„Adresár“ je bežný pojem pri výpočte tohto stavumôže znamenať celý rad vecí. V sieti je však adresár zvyčajne spojený s užívateľskými údajmi a zoznamom zdrojov, ktoré je možné kontaktovať v sieti.
Existujú teda dva typy adresárov, ktoré treba hľadaťpotom v sieti: jeden zoznam ľudí a druhý zoznam zariadení. V tejto príručke budeme skúmať rôzne adresárové systémy, ktoré sa dnes v sieťach bežne používajú.
Formát úložiska adresárov
Akýkoľvek zoznam údajov sa môže uchovávať na počítači v systéme Windowsvo forme súboru alebo v databáze. Počiatočné adresárové systémy boli založené na súboroch. Vývoj systémov správy databáz však zefektívnil možnosti databázy. Databázy sa ľahšie a rýchlejšie prehľadávajú a jazyky dotazov, ktoré sa pre ne používajú (zvyčajne SQL), umožňujú zahrnúť do vyhľadávaní booleovské operátory (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT).
Postupy prístupu k adresárom
Využíva adresárový systém, ktorý sa spolieha naotvorene dostupný protokol je výhodnejší ako nákup v proprietárnom systéme, ktorý používa svoje vlastné komunikačné formáty. Adresárové služby vyžadujú dve základné komponenty, ktorými sú klient a server. Server je program, ktorý uchováva databázu a riadi prístup k údajom. Klient je zvyčajne zabudovaný do rozhrania, ktoré buď zobrazuje načítané údaje, umožňuje ich zmenu, alebo umožňuje vykonávanie akcií podmienečne po prijatí týchto informácií.
Ak sa rozhodnete nainštalovať adresárový systém, ktorýje založený na univerzálnych protokoloch, budete môcť „kombinovať“ klientske a serverové systémy, pretože bude zaručené, že budú môcť navzájom komunikovať bez ohľadu na to, kto ich napísal. Informácie obsiahnuté v sieťových adresároch môžu byť navyše využité nástrojmi na monitorovanie a podávanie správ o činnosti, ako sú systémy detekcie narušenia (IDS). Inštalácia adresárového manažéra, ktorý implementuje bežne používaný protokol, zaisťuje, že informácie obsiahnuté v týchto adresároch budú prístupné pre tieto balíčky monitorovania používateľov a riadenia prostriedkov.
Protokol ľahkého adresárového prístupu (LDAP)
LDAP je servisný protokol, ktorý bol široko rozšírenýimplementovaný ako prístupový mechanizmus k širokej škále sieťových adresárov. Niektoré systémy sieťového adresára, ktoré sú uvedené nižšie, používajú postupy LDAP.
Keďže ide o protokol a nie o softvér,nemôžete si kúpiť LDAP a nainštalovať ho. Skôr by ste získali a spustili program, ktorý implementuje pravidlá LDAP. Protokol uvádza zoznam noriem a pracovných postupov, ktoré dosiahnu cieľ, takže samotný protokol nezávisí od operačného systému. To znamená, že ktokoľvek môže vyvinúť implementáciu LDAP pre Windows, Linux, Unix alebo akýkoľvek iný operačný systém.
Dôležitým prvkom definície LDAP ježe nastavuje jazyk príkazov, ktorý umožňuje klientom komunikovať so serverom LDAP. Keďže je norma verejne dostupná, ktokoľvek ju môže použiť na vytvorenie aplikácie, ktorá interaguje so serverom LDAP. To znamená, že protokol LDAP sa dá integrovať do komerčného softvéru a tiež ho možno integrovať do akéhokoľvek vlastného zákazníckeho programu, ktorý by ste mohli vyvinúť. Táto flexibilita a univerzálnosť urobili LDAP de facto štandardom pre operačný postup adresárových služieb.
LDAP sa používa pre všetky servery DNS (Domain Name Service), takže systém LDAP budete vo vašej sieti pravidelne využívať, či už si to uvedomujete alebo nie.
OpenLDAP
Ako už názov napovedá, OpenLDAP je najčistejšíimplementácia systému LDAP, ktorý nájdete. Toto je knižnica postupov, ktoré je možné integrovať do iných programov. OpenLDAP je projekt s otvoreným zdrojovým kódom, takže k nemu môže mať každý prístup zadarmo. Tento kód je implementovaný aj projektom OpenLDAP ako knižnice Java, takže je možné pristupovať k systému prostredníctvom rozhraní GUI na ľubovoľnom operačnom systéme.
