"Verzeichnis" ist ein gebräuchlicher Begriff bei der Berechnung dieserkann eine Reihe von Dingen bedeuten. Im Netzwerk bezieht sich das Verzeichnis jedoch normalerweise auf Benutzerdaten und eine Liste von Ressourcen, mit denen im Netzwerk Kontakt aufgenommen werden kann.
Es gibt also zwei Arten von Verzeichnissen, nach denen gesucht werden mussNachher in einem Netzwerk: Einer listet Leute auf, und der andere listet Geräte auf. In diesem Handbuch werden die verschiedenen Verzeichnissysteme untersucht, die heutzutage in Netzwerken häufig verwendet werden.
Verzeichnisspeicherformat
Jede Liste von Daten kann auf einem Computer im gespeichert werdenForm einer Datei oder in einer Datenbank. Frühe Verzeichnissysteme waren dateibasiert. Durch die Entwicklung von Datenbankverwaltungssystemen wurde die Datenbankoption jedoch effizienter. Datenbanken sind einfacher und schneller zu durchsuchen, und die für sie verwendeten Abfragesprachen (normalerweise SQL) ermöglichen es, boolesche Operatoren (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) in die Suche einzubeziehen.
Verzeichniszugriffsverfahren
Verwenden eines Verzeichnissystems, das auf einerEin offen verfügbares Protokoll ist dem Kauf eines proprietären Systems vorzuziehen, das seine eigenen Kommunikationsformate verwendet. Verzeichnisdienste erfordern zwei grundlegende Komponenten, nämlich einen Client und einen Server. Der Server ist das Programm, das die Datenbank enthält und den Zugriff auf Daten verwaltet. Der Client ist normalerweise in eine Schnittstelle eingebettet, die entweder abgerufene Daten anzeigt, das Ändern dieser Daten oder das Ausführen von Aktionen unter bestimmten Bedingungen nach Erhalt dieser Informationen ermöglicht.
Wenn Sie ein Verzeichnissystem installieren möchten, dasBasierend auf universellen Protokollen können Sie die Client- und Serversysteme „mischen und anpassen“, da sichergestellt ist, dass sie unabhängig von ihrem Ersteller miteinander interagieren können. Darüber hinaus können die in Netzwerkverzeichnissen enthaltenen Informationen von Überwachungs- und Aktivitätsberichtstools wie Intrusion Detection-Systemen (IDSs) genutzt werden. Durch die Installation eines Verzeichnismanagers, der ein häufig verwendetes Protokoll implementiert, wird sichergestellt, dass auf die in diesen Verzeichnissen enthaltenen Informationen für diese Benutzerüberwachungs- und Ressourcensteuerungspakete zugegriffen werden kann.
LDAP (Lightweight Directory Access Protocol)
LDAP ist ein weit verbreitetes Dienstprotokollimplementiert als Zugriffsmechanismus auf eine Vielzahl von Netzwerkverzeichnissen. Einige der hier aufgeführten Netzwerkverzeichnissysteme verwenden LDAP-Verfahren.
Da es sich um ein Protokoll und keine Software handelt,Sie können LDAP nicht kaufen und installieren. Stattdessen würden Sie ein Programm erwerben und ausführen, das die LDAP-Regeln implementiert. Ein Protokoll enthält eine Liste von Standards und Arbeitsabläufen, mit denen ein Ziel erreicht werden kann, sodass das Protokoll selbst nicht betriebssystemabhängig ist. Das bedeutet, dass jeder eine LDAP-Implementierung für Windows, Linux, Unix oder ein anderes Betriebssystem entwickeln kann.
Ein wichtiges Element der LDAP-Definition istdass es eine Befehlssprache festlegt, die es Clients ermöglicht, mit dem LDAP-Server zu kommunizieren. Da der Standard öffentlich verfügbar ist, kann jeder damit eine Anwendung erstellen, die mit einem LDAP-Server interagiert. Dies bedeutet, dass LDAP in kommerzielle Software und in jedes von Ihnen entwickelte firmeninterne benutzerdefinierte Programm integriert werden kann. Diese Flexibilität und Universalität hat LDAP zum De-facto-Standard für die Arbeitsweise von Verzeichnisdiensten gemacht.
