„Director” este un termen comun în calculul respectivpoate însemna o serie de lucruri. Cu toate acestea, în rețea, directorul este de obicei legat de datele utilizatorului și o listă de resurse care pot fi contactate în rețea.
Deci, trebuie să arate două tipuri de directoaredupă pe o rețea: unul listează persoane, iar celălalt listează echipamentele. În acest ghid vom cerceta diferitele sisteme de directoare care funcționează frecvent în rețele astăzi.
Formatul de stocare a directorilor
Orice listă de date poate fi păstrată pe un computer dinforma unui fișier sau într-o bază de date. Sistemele de director timpuriu au fost bazate pe fișiere. Cu toate acestea, dezvoltarea sistemelor de gestionare a bazelor de date a făcut opțiunea bazei de date mai eficientă. Bazele de date sunt mai ușor și mai rapid de căutat și limbajele de interogare utilizate pentru ele (de obicei SQL) permit operatorilor booleeni (ȘI, SAU, NU, DIVIDE, TIMPURI, SELECTE, PROIECT) să fie incluse în căutări.
Proceduri de acces la directoare
Utilizarea unui sistem de directoare care se bazează pe unProtocolul disponibil deschis este de preferat să cumpere într-un sistem proprietar care folosește propriile sale formate de comunicare. Serviciile de director necesită două componente de bază, care sunt un client și un server. Serverul este programul care deține baza de date și gestionează accesul la date. Clientul este de obicei încorporat într-o interfață care fie afișează datele preluate, permite modificarea datelor respective, fie permite efectuarea acțiunilor condiționate la primirea informațiilor respective.
Dacă alegeți să instalați un sistem de director carese bazează pe protocoale universale, veți putea „amesteca și potrivi” sistemele client și server, deoarece li se va garanta că vor putea interacționa unul cu celălalt indiferent de cine le-a scris. Mai mult, informațiile conținute în directoarele de rețea pot fi exploatate prin instrumente de monitorizare și raportare a activității, cum ar fi sistemele de detectare a intruziunilor (IDS). Instalarea unui manager de directoare care implementează un protocol utilizat frecvent asigură că informațiile conținute în respectivele directoare vor fi accesibile pachetelor de monitorizare și control al resurselor utilizatorilor.
Protocolul de acces ușor la director (LDAP)
LDAP este un protocol de servicii care a fost largimplementat ca mecanism de acces la o gamă largă de directoare de rețea. O serie de sisteme de directoare de rețea care sunt enumerate aici mai jos utilizează proceduri LDAP.
Deoarece este un protocol și nu un software,nu puteți cumpăra LDAP și nu îl puteți instala. Mai degrabă, ați achiziționa și rula un program care implementează regulile LDAP. Un protocol conține o listă de standarde și proceduri de lucru care vor atinge un obiectiv, deci protocolul în sine nu depinde de sistemul de operare. Asta înseamnă că oricine poate dezvolta o implementare LDAP pentru Windows, Linux, Unix sau orice alt sistem de operare.
Un element important al definiției LDAP estecă stabilește un limbaj de comandă care permite clienților să comunice cu serverul LDAP. Deoarece standardul este disponibil public, oricine îl poate folosi pentru a crea o aplicație care interacționează cu un server LDAP. Aceasta înseamnă că LDAP poate fi integrat în software-ul comercial și poate fi integrat și în orice program personalizat pe care îl puteți dezvolta. Această flexibilitate și universalitate a făcut din LDAP standardul de facto pentru procedura de operare a serviciilor de director.
LDAP este utilizat pentru toate serverele DNS (Serviciul de nume de domeniu), astfel încât să folosiți sistemul LDAP în mod regulat în rețeaua dvs., indiferent dacă vă dați seama sau nu.
OpenLDAP
După cum sugerează și numele, OpenLDAP este cel mai purimplementarea sistemului LDAP pe care îl veți găsi. Aceasta este o bibliotecă de proceduri care poate fi integrată în alte programe. OpenLDAP este un proiect open source și astfel oricine își poate accesa codul gratuit. Codul este de asemenea implementat de proiectul OpenLDAP ca biblioteci Java și astfel este posibil să accesăm sistemul prin interfețe GUI pe orice sistem de operare.
