Termenul „director” în contextul calculatoarelor are multiple semnificații. În rețele, însă, un director este adesea asociat cu informațiile despre utilizatori și cu o listă de resurse disponibile în rețea.
În cadrul unei rețele, există două categorii principale de directoare de interes: unul care inventariază utilizatorii și altul care inventariază echipamentele. Acest material explorează diversele sisteme de directoare uzuale în rețelele moderne.
Metode de stocare a datelor în directoare
Orice tip de informație poate fi stocată digital fie sub formă de fișier, fie într-o bază de date. Primele sisteme de directoare utilizau fișiere pentru stocarea datelor. Însă, progresul sistemelor de gestionare a bazelor de date a făcut ca utilizarea bazelor de date să fie o soluție mai eficientă. Bazele de date facilitează și accelerează căutările, iar limbajele de interogare (în special SQL) permit includerea operatorilor booleeni (ȘI, SAU, NU, DIVIDE, TIMES, SELECT, PROIECT) în interogări.
Modalități de accesare a directoarelor
Este de preferat să se folosească un sistem de directoare care se bazează pe un protocol deschis, în locul unui sistem proprietar cu formate de comunicare unice. Serviciile de director necesită două componente esențiale: un client și un server. Serverul găzduiește baza de date și gestionează accesul la date, iar clientul este, de obicei, o interfață care afișează datele recuperate, permite modificarea lor sau acționează în funcție de informațiile primite.
Alegerea unui sistem de directoare bazat pe protocoale standard oferă flexibilitatea de a combina diverse sisteme client și server, garantând interoperabilitatea lor, indiferent de producător. Mai mult, informațiile din directoarele de rețea pot fi utilizate de instrumente de monitorizare și raportare a activității, inclusiv sisteme de detectare a intruziunilor (IDS). Implementarea unui manager de directoare care respectă protocoalele uzuale asigură accesul la informații pentru diverse instrumente de monitorizare și control al resurselor utilizatorilor.
Protocolul LDAP (Lightweight Directory Access Protocol)
LDAP este un protocol de servicii larg adoptat ca mecanism de acces la numeroase directoare de rețea. Multe dintre sistemele de directoare de rețea enumerate mai jos utilizează proceduri LDAP.
Fiind un protocol, nu un program, nu se poate achiziționa și instala LDAP direct. În schimb, se achiziționează și se rulează un software care respectă regulile LDAP. Un protocol definește un set de standarde și proceduri pentru a atinge un scop, nefiind dependent de sistemul de operare. Asta permite dezvoltarea implementărilor LDAP pentru Windows, Linux, Unix sau alte sisteme.
Un aspect fundamental al LDAP este definirea unui limbaj de comandă care permite comunicarea între clienți și server. Standardul fiind public, oricine îl poate utiliza pentru a crea aplicații care interacționează cu un server LDAP. Astfel, LDAP se poate integra în software comercial, precum și în programe interne personalizate. Această flexibilitate și universalitate au consacrat LDAP ca standard de facto pentru procedurile de operare a serviciilor de directoare.
LDAP este folosit pentru toate serverele DNS (Domain Name Service), ceea ce înseamnă că, în mod regulat, se utilizează LDAP în rețea, indiferent dacă se conștientizează acest lucru sau nu.
OpenLDAP
OpenLDAP, după cum sugerează și numele, este o implementare fidelă a sistemului LDAP. Este o bibliotecă de proceduri ce poate fi inclusă în alte programe. OpenLDAP este un proiect open source, iar codul său este accesibil gratuit. OpenLDAP oferă și biblioteci Java, facilitând accesul la sistem prin interfețe GUI pe orice sistem de operare.
Deoarece este o bibliotecă de cod, puțini administratori de rețea implementează direct OpenLDAP. În schimb, se preferă aplicații comerciale care declară utilizarea OpenLDAP.
Active Directory
Active Directory, dezvoltat de Microsoft, a fost un sistem inovator pentru gestionarea utilizatorilor în Windows. Lansat în 1999, a fost conceput cu atâta precizie încât este utilizat pe scară largă și în prezent.
Active Directory stochează lista utilizatorilor autorizați pentru o rețea, clasificându-i în funcție de nivelurile de permisiuni. Un utilizator cu privilegii de administrator este recunoscut și beneficiază de un acces extins față de utilizatorii obișnuiți. Un avantaj suplimentar este că Active Directory verifică și drepturile computerelor din rețea. Astfel, funcționează ca un excelent serviciu de securitate, asigurând că numai dispozitivele autorizate sunt conectate la rețea și că doar utilizatorii autorizați se pot conecta la aceste computere. Se poate restricționa accesul la anumite echipamente pentru grupuri de utilizatori, rezervând accesul la anumite aplicații pentru cei cu privilegii administrative.
