„Katalog” jest powszechnym określeniem tegomoże oznaczać szereg rzeczy. Jednak w sieci katalog jest zwykle powiązany z danymi użytkownika i listą zasobów, z którymi można się skontaktować w sieci.
Istnieją więc dwa typy katalogów do wyszukaniapo w sieci: jedna zawiera listę osób, a druga listę urządzeń. W tym przewodniku zbadamy różne systemy katalogów, które są obecnie powszechnie używane w sieci.
Format przechowywania katalogów
Dowolna lista danych może być przechowywana na komputerze ww postaci pliku lub w bazie danych. Wczesne systemy katalogowe były oparte na plikach. Jednak rozwój systemów zarządzania bazą danych sprawił, że opcja bazy danych była bardziej wydajna. Bazy danych są łatwiejsze i szybsze do przeszukiwania, a używane w nich języki zapytań (zazwyczaj SQL) pozwalają operatorom logicznym (I, LUB NIE, PODZIEL, TIMES, WYBIERZ, PROJEKT) do wyszukiwania.
Procedury dostępu do katalogu
Wykorzystując system katalogowy, który opiera się naotwarty protokół jest lepszy niż zakup w zastrzeżonym systemie, który wykorzystuje własne formaty komunikacyjne. Usługi katalogowe wymagają dwóch podstawowych składników, którymi są klient i serwer. Serwer to program przechowujący bazę danych i zarządzający dostępem do danych. Klient jest zwykle osadzony w interfejsie, który albo wyświetla pobrane dane, pozwala na zmianę tych danych, albo umożliwia warunkowe wykonywanie działań po otrzymaniu tych informacji.
Jeśli zdecydujesz się zainstalować system katalogów, któryoparty na uniwersalnych protokołach, będziesz mógł „mieszać i łączyć” systemy klienckie i serwerowe, ponieważ zagwarantuje to, że będą mogły ze sobą współpracować bez względu na to, kto je napisał. Ponadto informacje zawarte w katalogach sieciowych można wykorzystać za pomocą narzędzi do monitorowania i raportowania aktywności, takich jak systemy wykrywania włamań (IDS). Zainstalowanie menedżera katalogów, który implementuje często używany protokół, zapewnia, że informacje zawarte w tych katalogach będą dostępne dla tych pakietów monitorowania użytkowników i kontroli zasobów.
Lightweight Directory Access Protocol (LDAP)
LDAP to szeroko rozpowszechniony protokół usługzaimplementowany jako mechanizm dostępu do szerokiej gamy katalogów sieciowych. Wiele sieciowych systemów katalogowych wymienionych poniżej wykorzystuje procedury LDAP.
Ponieważ jest to protokół, a nie oprogramowanie,nie możesz kupić LDAP i zainstalować go. Zamiast tego pozyskałbyś i uruchomił program, który implementuje reguły LDAP. Protokół określa listę standardów i procedur roboczych, które pozwolą osiągnąć cel, więc sam protokół nie jest zależny od systemu operacyjnego. Oznacza to, że każdy może opracować implementację LDAP dla systemu Windows, Linux, Unix lub dowolnego innego systemu operacyjnego.
Ważnym elementem definicji LDAP jestokreśla język poleceń, który umożliwia klientom komunikowanie się z serwerem LDAP. Ponieważ standard jest publicznie dostępny, każdy może go użyć do stworzenia aplikacji współpracującej z serwerem LDAP. Oznacza to, że LDAP można zintegrować z oprogramowaniem komercyjnym, a także z dowolnym własnym programem niestandardowym, który możesz opracować. Ta elastyczność i uniwersalność uczyniły LDAP de facto standardem dla procedury operacyjnej usług katalogowych.
LDAP jest używany dla wszystkich serwerów DNS (Domain Name Service), więc będziesz regularnie zatrudniał system LDAP w sieci, niezależnie od tego, czy zdajesz sobie z tego sprawę, czy nie.
OpenLDAP
Jak sama nazwa wskazuje, OpenLDAP jest najczystszyimplementacja systemu LDAP, który znajdziesz. Jest to biblioteka procedur, które można zintegrować z innymi programami. OpenLDAP to projekt typu open source, więc każdy może uzyskać dostęp do jego kodu za darmo. Kod jest również implementowany przez projekt OpenLDAP jako biblioteki Java, dzięki czemu można uzyskać dostęp do systemu za pośrednictwem interfejsów GUI w dowolnym systemie operacyjnym.
