasbalstās uz universāliem protokoliem, jūs varēsit “sajaukt un saskaņot” klientu un serveru sistēmas, jo tiks garantēta, ka viņi varēs mijiedarboties savā starpā neatkarīgi no tā, kurš tos uzrakstīja. Turklāt tīkla direktorijos esošo informāciju var izmantot, izmantojot uzraudzības un darbību ziņošanas rīkus, piemēram, ielaušanās atklāšanas sistēmas (IDS). Instalējot direktoriju pārvaldnieku, kas ievieš parasti izmantoto protokolu, tiek nodrošināts, ka šajos direktorijos esošā informācija būs pieejama tām lietotāju uzraudzības un resursu kontroles pakotnēm.
Vieglais direktoriju piekļuves protokols (LDAP)
LDAP ir plaši izplatīts pakalpojumu protokolsieviests kā piekļuves mehānisms visdažādākajiem tīkla direktorijiem. Vairākas šeit uzskaitītās tīkla direktoriju sistēmas izmanto LDAP procedūras.
Tā kā tas ir protokols, nevis programmatūras gabals,jūs nevarat iegādāties LDAP un to instalēt. Drīzāk jūs iegādātos un vadītu programmu, kas ievieš LDAP noteikumus. Protokolā ir noteikts to standartu un darba procedūru saraksts, ar kuru palīdzību tiks sasniegts mērķis, tāpēc pats protokols nav atkarīgs no operētājsistēmas. Tas nozīmē, ka ikviens var izstrādāt LDAP ieviešanu operētājsistēmai Windows, Linux, Unix vai jebkurai citai operētājsistēmai.
Svarīgs LDAP definīcijas elements irka tas nosaka komandu valodu, kas ļauj klientiem sazināties ar LDAP serveri. Tā kā standarts ir publiski pieejams, ikviens to var izmantot, lai izveidotu lietojumprogrammu, kas mijiedarbojas ar LDAP serveri. Tas nozīmē, ka LDAP var tikt integrēts komerciālā programmatūrā, kā arī var tikt integrēts jebkurā iekšējā pielāgotajā programmā, kuru jūs varētu izveidot. Šī elastība un universālums ir padarījis LDAP par de facto standartu direktoriju pakalpojumu darbības procedūrai.
LDAP tiek izmantots visiem DNS serveriem (domēna vārda pakalpojums), tāpēc jūs savā tīklā regulāri izmantosit LDAP sistēmu neatkarīgi no tā, vai to realizējat.
OpenLDAP
Kā norāda nosaukums, OpenLDAP ir tīrākaisatrastās LDAP sistēmas ieviešana. Šī ir procedūru bibliotēka, kuru var integrēt citās programmās. OpenLDAP ir atvērtā koda projekts, un tā ikviens var bez maksas piekļūt tā kodam. Kods tiek ieviests arī OpenLDAP projektā kā Java bibliotēkas, un tādējādi sistēmai ir iespējams piekļūt, izmantojot GUI saskarnes jebkurā operētājsistēmā.
Tā kā šī pakete ir koda bibliotēka, daži tīkla administratori tieši īsteno OpenLDAP procedūru. Tā vietā jums vajadzētu pievērst uzmanību komerciālām lietojumprogrammām, kurās norādīts, ka viņi izmanto OpenLDAP.
Active Directory
Microsoft Active Directory bija mūsdienīga lietotāju pārvaldības sistēma, kas izveidota operētājsistēmai Windows. Tas tika izgudrots 1999. gadā un bija tik labi plānots, ka joprojām tiek plaši izmantots.
Active Directory uztur autorizēto lietotāju sarakstutīklam. Tas var klasificēt šos lietotājus pēc atļauju līmeņiem, tāpēc lietotājs ar administratora privilēģijām tiek atzīts un tam ir atļauta lielāka piekļuve kā pastāvīgajiem lietotājiem. Sekundārs Active Directory ieguvums ir tas, ka tas pārbauda arī tīkla datoru tiesības. Tas ir lielisks drošības pakalpojums, jo tas nodrošina, ka tīklam ir pievienotas tikai autorizētas ierīces un šajos datoros var pieteikties tikai pilnvaroti lietotāji. Ir iespējams bloķēt piekļuvi dažām iekārtām noteiktām lietotāju grupām un piekļuvi noteiktām lietojumprogrammām rezervēt lietotājiem, kuriem ir administratora tiesības.
