"Katalog" är en vanlig term för att beräkna detkan betyda en rad saker. Men i nätverk är katalogen vanligtvis relaterad till användardata och en lista med resurser som kan kontaktas i nätverket.
Så det finns två typer av kataloger att titta påefter i ett nätverk: den ena listar människor, och den andra visar utrustning. I den här guiden undersöker vi de olika katalogsystemen som vanligtvis används i nätverk idag.
Kataloglagringsformat
Varje lista med data kan lagras på en dator iform av en fil eller i en databas. Tidiga katalogsystem var filbaserade. Utvecklingen av databashanteringssystem gjorde dock databasalternativet mer effektivt. Databaser är lättare och snabbare att söka igenom och frågespråken som används för dem (vanligtvis SQL) gör det möjligt att inkludera booleska operatörer (OCH, ELLER, INTE, DIVID, TID, VÄLJ, PROJEKT) i sökningarna.
Förfaranden för katalogåtkomst
Använder ett katalogsystem som är beroende av ettett öppet tillgängligt protokoll är att föredra framför att köpa in ett proprietärt system som använder sina egna kommunikationsformat. Katalogtjänster kräver två grundläggande komponenter, som är en klient och en server. Servern är det program som har databasen och hanterar åtkomst till data. Klienten är vanligtvis inbäddad i ett gränssnitt som antingen visar hämtad data, tillåter att data ändras eller gör att åtgärder kan utföras villkorat efter mottagande av den informationen.
Om du väljer att installera ett katalogsystem sombaseras på universella protokoll, kommer du att kunna "blanda och matcha" klienten och serversystemen eftersom de garanteras att kunna interagera med varandra oavsett vem som skrev dem. Dessutom kan informationen i nätverkskatalogerna utnyttjas genom övervaknings- och aktivitetsrapporteringsverktyg, till exempel system för intrångsdetektering (IDS). Att installera en kataloghanterare som implementerar vanligt använt protokoll säkerställer att informationen i dessa kataloger är tillgänglig för användarövervakning och resurskontrollpaket.
Lättviktskatalogåtkomstprotokoll (LDAP)
LDAP är ett tjänsteprotokoll som har varit stortimplementerad som åtkomstmekanism till ett brett spektrum av nätverkskataloger. Ett antal nätverkskatalogsystem som listas nedan använder LDAP-procedurer.
Eftersom det är ett protokoll och inte en mjukvara,du kan inte köpa LDAP och installera det. Snarare skulle du skaffa och köra ett program som implementerar LDAP-reglerna. Ett protokoll beskriver en lista över standarder och arbetsrutiner som kommer att uppnå ett mål, så att protokollet i sig inte är operativsystemberoende. Det betyder att vem som helst kan utveckla en LDAP-implementering för Windows, Linux, Unix eller något annat operativsystem.
Ett viktigt element i LDAP-definitionen äratt det anger ett kommandospråk som gör det möjligt för kunder att kommunicera med LDAP-servern. Eftersom standarden är allmänt tillgänglig kan vem som helst använda den för att skapa en applikation som interagerar med en LDAP-server. Detta innebär att LDAP kan integreras i kommersiell mjukvara och också kan integreras i alla egna anpassade program som du kan utveckla. Denna flexibilitet och universalitet har gjort LDAP till de facto standard för driftproceduren för katalogtjänster.
LDAP används för alla DNS-servrar (Domain Name Service) så du kommer att anställa LDAP-systemet regelbundet i ditt nätverk, oavsett om du inser det eller inte.
OpenLDAP
Som namnet antyder är OpenLDAP det renasteimplementering av LDAP-systemet som du hittar. Detta är ett bibliotek med procedurer som kan integreras i andra program. OpenLDAP är ett projekt med öppen källkod och så kan alla få tillgång till dess kod gratis. Koden implementeras också av OpenLDAP-projektet som Java-bibliotek och så det är möjligt att komma åt systemet via GUI-gränssnitt på alla operativsystem.
Eftersom detta paket är ett bibliotek med kod implementerar få nätverksadministratörer OpenLDAP-proceduren direkt. Istället bör du leta efter kommersiella applikationer som anger deras användning av OpenLDAP.
Aktiv katalog
Microsofts Active Directory var ett banbrytande användarhanteringssystem, skapat för Windows. Det uppfanns 1999 och var så bra planerat att det fortfarande används i stor utsträckning.
Active Directory har en lista över godkända användareför ett nätverk. Det kan kategorisera dessa användare efter behörighetsnivåer, så en användare med administratörsbehörighet känns igen och ger större åtkomst till vanliga användare. En sekundär fördel med Active Directory är att den också kontrollerar datorns rättigheter i nätverket. Så detta är en bra säkerhetstjänst eftersom den ser till att endast godkända enheter är anslutna till nätverket och att endast godkända användare kan logga in på dessa datorer. Det är möjligt att blockera åtkomst till viss utrustning till vissa användargrupper och reservera åtkomst till specifika applikationer till dem med administratörsrättigheter.
