"Directory" er et vanlig begrep i beregning av detkan bety en rekke ting. I nettverk er katalogen imidlertid vanligvis relatert til brukerdata og en liste over ressurser som kan kontaktes i nettverket.
Så det er to typer kataloger å se påetter på et nettverk: den ene lister mennesker, og den andre lister utstyr. I denne guiden vil vi undersøke de forskjellige katalogsystemene som ofte er i bruk i nettverk i dag.
Kataloglagringsformat
Enhver liste over data kan holdes på en datamaskin iform av en fil, eller i en database. Tidlige katalogsystemer var filbaserte. Imidlertid gjorde utviklingen av databasestyringssystemer databasealternativet mer effektivt. Databaser er enklere og raskere å søke gjennom, og spørrespråkene som brukes for dem (vanligvis SQL) gjør det mulig for boolske operatører (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) å bli inkludert i søk.
Prosedyrer for katalogtilgang
Ansette et katalogsystem som er avhengig av etåpen tilgjengelig protokoll er å foretrekke fremfor å kjøpe inn et proprietært system som bruker sine egne kommunikasjonsformater. Katalogtjenester krever to grunnleggende komponenter, som er en klient og en server. Serveren er programmet som har databasen og administrerer tilgang til data. Klienten er vanligvis innebygd i et grensesnitt som enten viser hentede data, gjør at data kan endres, eller gjør det mulig å utføre handlinger betinget av mottak av den informasjonen.
Hvis du velger å installere et katalogsystem somer basert på universelle protokoller, vil du kunne "blande og matche" klienten og serversystemene fordi de garantert vil være i stand til å samhandle med hverandre uansett hvem som har skrevet dem. Videre kan informasjonen i nettverkskatalogene utnyttes ved overvåking og aktivitetsrapporteringsverktøy, for eksempel inntrengingsdeteksjonssystemer (IDS). Installering av en katalogbehandler som implementerer ofte brukt protokoll, sikrer at informasjonen i katalogene vil være tilgjengelig for brukerovervåking og ressurskontrollpakker.
Lett katalogtilgangsprotokoll (LDAP)
LDAP er en tjenesteprotokoll som har vært myeimplementert som tilgangsmekanisme til et bredt spekter av nettverkskataloger. Flere av nettverkskatalogsystemene som er listet opp nedenfor bruker LDAP-prosedyrer.
Ettersom det er en protokoll og ikke et programvare,du kan ikke kjøpe LDAP og installere den. Snarere vil du skaffe og kjøre et program som implementerer LDAP-reglene. En protokoll skisserer en liste over standarder og arbeidsprosedyrer som vil oppnå et mål, slik at selve protokollen ikke er operativsystemavhengig. Det betyr at hvem som helst kan utvikle en LDAP-implementering for Windows, Linux, Unix eller et hvilket som helst annet operativsystem.
Et viktig element i LDAP-definisjonen erat det angir et kommandospråk som gjør det mulig for klienter å kommunisere med LDAP-serveren. Siden standarden er offentlig tilgjengelig, kan hvem som helst bruke den til å lage et program som samhandler med en LDAP-server. Dette betyr at LDAP kan integreres i kommersiell programvare og også kan integreres i ethvert eget tilpasset program du måtte utvikle. Denne fleksibiliteten og universaliteten har gjort LDAP til de facto standard for driftsprosedyren for katalogtjenester.
LDAP brukes for alle DNS-servere (Domain Name Service), slik at du vil ansette LDAP-systemet regelmessig i nettverket ditt, enten du er klar over det eller ikke.
OpenLDAP
Som navnet antyder er OpenLDAP det renesteimplementering av LDAP-systemet som du vil finne. Dette er et bibliotek med prosedyrer som kan integreres i andre programmer. OpenLDAP er et åpen kildekode-prosjekt, og slik at alle kan få tilgang til koden gratis. Koden implementeres også av OpenLDAP-prosjektet som Java-biblioteker, og det er derfor mulig å få tilgang til systemet via GUI-grensesnitt på ethvert operativsystem.