LDAP wird für alle DNS-Server (Domain Name Service) verwendet, sodass Sie das LDAP-System regelmäßig in Ihrem Netzwerk einsetzen, unabhängig davon, ob Sie es realisieren oder nicht.
OpenLDAP
Wie der Name schon sagt, ist OpenLDAP das reinsteImplementierung des LDAP-Systems, das Sie finden. Dies ist eine Bibliothek von Prozeduren, die in andere Programme integriert werden können. OpenLDAP ist ein Open Source-Projekt und daher kann jeder kostenlos auf seinen Code zugreifen. Der Code wird vom OpenLDAP-Projekt auch als Java-Bibliothek implementiert, sodass auf jedem Betriebssystem über GUI-Schnittstellen auf das System zugegriffen werden kann.
Da dieses Paket eine Codebibliothek ist, implementieren nur wenige Netzwerkadministratoren die OpenLDAP-Prozedur direkt. Achten Sie stattdessen auf kommerzielle Anwendungen, in denen die Verwendung von OpenLDAP angegeben ist.
Active Directory
Microsoft Active Directory war ein bahnbrechendes Benutzerverwaltungssystem, das für Windows entwickelt wurde. Es wurde 1999 erfunden und war so gut geplant, dass es immer noch weit verbreitet ist.
Active Directory führt eine Liste der autorisierten Benutzerfür ein Netzwerk. Es ist in der Lage, diese Benutzer nach Berechtigungsstufen zu kategorisieren, sodass ein Benutzer mit Administratorrechten erkannt wird und mehr Zugriff als normale Benutzer erhält. Ein zweiter Vorteil von Active Directory ist, dass es auch die Rechte der Computer im Netzwerk überprüft. Dies ist ein hervorragender Sicherheitsdienst, da sichergestellt wird, dass nur autorisierte Geräte mit dem Netzwerk verbunden sind und sich nur autorisierte Benutzer an diesen Computern anmelden können. Es ist möglich, bestimmten Benutzergruppen den Zugriff auf bestimmte Geräte zu verweigern und den Zugriff auf bestimmte Anwendungen für Benutzer mit Administratorrechten zu reservieren.
Die Haupteinschränkung von Active Directory besteht darinEs lässt sich nur in andere Microsoft-Produkte integrieren, sodass Sie es nicht unter Linux verwenden können. Außerdem kann der Zugriff auf nicht von Microsoft stammende Produktivitätspakete wie Google Text & Tabellen nicht gesteuert werden. Da die Liste der erfolgreichen Mitbewerberdienste und Cloud-basierten Systeme erweitert wird, nimmt die Benutzerfreundlichkeit von Active Directory ab.
Novell Directory Services (NDS)
Das NDS-System wurde erfunden, um Verzeichnis bereitzustellenfür Novell Netware-Netzwerke. Es kann jedoch auch in Netzwerken betrieben werden, in denen Netware nicht installiert ist. Die Software kann unter Windows, Sun Solaris und IBM OS / 390 ausgeführt werden. Dies war eine frühe Implementierung von LDAP und wurde daher zu einem Benchmark für andere Verzeichnisdienstimplementierungen. Die Verwendung von LDAP wies insbesondere den Weg für spätere Entwicklungen und bildete ein Modell für Active Directory.
Zugriffssteuerungsliste (ACL)
ACL ist ein konkurrierendes Zugriffsverwaltungssystem für LDAP. Obwohl ACL nicht so weit verbreitet ist wie LDAP, ist es immer noch ein sehr bekanntes System und wurde so oft implementiert, dass es in der Branche als zuverlässiger Authentifizierungsdienst gilt.
Das ACL-System stützt sich auf ein Datenspeicherformatdas schafft einen Baum von Attributen. In der ACL-Terminologie wird die zu schützende Ressource als "Objekt" bezeichnet. Jedem Objekt wird eine Liste zulässiger Benutzer zugewiesen. Abhängig vom Typ des zu schützenden Objekts werden jedem Benutzer eine oder mehrere Berechtigungen zugewiesen.