Galvenais Active Directory ierobežojums ir tastas tiek integrēts tikai ar citiem Microsoft produktiem, tāpēc jūs to nevarat izmantot operētājsistēmā Linux. Turklāt tas nevar kontrolēt piekļuvi produktivitātes portāliem, kas nav Microsoft, piemēram, Google Docs. Tā kā veiksmīgo konkurentu pakalpojumu un mākoņa arhitektūras sistēmu saraksts paplašinās, Active Directory lietojamība samazinās.
Novell direktoriju pakalpojumi (NDS)
NDS sistēma tika izgudrota direktoriju nodrošināšanaipakalpojumi Novell Netware tīkliem. Tomēr tas var darboties arī tīklos, kuros nav instalēta Netware. Programmatūru var darbināt operētājsistēmās Windows, Sun Solaris un IBM OS / 390. Šī bija LDAP agrīna ieviešana, un tāpēc tā kļuva par etalonu citām direktoriju pakalpojumu ieviešanām. Tā izmantošana LDAP īpaši norādīja ceļu uz jaunākām izstrādēm un veidoja Active Directory modeli.
Piekļuves kontroles saraksts (ACL)
ACL ir konkurējoša piekļuves pārvaldības sistēma LDAP. Lai arī ACL nav tik plaši ieviesta kā LDAP, tā joprojām ir ļoti labi zināma sistēma, un tā ir ieviesta pietiekami reizes, lai atzīmētu to nozarē kā uzticamu autentifikācijas pakalpojumu.
ACL sistēma paļaujas uz datu glabāšanas formātukas izveido atribūtu koku. ACL terminoloģijā aizsargājamais resurss tiek saukts par “objektu”. Katram objektam tiek piešķirts atļauto lietotāju saraksts, un atkarībā no aizsargājamā objekta veida katram lietotājam tiek piešķirta viena vai vairākas atļaujas.
ACL var izmantot piekļuvei failiem vai tīklampiekļuvi. Tīkla bāzes ACL var būt noderīgas ielaušanās novēršanas sistēmām (IPS), jo tās kontrolē piekļuvi konkrētām resursdatora adresēm un pat selektīvi var bloķēt piekļuvi ostām. Tīklos piekļuves tiesības, ko dokumentē ACL, tiek ieviestas komutatoros un maršrutētājos.
Mūsdienu ACL atļaujas izmanto SQL datu bāzeskrātuve, nevis faili. Šis uzlabojums ļāva arī ACL attīstīties tālāk par lietotāju piekļuves kontrolēm, līdz lietotāju grupu pārvaldībai. Tas vienkāršo piekļuves atļauju administrēšanu, jo īpaši tīklos, kur ACL var nākties reģistrēt katru lietotāju vairākas reizes, lai nodrošinātu piekļuvi pat pamata resursiem, kas raksturīgi tipiskam biroja lietotājam.
Identitātes un piekļuves pārvaldības risinājumi (IAM)
Tīkla utilītas kategorija, kas varētu nāktIzpētot lietotāju autentifikācijas sistēmas, tiek izmantoti identitātes un piekļuves pārvaldības risinājumi jeb IAM. Šis termins apraksta plašāku lietotāja autentifikācijas risinājumu nekā tikai direktoriju pakalpojums. Tomēr direktorijs vai pat vairāki direktoriji atradīsies jebkura IAM pamatā. Tāpēc, pērkot piekļuves un autentifikācijas sistēmas, tiecieties pēc rīkiem, kuru darbības joma ir daudz plašāka nekā tikai direktoriju pārvaldība. Tomēr ņemiet vērā, ka jums ir nepieciešams direktoriju pakalpojums IAM kodolā, lai ieviestu atvērtu protokolu, piemēram, LDAP, lai piekļuve direktorijai būtu pieejama arī citām uzraudzības lietojumprogrammām.
Tīkla direktoriju pakalpojumu ieteikumi
Šajā sarakstā ir daži ieteikumilietojumprogrammas, kuras jūs varētu izmēģināt kā specifiskus direktoriju pakalpojumus tīklā. Tomēr citas lietojumprogrammas, kuras jūs regulāri izmantojat, piemēram, tīmekļa serveri vai IP adrešu pārvaldnieki, integrēs arī direktoriju pakalpojumus.