Pretože tento balík predstavuje knižnicu kódu, len málo správcov siete implementuje postup OpenLDAP priamo. Namiesto toho by ste mali hľadať komerčné aplikácie, v ktorých sa uvádza použitie OpenLDAP.
Aktívny adresár
Aktívny adresár spoločnosti Microsoft bol prelomovým systémom správy používateľov, ktorý bol vytvorený pre Windows. Bol vynájdený v roku 1999 a bol tak dobre naplánovaný, že sa stále používa.
Služba Active Directory vedie zoznam oprávnených používateľovpre sieť. Je schopný kategorizovať týchto používateľov podľa úrovní oprávnení, takže používateľ s oprávneniami správcu je rozpoznaný a má väčší prístup ako bežní používatelia. Druhou výhodou služby Active Directory je to, že kontroluje aj práva počítačov v sieti. Je to vynikajúca bezpečnostná služba, pretože zaisťuje, že k sieti sú pripojené iba autorizované zariadenia a na týchto počítačoch sa môžu prihlásiť iba autorizovaní používatelia. Je možné zablokovať prístup k niektorému zariadeniu určitým skupinám používateľov a vyhradiť prístup k špecifickým aplikáciám tým, ktorí majú oprávnenie správcu.
Hlavným obmedzením služby Active Directory je tointegruje sa iba s inými produktmi spoločnosti Microsoft, takže ich nemôžete používať v systéme Linux. Taktiež nie je schopný riadiť prístup k balíkom produktivity iných ako Microsoft, ako sú napríklad Dokumenty Google. Ako sa zoznam úspešných konkurenčných služieb a cloudových systémov rozširuje, použiteľnosť služby Active Directory sa znižuje.
Novell Directory Services (NDS)
Systém NDS bol vynájdený, aby poskytoval adresárslužby pre siete Novell Netware. Môže však fungovať aj v sieťach, ktoré nemajú nainštalovaný program Netware. Softvér je možné spustiť na Windows, Sun Solaris a IBM OS / 390. Bola to včasná implementácia LDAP, a tak sa stala referenčným bodom pre ďalšie implementácie adresárových služieb. Jeho použitie LDAP konkrétne nasmerovalo cestu pre ďalší vývoj a vytvorilo model pre Active Directory.
Zoznam kontroly prístupu (ACL)
ACL je konkurenčný systém riadenia prístupu k LDAP. Aj keď nie je tak široko implementovaný ako LDAP, ACL je stále veľmi dobre známy systém a bol implementovaný dosť často na to, aby bol v priemysle označený ako spoľahlivá autentifikačná služba.
Systém ACL sa spolieha na formát ukladania údajovktorý vytvára strom atribútov. V terminológii ACL sa prostriedok, ktorý je chránený, nazýva „objekt“. Každému objektu je pridelený zoznam povolených používateľov av závislosti od typu chráneného objektu je každému používateľovi pridelené jedno alebo viac povolení.
ACL možno použiť na prístup k súborom alebo do sietePrístup. Sieťové ACL môžu byť užitočné pre systémy na zabránenie vniknutia (IPS), pretože riadia prístup k špecifickým adresám hostiteľa a môžu dokonca selektívne blokovať prístup k portom. V sieťach sú prístupové práva zdokumentované ACL implementované do prepínačov a smerovačov.
Moderné ACL používajú na povolenie databázy SQLukladanie namiesto súborov. Tento pokrok tiež umožnil ACL vyvíjať sa nad rámec kontroly prístupu používateľov k správe skupín používateľov. Toto zjednodušuje správu prístupových povolení, najmä v sieťach, kde ACL môže potrebovať mnohokrát prihlásiť každého používateľa, aby poskytol prístup k základným požiadavkám na zdroje typického kancelárskeho používateľa.
Riešenia správy identít a prístupu (IAM)
Kategória sieťového nástroja, ktorý by mohol prísťpri skúmaní systémov overovania používateľov sú riešeniami Identity and Access Management Solutions alebo IAM. Tento výraz popisuje širšie riešenie autentifikácie používateľa ako iba adresárovú službu. Jadrom každého IAM však bude adresár alebo dokonca niekoľko adresárov. Preto pri nakupovaní prístupových a autentifikačných systémov zamerajte sa na nástroje, ktoré majú oveľa širšie právomoci ako len správa adresárov. Uvedomte si však, že na implementáciu otvoreného protokolu, ako je napríklad LDAP, potrebujete adresárovú službu v jadre IAM, aby prístup k adresárom bol k dispozícii aj pre ďalšie monitorovacie aplikácie.
