„Director” este un termen comun în calcul care poate însemna o serie de lucruri. Cu toate acestea, în rețea, directorul este de obicei legat de datele utilizatorului și de o listă de resurse care pot fi contactate în rețea.
Deci, există două tipuri de directoare de care trebuie să aveți grijă într-o rețea: unul listează oamenii, iar celălalt listează echipamentele. În acest ghid, vom investiga diferitele sisteme de directoare care funcționează în mod obișnuit în rețele în prezent.
Cuprins
Format de stocare director
Orice listă de date poate fi păstrată pe un computer sub formă de fișier sau într-o bază de date. Primele sisteme de directoare erau bazate pe fișiere. Cu toate acestea, dezvoltarea sistemelor de management al bazelor de date a făcut ca opțiunea bazei de date să fie mai eficientă. Bazele de date sunt mai ușor și mai rapid de căutat, iar limbajele de interogare utilizate pentru ele (de obicei SQL) permit ca operatorii booleeni (ȘI, SAU, NU, DIVIDE, TIMES, SELECT, PROIECT) să fie incluși în căutări.
Proceduri de acces la director
Folosirea unui sistem de directoare care se bazează pe un protocol disponibil în mod deschis este de preferat decât cumpărarea unui sistem proprietar care utilizează propriile formate de comunicare. Serviciile de director necesită două componente de bază, care sunt un client și un server. Serverul este programul care deține baza de date și gestionează accesul la date. Clientul este de obicei încorporat într-o interfață care fie afișează datele preluate, permite ca aceste date să fie modificate, fie permite acțiunile să fie efectuate condiționat de primirea respectivei informații.
Dacă alegeți să instalați un sistem de directoare care se bazează pe protocoale universale, veți putea „amesteca și potriviți” sistemele client și server, deoarece acestea vor fi garantate că vor putea interacționa între ele, indiferent cine le-a scris. Mai mult, informațiile conținute în directoarele de rețea pot fi exploatate prin instrumente de monitorizare și raportare a activității, cum ar fi sistemele de detectare a intruziunilor (IDS). Instalarea unui manager de directoare care implementează protocolul utilizat în mod obișnuit asigură că informațiile conținute în acele directoare vor fi accesibile acelor pachete de monitorizare și control al resurselor utilizatorilor.
Protocol ușor de acces la director (LDAP)
LDAP este un protocol de serviciu care a fost implementat pe scară largă ca mecanism de acces la o gamă largă de directoare de rețea. Un număr de sisteme de directoare de rețea care sunt enumerate mai jos utilizează proceduri LDAP.
Deoarece este un protocol și nu un software, nu puteți cumpăra LDAP și îl puteți instala. Mai degrabă, ați achiziționa și rula un program care implementează regulile LDAP. Un protocol conturează o listă de standarde și proceduri de lucru care vor atinge un obiectiv, astfel încât protocolul în sine nu este dependent de sistemul de operare. Asta înseamnă că oricine poate dezvolta o implementare LDAP pentru Windows, Linux, Unix sau orice alt sistem de operare.
Un element important al definiției LDAP este că stabilește un limbaj de comandă care permite clienților să comunice cu serverul LDAP. Deoarece standardul este disponibil public, oricine îl poate folosi pentru a crea o aplicație care interacționează cu un server LDAP. Aceasta înseamnă că LDAP poate fi integrat în software comercial și poate fi, de asemenea, integrat în orice program personalizat intern pe care l-ați putea dezvolta. Această flexibilitate și universalitate au făcut din LDAP standardul de facto pentru procedura de operare a serviciilor de directoare.
LDAP este folosit pentru toate serverele DNS (Domain Name Service), astfel încât veți utiliza sistemul LDAP în mod regulat în rețeaua dvs., indiferent dacă vă dați seama sau nu.
OpenLDAP
După cum sugerează și numele, OpenLDAP este cea mai pură implementare a sistemului LDAP pe care o veți găsi. Aceasta este o bibliotecă de proceduri care poate fi integrată în alte programe. OpenLDAP este un proiect open source și, prin urmare, oricine poate accesa codul său gratuit. Codul este implementat și de proiectul OpenLDAP ca biblioteci Java și astfel este posibil să accesați sistemul prin interfețe GUI pe orice sistem de operare.
Deoarece acest pachet este o bibliotecă de coduri, puțini administratori de rețea implementează direct procedura OpenLDAP. În schimb, ar trebui să căutați aplicații comerciale care declară utilizarea OpenLDAP.
Director activ
Active Directory de la Microsoft a fost un sistem inovator de gestionare a utilizatorilor, creat pentru Windows. A fost inventat în 1999 și a fost atât de bine planificat încât este încă utilizat pe scară largă.