Die Zugriffssteuerungsliste kann auf den Dateizugriff oder das Netzwerk angewendet werdenZugriff. Netzwerkbasierte ACLs können für Intrusion Prevention-Systeme (IPSs) nützlich sein, da sie den Zugriff auf bestimmte Hostadressen steuern und sogar den Zugriff auf Ports selektiv blockieren können. In Netzwerken werden die von ACL dokumentierten Zugriffsrechte auf Switches und Routern implementiert.
Moderne ACLs verwenden SQL-Datenbanken als BerechtigungSpeicher anstatt Dateien. Diese Weiterentwicklung ermöglichte es ACL auch, über die Benutzerzugriffskontrolle hinaus zur Benutzergruppenverwaltung überzugehen. Dies vereinfacht die Verwaltung von Zugriffsberechtigungen, insbesondere in Netzwerken, in denen die Zugriffssteuerungsliste möglicherweise jeden Benutzer mehrfach protokollieren muss, um selbst auf die grundlegenden Ressourcenanforderungen eines typischen bürobasierten Benutzers zugreifen zu können.
Identitäts- und Zugriffsverwaltungslösungen (IAMs)
Eine Kategorie von Netzwerkdienstprogrammen, die Sie möglicherweise verwendenBei der Untersuchung von Benutzerauthentifizierungssystemen kommen Identity and Access Management Solutions (IAMs) zum Einsatz. Dieser Begriff beschreibt eine umfassendere Lösung für die Benutzerauthentifizierung als nur einen Verzeichnisdienst. Ein Verzeichnis oder sogar mehrere Verzeichnisse bilden jedoch das Herzstück eines jeden IAM. Wenn Sie nach Zugriffs- und Authentifizierungssystemen suchen, sollten Sie nach Tools suchen, die einen viel größeren Aufgabenbereich haben als nur die Verzeichnisverwaltung. Beachten Sie jedoch, dass Sie den Verzeichnisdienst als Kern des IAM benötigen, um ein offenes Protokoll wie LDAP zu implementieren, damit der Verzeichniszugriff auch für andere Überwachungsanwendungen verfügbar ist.
Vorschläge für Netzwerkverzeichnisdienste
Diese Liste enthält einige Vorschläge fürAnwendungen, die Sie als bestimmte Verzeichnisdienste in Ihrem Netzwerk ausprobieren können. Andere Anwendungen, die Sie regelmäßig verwenden, z. B. Webserver oder IP-Adressmanager, integrieren jedoch auch Verzeichnisdienste.
JumpCloud DaaS
Der DaaS-Teil dieses Produktnamens steht für„Verzeichnis als Dienst“. Dies ist eine Emulation des Begriffs „Software als Dienst“. Cloudbasierte Online-Softwaredienste verwenden SaaS / Software als Dienstbegriff, um ihre Konfiguration zu beschreiben. Der Name von JumpCloud sagt Ihnen sofort, dass es sich um einen Onlinedienst handelt, der einen Verzeichnisserver über das Internet bereitstellt.
Dies ist ein kostenpflichtiges Produkt, das Active implementiertVerzeichnis. JumpCloud erweitert jedoch die Funktionen von Active Directory auf Unix- und Linux-Systeme, indem AD mit einer LDAP-Implementierung für diese Betriebssysteme emuliert wird. JumpCloud bietet eine gute Möglichkeit, AD für alle Ihre Ressourcen einzusetzen, nicht nur für die von Microsoft bereitgestellten. Sie müssen für JumpCloud DaaS nicht bezahlen, wenn Sie es nur für bis zu 10 Benutzer verwenden.
Ausführen von Sicherheitsdiensten über das Interneterstellt eine zusätzliche Komponente, die fehlschlagen kann, und bietet Hackern außerdem die Möglichkeit, Ihren Datenverkehr abzufangen und Ihre Authentifizierungsprozesse zu unterbrechen. Zum Glück verschlüsselt JumpCloud die gesamte Kommunikation zwischen Ihrem Client und dem Server auf der JumpCloud-Remote-Site.