Siden denne pakken er et bibliotek med kode, implementerer få nettverksadministratorer OpenLDAP-prosedyren direkte. I stedet bør du se etter kommersielle applikasjoner som oppgir bruken av OpenLDAP.
Aktiv katalog
Microsofts Active Directory var et banebrytende brukeradministrasjonssystem, opprettet for Windows. Den ble oppfunnet i 1999 og var så godt planlagt at den fremdeles er mye i bruk.
Active Directory holder en liste over autoriserte brukerefor et nettverk. Det er i stand til å kategorisere disse brukerne etter tillatelsesnivåer, slik at en bruker med administratorrettigheter blir gjenkjent og tillatt større tilgang til vanlige brukere. En sekundær fordel med Active Directory er at den også sjekker datamaskinens rettigheter i nettverket. Så dette er en flott sikkerhetstjeneste fordi den sørger for at bare autoriserte enheter er koblet til nettverket og bare autoriserte brukere kan logge på disse datamaskinene. Det er mulig å blokkere tilgang til noe utstyr til visse brukergrupper og reservere tilgang til spesifikke applikasjoner til de med administratorrettigheter.
Hovedbegrensningen til Active Directory er detden integreres bare med andre Microsoft-produkter, slik at du ikke kan bruke den på Linux. Den er heller ikke i stand til å kontrollere tilgangen til produktivitetssuiter som ikke er fra Microsoft, for eksempel Google Docs. Ettersom listen over vellykkede konkurrenttjenester og skybaserte systemer utvider, reduseres bruken av Active Directory.
Novell Directory Services (NDS)
NDS-systemet ble oppfunnet for å gi katalogtjenester til Novell Netware-nettverk. Imidlertid er den også i stand til å operere i nettverk som ikke har Netware installert. Programvaren kan kjøres på Windows, Sun Solaris og IBM OS / 390. Dette var en tidlig implementering av LDAP, og det ble derfor et mål for andre implementeringer av katalogtjenester. Bruken av LDAP pekte spesielt for senere utvikling og dannet en modell for Active Directory.
Tilgangskontrolliste (ACL)
ACL er et konkurrerende tilgangsstyringssystem for LDAP. Selv om det ikke er så utbredt implementert som LDAP, er ACL fremdeles et meget kjent system, og det er implementert nok ganger til å flagge det i bransjen som en pålitelig autentiseringstjeneste.
ACL-systemet er avhengig av et datalagringsformatsom skaper et tre av attributter. I ACL-terminologi kalles ressursen som blir beskyttet et "objekt." Hvert objekt tildeles en liste over tillatte brukere, og avhengig av hvilken type objekt som blir beskyttet, tildeles hver bruker en eller flere tillatelser.
ACL kan brukes på filtilgang eller nettverkadgang. Nettverksbaserte ACL-er kan være nyttige for inntrengningsforebyggende systemer (IPS) fordi de kontrollerer tilgangen til bestemte vertsadresser og til og med selektivt kan blokkere tilgangen til porter. På nettverk implementeres tilgangsrettighetene som er dokumentert av ACL på brytere og rutere.
Moderne ACL-er bruker SQL-databaser for tillatelselagring i stedet for filer. Denne fremgangen gjorde det også mulig for ACL å utvikle seg utover brukertilgangskontroller til brukergruppeadministrasjon. Dette forenkler administrasjonen av tilgangstillatelser, spesielt i nettverk, der ACL kan trenge å logge hver bruker mange ganger for å gi tilgang til selv de grunnleggende ressurskravene til en typisk kontorbasert bruker.
Identiteter og løsninger for tilgangsstyring (IAM)
En kategori nettverksverktøy du kanskje kommerPå tvers av undersøkelser av brukerautentiseringssystemer er Identity and Access Management Solutions, eller IAM-er. Dette begrepet beskriver en bredere løsning på brukerautentisering enn bare en katalogtjeneste. Imidlertid vil en katalog, eller til og med flere kataloger, ligge i hjertet av enhver IAM. Så når du handler etter tilgangs- og autentiseringssystemer, må du sikte på verktøy som har mye større ansvarsområde enn bare katalogstyring. Vær imidlertid oppmerksom på at du trenger katalogtjenesten i kjernen av IAM for å implementere en åpen protokoll, for eksempel LDAP, slik at katalogtilgang også vil være tilgjengelig for andre overvåkningsapplikasjoner.
