"Dizin",bir dizi şey anlamına gelebilir. Ancak, ağ iletişiminde, dizin genellikle kullanıcı verileri ve ağda iletişim kurulabilecek kaynakların listesi ile ilgilidir.
Yani, bakılacak iki tür dizin varağda sonra: biri insanları listeler, diğeri ekipmanları listeler. Bu kılavuzda, bugün ağlarda yaygın olarak kullanılan farklı dizin sistemlerini araştıracağız.
Dizin depolama biçimi
Herhangi bir veri listesi bilgisayardakidosya biçiminde veya veritabanında. İlk dizin sistemleri dosya tabanlıdır. Ancak, veritabanı yönetim sistemlerinin geliştirilmesi veritabanı seçeneğini daha verimli hale getirmiştir. Veritabanlarında arama yapmak daha kolay ve hızlıdır ve bunlar için kullanılan sorgu dilleri (genellikle SQL) Boole operatörlerinin (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) aramalara dahil edilmesini sağlar.
Dizin erişim prosedürleri
Bir dizine dayalı bir dizin sistemi kullanmakaçık iletişim kuralı, kendi iletişim formatlarını kullanan tescilli bir sistemden satın almayı tercih eder. Dizin hizmetleri, istemci ve sunucu olmak üzere iki temel bileşen gerektirir. Sunucu, veritabanını tutan ve verilere erişimi yöneten programdır. İstemci genellikle, geri alınan verileri görüntüleyen, verilerin değiştirilmesine izin veren veya bu bilgilerin alınmasından sonra koşullu olarak eylemlerin gerçekleştirilmesini sağlayan bir arabirime gömülüdür.
Bir dizin sistemi kurmayı seçerseniz,evrensel protokollere dayanır, istemci ve sunucu sistemlerini “karıştırabilir ve eşleştirebilirsiniz” çünkü bunları kim yazarsa yazsınlar birbirleriyle etkileşime girebilecekleri garanti edilecektir. Ayrıca, ağ dizinlerinde yer alan bilgiler saldırı tespit sistemleri (IDS'ler) gibi izleme ve faaliyet raporlama araçlarıyla kullanılabilir. Yaygın olarak kullanılan protokolü uygulayan bir dizin yöneticisi yüklemek, bu dizinlerde bulunan bilgilerin bu kullanıcı izleme ve kaynak denetim paketleri tarafından erişilebilir olmasını sağlar.
Basit Dizin Erişim Protokolü (LDAP)
LDAP yaygın olarak kullanılan bir hizmet protokolüdürçok çeşitli ağ dizinlerine erişim mekanizması olarak uygulanmaktadır. Burada listelenen bazı ağ dizini sistemleri LDAP yordamlarını kullanır.
Bir yazılım değil, bir protokol olduğu için,LDAP satın alamaz ve yükleyemezsiniz. Bunun yerine, LDAP kurallarını uygulayan bir program edinir ve çalıştırırsınız. Bir protokol, bir amaca ulaşacak standartların ve çalışma prosedürlerinin bir listesini ana hatlarıyla belirtir, bu nedenle protokolün kendisi işletim sistemine bağımlı değildir. Bu, herkesin Windows, Linux, Unix veya başka bir işletim sistemi için bir LDAP uygulaması geliştirebileceği anlamına gelir.
LDAP tanımının önemli bir unsuruistemcilerin LDAP sunucusuyla iletişim kurmasını sağlayan bir komut dili belirler. Standart herkese açık olduğundan, herkes bunu bir LDAP sunucusuyla etkileşime giren bir uygulama oluşturmak için kullanabilir. Bu, LDAP'nin ticari yazılıma entegre edilebileceği ve geliştirebileceğiniz şirket içi özel programlara da entegre edilebileceği anlamına gelir. Bu esneklik ve evrensellik LDAP'yi dizin hizmetlerinin işletim prosedürü için fiili standart haline getirmiştir.