AD ins Web zu stellen ist eine interessante Lösungfür diejenigen, die nicht viele Ressourcen vor Ort nutzen, sondern sich für Benutzeranwendungen auf Cloud-Server und SaaS verlassen. Das Cloud-basierte Modell ist auch für Unternehmen interessant, in denen viele Mitarbeiter von zu Hause aus oder mit Agenten, Beratern oder Handwerkern zusammenarbeiten, die ständig an Kundenstandorten arbeiten.
JumpCloud DaaS ist ein Beispiel dafür, wie traditionellstandortbasierte Anwendungen können problemlos für die Bereitstellung auf Remoteservern angepasst werden, und es ist nie zu spät für einen Innovator, die Funktionalität etablierter Dienste zu überarbeiten oder zu erweitern.
AWS-Verzeichnisdienst
Amazon Web Services bietet eine Alternative zuJumpCloud DaaS. Dies ist eine weitere cloudbasierte Active Directory-Implementierung, die von einem der großen Hitter der Cloud bereitgestellt wird. Sie können diesen Verzeichnisdienst einfach als Ihr aktuelles Setup vor Ort verwenden oder ihn zum Migrieren Ihres Speichers und Ihrer Software zu anderen AWS-Diensten verwenden.
Im Gegensatz zu JumpCloud erweitert der AWS-Verzeichnisdienst die Funktionen von AD nicht auf Unix und Linux. Dies ist vielmehr eine reine Microsoft Active Directory-Implementierung, die in der Cloud gehostet wird.
Amazon bietet keinen AWS-Verzeichnisdienst für ankostenlos. Das Preismodell ist jedoch sehr skalierbar und basiert auf einem Stundenzähler für zwei Domains. Für jede weitere Domain, die dem Plan hinzugefügt wird, wird ein niedrigerer Tarif berechnet. Dies ist nicht ganz so gut wie kostenlos. Sie können den Service jedoch 30 Tage lang kostenlos testen.
389 Directory Server
Die Website von 389 Directory Server behauptet dasDiese Software ist „durch den realen Gebrauch gehärtet“. Als gehärteter Netzwerkadministrator werden Sie sich wahrscheinlich auf diese Verwendung von Wörtern beziehen. Dies ist ein Open-Source-Projekt und ein No-Frill-Produkt. Wenn Sie in Ordnung sind, die Programme selbst zu kompilieren, und keine Lust haben, den Code durchzukämmen, werden Sie dieses Verzeichnissystem lieben. Das Paket enthält eine GUI-Schriftart für Gnome-Umgebungen, mit der Sie die Bedienung mit einem Mausklick vereinfachen können.
Der 389 Directory Server ist für Linux verfügbar und kann kostenlos verwendet werden. Die Prozeduren des Dienstes sind nach den LDAP-Standards geschrieben, so dass dies wie bei Active Directory für Linux ist.
Apache-Verzeichnis
Wenn Sie eine Website betreiben, ist es sehr wahrscheinlich, dass Siehaben auch Apache Web Server. Apache Directory ist eine kostenlose LDAP-Implementierung, die von derselben Organisation verwaltet wird, die die Webserver-Software verwaltet. Es gibt keine strikte Interoperabilität zwischen Apache Directory und Apache Web Server - es handelt sich um zwei unterschiedliche Produkte. Die Tatsache, dass Sie sich auf das Webserver-Paket von Apache verlassen, sollte Ihnen jedoch die Gewissheit geben, das kostenlos zu verwendende Apache-Verzeichnis auszuprobieren.
Sie müssen zwei Teile von herunterladen und installierenSoftware, um eine vollständige Apache Directory-Implementierung zu erhalten. Beide sind jedoch vollständig mit LDAP kompatibel, sodass Sie entweder durch eine andere Anwendung ersetzen können, sofern diese ebenfalls LDAP-basiert ist. Das Servermodul heißt Apache DirectoryDS und der Client heißt Apache Directory Studio. Mit dem zweiten dieser beiden Pakete können Sie Verzeichniseinträge anzeigen und ändern, die auf dem Server gespeichert sind. Sowohl der Client als auch der Server können kostenlos verwendet werden und laufen unter Windows, Unix, Linux und Mac OS.