Den huvudsakliga begränsningen för Active Directory är detden integreras bara med andra Microsoft-produkter, så du kan inte använda den på Linux. Dessutom kan den inte kontrollera åtkomsten till produktivitetssviter som inte är Microsoft, till exempel Google Docs. När listan över framgångsrika konkurrerartjänster och molnbaserade system utökas minskar användbarheten för Active Directory.
Novell Directory Services (NDS)
NDS-systemet uppfanns för att tillhandahålla katalogtjänster till Novell Netware-nätverk. Men det kan också fungera i nätverk som inte har Netware installerat. Programvaran kan köras på Windows, Sun Solaris och IBM OS / 390. Detta var en tidig implementering av LDAP och så blev det ett riktmärke för andra implementering av katalogtjänster. Dess användning av LDAP visade särskilt vägen för senare utveckling och bildade en modell för Active Directory.
Lista över åtkomstkontroller (ACL)
ACL är ett konkurrerande åtkomsthanteringssystem för LDAP. Även om det inte är lika implementerat som LDAP, är ACL fortfarande ett mycket välkänt system och det har implementerats tillräckligt många gånger för att flagga det i branschen som en pålitlig autentiseringstjänst.
ACL-systemet är beroende av ett datalagringsformatsom skapar ett träd av attribut. I ACL-terminologi kallas resursen som skyddas för ett "objekt." Varje objekt tilldelas en lista med tillåtna användare och beroende på vilken typ av objekt som skyddas tilldelas varje användare en eller flera behörigheter.
ACL kan tillämpas på filåtkomst eller nätverktillgång. Nätverksbaserade ACL: er kan vara användbara för intrångsförebyggande system (IPS) eftersom de kontrollerar åtkomst till specifika värdadresser och till och med selektivt kan blockera åtkomst till portar. I nätverk implementeras de åtkomsträttigheter som dokumenteras av ACL på switchar och routrar.
Moderna ACL: er använder SQL-databaser för tillståndlagring snarare än filer. Detta framsteg gjorde det också möjligt för ACL att utvecklas utöver användaråtkomstkontroller till användargruppshantering. Detta förenklar administrationen av åtkomstbehörigheter, särskilt i nätverk, där ACL kan behöva logga in varje användare många gånger för att ge tillgång till även de grundläggande resurskraven för en typisk kontorsbaserad användare.
Identiteter och lösningar för hantering av åtkomst (IAM)
En kategori nätverksverktyg som du kanske kommernär man undersöker användarautentiseringssystem är Identity and Access Management Solutions, eller IAM: er. Denna term beskriver en bredare lösning för användarautentisering än bara en katalogtjänst. Men en katalog, eller till och med flera kataloger, kommer att ligga i hjärtat av alla IAM. Så när du handlar efter åtkomst- och autentiseringssystem ska du söka efter verktyg som har ett mycket större uppdrag än bara kataloghantering. Tänk dock på att du behöver katalogtjänsten i kärnan i IAM för att implementera ett öppet protokoll, till exempel LDAP, så att katalogåtkomst också blir tillgänglig för andra övervakningsprogram.
Förslag till nätverkskatalogtjänster
Den här listan presenterar några förslag tillapplikationer som du kan prova som specifika katalogtjänster i ditt nätverk. Men andra applikationer som du använder regelbundet, en sådan webbserver eller IP-adresshanterare kommer också att integrera katalogtjänster.
JumpCloud DaaS
"DaaS" -delen av produktens namn står för"Katalog som en tjänst." Detta är en emulering av termen "programvara som en tjänst." Online, molnbaserade mjukvarutjänster använder SaaS / programvaran som en serviceterm för att beskriva deras konfiguration. Så, JumpCloud namn säger direkt att det är en onlinetjänst som levererar en katalogserver via internet.
Detta är en betald produkt som implementerar ActiveDirectory. JumpCloud utökar emellertid Active Directory: s funktioner till Unix och Linux-system genom att emulera AD med en LDAP-implementering för dessa operativsystem. JumpCloud erbjuder ett snyggt sätt att få AD att arbeta för alla dina resurser, inte bara de som tillhandahålls av Microsoft. Du behöver inte betala för JumpCloud DaaS om du bara använder det för upp till 10 användare.
Kör säkerhetstjänster över internetskapar en extra komponent som kan misslyckas och det skapar också en extra möjlighet för hackare att fånga upp din trafik och bryta igenom dina autentiseringsprocesser. Lyckligtvis krypterar JumpCloud all kommunikation mellan din klient och servern som finns på JumpCloud-fjärrplatsen.