LDAP tüm DNS sunucuları (Etki Alanı Adı Hizmeti) için kullanılır, bu nedenle fark edip etmediğinize bakılmaksızın LDAP sistemini ağınızda düzenli olarak kullanırsınız.
OpenLDAP
Adından da anlaşılacağı gibi, OpenLDAP en safbulacaksınız LDAP sisteminin uygulanması. Bu, diğer programlara entegre edilebilecek bir prosedür kütüphanesidir. OpenLDAP açık kaynaklı bir projedir ve böylece herkes koduna ücretsiz olarak erişebilir. Kod, OpenLDAP projesi tarafından Java kitaplıkları olarak da uygulanmaktadır ve bu nedenle sisteme herhangi bir işletim sistemindeki GUI arabirimleri üzerinden erişmek mümkündür.
Bu paket bir kod kitaplığı olduğundan, az sayıda ağ yöneticisi doğrudan OpenLDAP yordamını uygular. Bunun yerine, OpenLDAP kullandıklarını belirten ticari uygulamalara dikkat etmelisiniz.
Active Directory
Microsoft’un Active Directory'si Windows için oluşturulan çığır açan bir kullanıcı yönetim sistemiydi. 1999 yılında icat edildi ve o kadar iyi planlanmıştı ki hala yaygın olarak kullanılıyor.
Active Directory, yetkili kullanıcıların bir listesini tutarbir ağ için. Bu kullanıcıları izin düzeylerine göre kategorilere ayırabilir, böylece yönetici ayrıcalıklarına sahip bir kullanıcı tanınır ve normal kullanıcılardan daha fazla erişime izin verilir. Active Directory'nin ikincil bir yararı, ağdaki bilgisayarların haklarını da denetlemesidir. Bu nedenle, bu harika bir güvenlik hizmetidir çünkü ağa yalnızca yetkili aygıtların bağlı olduğundan ve bu bilgisayarlarda yalnızca yetkili kullanıcıların oturum açabildiğinden emin olur. Bazı kullanıcı gruplarına bazı ekipmanlara erişimi engellemek ve yönetici haklarına sahip uygulamalara belirli uygulamalara erişimi ayırmak mümkündür.
Active Directory'nin temel sınırlamasıyalnızca diğer Microsoft ürünleriyle entegre olduğu için Linux'ta kullanamazsınız. Ayrıca, Google Dokümanlar gibi Microsoft dışı üretkenlik paketlerine erişimi de kontrol edemez. Başarılı rakip hizmetleri ve bulut tabanlı sistemler listesi genişledikçe Active Directory'nin kullanılabilirliği azalır.
Novell Dizin Hizmetleri (NDS)
NDS sistemi dizin sağlamak için icat edildihizmetleri Novell Netware ağlarına. Ancak, Netware yüklü olmayan ağlarda da çalışabilir. Yazılım Windows, Sun Solaris ve IBM OS / 390 üzerinde çalışabilir. Bu LDAP'ın erken bir uygulamasıydı ve bu nedenle diğer dizin hizmeti uygulamaları için bir ölçüt haline geldi. LDAP kullanımı özellikle daha sonraki gelişmelere yol açtı ve Active Directory için bir model oluşturdu.
Erişim Kontrol Listesi (ACL)
ACL, LDAP için rakip bir erişim yönetim sistemidir. LDAP kadar yaygın bir şekilde uygulanmamasına rağmen, ACL hala çok iyi bilinen bir sistemdir ve endüstride güvenilir bir kimlik doğrulama hizmeti olarak işaretlemek için yeterince kez uygulanmıştır.
ACL sistemi bir veri depolama formatına dayanırbir öznitelik ağacı oluşturur. EKL terminolojisinde, korunmakta olan kaynağa “nesne” denir. Her nesneye izin verilen kullanıcıların bir listesi atanır ve korunan nesnenin türüne bağlı olarak her kullanıcıya bir veya daha fazla izin atanır.