Ponieważ ten pakiet jest biblioteką kodu, niewielu administratorów sieci bezpośrednio wdraża procedurę OpenLDAP. Zamiast tego powinieneś zwrócić uwagę na aplikacje komercyjne, które stwierdzają, że korzystają z OpenLDAP.
Active Directory
Microsoft Active Directory to przełomowy system zarządzania użytkownikami, stworzony dla systemu Windows. Został wynaleziony w 1999 roku i był tak dobrze zaplanowany, że nadal jest szeroko stosowany.
Usługa Active Directory prowadzi listę autoryzowanych użytkownikówdla sieci. Jest w stanie kategoryzować tych użytkowników według poziomów uprawnień, dzięki czemu użytkownik z uprawnieniami administratora jest rozpoznawany i ma większy dostęp niż zwykli użytkownicy. Dodatkową zaletą usługi Active Directory jest to, że sprawdza ona także prawa komputerów w sieci. Jest to więc świetna usługa bezpieczeństwa, ponieważ zapewnia, że tylko autoryzowane urządzenia są podłączone do sieci i tylko autoryzowani użytkownicy mogą logować się na tych komputerach. Możliwe jest zablokowanie dostępu do niektórych urządzeń niektórym grupom użytkowników i zarezerwowanie dostępu do określonych aplikacji dla osób z uprawnieniami administratora.
Głównym ograniczeniem usługi Active Directory jest tointegruje się tylko z innymi produktami Microsoft, więc nie można go używać w systemie Linux. Ponadto nie jest w stanie kontrolować dostępu do pakietów wydajności innych niż Microsoft, takich jak Dokumenty Google. Ponieważ lista udanych usług konkurentów i systemów opartych na chmurze rozszerza użyteczność usługi Active Directory maleje.
Usługi katalogowe Novell (NDS)
System NDS został wymyślony, aby zapewnić katalogusługi dla sieci Novell Netware. Może jednak także działać w sieciach, w których nie ma zainstalowanego oprogramowania Netware. Oprogramowanie może działać w systemach Windows, Sun Solaris i IBM OS / 390. Była to wczesna implementacja LDAP, dlatego stała się punktem odniesienia dla innych implementacji usług katalogowych. Zastosowanie LDAP szczególnie wskazało drogę dla późniejszych prac i stworzyło model dla Active Directory.
Lista kontroli dostępu (ACL)
ACL to konkurencyjny system zarządzania dostępem do LDAP. Chociaż nie jest tak szeroko wdrażany jak LDAP, ACL jest nadal bardzo dobrze znanym systemem i został wdrożony wystarczająco często, aby oflagować go w branży jako niezawodna usługa uwierzytelniania.
System ACL opiera się na formacie przechowywania danychktóry tworzy drzewo atrybutów. W terminologii ACL chroniony zasób nazywany jest „obiektem”. Do każdego obiektu przypisana jest lista dozwolonych użytkowników i, w zależności od typu chronionego obiektu, każdemu użytkownikowi przypisane jest jedno lub więcej uprawnień.
ACL można zastosować do dostępu do plików lub siecidostęp. Sieciowe listy ACL mogą być przydatne w systemach zapobiegania włamaniom (IPS), ponieważ kontrolują dostęp do określonych adresów hostów, a nawet mogą selektywnie blokować dostęp do portów. W sieciach prawa dostępu udokumentowane przez ACL są implementowane na przełącznikach i routerach.
Nowoczesne listy ACL korzystają z baz danych SQL w celu uzyskania zgodypamięć zamiast plików. Postęp ten umożliwił również ewolucji ACL poza kontrolę dostępu użytkownika do zarządzania grupą użytkowników. Upraszcza to administrowanie uprawnieniami dostępu, szczególnie w sieciach, w których lista ACL może wymagać wielokrotnego logowania każdego użytkownika, aby zapewnić dostęp nawet do podstawowych wymagań dotyczących zasobów typowego użytkownika biurowego.