Att lägga till AD på webben är en intressant lösningför dem som inte använder många resurser på plats men förlitar sig på molnservrar och SaaS för användarapplikationer. Den molnbaserade modellen är också intressant för de företag som har många arbetare hemifrån, eller med agenter, konsulter eller hantverkare som arbetar på kundplatser hela tiden.
JumpCloud DaaS är ett exempel på hur traditionelltwebbplatsbaserade applikationer kan enkelt anpassas för leverans på fjärrservrar och hur det aldrig är för sent för en innovatör att komma in och förbättra eller utvidga funktionaliteten hos etablerade tjänster.
AWS Directory Service
Amazon Web Services erbjuder ett alternativ tillJumpCloud DaaS. Detta är en annan molnbaserad Active Directory-implementering och den tillhandahålls av en av molnens stora hittare. Du kan välja att bara använda den här katalogtjänsten som din nuvarande installation på plats, eller använda den för att migrera din lagring och programvara till andra AWS-tjänster.
Till skillnad från JumpCloud utvidgar AWS Directory Service inte funktionerna för AD till Unix och Linux. Snarare är detta en ren Microsoft Active Directory-implementering som är värd på Cloud.
Amazon erbjuder inte AWS Directory Service förfri. Prissättningsmodellen är emellertid mycket skalbar och baseras på en timmätare, som täcker två domäner, med en lägre hastighet för varje ytterligare domän som läggs till planen. Det här är inte lika bra som gratis. Du kan dock prova tjänsten gratis i 30 dagar.
389 Katalogserver
Webbplatsen för 389 Directory Server påstår detdenna programvara är "härdad av verklig användning." Som en härdad nätverksadministratör kommer du förmodligen att relatera till den användningen av ord. Detta är ett öppen källkodsprojekt och är en produkt utan krusiduller. Om du är OK när du ska kompilera programmen själv och inte bryr dig om att kombinera kod kommer du att älska det här katalogsystemet. Paketet innehåller ett GUI-teckensnitt för Gnome-miljöer för att ge dig enkel och snabb användarvänlighet.
389 Directory Server är tillgänglig för Linux och den är gratis att använda. Tillvägagångssätten för tjänsten är skrivna enligt LDAP-standarderna, så det här är som Active Directory för Linux.
Apache-katalogen
Om du driver en webbplats är det mycket troligt att du gör dethar också Apache webbserver. Apache Directory är en gratis LDAP-implementering som hanteras av samma organisation som kuraterar webbserverprogramvaran. Det finns ingen strikt interoperabilitet mellan Apache Directory och Apache Web Server - de är två distinkta produkter. Det faktum att du litar på webbserverpaketet från Apache bör dock ge dig förtroende för att prova Apache-katalogen, som är gratis att använda.
Du måste ladda ner och installera två delar avprogramvara för att ha en fullständig implementering av Apache Directory. Men båda är helt kompatibla med LDAP, så du kan ersätta antingen med en annan applikation, så länge det också är LDAP-baserat. Servermodulen heter Apache DirectoryDS och klienten heter Apache Directory Studio. Det andra av dessa två paket låter dig visa och ändra katalogposter som finns på servern. Både klienten och servern är helt gratis att använda och körs båda på Windows, Unix, Linux och Mac OS.
FreeIPA
Tidigare läste du om identitetshanteringsystems (IMS) och FreeIPA ingår i den här listan med katalogtjänster att försöka eftersom det är ett bra exempel på en IMS. Du behöver inte oroa dig för att slösa bort pengar och ge det här verktyget ett försök eftersom det är gratis att använda.
"IPA" står för Identitet, policy och revision. Dessa tre prioriteringar innehåller de autentiseringsprocesser som du behöver för ditt nätverk och alla dina IT-resurser. Som förklarats ovan är katalogtjänster en del av IMS-system. När det gäller FreeIPA tillhandahålls katalogserverkomponenten av 389 Directory Server. Så du kan välja att installera 389 Directory Server för att få en LDAP-implementering, eller utöka dina autentiseringstjänster och åtkomstkontroll genom att gå för en fullständig IMS med FreeIPA.
FreeIPA är ett öppen källkodsprojekt, så du kangranska koden för att se till att det inte finns några dolda procedurer för skörd av data som finns i. Tjänsten ger dig alternativ över de autentiseringsmetoder som du implementerar inom IMS-ramverket - Kerberos är ett bra gratis open source-alternativ tillgängligt inom denna kategori av IMS-uppgifter.
Denna IMS körs på Unix eller Linux. Men det kan också övervaka Windows-system och det kan också installera och övervaka den Unix-kompatibla Mac OS-miljön. FreeIPA-konceptet samlar in befintlig teknik, inklusive Apache HTTP-servern och Python-programmerings-API: er för att tillhandahålla ett komplett IMS som är baserat på komponenter som du vet är "härdade av verklig användning."