ACL, dosya erişimine veya ağa uygulanabilirGiriş. Ağ tabanlı ACL'ler izinsiz giriş önleme sistemleri (IPS) için yararlı olabilir, çünkü belirli ana bilgisayar adreslerine erişimi kontrol ederler ve hatta bağlantı noktalarına erişimi seçici olarak engelleyebilirler. Ağlarda, ACL tarafından belgelenen erişim hakları anahtarlara ve yönlendiricilere uygulanır.
Modern ACL'ler izin için SQL veritabanlarını kullanırdosya yerine depolama. Bu ilerleme, ACL'nin kullanıcı erişim kontrollerinin ötesinde kullanıcı grubu yönetimine geçmesini de mümkün kıldı. Bu, erişim izinlerinin, özellikle de ACL'nin tipik bir ofis tabanlı kullanıcının temel kaynak gereksinimlerine bile erişim sağlamak için her kullanıcıyı birçok kez oturum açması gereken ağlarda yönetimini kolaylaştırır.
Kimlikler ve Erişim Yönetimi Çözümleri (IAM'ler)
Gelebileceğiniz bir ağ yardımcı programı kategorisikimlik doğrulama sistemlerini incelerken Kimlik ve Erişim Yönetimi Çözümleri veya IAM'ler. Bu terim, kullanıcı kimlik doğrulamasına yalnızca bir dizin hizmetinden daha geniş bir çözümü açıklar. Bununla birlikte, herhangi bir IAM'nin merkezinde bir dizin, hatta birkaç dizin bulunur. Bu nedenle, erişim ve kimlik doğrulama sistemleri için alışveriş yaparken, dizin yönetiminden çok daha geniş bir görevi olan araçları hedefleyin. Ancak, dizin erişiminin diğer izleme uygulamaları tarafından da kullanılabilmesi için LDAP gibi açık bir protokol uygulamak için IAM'nin merkezinde dizin hizmetine ihtiyacınız olduğunu unutmayın.
Ağ dizini hizmetleri için öneriler
Bu liste için birkaç öneri sunulmaktadırağınızda belirli dizin hizmetleri olarak deneyebileceğiniz uygulamalar. Ancak, düzenli olarak kullandığınız diğer uygulamalar, bu tür bir web sunucuları veya IP adresi yöneticileri de dizin hizmetlerini tümleştirecektir.
JumpCloud DaaS
Bu ürün adının "DaaS" kısmı,“Hizmet olarak dizin.” Bu, “hizmet olarak yazılım” teriminin bir benzetimidir. Çevrimiçi, bulut tabanlı yazılım hizmetleri, yapılandırmalarını tanımlamak için hizmet terimi olarak SaaS / yazılımını kullanır. Bu nedenle, JumpCloud’un adı size anında bunun bir dizin sunucusunu internet üzerinden sunan çevrimiçi bir hizmet olduğunu söyler.
Bu Aktif uygulayan ücretli bir üründürDizin. Ancak JumpCloud, AD'yi bu işletim sistemleri için bir LDAP uygulamasıyla öykünerek Active Directory'nin yeteneklerini Unix ve Linux sistemlerine genişletir. JumpCloud, AD'nin yalnızca Microsoft tarafından sağlananlar için değil, tüm kaynaklarınız için çalışmasını sağlamak için düzgün bir yol sunar. Yalnızca en fazla 10 kullanıcı için kullanırsanız JumpCloud DaaS için ödeme yapmanız gerekmez.
Güvenlik hizmetlerinin internet üzerinden yürütülmesibaşarısız olabilecek ekstra bir bileşen oluşturur ve bilgisayar korsanlarının size trafiği durdurması ve kimlik doğrulama işlemlerinizi kırması için ekstra bir fırsat oluşturur. Neyse ki, JumpCloud istemciniz ve JumpCloud uzak sitesinde tutulan sunucu arasındaki tüm iletişimleri şifreler.