Rozwiązania do zarządzania tożsamością i dostępem (IAM)
Kategoria narzędzia sieciowego, które możesz otrzymaćpodczas sprawdzania systemów uwierzytelniania użytkowników są rozwiązania do zarządzania tożsamością i dostępem lub IAM. Termin ten opisuje szersze rozwiązanie do uwierzytelniania użytkowników niż tylko usługa katalogowa. Jednak katalog, a nawet kilka katalogów będzie znajdować się w sercu każdego IAM. Tak więc, kupując systemy dostępu i uwierzytelniania, staraj się korzystać z narzędzi, które mają znacznie szerszy zakres zadań niż tylko zarządzanie katalogami. Należy jednak pamiętać, że do implementacji otwartego protokołu, takiego jak LDAP, potrzebna jest usługa katalogowa w rdzeniu usługi IAM, aby dostęp do katalogu był również dostępny dla innych aplikacji monitorujących.
Sugestie dotyczące sieciowych usług katalogowych
Ta lista zawiera kilka sugestii dotyczącychaplikacje, które można wypróbować jako określone usługi katalogowe w sieci. Jednak inne aplikacje, z których regularnie korzystasz, takie jak serwery sieciowe lub menedżery adresów IP, również zintegrują usługi katalogowe.
JumpCloud DaaS
Nazwa „DaaS” w nazwie tego produktu oznacza„Katalog jako usługa”. Jest to emulacja terminu „oprogramowanie jako usługa”. Usługi online oparte na chmurze wykorzystują oprogramowanie SaaS / jako termin usługi do opisania ich konfiguracji. Nazwa JumpCloud natychmiast informuje, że jest to usługa online dostarczająca serwer katalogów przez Internet.
To jest płatny produkt, który implementuje ActiveInformator. Jednak JumpCloud rozszerza możliwości Active Directory na systemy Unix i Linux, emulując AD z implementacją LDAP dla tych systemów operacyjnych. JumpCloud oferuje dobry sposób na uruchomienie AD dla wszystkich zasobów, nie tylko tych dostarczonych przez Microsoft. Nie musisz płacić za JumpCloud DaaS, jeśli używasz go tylko dla maksymalnie 10 użytkowników.
Prowadzenie usług bezpieczeństwa przez Internettworzy dodatkowy komponent, który może zawieść, a także stanowi dodatkową okazję dla hakerów do przechwytywania ruchu i przełamywania procesów uwierzytelniania. Na szczęście JumpCloud szyfruje całą komunikację między klientem a serwerem przechowywaną w zdalnej witrynie JumpCloud.
Umieszczenie AD w Internecie jest ciekawym rozwiązaniemdla tych, którzy nie używają wielu zasobów na miejscu, ale polegają na serwerach w chmurze i SaaS dla aplikacji użytkownika. Model oparty na chmurze jest również interesujący dla tych firm, które mają wielu pracowników z domu lub z agentami, konsultantami lub rzemieślnikami, którzy cały czas pracują w witrynach klientów.
JumpCloud DaaS jest przykładem tego, jak tradycyjnyaplikacje lokalne można łatwo dostosować do dostarczania na zdalne serwery, a także w jaki sposób nigdy nie jest za późno, aby wprowadzić innowatora i ulepszyć lub rozszerzyć funkcjonalność ustanowionych usług.
Usługa katalogowa AWS
Amazon Web Services oferuje alternatywę dlaJumpCloud DaaS. To kolejna oparta na chmurze implementacja usługi Active Directory, którą zapewnia jeden z największych hitterów w chmurze. Możesz użyć tej usługi katalogowej jako bieżącej konfiguracji na miejscu lub użyć jej do migracji pamięci i oprogramowania do innych usług AWS.
W przeciwieństwie do JumpCloud, usługa katalogowa AWS nie rozszerza możliwości AD na systemy Unix i Linux. Jest to raczej czysta implementacja Microsoft Active Directory hostowana w chmurze.
Amazon nie oferuje usługi katalogowej AWS dlawolny. Model wyceny jest jednak bardzo skalowalny i oparty na stawce licznika godzinowego, obejmującej dwie domeny, z niższą stawką za każdą dodatkową domenę dodaną do planu. To nie jest tak dobre, jak bezpłatne. Możesz jednak wypróbować usługę za darmo przez 30 dni.
389 Serwer katalogów
Witryna 389 Directory Server twierdzi, żeto oprogramowanie jest „zahartowane przez rzeczywiste użycie”. Jako zahartowany administrator sieci prawdopodobnie będziesz odnosić się do tego użycia słów. Jest to projekt typu open source i nie jest zbędny. Jeśli nie masz nic przeciwko samodzielnej kompilacji programów i nie masz nic przeciwko czesaniu kodu, spodoba ci się ten system katalogowy. Pakiet zawiera koniec czcionki GUI dla środowisk Gnome, aby zapewnić łatwość obsługi typu „wskaż i kliknij”.
