"Diretório" é um termo comum na computação quepode significar uma variedade de coisas. No entanto, nas redes, o diretório geralmente está relacionado aos dados do usuário e a uma lista de recursos que podem ser contatados na rede.
Portanto, existem dois tipos de diretórios para procurardepois em uma rede: uma lista pessoas e a outra lista equipamentos. Neste guia, investigaremos os diferentes sistemas de diretórios que normalmente estão em operação nas redes atualmente.
Formato de armazenamento de diretório
Qualquer lista de dados pode ser mantida em um computador noforma de um arquivo ou em um banco de dados. Os primeiros sistemas de diretórios eram baseados em arquivos. No entanto, o desenvolvimento de sistemas de gerenciamento de banco de dados tornou a opção de banco de dados mais eficiente. Os bancos de dados são mais fáceis e rápidos de pesquisar e as linguagens de consulta usadas para eles (geralmente SQL) permitem que operadores booleanos (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) sejam incluídos nas pesquisas.
Procedimentos de acesso ao diretório
Empregar um sistema de diretório que depende de umé preferível o protocolo aberto ao invés de comprar em um sistema proprietário que utiliza seus próprios formatos de comunicação. Os serviços de diretório requerem dois componentes básicos, que são um cliente e um servidor. O servidor é o programa que mantém o banco de dados e gerencia o acesso aos dados. O cliente geralmente é incorporado a uma interface que exibe dados recuperados, permite que esses dados sejam alterados ou permite que ações sejam executadas condicionalmente no recebimento dessas informações.
Se você optar por instalar um sistema de diretório queCom base em protocolos universais, você poderá “combinar e combinar” os sistemas cliente e servidor, porque eles garantem a capacidade de interagir entre si, independentemente de quem os escreveu. Além disso, as informações contidas nos diretórios de rede podem ser exploradas por ferramentas de monitoramento e relatório de atividades, como sistemas de detecção de intrusão (IDSs). A instalação de um gerenciador de diretórios que implemente o protocolo comumente usado garante que as informações contidas nesses diretórios sejam acessíveis aos pacotes de monitoramento e controle de recursos do usuário.
LDAP (Lightweight Directory Access Protocol)
LDAP é um protocolo de serviço amplamente difundidoimplementado como mecanismo de acesso a uma ampla variedade de diretórios de rede. Vários sistemas de diretório de rede listados aqui abaixo usam procedimentos LDAP.
Como é um protocolo e não um software,você não pode comprar o LDAP e instalá-lo. Em vez disso, você adquiriria e executaria um programa que implementa as regras LDAP. Um protocolo descreve uma lista de padrões e procedimentos de trabalho que atingirão uma meta; portanto, o protocolo em si não depende do sistema operacional. Isso significa que qualquer pessoa pode desenvolver uma implementação LDAP para Windows, Linux, Unix ou qualquer outro sistema operacional.
Um elemento importante da definição LDAP éque define uma linguagem de comando que permite que os clientes se comuniquem com o servidor LDAP. Como o padrão está disponível ao público, qualquer pessoa pode usá-lo para criar um aplicativo que interaja com um servidor LDAP. Isso significa que o LDAP pode ser integrado ao software comercial e também pode ser integrado a qualquer programa personalizado interno que você possa desenvolver. Essa flexibilidade e universalidade tornaram o LDAP o padrão de fato para o procedimento operacional dos serviços de diretório.
O LDAP é usado para todos os servidores DNS (Serviço de Nome de Domínio), para que você empregue o sistema LDAP regularmente na sua rede, independentemente de saber ou não.
OpenLDAP
Como o nome sugere, o OpenLDAP é o mais puroimplementação do sistema LDAP que você encontrará. Esta é uma biblioteca de procedimentos que podem ser integrados a outros programas. O OpenLDAP é um projeto de código aberto e qualquer pessoa pode acessar seu código gratuitamente. O código também é implementado pelo projeto OpenLDAP como bibliotecas Java e, portanto, é possível acessar o sistema através de interfaces GUI em qualquer sistema operacional.
