"Каталог" є загальним терміном для обчислення цьогоможе означати коло речей. Однак у мережах каталог зазвичай пов'язаний з даними користувачів та списком ресурсів, з якими можна зв’язатися в мережі.
Отже, є два типи каталогівпісля в мережі: один перераховує людей, а інший перераховує обладнання. У цьому посібнику ми дослідимо різні системи каталогів, які зазвичай працюють у мережах сьогодні.
Формат зберігання в каталозі
Будь-який список даних може зберігатися на комп'ютері вформі файлу або в базі даних. Ранні системи каталогів базувалися на файлах. Однак розробка систем управління базами даних зробила параметр бази даних більш ефективним. Бази даних простіше і швидше здійснювати пошук, а використовувані для них мови запитів (як правило, SQL) дозволяють включати булі оператори (І, АБО, НЕ, DIVIDE, TIMES, SELECT, PROJECT).
Процедури доступу до каталогу
Використання системи каталогів, яка спирається навідкрито доступний протокол бажано купувати у фірмовій системі, яка використовує власні комунікаційні формати. Служби каталогів вимагають двох основних компонентів - це клієнт і сервер. Сервер - це програма, яка зберігає базу даних і управляє доступом до даних. Клієнт, як правило, вбудований в інтерфейс, який або відображає отримані дані, дозволяє змінювати ці дані, або дозволяє умовно виконувати дії при отриманні цієї інформації.
Якщо ви вирішите встановити систему директорій, цеґрунтується на універсальних протоколах, ви зможете «змішувати та узгоджувати» клієнтську та серверну системи, оскільки вони гарантовано зможуть взаємодіяти між собою незалежно від того, хто їх написав. Крім того, інформація, що міститься в мережевих каталогах, може використовуватися засобами моніторингу та звітності про діяльність, такими як системи виявлення вторгнень (ІДС). Встановлення диспетчера каталогів, який реалізує широко використовуваний протокол, гарантує, що інформація, що міститься в цих каталогах, буде доступною для тих користувачів, які користуються пакетами моніторингу та управління ресурсами.
Легкий протокол доступу до каталогу (LDAP)
LDAP - сервісний протокол, який широко застосовуєтьсяреалізований як механізм доступу до широкого спектру мережевих каталогів. Низка перелічених тут систем мережевих каталогів використовують процедури LDAP.
Оскільки це протокол, а не програмне забезпечення,ви не можете придбати LDAP та встановити його. Швидше, ви придбаєте та запустите програму, яка реалізує правила LDAP. Протокол визначає перелік стандартів та робочих процедур, які дозволять досягти мети, тому сам протокол не залежить від операційної системи. Це означає, що кожен може розробити реалізацію LDAP для Windows, Linux, Unix або будь-якої іншої операційної системи.
Важливим елементом визначення LDAP єщо він встановлює мову команд, яка дозволяє клієнтам спілкуватися з сервером LDAP. Оскільки стандарт є загальнодоступним, кожен може використовувати його для створення програми, яка взаємодіє з сервером LDAP. Це означає, що LDAP може бути інтегрований у комерційне програмне забезпечення, а також може бути інтегрований у будь-яку власну власну програму, яку ви можете розробити. Ця гнучкість та універсальність зробили LDAP фактичним стандартом для операційної процедури служб каталогів.
LDAP використовується для всіх серверів DNS (сервіс доменних імен), тому ви будете регулярно використовувати систему LDAP у вашій мережі, незалежно від того, усвідомлюєте ви це чи ні.
OpenLDAP
Як випливає з назви, OpenLDAP є найчистішимвпровадження системи LDAP, яку ви знайдете. Це бібліотека процедур, які можна інтегрувати в інші програми. OpenLDAP - це проект з відкритим кодом, тому кожен може отримати доступ до його коду безкоштовно. Код також реалізується проектом OpenLDAP як бібліотеки Java, тому доступ до системи є можливим через інтерфейси GUI на будь-якій операційній системі.