Web'e AD koymak ilginç bir çözümdürçok fazla yerinde kaynak kullanmayan ancak kullanıcı uygulamaları için bulut sunucularına ve SaaS'a güvenenler için. Bulut tabanlı model, evden veya işyerleri, danışmanlar veya müşteri sitelerinde her zaman çalışan ustalar ile çok fazla çalışanı olan işletmeler için de ilginçtir.
JumpCloud DaaS ne kadar gelenekselsite tabanlı uygulamalar, uzak sunucularda teslim edilmek üzere ve bir yenilikçinin gelip yerleşik hizmetlerin işlevselliğini yenilemesi veya genişletmesi için hiçbir zaman çok geç değildir.
AWS Dizin Hizmeti
Amazon Web Services bir alternatif sunuyorJumpCloud DaaS. Bu, başka bir bulut tabanlı Active Directory uygulamasıdır ve Bulut’un en büyük isabetçileri tarafından sağlanır. Bu dizin hizmetini geçerli yerinde kurulumunuz olarak kullanmayı veya depolama ve yazılımınızı diğer AWS hizmetlerine taşımak için kullanabilirsiniz.
JumpCloud'dan farklı olarak AWS Dizin Hizmeti, AD'nin özelliklerini Unix ve Linux'a genişletmez. Aksine, bu Bulut üzerinde barındırılan saf bir Microsoft Active Directory uygulamasıdır.
Amazon, aşağıdakiler için AWS Dizin Hizmeti sunmazBedava. Bununla birlikte, fiyatlandırma modeli çok ölçeklenebilir ve plana eklenen her ek alan için daha düşük bir oranla, iki alanı kapsayan saatlik ölçüm oranına dayanmaktadır. Bu, ücretsiz kadar iyi değil. Ancak, hizmeti 30 gün boyunca ücretsiz olarak deneyebilirsiniz.
389 Dizin Sunucusu
389 Directory Server web sitesibu yazılım “gerçek dünya kullanımıyla sertleştirilmiştir”. Sertleştirilmiş bir ağ yöneticisi olarak, muhtemelen bu kelime kullanımı ile ilgili olacaksınız. Bu açık kaynaklı bir projedir ve fırfırsız bir üründür. Programları kendiniz derlemek konusunda sorun yaşıyorsanız ve kod yoluyla taramayı düşünmüyorsanız, bu dizin sistemini seveceksiniz. Paket, Gnome ortamları için işaret ve tıklama kolaylığı sağlamak için bir GUI yazı tipi sonu içerir.
389 Dizin Sunucusu Linux için kullanılabilir ve kullanımı ücretsizdir. Hizmetin yordamları LDAP standartlarına göre yazılır, bu nedenle bu Linux için Active Directory gibidir.
Apache Dizini
Bir web sitesi işletiyorsanız,ayrıca Apache Web Sunucusu var. Apache Dizini, web sunucusu yazılımını seçen aynı kuruluş tarafından yönetilen ücretsiz bir LDAP uygulamasıdır. Apache Dizini ile Apache Web Sunucusu arasında katı bir birlikte çalışabilirlik yoktur - bunlar iki ayrı üründür. Bununla birlikte, Apache'den Web Sunucusu paketine güvenmeniz, size ücretsiz olan Apache Dizini'ni denemeniz için güven vermelidir.
İki parçayı indirip yüklemeniz gerekiyortam bir Apache Dizini uygulaması için yazılım. Bununla birlikte, her ikisi de LDAP ile tamamen uyumludur, bu nedenle LDAP tabanlı olduğu sürece farklı bir uygulama ile ikame edebilirsiniz. Sunucu modülüne Apache DirectoryDS adı verilir ve istemciye Apache Directory Studio adı verilir. Bu iki paketin ikincisi, sunucuda tutulan dizin kayıtlarını görüntülemenizi ve değiştirmenizi sağlar. Hem istemci hem de sunucu tamamen ücretsizdir ve her ikisi de Windows, Unix, Linux ve Mac OS'de çalışır.