Návrhy na služby sieťových adresárov
Tento zoznam obsahuje niekoľko návrhov preaplikácií, ktoré by ste mohli vyskúšať ako konkrétne adresárové služby vo vašej sieti. Ostatné aplikácie, ktoré pravidelne používate, napríklad webové servery alebo správcovia IP adries, budú tiež integrovať adresárové služby.
JumpCloud DaaS
Názov produktu „DaaS“ znamená„Adresár ako služba.“ Toto je emulácia pojmu „softvér ako služba“. Softvérové služby založené na cloude používajú softvér SaaS / softvér ako pojem služby na opis ich konfigurácie. Meno JumpCloud vám teda okamžite povie, že ide o online službu dodávajúcu adresárový server cez internet.
Toto je platený produkt, ktorý implementuje ActiveDirectory. JumpCloud však rozširuje možnosti Active Directory na systémy Unix a Linux tým, že emuluje AD s implementáciou LDAP pre tieto operačné systémy. JumpCloud ponúka úhľadný spôsob, ako začať pracovať s AD pre všetky vaše zdroje, nielen pre zdroje poskytované spoločnosťou Microsoft. Za program JumpCloud DaaS nemusíte platiť, ak ho používate iba pre 10 používateľov.
Prevádzkovanie bezpečnostných služieb cez internetvytvára ďalšiu súčasť, ktorá by mohla zlyhať, a tiež vytvára ďalšiu príležitosť pre hackerov, aby vás zachytili a prenikli do procesov autentifikácie. Našťastie JumpCloud šifruje všetku komunikáciu medzi vašim klientom a serverom, ktorá sa nachádza na vzdialenom serveri JumpCloud.
Uvádzanie reklamy na web je zaujímavým riešenímpre tých, ktorí nevyužívajú veľa miestnych zdrojov, ale spoliehajú sa na cloudové servery a SaaS pre užívateľské aplikácie. Cloudový model je zaujímavý aj pre tie podniky, ktoré majú veľa pracovníkov z domova, alebo s agentmi, konzultantmi alebo remeselníkmi, ktorí neustále pracujú na klientskych stránkach.
JumpCloud DaaS je príkladom toho, ako tradičnéwebové aplikácie sa dajú ľahko prispôsobiť na doručovanie na vzdialené servery a ako nikdy nie je neskoro na to, aby inovátor prišiel a vylepšil alebo rozšíril funkčnosť zavedených služieb.
AWS Directory Service
Webové služby Amazon ponúkajú alternatívu kJumpCloud DaaS. Toto je ďalšia implementácia služby Active Directory v cloude a poskytuje ju jeden z veľkých hitterov cloudu. Môžete si vybrať, či chcete túto adresárovú službu použiť iba ako svoje aktuálne nastavenie na mieste, alebo ju môžete použiť na migráciu svojho úložiska a softvéru na iné služby AWS.
Na rozdiel od služby JumpCloud adresárová služba AWS nerozširuje možnosti služby AD na systémy Unix a Linux. Ide skôr o čistú implementáciu Microsoft Active Directory, ktorá je hosťovaná v službe Cloud.
Amazon nenabízí adresárovú službu AWS pre doménuzadarmo. Cenový model je však veľmi škálovateľný a je založený na hodinovej sadzbe, ktorá pokrýva dve domény, s nižšou sadzbou pre každú ďalšiu doménu pridanú do plánu. To nie je také dobré ako bezplatné. Službu však môžete vyskúšať zadarmo po dobu 30 dní.
389 Adresárový server
Webové stránky 389 Directory Server tvrdia, žetento softvér je „tvrdený používaním v reálnom svete“. Ako správca tvrdenej siete sa pravdepodobne budete zaoberať týmto používaním slov. Toto je projekt s otvoreným zdrojovým kódom a je produktom bez ozdôb. Ak ste v poriadku pri zostavovaní programov sami a nevadí vám prečítať kód, tento adresárový systém sa vám bude páčiť. Balík obsahuje grafické rozhranie GUI pre prostredia Gnome, ktoré vám umožňujú jednoduché použitie jednoduchým spôsobom.
Adresárový server 389 je k dispozícii pre Linux a je zadarmo ho používať. Procedúry služby sú napísané podľa štandardov LDAP, takže je to ako služba Active Directory pre Linux.