Deoarece acest pachet este o bibliotecă de cod, puțini administratori de rețea implementează direct procedura OpenLDAP. În schimb, ar trebui să aveți grijă de aplicațiile comerciale care afirmă utilizarea lor de OpenLDAP.
Director activ
Active Directory Microsoft a fost un sistem de gestionare a utilizatorilor, creat pentru Windows. A fost inventat în 1999 și a fost atât de bine planificat, încât este încă utilizat pe scară largă.
Active Directory păstrează o listă de utilizatori autorizațipentru o rețea. Este capabil să clasifice acei utilizatori în funcție de niveluri de permisiune, astfel încât un utilizator cu privilegii de administrator este recunoscut și permite accesul mai mare ca utilizatorii obișnuiți. Un beneficiu secundar al Active Directory este faptul că verifică și drepturile computerelor din rețea. Așadar, acesta este un serviciu de securitate excelent, deoarece se asigură că numai dispozitivele autorizate sunt conectate la rețea și doar utilizatorii autorizați se pot conecta pe computerele respective. Este posibil să blocați accesul la anumite echipamente la anumite grupuri de utilizatori și să rezervați acces la aplicații specifice celor cu drepturi de administrator.
Principala limitare a Active Directory este căse integrează numai cu alte produse Microsoft, deci nu îl puteți folosi pe Linux. De asemenea, nu este în măsură să controleze accesul la suite de productivitate non-Microsoft, cum ar fi Google Docs. Pe măsură ce lista serviciilor concurenților de succes și a sistemelor bazate pe cloud extinde capacitatea de utilizare a Active Directory scade.
Novell Directory Services (NDS)
Sistemul NDS a fost inventat pentru a furniza directorulservicii pentru rețele Novell Netware. Cu toate acestea, este de asemenea capabil să funcționeze pe rețele care nu au instalat Netware. Programul poate rula pe Windows, Sun Solaris și IBM OS / 390. Aceasta a fost o implementare timpurie a LDAP și astfel a devenit un reper pentru alte implementări de servicii de director. Utilizarea LDAP a indicat în special calea pentru dezvoltările ulterioare și a format un model pentru Active Directory.
Lista de control de acces (ACL)
ACL este un sistem rival de gestionare a accesului la LDAP. Deși nu este la fel de implementat pe scară largă ca LDAP, ACL este încă un sistem foarte cunoscut și a fost implementat de mai multe ori pentru a-l marca în industrie ca un serviciu de autentificare fiabil.
Sistemul ACL se bazează pe un format de stocare a datelorcare creează un arbore de atribute. În terminologia ACL, resursa protejată se numește „obiect”. Fiecărui obiect i se alocă o listă de utilizatori autorizați și, în funcție de tipul de obiect protejat, fiecărui utilizator i se atribuie una sau mai multe permisiuni.
ACL poate fi aplicat accesului sau rețelei de fișiereacces. ACL-urile bazate pe rețea pot fi utile pentru sistemele de prevenire a intruziunilor (IPS), deoarece controlează accesul la anumite adrese de gazdă și chiar pot bloca selectiv accesul la porturi. În rețele, drepturile de acces documentate de ACL sunt implementate pe switch-uri și routere.
ACL-urile moderne folosesc bazele de date SQL pentru permisiunemai degrabă stocare decât fișiere. Această avansare a făcut posibilă evoluția ACL dincolo de controalele de acces ale utilizatorilor către gestionarea grupurilor de utilizatori. Acest lucru simplifică administrarea permisiunilor de acces, în special în rețelele, în care ACL poate fi nevoie să se conecteze de fiecare dată la fiecare utilizator pentru a da acces chiar și la cerințele de bază ale resurselor unui utilizator tipic de la birou.
Identități și soluții de gestionare a accesului (IAM)
O categorie de utilități de rețea pe care s-ar putea să vinăÎn cazul investigării sistemelor de autentificare a utilizatorilor se găsesc soluții de gestionare a identității și accesului sau IAM-urilor. Acest termen descrie o soluție mai largă de autentificare a utilizatorului decât un serviciu de director. Cu toate acestea, un director sau chiar mai multe directoare se vor afla în centrul oricărui IAM. Așadar, atunci când faceți cumpărături pentru sisteme de acces și autentificare, vizați instrumente care au o misiune mult mai largă decât doar gestionarea directorilor. Cu toate acestea, fiți conștienți că aveți nevoie de serviciul de director din centrul IAM pentru a implementa un protocol deschis, cum ar fi LDAP, astfel încât accesul la directoare să fie disponibil și pentru alte aplicații de monitorizare.