Оскільки цей пакет є бібліотекою коду, мало адміністраторів мережі безпосередньо реалізують процедуру OpenLDAP. Натомість слід поглянути на комерційні програми, які заявляють про їх використання OpenLDAP.
Активна Директорія
Active Directory Microsoft була новаторською системою управління користувачами, створеною для Windows. Він був винайдений у 1999 році і був настільки добре спланований, що досі широко використовується.
Active Directory зберігає список авторизованих користувачівдля мережі. Він може класифікувати цих користувачів за рівнями дозволів, тому користувач з правами адміністратора розпізнається та допускається більш широкий доступ, ніж звичайні користувачі. Вторинною перевагою Active Directory є те, що він також перевіряє права комп’ютерів у мережі. Отже, це чудова служба безпеки, оскільки вона гарантує, що до мережі підключені лише авторизовані пристрої, і лише авторизовані користувачі можуть увійти на ці комп’ютери. Можна заблокувати доступ до певного обладнання до певних груп користувачів і резервувати доступ до конкретних програм для тих, хто має права адміністратора.
Основним обмеженням Active Directory є те, щовона інтегрується лише з іншими продуктами Microsoft, тому ви не можете використовувати її в Linux. Крім того, він не може контролювати доступ до наборів продуктивності, що не належать Microsoft, таких як Google Docs. Зі збільшенням списку успішних служб конкурентів та хмарних систем розширюється зручність використання Active Directory.
Служби каталогів Novell (NDS)
Для створення каталогу була створена система NDSпослуги мереж Novell Netware. Однак він також може працювати в мережах, на яких не встановлено Netware. Програмне забезпечення може працювати в Windows, Sun Solaris та IBM OS / 390. Це було ранньою реалізацією LDAP, і це стало орієнтиром для інших реалізацій служб каталогів. Його використання LDAP особливо вказало шлях до подальших розробок та сформувало модель для Active Directory.
Список контролю доступу (ACL)
ACL - суперницька система управління доступом до LDAP. Хоча не настільки широко впроваджений, як LDAP, ACL все ще є дуже відомою системою, і вона була впроваджена достатньо разів, щоб позначити її в галузі як надійну службу аутентифікації.
Система ACL спирається на формат зберігання данихщо створює дерево атрибутів. У термінології ACL ресурс, що захищається, називається "об'єктом". Кожному об’єкту присвоюється список дозволених користувачів, і залежно від типу об'єкта, що захищається, кожному користувачеві присвоюється одне або більше дозволів.
ACL може застосовуватися для доступу до файлів або мережідоступ. Мережеві ACL можуть бути корисними для систем запобігання вторгнень (IPS), оскільки вони контролюють доступ до конкретних адрес хосту і навіть можуть вибірково блокувати доступ до портів. У мережах права доступу, задокументовані ACL, реалізуються на комутаторах та маршрутизаторах.
Сучасні ACL використовують бази даних SQL для дозволузберігання, а не файли. Це покращення також дозволило ACL розвиватися поза контролем доступу користувачів до управління групами користувачів. Це спрощує адміністрування дозволів доступу, особливо в мережах, де ACL, можливо, доведеться реєструвати кожного користувача багато разів, щоб надати доступ навіть до основних вимог до типового користувача, що працює в офісі.
Ідентичності та рішення управління доступом (IAM)
Категорія мережевих утиліт, до яких ви можете прийтиДосліджуючи системи аутентифікації користувачів, це рішення для управління ідентичністю та доступом або IAM. Цей термін описує більш широке рішення для автентифікації користувачів, ніж просто служба каталогів. Однак каталог або навіть декілька каталогів лежать в основі будь-якого IAM. Отже, купуючи системи доступу та аутентифікації, орієнтуйтеся на інструменти, які мають набагато ширшу сферу діяльності, ніж просто управління каталогами. Однак майте на увазі, що вам потрібна служба каталогів в основі IAM для реалізації відкритого протоколу, наприклад LDAP, щоб доступ до каталогу був також доступний і для інших програм моніторингу.