FreeIPA
Kimlik yönetimi hakkında daha önce okudunuzsistemleri (IMS) ve FreeIPA, bir IMS'nin iyi bir örneği olduğu için denemek üzere bu dizin hizmetleri listesine dahil edilmiştir. Kullanmak ücretsiz olduğu için bu yardımcı programı denemek için para harcamak konusunda endişelenmenize gerek yok.
“IPA” Kimlik, Politika ve Denetim anlamına gelir. Bu üç öncelik, ağınız ve tüm BT kaynaklarınız için gereken kimlik doğrulama işlemlerini kapsamaktadır. Yukarıda açıklandığı gibi, dizin hizmetleri IMS sistemlerinin bir parçasıdır. FreeIPA durumunda, dizin sunucusu bileşeni 389 Dizin Sunucusu tarafından sağlanır. Böylece, LDAP uygulaması almak için 389 Dizin Sunucusu'nu kurmayı seçebilir veya FreeIPA ile tam bir IMS'ye giderek kimlik doğrulama hizmetlerinizi ve erişim kontrolünüzü genişletebilirsiniz.
FreeIPA açık kaynaklı bir projedir, böyleceiçinde gizli veri toplama prosedürlerinin bulunmadığından emin olmak için kodu inceleyin. Hizmet, IMS çerçevesi içinde uyguladığınız kimlik doğrulama yöntemleri konusunda seçenekler sunar - Kerberos, bu IMS görevleri kategorisinde bulunan iyi bir ücretsiz açık kaynak seçeneğidir.
Bu IMS, Unix veya Linux üzerinde çalışır. Ancak, Windows sistemlerini de izleyebilir ve Unix uyumlu Mac OS ortamına da yükleyebilir ve izleyebilir. FreeIPA konsepti, Apache HTTP Sunucusu ve Python programlama API'leri de dahil olmak üzere, “gerçek dünya kullanımıyla sertleştirildiğini” bildiğiniz bileşenlere dayanan eksiksiz bir IMS sağlamak için önceden var olan teknolojileri toplar.
Ağ dizini izleme
Tanınmış bir dizin kullanmanın yararıhizmet, birçok sistem izleme uygulamasının, ağınızı ve hizmetlerini tam olarak yönetmek ve denetlemek için kaynak erişim denetim kayıtlarınızdaki bilgileri kullanabilir.
Ağınızın faaliyetleri üzerinde tam kontrol sahibi olmanız için dizin verilerinden yararlanan çok sayıda yararlı ağ izleme sistemi vardır. İşte gerçekten bilmeniz gerekenler:
SolarWinds Sunucu ve Uygulama İzleyicisi (ÜCRETSİZ DENEME)
SolarWinds ürünleri Windows Server'da çalışır,Active Directory ile uyumluluk sorunu yoktur. Windows ortamlarına yönelik bir izleme sistemi olarak SolarWinds, bu araca Active Directory izlemesi oluşturmayı sağladı. Ağınızdaki AD kayıtları, monitörün sunucu yükünü kullanıcı talebine göre etiketlemesini ve ayrıca şirketin NetFlow Trafik Analizörü ve Kullanıcı Cihazı İzleyicisi kurulu ise bu etkinliği ağ üzerinden izlemesini sağlar.
SolarWinds bir dizi kaynak üretirizleme yardımcı programları ve hepsi Orion adlı ortak bir platformda yazılmıştır. Bu, yüklediğiniz her modülün sunucunuzda çalıştırdığınız diğer SolarWinds ürünleriyle etkileşime girmesini sağlar. Sunucu ve Uygulama Monitörünün PerfStack modülü, SolarWinds Ağ Performansı Monitörü gibi ağ monitörleri de yüklüyse en iyi sonucu verir. Çünkü PerfStack, hizmet yığınının her seviyesini birlikte gösterir, böylece performans sorunlarının gerçekte nerede olduğunu hızlı bir şekilde belirleyebilirsiniz.