JumpCloud DaaS
Šī produkta nosaukuma daļa “DaaS” apzīmē“Direktorijs kā pakalpojums”. Tas ir termina “programmatūra kā pakalpojums” atdarinājums. Tiešsaistes, mākonis balstītos programmatūras pakalpojumos SaaS / programmatūra tiek izmantots kā pakalpojuma termins, lai aprakstītu to konfigurāciju. Tātad JumpCloud nosaukums uzreiz jums norāda, ka tas ir tiešsaistes pakalpojums, kas nodrošina direktoriju serveri internetā.
Šis ir maksas produkts, kas ievieš aktīvoKatalogs. Tomēr JumpCloud paplašina Active Directory iespējas līdz Unix un Linux sistēmām, atdarinot AD ar šo operētājsistēmu LDAP ieviešanu. JumpCloud piedāvā glītu veidu, kā panākt, ka AD darbojas visiem jūsu resursiem, ne tikai tiem, ko nodrošina Microsoft. Jums nav jāmaksā par JumpCloud DaaS, ja to izmantojat tikai līdz 10 lietotājiem.
Drošības pakalpojumu vadīšana internetāizveido papildu komponentu, kas varētu neizdoties, un tas arī rada papildu iespēju hakeriem pārtvert jūsu datplūsmu un izlauzties cauri jūsu autentifikācijas procesiem. Par laimi, JumpCloud šifrē visus sakarus starp jūsu klientu un serveri, kas atrodas JumpCloud attālajā vietnē.
AD ievietošana tīmeklī ir interesants risinājumstiem, kas neizmanto daudz vietējos resursus, bet lietotāju lietojumprogrammās paļaujas uz mākoņa serveriem un SaaS. Mākonis balstītais modelis ir interesants arī tiem uzņēmumiem, kuriem ir daudz darba ņēmēju no mājām, vai aģentiem, konsultantiem vai amatniekiem, kuri visu laiku strādā klientu vietnēs.
JumpCloud DaaS ir tradicionālās tradīcijas piemērsuz vietnēm balstītas lietojumprogrammas var viegli pielāgot piegādei attālos serveros, un kā nekad nav par vēlu ienākt novatoram un atjaunot vai paplašināt izveidoto pakalpojumu funkcionalitāti.
AWS direktoriju pakalpojums
Amazon Web Services piedāvā alternatīvu vietneiJumpCloud DaaS. Šī ir vēl viena mākonī balstīta Active Directory ieviešana, un to nodrošina viens no mākoņa lielākajiem sitieniem. Jūs varat izvēlēties vienkārši izmantot šo direktoriju pakalpojumu kā pašreizējo iestatījumu uz vietas, vai arī izmantot to, lai migrētu krātuvi un programmatūru uz citiem AWS pakalpojumiem.
Atšķirībā no JumpCloud, AWS direktoriju pakalpojums nepaplašina AD iespējas Unix un Linux. Drīzāk tā ir tīra Microsoft Active Directory ieviešana, kas tiek mitināta mākonī.
Amazon nepiedāvā AWS direktoriju pakalpojumu domēnambez maksas. Tomēr cenu noteikšanas modelis ir ļoti pielāgojams un balstās uz stundas skaitītāja likmi, kas aptver divus domēnus, un katram plānam pievienotajam papildu domēnam ir zemāka likme. Tas nav tik labi, kā bezmaksas. Tomēr 30 dienas varat izmēģināt pakalpojumu bez maksas.
389 direktoriju serveris
389 Directory Server vietne apgalvo, kašī programmatūra ir “rūdīta, izmantojot reālo pasauli.” Kā rūdīts tīkla administrators, iespējams, jūs saistīsit ar šo vārdu lietojumu. Šis ir atvērtā pirmkoda projekts, un tas ir vienkāršs produkts. Ja jums pašiem ir grūti sastādīt programmas un nedomājat ķemmēt kodu, jums patiks šī direktoriju sistēma. Komplektā ietilpst GUI fonta beigas Gnome vidēm, lai jūs varētu ērti izmantot, noklikšķinot un klikšķinot.
389 direktoriju serveris ir pieejams operētājsistēmai Linux, un to var brīvi izmantot. Pakalpojuma procedūras ir uzrakstītas atbilstoši LDAP standartiem, tāpēc tas ir līdzīgs Active Directory for Linux.
Apache direktorijs
Ja jūs vadāt vietni, ļoti iespējams, ka jūsir arī Apache Web Server. Apache Directory ir bezmaksas LDAP ieviešana, kuru pārvalda tā pati organizācija, kas kurat Web servera programmatūru. Starp Apache Directory un Apache Web Server nav stingras sadarbspējas - tie ir divi atšķirīgi produkti. Tomēr faktam, ka paļaujaties uz Web servera paketi no Apache, vajadzētu dot jums pārliecību izmēģināt brīvi izmantojamo Apache direktoriju.