Пропозиції щодо послуг мережевих каталогів
У цьому списку представлено кілька пропозицій щодопрограми, які ви можете спробувати як конкретні служби каталогів у вашій мережі Однак інші програми, якими ви користуєтесь регулярно, такі веб-сервери чи менеджери IP-адрес також інтегруватимуть служби каталогів.
JumpCloud DaaS
Частина "DaaS" назви цього продукту означає"Каталог як послуга." Це емуляція терміна "програмне забезпечення як послуга". Інтернет, хмарні програмні послуги використовують SaaS / програмне забезпечення як термін обслуговування для опису їх конфігурації. Отже, ім'я JumpCloud миттєво повідомляє вам, що це онлайн-сервіс, що доставляє сервер каталогів через Інтернет.
Це платний продукт, який реалізує ActiveДовідник. Однак JumpCloud розширює можливості Active Directory на системи Unix та Linux, емулюючи AD з реалізацією LDAP для цих операційних систем. JumpCloud пропонує чіткий спосіб змусити AD працювати на всіх ваших ресурсах, а не тільки на тих, які надає Microsoft. Вам не доведеться платити за JumpCloud DaaS, якщо ви використовуєте його лише до 10 користувачів.
Запуск служб безпеки через Інтернетстворює додатковий компонент, який може вийти з ладу, а також створить додаткову можливість хакерам перехопити ваш трафік і прорвати ваші процеси аутентифікації. На щастя, JumpCloud зашифровує всі комунікації між вашим клієнтом та сервером на віддаленому сайті JumpCloud.
Розміщення реклами в Інтернеті - цікаве рішеннядля тих, хто не використовує багато ресурсів на місці, але покладається на хмарні сервери та SaaS для програм користувача. Хмарна модель також цікава тим підприємствам, у яких багато працівників на дому, або з агентами, консультантами або майстрами, які постійно працюють на сайтах клієнтів.
JumpCloud DaaS - приклад того, як традиційноПрограми на основі сайтів можуть бути легко адаптовані для доставки на віддалені сервери, і як ніколи не пізно, щоб новатор зайшов і переробив або розширив функціонал встановлених сервісів.
Служба каталогів AWS
Веб-сервіси Amazon пропонують альтернативуJumpCloud DaaS. Це ще одна хмарна реалізація Active Directory, і її надає один з найбільших хмарних користувачів. Ви можете просто скористатися цією службою каталогів як поточну установку на місці або використати її для переміщення вашого сховища та програмного забезпечення на інші служби AWS.
На відміну від JumpCloud, служба каталогів AWS не розширює можливості AD на Unix та Linux. Скоріше, це чиста реалізація Microsoft Active Directory, яка розміщується в хмарі.
Amazon не пропонує службу каталогів AWSбезкоштовно. Однак модель ціноутворення дуже масштабована і базується на погодинній ставці лічильника, яка охоплює два домени, з нижчою ставкою для кожного додаткового домену, доданого до плану. Це не так добре, як безкоштовно. Однак ви можете спробувати послугу безкоштовно протягом 30 днів.
389 Каталог серверів
Веб-сайт 389 Directory Server стверджує, щоце програмне забезпечення "загартоване реальним використанням". Як загартований адміністратор мережі, ви, ймовірно, будете ставитися до цього використання слів. Це проект з відкритим кодом і не є продуктом. Якщо ви все в порядку складати програми самостійно і не проти зачекати код, вам сподобається ця система каталогів. У пакет включено графічний інтерфейс GUI для середовищ Gnome, щоб забезпечити зручність у використанні точки та клацання.
Сервер каталогів 389 доступний для Linux і користується ним безкоштовно. Процедури сервісу написані відповідно до стандартів LDAP, тож це як Active Directory для Linux.