FreeIPA
Zuvor haben Sie über Identitätsmanagements gelesenSysteme (IMS) und FreeIPA sind in dieser Liste der zu testenden Verzeichnisdienste enthalten, da dies ein gutes Beispiel für ein IMS ist. Sie müssen sich keine Sorgen machen, wenn Sie versuchen, Geld für dieses Dienstprogramm zu verschwenden, da es kostenlos verwendet werden kann.
IPA steht für Identity, Policy und Audit. Diese drei Prioritäten umfassen die Authentifizierungsprozesse, die Sie für Ihr Netzwerk und alle Ihre IT-Ressourcen benötigen. Wie oben erläutert, sind Verzeichnisdienste Teil von IMS-Systemen. Im Fall von FreeIPA wird die Verzeichnisserverkomponente von 389 Directory Server bereitgestellt. Sie können also 389 Directory Server installieren, um eine LDAP-Implementierung zu erhalten, oder Ihre Authentifizierungsdienste und Zugriffssteuerung erweitern, indem Sie sich für ein vollständiges IMS mit FreeIPA entscheiden.
FreeIPA ist ein Open-Source-ProjektÜberprüfen Sie den Code, um sicherzustellen, dass keine versteckten Datenerfassungsverfahren enthalten sind. Der Dienst bietet Ihnen Optionen für die Authentifizierungsmethoden, die Sie innerhalb des IMS-Frameworks implementieren. Kerberos ist eine gute kostenlose Open Source-Option, die in dieser Kategorie von IMS-Tasks verfügbar ist.
Dieses IMS läuft unter Unix oder Linux. Es kann jedoch auch Windows-Systeme überwachen und auf einer Unix-kompatiblen Mac OS-Umgebung installiert und überwacht werden. Das FreeIPA-Konzept sammelt bereits vorhandene Technologien, einschließlich der Apache HTTP Server- und Python-Programmierschnittstellen, um ein vollständiges IMS bereitzustellen, das auf Komponenten basiert, von denen Sie wissen, dass sie "durch den Einsatz in der Praxis abgesichert" sind.
Überwachung des Netzwerkverzeichnisses
Der Vorteil der Verwendung eines bekannten VerzeichnissesService ist, dass viele Systemüberwachungsanwendungen die in Ihren Ressourcen-Zugriffskontrolldatensätzen enthaltenen Informationen nutzen können, um Ihr Netzwerk und seine Services vollständig zu verwalten und zu kontrollieren.
Es gibt eine Reihe sehr nützlicher Netzwerküberwachungssysteme, die Verzeichnisdaten ausnutzen, um die volle Kontrolle über die Aktivitäten Ihres Netzwerks zu erhalten. Hier sind diejenigen, die Sie wirklich wissen müssen:
SolarWinds Server und Application Monitor (KOSTENLOSE TESTPHASE)
SolarWinds-Produkte laufen also unter Windows ServerEs gibt kein Problem mit der Kompatibilität mit Active Directory. Als Überwachungssystem für Windows-Umgebungen hat SolarWinds sichergestellt, dass die Active Directory-Überwachung in dieses Tool integriert ist. Mit den AD-Einträgen in Ihrem Netzwerk kann der Monitor die Serverauslastung nach Benutzeranforderung kennzeichnen und diese Aktivität auch über das Netzwerk verfolgen, wenn Sie auch den NetFlow Traffic Analyzer und User Device Tracker des Unternehmens installiert haben.
SolarWinds produziert eine Reihe von RessourcenÜberwachungsdienstprogramme und alle von ihnen sind auf einer gemeinsamen Plattform namens Orion geschrieben. Auf diese Weise kann jedes installierte Modul mit den anderen SolarWinds-Produkten interagieren, die auf Ihrem Server ausgeführt werden. Das PerfStack-Modul des Server- und Anwendungsmonitors funktioniert am besten, wenn auch Netzwerkmonitore installiert sind, z. B. der SolarWinds Network Performance Monitor. Dies liegt daran, dass PerfStack jede Ebene des Service-Stacks zusammen anzeigt, sodass Sie schnell erkennen können, wo Leistungsprobleme tatsächlich bestehen.