Forslag til nettverkskatalogtjenester
Denne listen presenterer noen få forslag tilapplikasjoner som du kan prøve som spesifikke katalogtjenester i nettverket. Andre applikasjoner som du bruker regelmessig, for eksempel en web-server eller IP-adresseadministrator, vil imidlertid også integrere katalogtjenester.
JumpCloud DaaS
"DaaS" -delen av dette produktets navn står for“Katalog som en tjeneste.” Dette er en emulering av begrepet “programvare som en tjeneste.” Nettbaserte, skybaserte programvaretjenester bruker SaaS / programvaren som et tjenestebegrep for å beskrive konfigurasjonen. Så, JumpCloud-navnet forteller deg øyeblikkelig at det er en online tjeneste som leverer en katalogserver over internett.
Dette er et betalt produkt som implementerer ActiveDirectory. JumpCloud utvider imidlertid Active Directory-funksjonene til Unix og Linux-systemer ved å emulere AD med en LDAP-implementering for disse operativsystemene. JumpCloud tilbyr en fin måte å få AD til å jobbe for alle ressursene dine, ikke bare de som er levert av Microsoft. Du trenger ikke å betale for JumpCloud DaaS hvis du bare bruker det for opptil 10 brukere.
Kjører sikkerhetstjenester over internettskaper en ekstra komponent som kan mislykkes, og det skaper også en ekstra mulighet for hackere å avskjære trafikken og bryte godkjenningsprosessene dine. Heldigvis krypterer JumpCloud all kommunikasjon mellom klienten din og serveren som holdes på det eksterne nettstedet JumpCloud.
Å sette AD på nettet er en interessant løsningfor de som ikke bruker mange ressurser på stedet, men er avhengige av skyservere og SaaS for brukerapplikasjoner. Den skybaserte modellen er også interessant for de virksomhetene som har mange arbeidere hjemmefra, eller med agenter, konsulenter eller håndverkere som jobber på kundesider hele tiden.
JumpCloud DaaS er et eksempel på hvor tradisjoneltnettstedsbaserte applikasjoner kan enkelt tilpasses for levering på eksterne servere, og hvordan det aldri er for sent for en innovatør å komme inn og forny eller utvide funksjonaliteten til etablerte tjenester.
AWS Directory Service
Amazon Web Services tilbyr et alternativ tilJumpCloud DaaS. Dette er en annen skybasert Active Directory-implementering, og den er levert av en av Cloud's store hitters. Du kan velge å bare bruke denne katalogtjenesten som ditt nåværende oppsett på stedet, eller bruke den til å migrere lagring og programvare til andre AWS-tjenester.
I motsetning til JumpCloud, utvider AWS Directory Service ikke mulighetene til AD til Unix og Linux. Snarere er dette en ren Microsoft Active Directory-implementering som er vert på Cloud.
Amazon tilbyr ikke AWS Directory Service forgratis. Prisingsmodellen er imidlertid veldig skalerbar og basert på en timemålerpris, som dekker to domener, med en lavere hastighet for hvert ekstra domene lagt til planen. Dette er ikke så bra som gratis. Du kan imidlertid prøve tjenesten gratis i 30 dager.
389 Directory Server
Nettstedet til 389 Directory Server hevder detdenne programvaren er "herdet av bruk i den virkelige verden." Som en herdet nettverksadministrator vil du sannsynligvis forholde deg til den bruken av ord. Dette er et åpen kildekode-prosjekt og er et fritt produkt. Hvis du er i orden med å kompilere programmene selv og ikke har noe imot å kombinere kode, vil du elske dette katalogsystemet. Pakken inneholder en GUI-font-ende for Gnome-miljøer for å gi deg brukervennlighet ved pek og klikk.