Adresár Apache
Ak prevádzkujete webovú stránku, je veľmi pravdepodobné, že aj vytiež majú webový server Apache. Apache Directory je bezplatná implementácia LDAP, ktorú spravuje rovnaká organizácia, ktorá spravuje softvér webového servera. Medzi adresárom Apache a webovým serverom Apache neexistuje žiadna prísna interoperabilita - sú to dva odlišné produkty. Skutočnosť, že sa spoliehate na balík webového servera od spoločnosti Apache, by vám však mala dať dôveru pri vyskúšaní adresára Apache, ktorý môžete používať zadarmo.
Musíte si stiahnuť a nainštalovať dve častisoftvér pre úplnú implementáciu adresára Apache. Obidve sú však plne kompatibilné s protokolom LDAP, takže môžete nahradiť buď inú aplikáciu, ak je založená aj na protokole LDAP. Serverový modul sa nazýva Apache DirectoryDS a klient sa nazýva Apache Directory Studio. Druhý z týchto dvoch balíkov vám umožňuje prezerať a meniť záznamy adresárov, ktoré sa nachádzajú na serveri. Klient aj server sú úplne zadarmo a obe sú prevádzkované na Windows, Unix, Linux a Mac OS.
FreeIPA
Skôr ste čítali o správach identitysystémy (IMS) a FreeIPA sú súčasťou tohto zoznamu adresárových služieb, ktoré je možné vyskúšať, pretože je to dobrý príklad IMS. Nemusíte sa obávať, že zbytočne míňate peniaze na vyskúšanie tohto nástroja, pretože ho môžete používať zadarmo.
„IPA“ znamená identita, politika a audit. Tieto tri priority zapuzdrujú procesy autentifikácie, ktoré potrebujete pre svoju sieť a všetky vaše zdroje IT. Ako je vysvetlené vyššie, adresárové služby sú súčasťou systémov IMS. V prípade FreeIPA poskytuje komponent adresárového servera 389 Directory Server. Môžete sa teda rozhodnúť nainštalovať adresárový server 389, aby ste získali implementáciu LDAP, alebo rozšíriť svoje autentifikačné služby a riadenie prístupu pomocou úplnej IMS s FreeIPA.
FreeIPA je projekt s otvoreným zdrojom, takže môžetepreskúmajte kód a uistite sa, že v ňom nie sú žiadne skryté postupy zberu údajov. Táto služba vám poskytuje možnosti týkajúce sa metodík autentifikácie, ktoré implementujete v rámci IMS - Kerberos je dobrá voľba otvoreného zdroja, ktorá je k dispozícii v tejto kategórii úloh IMS.
Tento IMS beží na Unixe alebo Linuxe. Je však tiež schopný monitorovať systémy Windows a môže tiež inštalovať a monitorovať prostredie Mac OS kompatibilné s Unixom. Koncept FreeIPA zhromažďuje už existujúce technológie vrátane programovacích rozhraní API Apache HTTP Server a Python, aby poskytoval kompletný IMS, ktorý je založený na komponentoch, o ktorých viete, že sú „utužené skutočným použitím“.
Monitorovanie sieťového adresára
Výhoda použitia známeho adresáraSlužba je, že mnoho aplikácií na monitorovanie systému môže využívať informácie obsiahnuté vo vašich záznamoch o riadení prístupu k prostriedkom, aby úplne spravovalo a riadilo vašu sieť a jej služby.
Existuje niekoľko veľmi užitočných monitorovacích systémov siete, ktoré využívajú údaje adresárov, aby vám mohli získať úplnú kontrolu nad činnosťami vašej siete. Tu sú tie, o ktorých naozaj potrebujete vedieť:
Monitor serverov a aplikácií SolarWinds (SKÚŠKA ZADARMO)
Produkty SolarWinds fungujú na systéme Windows Servernie je problém s kompatibilitou s Active Directory. Ako monitorovací systém určený pre prostredie Windows zabezpečil SolarWinds zabudovanie monitorovania Active Directory do tohto nástroja. Záznamy AD vo vašej sieti umožňujú monitoru označovať zaťaženie servera podľa požiadaviek používateľov a tiež sledovať túto aktivitu v sieti, ak máte nainštalovaný aj podnikový analyzátor NetFlow a zariadenie na sledovanie používateľských zariadení.