Der User Device Tracker nutzt insbesondere dieInformationen, die Sie in Active Directory gespeichert haben, um die anderen Monitore in der Suite über den Ursprung der Ressourcenbelastung zu informieren. Der Tracker hilft Ihnen dabei, Sicherheitslücken zu erkennen, und der Network Performance Monitor und der NetFlow Traffic Analyzer zeigen Ihnen übermäßigen Datenverkehr an, der auf Eindringlingsaktivitäten hindeuten könnte. Sie können alle diese SolarWinds-Produkte 30 Tage lang kostenlos testen.
PRTG-Netzwerkmonitor
PRTG ist ein vereinheitlichtes Netzwerk, Server undAnwendungsmonitor. Wenn Sie dieses Tool übernehmen, können Sie es beliebig weit oder eng implementieren, da sein Umfang vollständig anpassbar ist. Das PRTG-System besteht aus Hunderten von Sensoren. Jeder Sensor muss aktiviert werden, sodass ohne Ihr Eingreifen alle Funktionen des Systems inaktiv bleiben. Ein Sensor konzentriert sich auf einen Aspekt Ihrer Netzwerkdienste oder auf eine Ressource. Beispielsweise gibt es einen Ping-Sensor für die Verkehrsüberwachung und eine Reihe von Sensoren, die Ihre LDAP-Verzeichnisse für Informationen ausnutzen.
Paessler berechnet keine PRTG, wenn Sie nuraktivieren Sie bis zu 100 Sensoren. Sie können das Tool also einfach als Active Directory-Monitor verwenden. Während das Dienstprogramm Ihre AD-Aktivitäten überwacht, steht Ihnen im Rahmen dieses kostenlosen Serviceangebots auch Platz zur Verfügung, um einige andere Aktivitäten in Ihrem Netzwerk zu überwachen. Sie können die SNMP- und NetFlow-Sensoren aktivieren, um Feedback zum Netzwerkverkehr zu erhalten, oder Sie können Port-Monitore oder Server-Statussensoren aktivieren.
Wenn Sie mehr als nur 100 Sensoren verwenden möchten, können Sie PRTG 30 Tage lang kostenlos testen. PRTG wird in der Windows Server-Umgebung installiert.
ManageEngine ADAudit Plus
ManageEngine produziert eine Suite von ausgezeichnetenRessourcenmonitore, die unter Windows oder Linux ausgeführt werden. Im ManageEngine-Stable finden Sie eine Reihe von Tools, die speziell auf die Active Directory-Überwachung zugeschnitten sind. ADAudit Plus ist eines dieser Dienstprogramme. Mit diesem Tool können Sie AD über die ManageEngine-Oberfläche verwalten und alle Benutzeraktivitäten, einschließlich An- und Abmeldung, nachverfolgen. Auf diese Weise können Sie unlogische Benutzeraktivitäten und übermäßige Anmeldeversuche erkennen, die auf die Anwesenheit eines Eindringlings hinweisen können.
ADAudit Plus ist funktionsreich und enthältTracking- und Reporting-Funktionen. Sie können es 30 Tage lang kostenlos testen. Wenn Sie nach der Testphase nicht mehr zahlen möchten, können Sie sich für die kostenlose Version dieses ManageEngine-Tools entscheiden. ManageEngine bietet eine Reihe kostenloser Active Directory-Tools, darunter das Active Director-Abfragetool, den CSV-Generator, der AD-Datensätze extrahiert, den Last Login Reporter und den AD Replication Manager.
Verzeichnisdienste
Sie haben viele Optionen, wenn Sie anfangen, nach Netzwerkverzeichnisdiensten zu suchen. Hoffentlich hat Ihnen dieser Leitfaden einen Ausgangspunkt für Ihre Suche gegeben.
Verwenden Sie eines der in diesem Handbuch genannten Dienstprogramme? Bevorzugen Sie ein Tool, das wir hier nicht behandelt haben? Hinterlassen Sie eine Nachricht im Kommentarbereich, um Ihr Wissen mit der Community zu teilen.
Bemerkungen