Каталог Apache
Якщо ви запускаєте веб-сайт, дуже ймовірно, що витакож є веб-сервер Apache. Каталог Apache - це безкоштовна реалізація LDAP, якою керує та сама організація, яка здійснює лікування програмного забезпечення веб-сервера. Немає чіткої сумісності між каталогом Apache та веб-сервером Apache - це два різних продукту. Однак той факт, що ви покладаєтесь на пакет веб-сервера від Apache, повинен дати вам впевненість у тому, щоб спробувати Каталог Apache, який є безкоштовним у використанні.
Вам потрібно завантажити та встановити дві частинипрограмне забезпечення, щоб мати повну реалізацію Apache Directory. Однак обидва повністю відповідають LDAP, тому ви можете замінити будь-який інший додаток, якщо це також на основі LDAP. Серверний модуль називається Apache DirectoryDS, а клієнт - Apache Directory Studio. Другий з цих двох пакетів дозволяє переглядати та змінювати записи каталогів, які зберігаються на сервері. І клієнт, і сервер повністю вільні у використанні і обидва працюють у Windows, Unix, Linux та Mac OS.
FreeIPA
Раніше ви читали про управління особистістюсистеми (IMS) та FreeIPA включені до цього списку служб каталогів, щоб спробувати, тому що це хороший приклад IMS. Вам не потрібно турбуватися про те, щоб витрачати гроші на тестування цієї утиліти, оскільки вона безкоштовна у використанні.
"IPA" означає "Ідентичність, Політика та Аудит". Ці три пріоритети включають процеси аутентифікації, які вам потрібні для вашої мережі та всіх ваших ІТ-ресурсів. Як було пояснено вище, служби каталогів є частиною систем IMS. У випадку FreeIPA компонент сервера каталогів надається 389 Directory Server. Отже, ви можете встановити сервер каталогів 389, щоб отримати реалізацію LDAP, або розширити свої послуги аутентифікації та контроль доступу, перейшовши на повний IMS з FreeIPA.
FreeIPA - це проект з відкритим кодом, тому ви можетевивчіть код, щоб переконатися, що в ньому немає ніяких прихованих процедур збирання даних. Сервіс надає вам параметри щодо методологій аутентифікації, які ви застосовуєте в рамках IMS - Kerberos - це хороший безкоштовний варіант з відкритим кодом, доступний у цій категорії завдань IMS.
Цей IMS працює на Unix або Linux. Однак він також може контролювати системи Windows, а також може встановлювати та контролювати Unix-сумісне середовище Mac OS. Концепція FreeIPA збирає вже існуючі технології, включаючи API ATP-сервера Apache HTTP та програмування Python, щоб забезпечити повний IMS, який базується на компонентах, які, на вашу думку, «загартовані реальним використанням».
Моніторинг мережевого каталогу
Перевага використання відомого каталогуПослуга полягає в тому, що багато програм моніторингу системи можуть використовувати інформацію, що міститься у ваших записах контролю доступу до ресурсів, щоб повністю керувати та контролювати вашу мережу та її послуги.
Існує ряд дуже корисних систем моніторингу мережі, які використовують дані каталогів, щоб забезпечити повний контроль над діяльністю вашої мережі. Ось ті, про які вам дійсно потрібно знати:
Монітор сервера та додатків SolarWinds (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Продукти SolarWinds працюють на Windows Server, такнемає проблеми сумісності з Active Directory. Будучи системою моніторингу, призначеною для середовищ Windows, SolarWinds переконався, що вбудований в цей інструмент моніторинг Active Directory. Записи AD у вашій мережі дозволяють монітору маркувати навантаження сервера за потребою користувачів, а також відстежувати цю діяльність через мережу, якщо також встановлено аналізатор трафіку NetFlow компанії та відстежувач користувачів пристрою.