Active Directory păstrează o listă de utilizatori autorizați pentru o rețea. Este capabil să clasifice acești utilizatori în funcție de nivelurile de permisiune, astfel încât un utilizator cu privilegii de administrator este recunoscut și i se permite un acces mai mare decât utilizatorii obișnuiți. Un avantaj secundar al Active Directory este că verifică și drepturile computerelor din rețea. Deci, acesta este un serviciu de securitate excelent, deoarece se asigură că numai dispozitivele autorizate sunt conectate la rețea și numai utilizatorii autorizați se pot conecta pe acele computere. Este posibil să blocați accesul la anumite echipamente pentru anumite grupuri de utilizatori și să rezervați accesul la anumite aplicații celor cu drepturi de administrator.
Principala limitare a Active Directory este că se integrează doar cu alte produse Microsoft, așa că nu îl puteți utiliza pe Linux. De asemenea, nu poate controla accesul la suite de productivitate non-Microsoft, cum ar fi Google Docs. Pe măsură ce lista serviciilor concurenților de succes și a sistemelor bazate pe cloud se extinde, capacitatea de utilizare a Active Directory scade.
Servicii de director Novell (NDS)
Sistemul NDS a fost inventat pentru a oferi servicii de directoare rețelelor Novell Netware. Cu toate acestea, poate funcționa și în rețele care nu au Netware instalat. Software-ul poate rula pe Windows, Sun Solaris și IBM OS/390. Aceasta a fost o implementare timpurie a LDAP și astfel a devenit un etalon pentru alte implementări de servicii de director. Utilizarea LDAP a indicat în mod special calea pentru evoluțiile ulterioare și a format un model pentru Active Directory.
Lista de control al accesului (ACL)
ACL este un sistem rival de gestionare a accesului la LDAP. Deși nu este la fel de implementat ca LDAP, ACL este încă un sistem foarte bine cunoscut și a fost implementat de destule ori pentru a-l semnala în industrie ca un serviciu de autentificare de încredere.
Sistemul ACL se bazează pe un format de stocare a datelor care creează un arbore de atribute. În terminologia ACL, resursa care este protejată este numită „obiect”. Fiecărui obiect i se aloca o listă de utilizatori permiși și, în funcție de tipul de obiect protejat, fiecărui utilizator i se atribuie una sau mai multe permisiuni.
ACL poate fi aplicat accesului la fișiere sau accesului la rețea. ACL-urile bazate pe rețea pot fi utile pentru sistemele de prevenire a intruziunilor (IPS), deoarece controlează accesul la anumite adrese de gazdă și pot chiar bloca selectiv accesul la porturi. Pe rețele, drepturile de acces documentate de ACL sunt implementate pe switch-uri și routere.
ACL-urile moderne folosesc baze de date SQL pentru stocarea permisiunilor, mai degrabă decât fișierele. Această evoluție a făcut posibilă, de asemenea, ca ACL să evolueze dincolo de controalele accesului utilizatorilor către gestionarea grupurilor de utilizatori. Acest lucru simplifică administrarea permisiunilor de acces, în special pe rețele, în care ACL poate avea nevoie să înregistreze fiecare utilizator de mai multe ori pentru a oferi acces chiar și la cerințele de bază de resurse ale unui utilizator tipic de birou.
Soluții de gestionare a identităților și accesului (IAM)
O categorie de utilitate de rețea pe care o puteți întâlni atunci când investigați sistemele de autentificare a utilizatorilor este Identity and Access Management Solutions sau IAM-uri. Acest termen descrie o soluție mai largă pentru autentificarea utilizatorilor decât un simplu serviciu de director. Cu toate acestea, un director sau chiar mai multe directoare vor sta în centrul oricărui IAM. Așadar, atunci când cumpărați sisteme de acces și autentificare, urmăriți instrumente care au o misiune mult mai largă decât doar gestionarea directoarelor. Cu toate acestea, rețineți că aveți nevoie de serviciul de director din nucleul IAM pentru a implementa un protocol deschis, cum ar fi LDAP, astfel încât accesul la director să fie disponibil și pentru alte aplicații de monitorizare.
Sugestii pentru serviciile de director de rețea
Această listă prezintă câteva sugestii pentru aplicații pe care le puteți încerca ca anumite servicii de director în rețeaua dvs. Cu toate acestea, alte aplicații pe care le utilizați în mod regulat, cum ar fi serverele web sau managerii de adrese IP, vor integra și servicii de directoare.
JumpCloud DaaS
Partea „DaaS” a numelui acestui produs înseamnă „director ca serviciu”. Aceasta este o emulare a termenului „software ca serviciu”. Serviciile software online, bazate pe cloud folosesc SaaS/software-ul ca termen de serviciu pentru a descrie configurația lor. Deci, numele JumpCloud vă spune instantaneu că este un serviciu online care oferă un server de directoare pe internet.