Como este pacote é uma biblioteca de códigos, poucos administradores de rede implementam o procedimento OpenLDAP diretamente. Em vez disso, você deve procurar aplicativos comerciais que declarem o uso do OpenLDAP.
Diretório ativo
O Active Directory da Microsoft era um sistema de gerenciamento de usuários inovador, criado para o Windows. Foi inventado em 1999 e foi tão bem planejado que ainda é amplamente utilizado.
O Active Directory mantém uma lista de usuários autorizadospara uma rede. Ele é capaz de categorizar esses usuários por níveis de permissão, para que um usuário com privilégios de administrador seja reconhecido e tenha maior acesso a esses usuários regulares. Um benefício secundário do Active Directory é que ele também verifica os direitos dos computadores na rede. Portanto, este é um ótimo serviço de segurança, pois garante que apenas dispositivos autorizados estejam conectados à rede e que somente usuários autorizados possam efetuar login nesses computadores. É possível bloquear o acesso a alguns equipamentos para determinados grupos de usuários e reservar acesso a aplicativos específicos para aqueles com direitos de administrador.
A principal limitação do Active Directory é queele se integra apenas a outros produtos da Microsoft, portanto você não pode usá-lo no Linux. Além disso, não é possível controlar o acesso a pacotes de produtividade que não são da Microsoft, como o Google Docs. À medida que a lista de serviços concorrentes bem-sucedidos e sistemas baseados em nuvem aumenta, a usabilidade do Active Directory diminui.
Novell Directory Services (NDS)
O sistema NDS foi inventado para fornecer diretórioserviços para redes Novell Netware. No entanto, ele também pode operar em redes que não possuem o Netware instalado. O software pode ser executado no Windows, Sun Solaris e IBM OS / 390. Essa foi uma implementação inicial do LDAP e, portanto, tornou-se uma referência para outras implementações de serviços de diretório. Seu uso do LDAP apontou o caminho para desenvolvimentos posteriores e formou um modelo para o Active Directory.
Lista de Controle de Acesso (ACL)
O ACL é um sistema de gerenciamento de acesso rival ao LDAP. Embora não seja tão amplamente implementada quanto o LDAP, a ACL ainda é um sistema muito conhecido e foi implementada várias vezes para sinalizá-la no setor como um serviço de autenticação confiável.
O sistema ACL depende de um formato de armazenamento de dadosque cria uma árvore de atributos. Na terminologia da ACL, o recurso que está sendo protegido é chamado de "objeto". Cada objeto recebe uma lista de usuários permitidos e, dependendo do tipo de objeto que está sendo protegido, cada usuário recebe uma ou mais permissões.
A ACL pode ser aplicada ao acesso a arquivos ou à redeAcesso. As ACLs baseadas em rede podem ser úteis para sistemas de prevenção de intrusões (IPSs), porque controlam o acesso a endereços de host específicos e podem até bloquear seletivamente o acesso às portas. Nas redes, os direitos de acesso documentados pela ACL são implementados em comutadores e roteadores.
ACLs modernas usam bancos de dados SQL para permissãoarmazenamento em vez de arquivos. Esse avanço também possibilitou que a ACL evoluísse além dos controles de acesso do usuário para o gerenciamento de grupos de usuários. Isso simplifica a administração de permissões de acesso, principalmente em redes, nas quais a ACL pode precisar registrar cada usuário várias vezes, a fim de fornecer acesso até aos requisitos básicos de recursos de um usuário típico do escritório.