Jums jālejupielādē un jāinstalē diviprogrammatūru, lai pilnībā ieviestu Apache Directory. Tomēr abi pilnībā atbilst LDAP, tāpēc jūs varat to aizstāt ar citu programmu, ja vien tā arī balstās uz LDAP. Servera moduli sauc par Apache DirectoryDS, bet klientu - par Apache Directory Studio. Otrā no šīm divām pakotnēm ļauj skatīt un mainīt direktoriju ierakstus, kas tiek turēti serverī. Gan klients, gan serveris ir pilnīgi brīvi lietojami, un abi darbojas operētājsistēmās Windows, Unix, Linux un Mac OS.
BezmaksasIPA
Iepriekš lasījāt par identitātes pārvaldībusistēmas (IMS) un FreeIPA ir iekļautas šajā direktoriju pakalpojumu sarakstā, lai tos izmēģinātu, jo tas ir labs IMS piemērs. Jums nav jāuztraucas par naudas izšķiešanu, izmēģinot šo utilītu, jo to var brīvi izmantot.
“IPA” apzīmē identitāti, politiku un auditu. Šīs trīs prioritātes iekļauj jūsu tīklam nepieciešamos autentifikācijas procesus un visus jūsu IT resursus. Kā paskaidrots iepriekš, direktoriju pakalpojumi ir IMS sistēmu daļa. FreeIPA gadījumā direktoriju servera komponentu nodrošina 389 Directory Server. Tātad, jūs varat izvēlēties instalēt 389 direktoriju serveri, lai iegūtu LDAP ieviešanu, vai arī paplašināt autentifikācijas pakalpojumus un piekļuves kontroli, dodoties uz pilnu IMS ar FreeIPA.
FreeIPA ir atvērtā koda projekts, lai jūs to varētupārbaudiet kodu, lai pārliecinātos, ka tajā nav slēptu datu ieguves procedūru. Pakalpojums sniedz jums opcijas autentifikācijas metodoloģijās, kuras jūs ieviešat IMS ietvaros - Kerberos ir laba bezmaksas atvērtā pirmkoda opcija, kas pieejama šajā IMS uzdevumu kategorijā.
Šī IMS darbojas uz Unix vai Linux. Tomēr tas spēj arī uzraudzīt Windows sistēmas, un to var arī instalēt un uzraudzīt ar Unix saderīgā Mac OS vidē. FreeIPA koncepcija apkopo jau esošās tehnoloģijas, ieskaitot Apache HTTP Server un Python programmēšanas API, lai nodrošinātu pilnīgu IMS, kuras pamatā ir komponenti, kuri, kā jūs zināt, ir “sacietējuši reālās pasaules lietojumā”.
Tīkla direktoriju uzraudzība
Labi izmanto plaši pazīstamu direktorijuPakalpojums ir tāds, ka daudzas sistēmas uzraudzības programmas var izmantot informāciju, kas atrodas jūsu piekļuves kontroles ierakstos, lai pilnībā pārvaldītu un kontrolētu jūsu tīklu un tā pakalpojumus.
Ir vairākas ļoti noderīgas tīkla uzraudzības sistēmas, kas izmanto direktoriju datus, lai jūs varētu pilnībā kontrolēt tīkla darbības. Šie ir tie, kas jums patiešām jāzina:
SolarWinds serveris un lietojumprogrammu monitors (BEZMAKSAS IZMĒĢINĀJUMA VERSIJA)
SolarWinds produkti darbojas uz Windows Server, tātadnav problēmu ar saderību ar Active Directory. Kā uzraudzības sistēmai, kas paredzēta Windows vidēm, SolarWinds pārliecinājās, ka šajā rīkā ir iebūvēts Active Directory monitorings. Jūsu tīkla AD ieraksti ļauj monitoram iezīmēt servera slodzi pēc lietotāju pieprasījuma, kā arī izsekot šai darbībai tīklā, ja jums ir arī instalēts uzņēmuma NetFlow trafika analizators un lietotāja ierīces izsekotājs.