389 Directory Server er tilgjengelig for Linux, og den er gratis å bruke. Prosedyrene for tjenesten er skrevet til LDAP-standardene, så dette er som Active Directory for Linux.
Apache-katalogen
Hvis du driver et nettsted, er det veldig sannsynlig at duhar også Apache Web Server. Apache Directory er en gratis LDAP-implementering som administreres av den samme organisasjonen som kuraterer webserverprogramvaren. Det er ingen streng interoperabilitet mellom Apache Directory og Apache Web Server - de er to forskjellige produkter. At du stoler på Web Server-pakken fra Apache, bør imidlertid gi deg selvtillit til å prøve Apache Directory, som er gratis å bruke.
Du må laste ned og installere to stykker avprogramvare for å ha en fullstendig implementering av Apache Directory. Imidlertid er begge kompatible med LDAP, så du kan erstatte enten en annen applikasjon, så lenge det også er LDAP-basert. Servermodulen heter Apache DirectoryDS og klienten heter Apache Directory Studio. Den andre av disse to pakkene lar deg se og endre katalogposter som er på serveren. Både klienten og serveren er helt gratis å bruke, og begge kjøres på Windows, Unix, Linux og Mac OS.
freeipa
Tidligere har du lest om identitetsadministrasjonersystems (IMS) og FreeIPA er inkludert i denne listen over katalogtjenester du kan prøve fordi det er et godt eksempel på en IMS. Du trenger ikke å bekymre deg for å kaste bort penger på å prøve dette verktøyet fordi det er gratis å bruke.
“IPA” står for Identitet, policy og revisjon. Disse tre prioriteringene omslutter autentiseringsprosessene du trenger for nettverket ditt og alle IT-ressursene dine. Som forklart over er katalogtjenester en del av IMS-systemer. Når det gjelder FreeIPA, blir katalogserverkomponenten levert av 389 Directory Server. Så du kan velge å installere 389 Directory Server for å få en LDAP-implementering, eller utvide godkjenningstjenestene og tilgangskontrollen ved å gå for en full IMS med FreeIPA.
FreeIPA er et åpen kildekode-prosjekt, så du kan gjøre detundersøke koden for å forsikre deg om at det ikke er noen skjulte prosedyrer for datahøsting som finnes i. Tjenesten gir deg alternativer over autentiseringsmetodologiene du implementerer innenfor IMS-rammeverket - Kerberos er et godt gratis open source-alternativ som er tilgjengelig i denne kategorien av IMS-oppgaver.
Denne IMS kjører på Unix eller Linux. Imidlertid er det også i stand til å overvåke Windows-systemer, og det kan også installere og overvåke det Unix-kompatible Mac OS-miljøet. FreeIPA-konseptet samler inn eksisterende teknologier, inkludert Apache HTTP-server og Python-programmerings-API-er for å gi et komplett IMS som er basert på komponenter som du vet er "herdet av virkelig bruk."
Nettverkskatalogovervåking
Fordelen med å bruke en kjent katalogtjenesten er at mange systemovervåkningsapplikasjoner kan utnytte informasjonen som finnes i ressurskontrollkontrollpostene for å fullstendig administrere og kontrollere nettverket og dets tjenester.
Det er en rekke veldig nyttige nettverksovervåkingssystemer som utnytter katalogdata for å gi deg full kontroll over nettverkets aktiviteter. Her er de du virkelig trenger å vite om:
SolarWinds Server og applikasjonsmonitor (GRATIS PRØVEPERIODE)
SolarWinds-produkter opererer på Windows Server, sådet er ikke noe problem med kompatibilitet med Active Directory. Som et overvåkingssystem beregnet for Windows-miljøer sørget SolarWinds for å bygge Active Directory-overvåking til dette verktøyet. AD-postene i nettverket ditt gjør det mulig for skjermen å merke serverbelastning etter brukernes etterspørsel og også spore den aktiviteten gjennom nettverket hvis du også har selskapets NetFlow Traffic Analyzer og User Device Tracker installert.