Serwer katalogowy 389 jest dostępny dla systemu Linux i jest bezpłatny. Procedury usługi są napisane zgodnie ze standardami LDAP, więc jest to jak Active Directory dla Linuxa.
Katalog Apache
Jeśli prowadzisz witrynę, jest bardzo prawdopodobne, że Tymieć również serwer WWW Apache. Apache Directory to darmowa implementacja LDAP, która jest zarządzana przez tę samą organizację, która opiekuje się oprogramowaniem serwera WWW. Nie ma ścisłej interoperacyjności między Apache Directory a Apache Web Server - są to dwa odrębne produkty. Jednak fakt, że polegasz na pakiecie serwera Web firmy Apache, powinien dać ci pewność, że wypróbujesz katalog Apache, z którego można korzystać bezpłatnie.
Musisz pobrać i zainstalować dwa elementyoprogramowanie w celu pełnej implementacji katalogu Apache. Oba są jednak w pełni zgodne z LDAP, więc możesz je zastąpić inną aplikacją, o ile jest to również oparte na LDAP. Moduł serwera nazywa się Apache DirectoryDS, a klient Apache Directory Studio. Drugi z tych dwóch pakietów umożliwia przeglądanie i modyfikowanie rekordów katalogu przechowywanych na serwerze. Zarówno klient, jak i serwer są całkowicie bezpłatne i oba działają w systemach Windows, Unix, Linux i Mac OS.
FreeIPA
Wcześniej czytałeś o zarządzaniu tożsamościąsystemy (IMS) i FreeIPA znajdują się na tej liście usług katalogowych do wypróbowania, ponieważ jest to dobry przykład IMS. Nie musisz się martwić, że zmarnujesz pieniądze, wypróbowując to narzędzie, ponieważ jest bezpłatne.
„IPA” oznacza tożsamość, zasady i audyt. Te trzy priorytety zawierają w sobie procesy uwierzytelniania potrzebne do sieci i wszystkich zasobów IT. Jak wyjaśniono powyżej, usługi katalogowe są częścią systemów IMS. W przypadku FreeIPA komponent serwera katalogów jest dostarczany przez 389 Directory Server. Możesz więc zainstalować 389 Directory Server, aby uzyskać implementację LDAP, lub rozszerzyć swoje usługi uwierzytelniania i kontrolę dostępu, przechodząc do pełnego IMS z FreeIPA.
FreeIPA jest projektem typu open source, więc możeszsprawdź kod, aby upewnić się, że nie ma w nim żadnych procedur gromadzenia ukrytych danych. Usługa oferuje opcje w stosunku do metodologii uwierzytelniania wdrażanych w ramach IMS - Kerberos jest dobrą bezpłatną opcją open source dostępną w ramach tej kategorii zadań IMS.
Ten system IMS działa w systemie Unix lub Linux. Jednak jest również w stanie monitorować systemy Windows, a także może instalować i monitorować środowisko Mac OS kompatybilne z Uniksem. Koncepcja FreeIPA gromadzi istniejące technologie, w tym serwer Apache HTTP Server i API programowania Python, aby zapewnić kompletny system IMS oparty na komponentach, o których wiesz, że są „zahartowane przez rzeczywiste użycie”.
Monitorowanie katalogu sieciowego
Zaleta korzystania ze znanego kataloguUsługa polega na tym, że wiele aplikacji monitorujących system może wykorzystywać informacje zawarte w rekordach kontroli dostępu do zasobów w celu pełnego zarządzania siecią i jej usługami oraz kontroli nad nimi.
Istnieje wiele bardzo przydatnych systemów monitorowania sieci, które wykorzystują dane z katalogów, aby zapewnić pełną kontrolę nad działaniami sieci. Oto te, o których naprawdę musisz wiedzieć:
SolarWinds Serwer i monitor aplikacji (BEZPŁATNA WERSJA PRÓBNA)
Produkty SolarWinds działają na Windows Server, więcnie ma problemu ze zgodnością z Active Directory. Jako system monitorowania przeznaczony dla środowisk Windows, SolarWinds zadbał o wbudowanie monitorowania Active Directory w to narzędzie. Rekordy AD w sieci umożliwiają monitorowi oznaczanie obciążenia serwera według zapotrzebowania użytkownika, a także śledzenie tej aktywności w sieci, jeśli masz również zainstalowany Netflow Traffic Analyzer i User Device Tracker.