Nätverkskatalogövervakning
Fördelen med att använda en välkänd katalogtjänsten är att många systemövervakningsprogram kan utnyttja informationen i dina resursåtkomstkontrollposter för att fullständigt hantera och kontrollera ditt nätverk och dess tjänster.
Det finns ett antal mycket användbara nätverksövervakningssystem som utnyttjar katalogdata för att ge dig full kontroll över nätverkets aktiviteter. Här är de som du verkligen behöver veta om:
SolarWinds Server och Application Monitor (GRATIS prövning)
SolarWinds-produkter fungerar på Windows Server, sådet finns inga problem med kompatibilitet med Active Directory. Som ett övervakningssystem avsett för Windows-miljöer såg SolarWinds till att bygga Active Directory-övervakning till detta verktyg. AD-registreringarna i ditt nätverk gör det möjligt för monitorn att märka serverbelastning efter användarefterfrågan och spåra även den aktiviteten genom nätverket om du också har företagets NetFlow Traffic Analyzer och User Device Tracker installerat.
SolarWinds producerar en rad resurserövervakningsverktyg och alla är skrivna på en gemensam plattform, kallad Orion. Detta gör att varje modul som du installerar kan interagera med andra SolarWinds-produkter som du har på din server. PerfStack-modulen på servern och applikationsmonitorn fungerar bäst om du har installerat nätverksmonitorer, till exempel SolarWinds Network Performance Monitor. Det beror på att PerfStack visar varje nivå i servicestacken tillsammans, så att du snabbt kan identifiera var prestandafrågor verkligen finns.
User Device Tracker utnyttjar särskiltinformation som du har i Active Directory för att informera de andra bildskärmarna i paketet om resursbelastningens ursprung. Spåraren hjälper dig att upptäcka säkerhetsöverträdelser och Network Performance Monitor och NetFlow Traffic Analyzer visar dig överdriven trafik som kan betyda inkräktaraktiviteter. Du kan få alla dessa SolarWinds-produkter i en 30-dagars kostnadsfri provperiod.
PRTG Network Monitor
PRTG är ett enhetligt nätverk, server ochapplikationsmonitor. Om du tar på dig detta verktyg kan du välja att implementera det så bredt eller så snävt som du vill eftersom dess omfattning är helt anpassningsbar. PRTG-systemet består av hundratals sensorer. Varje sensor måste aktiveras, så utan ditt ingripande kommer alla systemets funktioner att vara vilande. En sensor fokuserar på en aspekt av dina nätverkstjänster eller på en resurs. Till exempel finns det en Ping-sensor för trafikövervakning och det finns också en serie sensorer som utnyttjar dina LDAP-kataloger för information.
Paessler tar ingen avgift för PRTG om du baraaktivera upp till 100 sensorer. Så du kan bara använda verktyget som en Active Directory-skärm. Medan du har verktyget att titta på dina AD-aktiviteter, har du också utrymme inom det gratis tjänsteerbjudandet för att övervaka ett par andra aktiviteter i ditt nätverk. Du kan aktivera SNMP- och NetFlow-sensorerna för att få feedback om nätverkstrafik eller välja att aktivera portmonitorer eller serverstatussensorer.
Om du vill använda mer än bara 100 sensorer kan du få PRTG i en 30-dagars gratis provperiod. PRTG installeras i Windows Server-miljön.
Hantera motor ADAudit Plus
ManageEngine producerar en svit med utmärktresursskärmar som körs på Windows eller Linux. I ManageEngine-stallen hittar du ett antal verktyg som är specifikt anpassade till Active Directory-övervakning. ADAudit Plus är ett av dessa verktyg. Detta verktyg hjälper dig att administrera AD via gränssnittet ManageEngine och det kommer också att spåra alla användaraktiviteter, inklusive inloggning och logoff. Detta hjälper dig att upptäcka ologisk användaraktivitet och överdrivna inloggningsförsök som kan indikera inkräktares närvaro.
ADAudit Plus är funktionsrikt och det inkluderarspårnings- och rapporteringsanläggningar. Du kan få det i en 30-dagars gratis provperiod. Om du inte vill betala efter provperioden kan du välja gratisversionen av det här ManageEngine-verktyget. ManageEngine erbjuder ett antal gratis Active Directory-verktyg, inklusive Active Director Query Tool, CSV Generator, som extraherar AD-poster, den senaste inloggningsrapporten och AD Replication Manager, bland andra.
Katalogtjänster
Du har många alternativ när du börjar shoppa för nätverkskatalogtjänster. Förhoppningsvis har den här guiden gett dig en utgångspunkt för din sökning.
Använder du något av de verktyg som nämns i den här guiden? Föredrar du ett verktyg som vi inte har täckt här? Lämna ett meddelande i kommentarerna nedan för att dela din kunskap med samhället.
kommentarer