SolarWinds produserer en rekke ressurserovervåkingsverktøy og alle av dem er skrevet på en felles plattform, kalt Orion. Dette gjør det mulig for hver modul du installerer å samhandle med de andre SolarWinds-produktene du har på serveren din. PerfStack-modulen til serveren og applikasjonsmonitoren fungerer best hvis du også har installert nettverksmonitorer, for eksempel SolarWinds Network Performance Monitor. Dette fordi PerfStack viser hvert nivå av servicestabelen sammen, slik at du raskt kan identifisere hvor ytelsesproblemer virkelig eksisterer.
User Device Tracker utnytter spesieltinformasjon som du har i Active Directory for å informere de andre monitorene i pakken om opprinnelsen til ressursbelastning. Trackeren hjelper deg med å oppdage sikkerhetsbrudd og Network Performance Monitor og NetFlow Traffic Analyzer vil vise deg overdreven trafikk som kan indikere inntrengeraktiviteter. Du kan få alle disse SolarWinds-produktene på en 30-dagers gratis prøveperiode.
PRTG Network Monitor
PRTG er et enhetlig nettverk, server ogapplikasjonsmonitor. Hvis du tar på deg dette verktøyet, kan du velge å implementere det så vidt eller så smalt som du vil fordi omfanget er fullstendig tilpassbar. PRTG-systemet består av hundrevis av sensorer. Hver sensor må aktiveres, så uten ditt inngrep vil alle systemets funksjoner forbli sovende. En sensor fokuserer på ett aspekt av nettverkstjenestene dine eller på en ressurs. For eksempel er det en Ping-sensor for trafikkovervåking, og det er også en serie sensorer som utnytter LDAP-katalogene dine for informasjon.
Paessler tar ikke betalt for PRTG hvis du bareaktiver opptil 100 sensorer. Så du kan bare bruke verktøyet som en Active Directory-skjerm. Mens du har verktøyet til å se på AD-aktivitetene dine, har du også plass innenfor det gratis tjenestetilbudet for å overvåke et par andre aktiviteter i nettverket. Du kan aktivere SNMP- og NetFlow-sensorene for å få tilbakemelding på nettverkstrafikk eller velge å aktivere portmonitorer eller serverstatussensorer.
Hvis du vil bruke mer enn bare 100 sensorer, kan du få PRTG på en 30-dagers gratis prøveperiode. PRTG installeres i Windows Server-miljøet.
ManageEngine ADAudit Plus
ManageEngine produserer en suite med utmerketressursskjermer som kjører på Windows eller Linux. I ManageEngine-stallen finner du et antall verktøy som er spesielt tilpasset Active Directory-overvåking. ADAudit Plus er et av disse verktøyene. Dette verktøyet vil hjelpe deg å administrere AD gjennom ManageEngine-grensesnittet, og det vil også spore alle brukeraktiviteter, inkludert pålogging og logoff. Dette vil hjelpe deg å oppdage ulogisk brukeraktivitet og overdreven påloggingsforsøk som kan indikere inntrengerens tilstedeværelse.
ADAudit Plus er funksjonsrik og inkluderersporings- og rapporteringsfasiliteter. Du kan få det i en 30-dagers gratis prøveperiode. Hvis du ikke har lyst til å betale etter prøveperioden, kan du velge gratisversjonen av dette ManageEngine-verktøyet. ManageEngine tilbyr en rekke gratis Active Directory-verktøy, inkludert Active Director Query Tool, CSV Generator, som henter ut AD-poster, Last Login Reporter og AD Replication Manager, blant andre.
Katalogtjenester
Du har mange alternativer når du begynner å shoppe for nettverkskatalogtjenester. Forhåpentligvis har denne guiden gitt deg et utgangspunkt for søket ditt.
Bruker du noen av verktøyene som er nevnt i denne guiden? Foretrekker du et verktøy som vi ikke har dekket her? Legg igjen en melding i kommentarfeltet nedenfor for å dele kunnskapen din med fellesskapet.
kommentarer