Kullanıcı Cihazı İzleyicisi özelliklekaynak yükünün kaynağı hakkında diğer monitörleri bilgilendirmek için Active Directory'de tuttuğunuz bilgiler. İzleyici, güvenlik ihlallerini tespit etmenize yardımcı olur ve Ağ Performansı İzleyicisi ve NetFlow Trafik Çözümleyicisi, davetsiz misafir faaliyetlerini gösterebilecek aşırı trafik gösterecektir. Bu SolarWinds ürünlerinin tamamını ve 30 günlük ücretsiz deneme sürümünü alabilirsiniz.
PRTG Ağ İzleyicisi
PRTG birleşik bir ağ, sunucu veuygulama monitörü. Bu aracı kullanırsanız, kapsamı tamamen özelleştirilebilir olduğundan, istediğiniz kadar geniş veya dar uygulamayı uygulamayı seçebilirsiniz. PRTG sistemi yüzlerce sensörden oluşur. Her sensörün etkinleştirilmesi gerekir, bu nedenle müdahaleniz olmadan sistemin tüm yetenekleri uykuda kalacaktır. Bir sensör, ağ servislerinizin bir yönüne veya bir kaynağa odaklanır. Örneğin, trafik izleme için bir Ping sensörü ve ayrıca bilgi için LDAP dizinlerinizden yararlanan bir dizi sensör de vardır.
Paessler, yalnızca siz PRTG için ücret almaz100 sensöre kadar etkinleştirin. Böylece, aracı bir Active Directory monitörü olarak kullanabilirsiniz. Yardımcı program AD etkinliklerinizi izlese de, bu ücretsiz hizmet teklifinde ağınızdaki diğer birkaç etkinliği izlemek için alanınız da vardır. Ağ trafiği hakkında geri bildirim almak için SNMP ve NetFlow sensörlerini etkinleştirebilir veya bağlantı noktası monitörlerini veya sunucu durum sensörlerini etkinleştirmeyi seçebilirsiniz.
Sadece 100'den fazla sensör kullanmak istiyorsanız, 30 günlük ücretsiz deneme sürümünde PRTG alabilirsiniz. PRTG, Windows Server ortamına yüklenir.
Motor ADAudit Plus'ı yönetin
ManageEngine mükemmel bir paket üretirWindows veya Linux üzerinde çalışan kaynak monitörleri. ManageEngine sabitinde, Active Directory izlemeye özel olarak uyarlanmış bir dizi araç bulacaksınız. ADAudit Plus bu yardımcı programlardan biridir. Bu araç, AD'yi ManageEngine arabirimi üzerinden yönetmenize yardımcı olur ve ayrıca oturum açma ve oturum kapatma da dahil olmak üzere tüm kullanıcı etkinliklerini izler. Bu, mantıksız kullanıcı etkinliğini ve davetsiz misafirlerin varlığını gösterebilecek aşırı giriş denemelerini tespit etmenize yardımcı olacaktır.
ADAudit Plus zengin özelliklere sahiptir veizleme ve raporlama tesisleri. 30 günlük ücretsiz deneme sürümünde alabilirsiniz. Deneme süresinden sonra ödeme yapmak istemiyorsanız, bu ManageEngine aracının ücretsiz sürümünü tercih edebilirsiniz. ManageEngine, Active Director Sorgu Aracı, AD kayıtlarını çıkaran CSV Üreticisi, Son Giriş Raportörü ve AD Çoğaltma Yöneticisi gibi bir dizi ücretsiz Active Directory aracı sunar.
Dizin Hizmetleri
Ağ dizini hizmetleri için alışveriş yapmaya başladığınızda birçok seçeneğiniz vardır. Umarım, bu rehber size aramanız için bir başlangıç noktası vermiştir.
Bu kılavuzda belirtilen yardımcı programlardan herhangi birini kullanıyor musunuz? Burada ele almadığımız bir aracı mı tercih edersiniz? Bilgilerinizi toplulukla paylaşmak için aşağıdaki Yorumlar bölümüne bir mesaj bırakın.
Yorumlar