SolarWinds виробляє широкий спектр ресурсівутиліти моніторингу, і всі вони написані на загальній платформі, яка називається Orion. Це дозволяє кожному встановленому модулю взаємодіяти з іншими продуктами SolarWinds, які ви працюєте на своєму сервері. Модуль PerfStack сервера та монітора додатків найкраще працює, якщо встановлені також мережеві монітори, наприклад, мережевий монітор SolarWinds. Це тому, що PerfStack показує кожен рівень стеку послуг разом, так що ви можете швидко визначити, де проблеми існують насправді.
Особливо користувач Tracker Device Tracker використовуєінформація, яку ви зберігаєте в Active Directory, щоб інформувати інших моніторів у наборі джерела завантаження ресурсів. Трекер допомагає вам виявити порушення безпеки, а Network Monitor Monitor та NetFlow Traffic Analyzer покажуть вам надмірний трафік, який може означати діяльність зловмисника. Ви можете отримати будь-які та всі ці продукти SolarWinds протягом 30-денної безкоштовної пробної версії.
PRTG Network Monitor
PRTG - це об'єднана мережа, сервер тамонітор додатків. Якщо ви скористаєтеся цим інструментом, ви можете вибрати його реалізацію настільки широко або настільки вузько, як вам подобається, оскільки його обсяг повністю настроюється. Система PRTG складається з сотень датчиків. Кожен датчик потрібно активувати, тому без вашого втручання всі можливості системи залишаться в режимі спокою. Датчик фокусується на одному аспекті ваших мережевих послуг або на одному ресурсі. Наприклад, є датчик Ping для моніторингу руху, а також є ряд датчиків, які експлуатують ваші каталоги LDAP для отримання інформації.
Paessler не стягує плату за PRTG, якщо ви тількиактивувати до 100 датчиків. Отже, ви могли просто використовувати цей інструмент як монітор Active Directory. У той час як утиліта спостерігає за вашою рекламною діяльністю, ви також маєте місце в рамках цієї безкоштовної послуги для відстеження кількох інших заходів у вашій мережі. Ви можете активувати датчики SNMP та NetFlow, щоб отримати зворотний зв’язок про мережевий трафік або вибрати активацію моніторів портів або датчиків стану сервера.
Якщо ви хочете використовувати більше 100 датчиків, ви можете отримати PRTG на 30-денній безкоштовній пробній версії. PRTG встановлюється в середовищі Windows Server.
ManageEngine ADAudit Plus
ManageEngine створює чудовий набірмонітори ресурсів, які працюють на Windows або Linux. У стабільній ManageEngine ви знайдете ряд інструментів, спеціально розроблених для моніторингу Active Directory. ADAudit Plus - одна з таких утиліт. Цей інструмент допоможе вам адмініструвати AD через інтерфейс ManageEngine, а також буде відслідковувати всі дії користувачів, включаючи вхід та вихід із системи. Це допоможе виявити нелогічну активність користувачів та надмірні спроби входу, які можуть свідчити про присутність зловмисника.
ADAudit Plus відрізняється великими можливостями і включає в себезасоби відстеження та звітності. Ви можете отримати це в 30-денній безкоштовній пробній версії. Якщо ви не хочете платити після випробувального періоду, ви можете вибрати безкоштовну версію цього інструменту ManageEngine. ManageEngine пропонує ряд безкоштовних інструментів Active Directory, серед яких інструмент запитів активного директора, генератор CSV, який витягує записи AD, репортер останнього входу та менеджер реплікацій AD серед інших.
Послуги каталогів
У вас є багато варіантів, коли ви починаєте купувати послуги мережевих каталогів. Сподіваємось, цей посібник дав тобі вихідну точку пошуку.
Чи використовуєте ви будь-яку з утиліт, згаданих у цьому посібнику? Ви віддаєте перевагу інструмент, який ми тут не висвітлювали? Залиште повідомлення в розділі коментарів нижче, щоб поділитися своїми знаннями з громадою.
Коментарі