SolarWinds produkuje szereg zasobównarzędzia do monitorowania i wszystkie z nich są napisane na wspólnej platformie zwanej Orion. Umożliwia to każdemu zainstalowanemu modułowi interakcję z innymi produktami SolarWinds uruchomionymi na serwerze. Moduł PerfStack Monitora serwera i aplikacji działa najlepiej, jeśli masz również zainstalowane monitory sieciowe, takie jak Monitor wydajności sieci SolarWinds. Wynika to z faktu, że PerfStack pokazuje razem każdy poziom stosu usług, dzięki czemu można szybko określić, gdzie naprawdę występują problemy z wydajnością.
User Device Tracker w szczególności wykorzystujeinformacje przechowywane w usłudze Active Directory w celu informowania innych monitorów w pakiecie o pochodzeniu obciążenia zasobów. Moduł śledzący pomaga wykryć naruszenia bezpieczeństwa, a Monitor wydajności sieci i NetFlow Traffic Analyzer pokazują nadmierny ruch, który może oznaczać działania intruza. Możesz uzyskać wszystkie te produkty SolarWinds w 30-dniowym bezpłatnym okresie próbnym.
Monitor sieci PRTG
PRTG to ujednolicona sieć, serwer imonitor aplikacji. Jeśli zdecydujesz się na to narzędzie, możesz wdrożyć je tak szeroko lub tak wąsko, jak chcesz, ponieważ jego zakres można całkowicie dostosować. System PRTG składa się z setek czujników. Każdy czujnik musi zostać aktywowany, więc bez twojej interwencji wszystkie funkcje systemu pozostaną nieaktywne. Czujnik koncentruje się na jednym aspekcie usług sieciowych lub na jednym zasobie. Na przykład istnieje czujnik ping do monitorowania ruchu, a także szereg czujników, które wykorzystują katalogi LDAP w celach informacyjnych.
Paessler nie pobiera opłat za PRTG, jeśli tylko Tyaktywować do 100 czujników. Możesz więc użyć tego narzędzia jako monitora Active Directory. Chociaż masz narzędzie do obserwowania działań AD, masz również miejsce w tej bezpłatnej ofercie usług, aby monitorować kilka innych działań w sieci. Możesz aktywować czujniki SNMP i NetFlow, aby uzyskać informacje zwrotne na temat ruchu w sieci, lub aktywować monitory portów lub czujniki stanu serwera.
Jeśli chcesz użyć więcej niż 100 czujników, możesz uzyskać PRTG w 30-dniowym bezpłatnym okresie próbnym. PRTG instaluje się w środowisku Windows Server.
ManageEngine ADAudit Plus
ManageEngine produkuje zestaw doskonałychmonitory zasobów działające w systemie Windows lub Linux. W stabilnej wersji ManageEngine znajdziesz szereg narzędzi specjalnie dostosowanych do monitorowania Active Directory. ADAudit Plus jest jednym z tych narzędzi. To narzędzie pomoże Ci administrować AD za pośrednictwem interfejsu ManageEngine, a także będzie śledzić wszystkie działania użytkownika, w tym logowanie i wylogowywanie. Pomoże to w wykryciu nielogicznej aktywności użytkownika i nadmiernych prób logowania, które mogą wskazywać na obecność intruza.
ADAudit Plus jest bogaty w funkcje i obejmujenarzędzia do śledzenia i raportowania. Możesz go uzyskać w 30-dniowym bezpłatnym okresie próbnym. Jeśli nie masz ochoty płacić po okresie próbnym, możesz wybrać bezpłatną wersję tego narzędzia ManageEngine. ManageEngine oferuje wiele bezpłatnych narzędzi Active Directory, w tym między innymi narzędzie do zapytań Active Director, generator CSV, który wyodrębnia rekordy AD, raport ostatniego logowania i menedżera replikacji AD.
Usługi katalogowe
Masz wiele opcji, kiedy zaczynasz rozglądać się za sieciowymi usługami katalogowymi. Mam nadzieję, że ten przewodnik dał ci punkt wyjścia do wyszukiwania.
Czy korzystasz z narzędzi wymienionych w tym przewodniku? Czy wolisz narzędzie, którego tutaj nie omówiliśmy? Pozostaw wiadomość w sekcji Komentarze poniżej, aby podzielić się swoją wiedzą ze społecznością.
Komentarze