Sugestii pentru servicii de director de rețea
Această listă prezintă câteva sugestii pentruaplicații pe care le-ați putea încerca ca servicii de directoare specifice în rețeaua dvs. Cu toate acestea, alte aplicații pe care le utilizați în mod regulat, un astfel de servere web sau manageri de adrese IP vor integra, de asemenea, servicii de director.
JumpCloud DaaS
Partea „DaaS” din numele acestui produs se referă„Director ca serviciu”. Aceasta este o emulație a termenului „software ca serviciu”. Serviciile software online, bazate pe cloud, folosesc programul SaaS / software ca termen de serviciu pentru a descrie configurația lor. Deci, numele JumpCloud vă spune instantaneu că este un serviciu online care livrează un server de directoare pe internet.
Acesta este un produs plătit care implementează ActiveDirector. Cu toate acestea, JumpCloud extinde funcțiile Active Directory la sistemele Unix și Linux, emulând AD cu o implementare LDAP pentru acele sisteme de operare. JumpCloud oferă o modalitate corectă de a face AD să funcționeze pentru toate resursele dvs. nu doar pentru cele furnizate de Microsoft. Nu trebuie să plătiți pentru JumpCloud DaaS dacă îl utilizați doar pentru maximum 10 utilizatori.
Rularea serviciilor de securitate pe internetcreează o componentă suplimentară care ar putea eșua și creează, de asemenea, o oportunitate suplimentară pentru hackeri de a vă intercepta traficul și de a vă parcurge procesele de autentificare. Din fericire, JumpCloud criptează toate comunicațiile dintre clientul dvs. și serverul deținut pe site-ul de la distanță JumpCloud.
Punerea AD pe web este o soluție interesantăpentru cei care nu utilizează multe resurse la fața locului, dar se bazează pe serverele cloud și SaaS pentru aplicațiile utilizatorilor. Modelul bazat pe cloud este, de asemenea, interesant pentru acele companii care au o mulțime de lucrători cu sediul acasă sau cu agenți, consultanți sau meșteri care lucrează tot timpul pe site-urile clienților.
JumpCloud DaaS este un exemplu de cât de tradiționalaplicațiile bazate pe site pot fi adaptate cu ușurință pentru livrare pe serverele la distanță și cum nu este niciodată prea târziu ca un inovator să vină și să reînnoiască sau să extindă funcționalitatea serviciilor consacrate.
AWS Directory Service
Amazon Web Services oferă o alternativă laJumpCloud DaaS. Aceasta este o altă implementare a Active Directory bazată pe cloud și este furnizată de unul dintre cei mai mari hitters din Cloud. Puteți alege să utilizați doar acest serviciu de director ca configurație curentă la fața locului sau să-l utilizați pentru a migra stocarea și software-ul către alte servicii AWS.
Spre deosebire de JumpCloud, serviciul Director AWS nu extinde funcțiile AD la Unix și Linux. Mai degrabă, aceasta este o implementare pură a Active Directory Microsoft care este găzduită pe Cloud.
Amazon nu oferă serviciul de director AWS pentrugratuit. Cu toate acestea, modelul de stabilire a prețurilor este foarte scalabil și se bazează pe o rată de un metru, care acoperă două domenii, cu o rată mai mică pentru fiecare domeniu suplimentar adăugat la plan. Nu este la fel de bun ca gratuit. Cu toate acestea, puteți încerca serviciul gratuit timp de 30 de zile.
389 Directory Directory
Site-ul 389 Directory Server susține căacest software este „întărit de utilizarea lumii reale”. Ca administrator de rețea întărit, probabil vă veți raporta la acea utilizare a cuvintelor. Acesta este un proiect open source și este un produs lipsit de caracter. Dacă nu sunteți bine să redactați singuri programele și nu vă place să vă combinați prin cod, vă va plăcea acest sistem de directoare. Pachetul include un font de testare GUI pentru mediile Gnome pentru a vă oferi ușurința de utilizare a punctelor și a clicurilor.