SolarWinds produkuje celý rad zdrojovmonitorovacie nástroje a všetky sú napísané na spoločnej platforme s názvom Orion. To umožňuje každému nainštalovanému modulu interagovať s ostatnými produktmi SolarWinds, ktoré máte spustené na serveri. Modul PerfStack servera a aplikačného monitora funguje najlepšie, ak máte nainštalované aj sieťové monitory, napríklad monitor výkonu siete SolarWinds. Je to preto, že PerfStack zobrazuje každú úroveň zásobníka služieb spoločne, takže môžete rýchlo zistiť, kde skutočne existujú problémy s výkonom.
Používateľ Device Tracker využíva najmäinformácie, ktoré máte v službe Active Directory, aby ste informovali ostatných monitorov v sérii o pôvode načítania prostriedkov. Sledovač vám pomôže zistiť narušenia bezpečnosti a program Sledovanie výkonu siete a analyzátor prenosu NetFlow vám ukážu nadmernú komunikáciu, ktorá by mohla označovať aktivity narušiteľa. Ktorýkoľvek z týchto produktov SolarWinds môžete získať 30-dňovou bezplatnou skúšobnou verziou.
Monitor siete PRTG
PRTG je zjednotená sieť, server amonitor aplikácií. Ak sa rozhodnete pre tento nástroj, môžete sa rozhodnúť implementovať ho tak široko alebo úzko, ako sa vám páči, pretože jeho rozsah je úplne prispôsobiteľný. Systém PRTG sa skladá zo stoviek senzorov. Každý senzor musí byť aktivovaný, takže bez vášho zásahu zostanú všetky možnosti systému pozastavené. Senzor sa zameriava na jeden aspekt vašich sieťových služieb alebo na jeden zdroj. Napríklad je k dispozícii snímač Ping na monitorovanie dopravy a existuje tiež rad senzorov, ktoré využívajú vaše adresáre LDAP na informáciu.
Paessler neúčtuje poplatky za PRTG, iba akaktivovať až 100 senzorov. Tento nástroj by ste teda mohli použiť iba ako monitor služby Active Directory. Aj keď máte pomocný program na sledovanie vašich aktivít v oblasti AD, v rámci bezplatnej ponuky služieb máte tiež priestor na sledovanie niekoľkých ďalších aktivít vo vašej sieti. Mohli by ste aktivovať senzory SNMP a NetFlow, aby ste získali spätnú väzbu o sieťovej premávke, alebo zvoliť aktiváciu monitorov portov alebo senzorov stavu servera.
Ak chcete používať viac ako 100 senzorov, môžete získať PRTG na 30-dňovú bezplatnú skúšobnú verziu. Inštalácia PRTG v prostredí Windows Server.
SpravovaťEngine ADAudit Plus
ManageEngine produkuje sadu vynikajúcichmonitory prostriedkov, ktoré bežia na Windows alebo Linux. V stajni ManageEngine nájdete množstvo nástrojov, ktoré sú špeciálne prispôsobené na monitorovanie služby Active Directory. ADAudit Plus je jedným z týchto nástrojov. Tento nástroj vám pomôže spravovať AD prostredníctvom rozhrania ManageEngine a bude tiež sledovať všetky činnosti používateľov vrátane prihlásenia a odhlásenia. Pomôže vám to zistiť nelogickú aktivitu používateľov a nadmerné pokusy o prihlásenie, ktoré môžu naznačovať prítomnosť narušiteľa.
ADAudit Plus je bohatý na funkcie a obsahujezariadenia na sledovanie a podávanie správ. Môžete ho získať v 30-dňovej bezplatnej skúšobnej verzii. Ak sa po skúšobnej dobe nechcete platiť, môžete si zvoliť bezplatnú verziu tohto nástroja ManageEngine. ManageEngine ponúka množstvo bezplatných nástrojov služby Active Directory, medzi inými vrátane nástroja Active Director Query Tool, generátora CSV, ktorý extrahuje okrem iného záznamy AD, posledného prihlásenia a manažéra replikácie AD.
Adresárové služby
Keď začnete nakupovať služby sieťového adresára, máte veľa možností. Dúfame, že vám táto príručka poskytla východiskový bod pre vaše vyhľadávanie.
Používate niektorý z pomocných programov uvedených v tejto príručke? Uprednostňujete nástroj, ktorý sme tu nezaoberali? Zanechajte odkaz v sekcii Komentáre nižšie a podeľte sa o svoje znalosti s komunitou.
Komentáre