Identidades e soluções de gerenciamento de acesso (IAMs)
Uma categoria de utilitário de rede que você pode virdo outro lado, ao investigar os sistemas de autenticação de usuários, encontra-se o Identity and Access Management Solutions, ou IAMs. Este termo descreve uma solução mais ampla para autenticação do usuário do que apenas um serviço de diretório. No entanto, um diretório ou mesmo vários diretórios estarão no coração de qualquer IAM. Portanto, ao comprar sistemas de acesso e autenticação, procure ferramentas que tenham uma missão muito mais ampla do que apenas o gerenciamento de diretórios. No entanto, esteja ciente de que você precisa do serviço de diretório no núcleo do IAM para implementar um protocolo aberto, como LDAP, para que o acesso ao diretório também esteja disponível para outros aplicativos de monitoramento.
Sugestões para serviços de diretório de rede
Esta lista apresenta algumas sugestões paraaplicativos que você pode experimentar como serviços de diretório específicos em sua rede. No entanto, outros aplicativos que você usa regularmente, como servidores da Web ou gerenciadores de endereço IP, também integrarão serviços de diretório.
JumpCloud DaaS
A parte "DaaS" do nome deste produto significa“Diretório como serviço”. Trata-se de uma emulação do termo “software como serviço”. Os serviços de software on-line baseados em nuvem usam o SaaS / software como um termo de serviço para descrever sua configuração. Portanto, o nome do JumpCloud informa instantaneamente que é um serviço online que entrega um servidor de diretório pela Internet.
Este é um produto pago que implementa o ActiveDiretório. No entanto, o JumpCloud estende os recursos do Active Directory para sistemas Unix e Linux, emulando o AD com uma implementação LDAP para esses sistemas operacionais. O JumpCloud oferece uma maneira elegante de fazer o AD funcionar com todos os seus recursos, não apenas aqueles fornecidos pela Microsoft. Você não precisa pagar pelo JumpCloud DaaS se o usar apenas para até 10 usuários.
Executando serviços de segurança pela Internetcria um componente extra que pode falhar e também cria uma oportunidade extra para os hackers interceptarem o tráfego e interromperem seus processos de autenticação. Felizmente, o JumpCloud criptografa todas as comunicações entre seu cliente e o servidor mantidas no site remoto do JumpCloud.
Colocar o AD na web é uma solução interessantepara aqueles que não usam muitos recursos no local, mas dependem de servidores em nuvem e SaaS para aplicativos do usuário. O modelo baseado em nuvem também é interessante para as empresas que têm muitos trabalhadores baseados em casa ou com agentes, consultores ou artesãos que trabalham nos sites dos clientes o tempo todo.
O JumpCloud DaaS é um exemplo de quão tradicionalos aplicativos baseados no site podem ser facilmente adaptados para entrega em servidores remotos e como nunca é tarde para um inovador entrar e renovar ou estender a funcionalidade dos serviços estabelecidos.
Serviço de diretório da AWS
O Amazon Web Services oferece uma alternativa paraJumpCloud DaaS. Essa é outra implementação do Active Directory baseada na nuvem e é fornecida por um dos maiores defensores da nuvem. Você pode optar por usar esse serviço de diretório como sua configuração atual no local ou usá-lo para migrar seu armazenamento e software para outros serviços da AWS.
Ao contrário do JumpCloud, o Serviço de Diretório da AWS não estende os recursos do AD ao Unix e Linux. Em vez disso, esta é uma implementação pura do Microsoft Active Directory hospedada na nuvem.
A Amazon não oferece o AWS Directory Service paralivre. No entanto, o modelo de precificação é muito escalável e baseado em uma taxa horária, cobrindo dois domínios, com uma taxa mais baixa para cada domínio adicional adicionado ao plano. Isso não é tão bom quanto grátis. No entanto, você pode experimentar o serviço gratuitamente por 30 dias.
389 Directory Server
O site do 389 Directory Server alega queeste software é "reforçado pelo uso no mundo real". Como administrador de rede reforçado, você provavelmente se relacionará com o uso de palavras. Este é um projeto de código aberto e é um produto sem frescuras. Se você não tem problema em compilar os programas e não se importa de vasculhar o código, vai adorar esse sistema de diretórios. O pacote inclui um final de fonte da GUI para ambientes Gnome para oferecer facilidade de uso com apontar e clicar.