O limitare majoră a Active Directory este integrarea exclusivă cu alte produse Microsoft, ceea ce îl face inutilizabil pe Linux. De asemenea, nu poate controla accesul la suita de productivitate non-Microsoft, cum ar fi Google Docs. Pe măsură ce serviciile concurente și sistemele bazate pe cloud se extind, utilitatea Active Directory scade.
Serviciile de Director Novell (NDS)
NDS a fost creat pentru a oferi servicii de directoare rețelelor Novell Netware, dar este compatibil și cu rețelele fără Netware instalat. Software-ul rulează pe Windows, Sun Solaris și IBM OS/390. NDS a fost o implementare timpurie a LDAP, devenind un standard pentru alte implementări de servicii de director. Utilizarea LDAP a indicat clar direcția evoluției ulterioare, formând un model pentru Active Directory.
Listele de Control al Accesului (ACL)
ACL reprezintă un sistem alternativ de gestionare a accesului comparativ cu LDAP. Deși nu este la fel de răspândit ca LDAP, ACL este un sistem consacrat, implementat în diverse scenarii și considerat un serviciu de autentificare de încredere.
Sistemul ACL utilizează un format de stocare a datelor care creează o structură arborescentă de atribute. În terminologia ACL, resursa protejată este numită „obiect”. Fiecărui obiect îi este asociată o listă de utilizatori autorizați, iar în funcție de tipul de obiect protejat, fiecărui utilizator i se atribuie una sau mai multe permisiuni.
ACL poate fi aplicat atât accesului la fișiere, cât și accesului la rețea. ACL-urile bazate pe rețea sunt valoroase pentru sistemele de prevenire a intruziunilor (IPS), deoarece controlează accesul la anumite adrese și pot bloca selectiv accesul la porturi. În rețele, drepturile de acces documentate de ACL sunt implementate pe switch-uri și routere.
Sistemele ACL moderne folosesc baze de date SQL pentru stocarea permisiunilor, în locul fișierelor. Această evoluție a permis, de asemenea, ca ACL să depășească controalele de acces ale utilizatorilor, gestionând acum și grupuri de utilizatori. Acest lucru simplifică administrarea permisiunilor de acces, în special în rețele, unde ACL poate necesita înregistrarea fiecărui utilizator de mai multe ori pentru a oferi acces chiar și la resursele de bază ale unui utilizator tipic de birou.
Soluții de Gestionare a Identității și Accesului (IAM)
O categorie utilitară pe care o puteți întâlni în cercetarea sistemelor de autentificare a utilizatorilor este reprezentată de soluțiile de gestionare a identității și accesului (IAM). Acest termen descrie o abordare mai amplă a autentificării utilizatorilor, comparativ cu un simplu serviciu de director. Totuși, un director sau chiar mai multe directoare reprezintă nucleul oricărui IAM. Atunci când alegeți sisteme de acces și autentificare, orientați-vă către instrumente cu o misiune mai vastă decât gestionarea directoarelor. Rețineți însă că este necesar un serviciu de director în centrul IAM, care să utilizeze un protocol deschis, precum LDAP, pentru a asigura accesul la director și pentru alte aplicații de monitorizare.
Sugestii pentru Serviciile de Director de Rețea
Această listă prezintă câteva sugestii de aplicații care pot fi testate ca servicii de director în rețea. Totuși, este important să rețineți că și alte aplicații utilizate frecvent, cum ar fi serverele web sau managerii de adrese IP, pot integra și servicii de directoare.
JumpCloud DaaS
Partea „DaaS” din denumirea acestui produs reprezintă „Director ca Serviciu”. Este o analogie a termenului „software ca serviciu” (SaaS). Serviciile software online bazate pe cloud utilizează termenul SaaS pentru a descrie configurația lor. Numele JumpCloud indică faptul că este un serviciu online care oferă un server de directoare prin internet.
Este un produs comercial care implementează Active Directory. JumpCloud extinde capabilitățile Active Directory la sistemele Unix și Linux, emulând AD prin o implementare LDAP pentru aceste sisteme de operare. JumpCloud oferă o modalitate eficientă de a utiliza AD pentru toate resursele, nu doar pentru cele furnizate de Microsoft. Nu este necesară plata pentru JumpCloud DaaS pentru utilizarea a până la 10 conturi.
Utilizarea serviciilor de securitate pe internet introduce un element suplimentar care poate eșua și creează oportunități pentru hackeri de a intercepta traficul și de a perturba procesele de autentificare. Din fericire, JumpCloud criptează toate comunicațiile dintre client și server.