389 Directory Server este disponibil pentru Linux și este gratuit de utilizat. Procedurile serviciului sunt scrise în standardele LDAP, deci este ca Active Directory pentru Linux.
Directorul Apache
Dacă rulați un site web, este foarte probabil ca dvs.au, de asemenea, Apache Web Server. Directorul Apache este o implementare gratuită LDAP care este gestionată de aceeași organizație care se ocupă cu software-ul serverului web. Nu există o interoperabilitate strictă între Apache Directory și Apache Web Server - sunt două produse distincte. Cu toate acestea, faptul că vă bazați pe pachetul Web Server din Apache ar trebui să vă ofere încredere pentru a încerca directorul Apache, care este liber de utilizat.
Trebuie să descărcați și să instalați două piesesoftware pentru a avea o implementare completă a directorului Apache. Cu toate acestea, ambele sunt pe deplin conforme cu LDAP, astfel încât să puteți înlocui cu o altă aplicație, atât timp cât și pe baza LDAP. Modulul server se numește Apache DirectoryDS, iar clientul se numește Apache Directory Studio. Al doilea dintre aceste două pachete vă permite să vizualizați și să modificați înregistrările directoare care sunt păstrate pe server. Atât clientul cât și serverul sunt complet libere de utilizat și ambele rulează pe Windows, Unix, Linux și Mac OS.
FreeIPA
Ai citit mai devreme despre managementul identitățiisisteme (IMS) și FreeIPA sunt incluse pe această listă de servicii de director pe care să le încercați, deoarece este un exemplu bun de IMS. Nu trebuie să vă faceți griji cu privire la pierderea de bani, pentru a încerca această utilitate, deoarece este liber să o utilizați.
„IPA” înseamnă Identitate, Politică și Audit. Aceste trei priorități încapsulează procesele de autentificare de care aveți nevoie pentru rețeaua dvs. și pentru toate resursele dvs. IT. Așa cum am explicat mai sus, serviciile de director fac parte din sistemele IMS. În cazul FreeIPA, componenta serverului de director este asigurată de 389 Directory Server. Așadar, puteți alege să instalați 389 Directory Server pentru a obține o implementare LDAP, sau să vă extindeți serviciile de autentificare și controlul accesului, accesând un IMS complet cu FreeIPA.
FreeIPA este un proiect open source, așa că poțiexaminați codul pentru a vă asigura că nu există nicio procedură ascunsă de recoltare a datelor. Serviciul vă oferă opțiuni cu privire la metodologiile de autentificare pe care le implementați în cadrul IMS - Kerberos este o opțiune gratuită de tip open source disponibilă în această categorie de sarcini IMS.
Acest IMS rulează pe Unix sau Linux. Cu toate acestea, este de asemenea capabil să monitorizeze sistemele Windows și poate instala și monitoriza mediul Mac OS compatibil cu Unix. Conceptul FreeIPA colectează tehnologii preexistente, incluzând API-urile de programare Apache HTTP și Python pentru a furniza un IMS complet, bazat pe componente pe care le știți că sunt „împietrite de utilizarea lumii reale”.
Monitorizarea directoarelor de rețea
Avantajul folosirii unui director binecunoscutserviciul este că multe aplicații de monitorizare a sistemului pot exploata informațiile conținute în registrele de control al accesului la resurse pentru a vă gestiona și controla complet rețeaua și serviciile sale.
Există o serie de sisteme foarte utile de monitorizare a rețelei care exploatează datele directorului pentru a vă oferi un control complet asupra activităților rețelei dvs. Iată cele despre care trebuie să știți cu adevărat:
SolarWinds Server și aplicație Monitor (ÎNCERCARE GRATUITĂ)
Produsele SolarWinds funcționează pe Windows Server, decinu există nicio problemă de compatibilitate cu Active Directory. Ca sistem de monitorizare destinat mediilor Windows, SolarWinds s-a asigurat să construiască monitorizarea Active Directory în acest instrument. Înregistrările AD din rețeaua dvs. permit monitorului să eticheteze încărcarea serverului în funcție de cererea utilizatorului și, de asemenea, să urmărească acea activitate prin intermediul rețelei, dacă aveți, de asemenea, instalat NetFlow Traffic Analyzer și User Device Tracker.