O 389 Directory Server está disponível para Linux e é gratuito. Os procedimentos do serviço são gravados nos padrões LDAP, portanto, é como o Active Directory para Linux.
Diretório Apache
Se você administra um site, é muito provável que vocêtambém possui o Apache Web Server. O Apache Directory é uma implementação LDAP gratuita, gerenciada pela mesma organização que organiza o software do servidor web. Não há interoperabilidade estrita entre o Apache Directory e o Apache Web Server - eles são dois produtos distintos. No entanto, o fato de você confiar no pacote do servidor Web do Apache deve fornecer confiança para experimentar o diretório Apache, que é gratuito.
Você precisa baixar e instalar dois pedaços desoftware para ter uma implementação completa do Apache Directory. No entanto, ambos são totalmente compatíveis com LDAP, portanto, você pode substituí-lo por um aplicativo diferente, desde que também seja baseado em LDAP. O módulo do servidor é chamado Apache DirectoryDS e o cliente é chamado Apache Directory Studio. O segundo desses dois pacotes permite exibir e alterar os registros de diretório mantidos no servidor. Tanto o cliente quanto o servidor são totalmente gratuitos e são executados no Windows, Unix, Linux e Mac OS.
FreeIPA
Anteriormente, você leu sobre o gerenciamento de identidadessystems (IMS) e FreeIPA está incluído nesta lista de serviços de diretório para tentar porque é um bom exemplo de um IMS. Você não precisa se preocupar em desperdiçar dinheiro experimentando este utilitário, pois ele é gratuito.
"IPA" significa Identidade, Política e Auditoria. Essas três prioridades resumem os processos de autenticação necessários para sua rede e todos os seus recursos de TI. Como explicado acima, os serviços de diretório fazem parte dos sistemas IMS. No caso do FreeIPA, o componente do servidor de diretórios é fornecido pelo 389 Directory Server. Portanto, você pode optar por instalar o 389 Directory Server para obter uma implementação LDAP ou expandir seus serviços de autenticação e controle de acesso acessando um IMS completo com o FreeIPA.
O FreeIPA é um projeto de código aberto, para que você possaexamine o código para garantir que não haja procedimentos de coleta de dados ocultos. O serviço oferece opções sobre as metodologias de autenticação que você implementa na estrutura do IMS - o Kerberos é uma boa opção de código aberto disponível nesta categoria de tarefas do IMS.
Esse IMS é executado no Unix ou Linux. No entanto, ele também é capaz de monitorar sistemas Windows e também pode instalar e monitorar o ambiente Mac OS compatível com Unix. O conceito FreeIPA coleta tecnologias pré-existentes, incluindo as APIs de programação Apache HTTP Server e Python, para fornecer um IMS completo, baseado em componentes que você sabe que são "reforçados pelo uso no mundo real".
Monitoramento de diretório de rede
O benefício de usar um diretório conhecidoO serviço é que muitos aplicativos de monitoramento do sistema podem explorar as informações contidas nos registros de controle de acesso a recursos para gerenciar e controlar totalmente sua rede e seus serviços.
Existem vários sistemas de monitoramento de rede muito úteis que exploram dados do diretório para fornecer controle total sobre as atividades da sua rede. Aqui estão os que você realmente precisa saber sobre:
Servidor SolarWinds e monitor de aplicativos (TESTE GRÁTIS)
Os produtos SolarWinds operam no Windows Server, portantonão há problema de compatibilidade com o Active Directory. Como um sistema de monitoramento destinado a ambientes Windows, o SolarWinds fez questão de incorporar o monitoramento do Active Directory nessa ferramenta. Os registros do AD em sua rede permitem que o monitor rotule a carga do servidor por demanda do usuário e também rastreie essa atividade pela rede se você também tiver o NetFlow Traffic Analyzer e o User Device Tracker da empresa instalados.