Mutarea AD pe web este o soluție atractivă pentru cei care nu utilizează multe resurse locale și se bazează pe servere cloud și SaaS pentru aplicațiile utilizatorilor. Modelul bazat pe cloud este benefic pentru companiile cu mulți angajați la distanță sau cu agenți, consultanți care lucrează pe teren.
JumpCloud DaaS este un exemplu cum aplicațiile tradiționale locale pot fi adaptate pentru servere la distanță, și cum un inovator poate reînnoi sau extinde funcționalitatea serviciilor consacrate.
AWS Directory Service
Amazon Web Services oferă o alternativă la JumpCloud DaaS. Aceasta este o altă implementare Active Directory bazată pe cloud, oferită de unul dintre marii actori din domeniul cloud. Serviciul poate fi folosit fie ca o configurație locală, fie pentru a migra stocarea și software-ul către alte servicii AWS.
Spre deosebire de JumpCloud, AWS Directory Service nu extinde capabilitățile AD la Unix și Linux. Este o implementare pură Microsoft Active Directory găzduită în cloud.
Amazon nu oferă gratuit AWS Directory Service. Totuși, prețul este foarte scalabil, fiind bazat pe un tarif orar, acoperind două domenii, cu un tarif mai mic pentru fiecare domeniu suplimentar. Chiar dacă nu este gratuit, este disponibilă o încercare gratuită de 30 de zile.
389 Directory Server
Site-ul web al 389 Directory Server susține că software-ul este „întărit prin utilizare în lumea reală”. Este un proiect open source, un produs fără elemente decorative. Dacă sunteți dispus să compilați programe și nu vă deranjează să analizați codul, acest sistem de directoare va fi pe placul dumneavoastră. Pachetul include o interfață GUI pentru mediile Gnome, oferind o experiență mai facilă cu ajutorul comenzilor de tip „point and click”.
389 Directory Server este disponibil pentru Linux și este gratuit. Procedurile sunt scrise conform standardelor LDAP, deci este echivalentul Active Directory pentru Linux.
Apache Directory
Dacă utilizați un site web, cel mai probabil folosiți și Apache Web Server. Apache Directory este o implementare LDAP gratuită, gestionată de aceeași organizație care administrează și serverul web. Nu există o interoperabilitate strictă între Apache Directory și Apache Web Server – sunt două produse distincte. Dar utilizarea pachetului Web Server de la Apache, ar trebui să vă inspire încredere și să încercați și Apache Directory, care este gratuit.
Pentru o implementare completă a Apache Directory, trebuie descărcate și instalate două componente software. Ambele sunt pe deplin compatibile cu LDAP, putând fi înlocuite cu alte aplicații, atâta timp cât sunt și ele bazate pe LDAP. Modulul server se numește Apache DirectoryDS, iar clientul se numește Apache Directory Studio. Acesta din urmă permite vizualizarea și modificarea înregistrărilor din director care sunt stocate pe server. Atât clientul, cât și serverul sunt gratuite și rulează pe Windows, Unix, Linux și Mac OS.
FreeIPA
Am discutat anterior despre sistemele de gestionare a identității (IMS). FreeIPA este inclus în această listă deoarece este un exemplu bun de IMS. Este gratuit, deci nu există riscul de pierdere a banilor în cazul în care veți dori să-l testați.
„IPA” înseamnă Identitate, Politică și Audit, cele trei priorități care încapsulează procesele de autentificare necesare rețelei și resurselor IT. Serviciile de directoare fac parte din sistemele IMS. În cazul FreeIPA, componenta server de director este furnizată de 389 Directory Server. Puteți alege fie să instalați 389 Directory Server pentru a obține o implementare LDAP, fie să vă extindeți serviciile de autentificare și control acces prin alegerea unui IMS complet, utilizând FreeIPA.
FreeIPA este un proiect open source, oferind posibilitatea de a analiza codul și a verifica absența procedurilor ascunse de colectare a datelor. Serviciul oferă opțiuni pentru metodologiile de autentificare implementate în cadrul IMS — Kerberos fiind o bună opțiune open source, disponibilă în această categorie de sarcini IMS.
Acest IMS rulează pe Unix sau Linux. Poate monitoriza și sistemele Windows, poate instala și monitoriza mediul Mac OS compatibil Unix. FreeIPA reunește tehnologii preexistente, inclusiv Apache HTTP Server și API-uri de programare Python, pentru a oferi un IMS complet, bazat pe componente recunoscute pentru fiabilitatea lor.