SolarWinds rada virkni resursukomunālo pakalpojumu monitorings, un tie visi ir rakstīti uz kopīgas platformas, ko sauc par Orion. Tas ļauj katram instalētajam modulim mijiedarboties ar citiem SolarWinds produktiem, kurus darbināt jūsu serverī. Servera un lietojumprogrammu monitora PerfStack modulis vislabāk darbojas, ja ir instalēti arī tīkla monitori, piemēram, SolarWinds tīkla veiktspējas monitors. Tas ir tāpēc, ka PerfStack parāda katru pakalpojumu kopumu katrā līmenī, lai jūs varētu ātri noteikt, kur tiešām rodas veiktspējas problēmas.
Lietotāju ierīces izsekotājs īpaši izmantoinformāciju, kuru glabājat Active Directory, lai pārējiem komplektā esošajiem monitoriem informētu par resursa slodzes izcelsmi. Tracker palīdz pamanīt drošības pārkāpumus, un Network Performance Monitor un NetFlow Traffic Analyzer parādīs pārmērīgu trafiku, kas varētu norādīt uz iebrucēju darbībām. 30 dienu bezmaksas izmēģinājuma versijā varat iegūt jebkuru no šiem SolarWinds produktiem.
PRTG tīkla monitors
PRTG ir vienots tīkls, serveris unlietojumprogrammu monitors. Ja izmantojat šo rīku, varat izvēlēties to ieviest tik plaši vai šauri, cik vēlaties, jo tā darbības joma ir pilnībā pielāgojama. PRTG sistēmu veido simtiem sensoru. Katrs sensors ir jāaktivizē, tāpēc bez jūsu iejaukšanās visas sistēmas iespējas paliks pasīvās. Sensors koncentrējas uz vienu tīkla pakalpojumu aspektu vai uz vienu resursu. Piemēram, ir Ping sensors satiksmes uzraudzībai, un ir arī virkne sensoru, kas informācijai izmanto jūsu LDAP direktorijus.
Paessler neiekasē maksu par PRTG, ja jūs tikaiaktivizēt līdz 100 sensoriem. Tātad, jūs vienkārši varat izmantot šo rīku kā Active Directory monitoru. Kamēr jums ir lietderība skatīties jūsu AD aktivitātes, jums arī ir vieta šajā bezmaksas pakalpojumu piedāvājumā, lai uzraudzītu pāris citas darbības jūsu tīklā. Jūs varētu aktivizēt SNMP un NetFlow sensorus, lai iegūtu atsauksmes par tīkla trafiku, vai izvēlēties aktivizēt portu monitorus vai servera statusa sensorus.
Ja vēlaties izmantot vairāk nekā 100 sensorus, varat iegūt PRTG 30 dienu bezmaksas izmēģinājumā. PRTG instalējas Windows Server vidē.
ManageEngine ADAudit Plus
ManageEngine ražo izcilu komplekturesursu monitori, kas darbojas operētājsistēmā Windows vai Linux. Stabili pārvaldītājprogrammā ManageEngine atradīsit vairākus rīkus, kas ir īpaši pielāgoti Active Directory uzraudzībai. ADAudit Plus ir viena no šīm utilītprogrammām. Šis rīks palīdzēs jums administrēt AD, izmantojot interfeisu ManageEngine, un tas arī izsekos visas lietotāja darbības, ieskaitot pieteikšanos un atteikšanos. Tas palīdzēs pamanīt neloģiskas lietotāju aktivitātes un pārmērīgus pieteikšanās mēģinājumus, kas var norādīt uz iebrucēju klātbūtni.
ADAudit Plus ir ar funkcijām bagāts, un tas ietverizsekošanas un ziņošanas iespējas. Jūs to varat saņemt 30 dienu bezmaksas izmēģinājuma versijā. Ja pēc izmēģinājuma perioda jums nešķiet, ka maksājat, varat izvēlēties šī ManageEngine rīka bezmaksas versiju. ManageEngine piedāvā vairākus bezmaksas Active Directory rīkus, tostarp Active Director Query Tool, CSV ģeneratoru, kas izdala AD ierakstus, Last Login Reporter un AD Replication Manager, cita starpā.
Direktoriju pakalpojumi
Kad sākat iepirkties tīkla direktoriju pakalpojumos, jums ir daudz iespēju. Cerams, ka šī rokasgrāmata ir devusi jums sākumpunktu meklēšanai.
Vai jūs izmantojat kādu no šajā rokasgrāmatā minētajiem pakalpojumiem? Vai jūs dodat priekšroku rīkam, kuru mēs šeit neaptverām? Atstājiet ziņojumu zemāk komentāru sadaļā, lai dalītos savās zināšanās ar sabiedrību.
Komentāri