SolarWinds produz uma variedade de recursosutilitários de monitoramento e todos eles são escritos em uma plataforma comum, chamada Orion. Isso permite que cada módulo que você instala interaja com os outros produtos SolarWinds em execução no servidor. O módulo PerfStack do Server and Application Monitor funciona melhor se você também tiver monitores de rede instalados, como o SolarWinds Network Performance Monitor. Isso ocorre porque o PerfStack mostra cada nível da pilha de serviços juntos, para que você possa identificar rapidamente onde realmente existem problemas de desempenho.
O User Device Tracker explora particularmente oinformações que você mantém no Active Directory para informar os outros monitores no conjunto da origem da carga de recursos. O rastreador ajuda a identificar violações de segurança e o Network Performance Monitor e o NetFlow Traffic Analyzer mostram tráfego excessivo que pode significar atividades de invasor. Você pode obter todos e quaisquer desses produtos da SolarWinds em uma avaliação gratuita de 30 dias.
Monitor de rede PRTG
O PRTG é uma rede unificada, servidor emonitor de aplicativos. Se você usar essa ferramenta, poderá optar por implementá-la da forma mais ampla ou restrita que desejar, pois seu escopo é completamente personalizável. O sistema PRTG é composto por centenas de sensores. Cada sensor precisa ser ativado, portanto, sem a sua intervenção, todos os recursos do sistema permanecerão inativos. Um sensor se concentra em um aspecto de seus serviços de rede ou em um recurso. Por exemplo, existe um sensor Ping para monitoramento de tráfego e também uma série de sensores que exploram seus diretórios LDAP para obter informações.
Paessler não cobra pelo PRTG se você apenasativar até 100 sensores. Portanto, você pode apenas usar a ferramenta como um monitor do Active Directory. Enquanto você tem o utilitário assistindo às suas atividades do AD, também há espaço nessa oferta de serviço gratuita para monitorar algumas outras atividades na sua rede. Você pode ativar os sensores SNMP e NetFlow para obter feedback sobre o tráfego de rede ou optar por ativar monitores de portas ou sensores de status do servidor.
Se você quiser usar mais do que apenas 100 sensores, poderá obter o PRTG em uma avaliação gratuita de 30 dias. O PRTG é instalado no ambiente do Windows Server.
ManageEngine ADAudit Plus
ManageEngine produz um conjunto de excelentesmonitores de recursos que são executados no Windows ou Linux. No estábulo ManageEngine, você encontrará várias ferramentas especificamente personalizadas para o monitoramento do Active Directory. O ADAudit Plus é um desses utilitários. Essa ferramenta ajudará você a administrar o AD por meio da interface ManageEngine e também rastreará todas as atividades do usuário, incluindo logon e logoff. Isso o ajudará a identificar atividades ilógicas do usuário e tentativas excessivas de login que possam indicar presença de intrusos.
O ADAudit Plus é rico em recursos e incluiinstalações de rastreamento e relatórios. Você pode obtê-lo em uma avaliação gratuita de 30 dias. Se você não quiser pagar após o período de avaliação, pode optar pela versão gratuita desta ferramenta ManageEngine. O ManageEngine oferece várias ferramentas gratuitas do Active Directory, incluindo a Ferramenta de Consulta do Active Director, o Gerador de CSV, que extrai registros do AD, o Último Login Reporter e o AD Replication Manager, entre outros.
Serviços de Diretório
Você tem muitas opções quando começa a procurar serviços de diretório de rede. Felizmente, este guia deu a você um ponto de partida para sua pesquisa.
Você usa algum dos utilitários mencionados neste guia? Você prefere uma ferramenta que não abordamos aqui? Deixe uma mensagem na seção Comentários abaixo para compartilhar seu conhecimento com a comunidade.
Comentários