Monitorizarea Directorului de Rețea
Un avantaj al utilizării unui serviciu de director cunoscut este că diverse aplicații de monitorizare pot utiliza informațiile din înregistrările de control al accesului la resurse pentru a gestiona și controla rețeaua și serviciile acesteia.
Există o serie de sisteme de monitorizare a rețelei foarte utile care utilizează datele din director pentru a oferi controlul activității rețelei. Cele mai importante dintre acestea sunt:
SolarWinds Server and Application Monitor (VERSIIE DE ÎNCERCARE GRATUITĂ)
Produsele SolarWinds funcționează pe Windows Server, asigurând compatibilitatea cu Active Directory. Fiind un sistem de monitorizare destinat mediilor Windows, SolarWinds a integrat monitorizarea Active Directory în acest instrument. Înregistrările AD din rețea permit monitorului să eticheteze încărcarea serverului în funcție de solicitările utilizatorilor și să urmărească activitatea în rețea, dacă sunt instalate și aplicațiile NetFlow Traffic Analyzer și User Device Tracker.
SolarWinds oferă o gamă de utilitare de monitorizare a resurselor, toate fiind scrise pe o platformă comună, numită Orion. Această caracteristică permite ca fiecare modul instalat să interacționeze cu alte produse SolarWinds de pe server. Modulul PerfStack al Server and Application Monitor funcționează cel mai bine dacă sunt instalate și monitoare de rețea, cum ar fi SolarWinds Network Performance Monitor. PerfStack afișează fiecare nivel al stivei de servicii, permițând identificarea rapidă a problemelor de performanță.
User Device Tracker utilizează în special informațiile din Active Directory pentru a informa celelalte monitoare despre originea încărcării resurselor. Tracker-ul ajută la identificarea vulnerabilităților de securitate, iar Network Performance Monitor și NetFlow Traffic Analyzer pot evidenția traficul excesiv, care poate indica prezența intrușilor. Toate aceste produse SolarWinds sunt disponibile pentru o perioadă de încercare gratuită de 30 de zile.
PRTG Network Monitor
PRTG este un monitor unificat pentru rețea, server și aplicații. Domeniul de aplicare este complet personalizabil, oferind flexibilitatea implementării acestui instrument atât de larg sau restrâns cât se dorește. Sistemul PRTG este compus din sute de senzori. Fiecare senzor trebuie activat individual. Un senzor se concentrează pe un aspect al serviciilor de rețea sau pe o resursă. De exemplu, există un senzor Ping pentru monitorizarea traficului, și o serie de senzori care utilizează directoarele LDAP pentru informații.
Paessler oferă PRTG gratuit pentru activarea a până la 100 de senzori. Astfel, se poate utiliza instrumentul ca monitor Active Directory. În timp ce utilitarul monitorizează activitățile AD, puteți profita de această ofertă gratuită și puteți monitoriza și alte câteva activități din rețea. Puteți activa senzorii SNMP și NetFlow pentru a obține feedback despre traficul de rețea sau puteți alege să activați monitoare de porturi sau senzori de stare a serverului.
Pentru mai mult de 100 de senzori, PRTG este disponibil într-o perioadă de încercare gratuită de 30 de zile. PRTG se instalează în mediul Windows Server.
ManageEngine ADAudit Plus
ManageEngine produce o gamă de monitoare de resurse eficiente, care rulează pe Windows sau Linux. În cadrul grupului ManageEngine, există o serie de instrumente special concepute pentru monitorizarea Active Directory. ADAudit Plus este unul dintre aceste utilitare. Instrumentul facilitează administrarea AD prin interfața ManageEngine și monitorizează toate activitățile utilizatorilor, inclusiv conectarea și deconectarea. Acesta vă ajută să identificați activitatea neobișnuită a utilizatorilor, precum și tentativele excesive de conectare, care ar putea indica prezența unor intruși.
ADAudit Plus este un instrument complex, ce include facilități de urmărire și raportare. Este disponibil pentru o perioadă de probă gratuită de 30 de zile. După perioada de probă, se poate opta pentru versiunea gratuită. ManageEngine oferă o serie de instrumente gratuite Active Directory, printre care Instrumentul de interogare Active Directory, Generatorul CSV care extrage înregistrările AD, Ultima logare Reporter și Manager de replicare AD.
Servicii de Director
În procesul de căutare a unor servicii de director de rețea, se constată o multitudine de opțiuni. Sperăm că acest material oferă un punct de plecare adecvat.
Folosiți vreunul dintre utilitarele menționate? Preferiți un instrument pe care nu l-am inclus? Vă invităm să lăsați un mesaj în secțiunea de comentarii pentru a împărtăși cunoștințele cu comunitatea.