SolarWinds produce o serie de resurseutilitățile de monitorizare și toate acestea sunt scrise pe o platformă comună, numită Orion. Aceasta permite fiecărui modul pe care îl instalați să interacționeze cu celelalte produse SolarWinds pe care le aveți pe server. Modulul PerfStack al serverului și al monitorului de aplicații funcționează cel mai bine dacă aveți monitoare de rețea instalate, precum monitorul de performanță al rețelei SolarWinds. Acest lucru se datorează faptului că PerfStack arată fiecare nivel al stivei de servicii împreună, astfel încât să puteți identifica rapid unde există cu adevărat probleme de performanță.
User Device Tracker exploatează în specialinformații pe care le dețineți în Active Directory pentru a informa celelalte monitoare din suita despre originea încărcării resurselor. Urmăritorul vă ajută să observați încălcările de securitate, iar Monitorizarea performanței rețelei și NetFlow Traffic Analyzer vă vor afișa trafic excesiv care ar putea semnifica activități intruse. Puteți obține oricare și toate aceste produse SolarWinds într-o încercare gratuită de 30 de zile.
Monitor de rețea PRTG
PRTG este o rețea, un server și unificatemonitor de aplicație Dacă preiați acest instrument, puteți alege să îl implementați la scară largă sau cât mai restrâns doriți, deoarece domeniul său de aplicare este complet personalizabil. Sistemul PRTG este format din sute de senzori. Fiecare senzor trebuie activat, astfel încât, fără intervenția dvs., toate funcțiile sistemului vor rămâne în stare latentă. Un senzor se concentrează asupra unui aspect al serviciilor dvs. de rețea sau asupra unei singure resurse. De exemplu, există un senzor Ping pentru monitorizarea traficului și există, de asemenea, o serie de senzori care exploatează directoarele dvs. LDAP pentru informații.
Paessler nu percepe taxa pentru PRTG doar dacăactivează până la 100 de senzori. Deci, puteți folosi doar instrumentul ca monitor Active Directory. În timp ce utilitarul urmărește activitățile dvs. AD, aveți și spațiu în acea ofertă de servicii gratuite pentru a monitoriza câteva activități din rețeaua dvs. Ați putea activa senzorii SNMP și NetFlow pentru a obține feedback despre traficul de rețea sau puteți alege să activați monitoarele de port sau senzorii de stare a serverului.
Dacă doriți să utilizați mai mult de doar 100 de senzori, puteți obține PRTG la o probă gratuită de 30 de zile. PRTG se instalează în mediul Windows Server.
ManageEngine ADAudit Plus
ManageEngine produce o suită excelentămonitoare de resurse care rulează pe Windows sau Linux. În stabila ManageEngine, veți găsi o serie de instrumente special adaptate monitorizării Active Directory. ADAudit Plus este una dintre aceste utilități. Acest instrument vă va ajuta să administrați AD-ul prin interfața ManageEngine și va urmări, de asemenea, toate activitățile utilizatorului, inclusiv conectarea și deconectarea. Acest lucru vă va ajuta să localizați activitățile ilogice ale utilizatorului și încercările excesive de autentificare care pot indica prezența intrusului.
ADAudit Plus este bogat în caracteristici și includefacilități de urmărire și raportare. Îl puteți obține într-un proces gratuit de 30 de zile. Dacă nu vi se pare că plătiți după perioada de încercare, puteți opta pentru versiunea gratuită a acestui instrument ManageEngine. ManageEngine oferă o serie de instrumente gratuite pentru Active Directory, inclusiv Instrumentul de interogare Active Director, CSV Generator, care extrage înregistrări AD, Last Login Reporter și AD Replication Manager, printre altele.
Servicii de director
Aveți o mulțime de opțiuni atunci când începeți să faceți cumpărături pentru servicii de director de rețea. Sperăm că acest ghid v-a oferit un punct de plecare pentru căutarea dvs.
Utilizați oricare dintre utilitățile menționate în acest ghid? Preferiți un instrument pe care nu l-am acoperit aici? Lasă un mesaj în secțiunea Comentarii de mai jos pentru a împărtăși cunoștințele cu comunitatea.
Comentarii