Acesta este un produs plătit care implementează Active Directory. Cu toate acestea, JumpCloud extinde capabilitățile Active Directory la sistemele Unix și Linux prin emularea AD cu o implementare LDAP pentru acele sisteme de operare. JumpCloud oferă o modalitate bună de a face AD să funcționeze pentru toate resursele dvs., nu doar pentru cele furnizate de Microsoft. Nu trebuie să plătiți pentru JumpCloud DaaS dacă îl utilizați doar pentru până la 10 utilizatori.
Rularea serviciilor de securitate pe internet creează o componentă suplimentară care ar putea eșua și, de asemenea, creează o oportunitate suplimentară pentru hackeri de a vă intercepta traficul și de a vă întrerupe procesele de autentificare. Din fericire, JumpCloud criptează toate comunicațiile dintre clientul dvs. și serverul deținute pe site-ul la distanță JumpCloud.
Punerea AD pe web este o soluție interesantă pentru cei care nu folosesc multe resurse la fața locului, dar se bazează pe servere cloud și SaaS pentru aplicațiile utilizatorilor. Modelul bazat pe cloud este interesant și pentru acele afaceri care au o mulțime de lucrători de acasă sau cu agenți, consultanți sau meșteri care lucrează tot timpul pe site-urile clienților.
JumpCloud DaaS este un exemplu al modului în care aplicațiile tradiționale bazate pe site pot fi adaptate cu ușurință pentru livrare pe servere la distanță și cum nu este niciodată prea târziu pentru un inovator să intre și să reînnoiască sau să extindă funcționalitatea serviciilor consacrate.
AWS Directory Service
Amazon Web Services oferă o alternativă la JumpCloud DaaS. Aceasta este o altă implementare Active Directory bazată pe cloud și este oferită de unul dintre cei mai mari jucători ai Cloudului. Puteți alege să utilizați acest serviciu de director ca configurație curentă la fața locului sau să îl utilizați pentru a vă migra spațiul de stocare și software-ul către alte servicii AWS.
Spre deosebire de JumpCloud, AWS Directory Service nu extinde capacitățile AD la Unix și Linux. Mai degrabă, aceasta este o implementare Microsoft Active Directory pură care este găzduită pe Cloud.
Amazon nu oferă AWS Directory Service gratuit. Cu toate acestea, modelul de prețuri este foarte scalabil și se bazează pe o rată de contor orară, care acoperă două domenii, cu o rată mai mică pentru fiecare domeniu suplimentar adăugat în plan. Acest lucru nu este chiar la fel de bun ca gratuit. Cu toate acestea, puteți încerca serviciul gratuit timp de 30 de zile.
389 Directory Server
Site-ul web al 389 Directory Server susține că acest software este „întărit de utilizarea în lumea reală”. În calitate de administrator de rețea întărit, probabil că te vei referi la acea utilizare a cuvintelor. Acesta este un proiect open source și este un produs fără flori. Dacă sunteți de acord să compilați singuri programele și nu vă deranjează să treceți prin cod, vă va plăcea acest sistem de directoare. Pachetul include un sfârșit de font GUI pentru mediile Gnome pentru a vă oferi ușurință de utilizare prin punctare și clic.
389 Directory Server este disponibil pentru Linux și este gratuit de utilizat. Procedurile serviciului sunt scrise conform standardelor LDAP, așa că este ca Active Directory pentru Linux.
Apache Directory
Dacă rulați un site web, este foarte probabil să aveți și Apache Web Server. Apache Directory este o implementare LDAP gratuită care este gestionată de aceeași organizație care gestionează software-ul serverului web. Nu există o interoperabilitate strictă între Apache Directory și Apache Web Server – sunt două produse distincte. Cu toate acestea, faptul că vă bazați pe pachetul Web Server de la Apache ar trebui să vă dea încredere să încercați Apache Directory, care este gratuit de utilizat.
Trebuie să descărcați și să instalați două componente de software pentru a avea o implementare completă a Apache Directory. Cu toate acestea, ambele sunt pe deplin compatibile cu LDAP, așa că o puteți înlocui pe oricare cu o altă aplicație, atâta timp cât și aceasta este bazată pe LDAP. Modulul server se numește Apache DirectoryDS, iar clientul se numește Apache Directory Studio. Al doilea dintre aceste două pachete vă permite să vizualizați și să modificați înregistrările de director care sunt păstrate pe server. Atât clientul, cât și serverul sunt complet libere de utilizat și ambele rulează pe Windows, Unix, Linux și Mac OS.
IPA gratuit
Mai devreme ați citit despre sistemele de gestionare a identității (IMS) și FreeIPA este inclus în această listă de servicii de director pentru a încerca, deoarece este un bun exemplu de IMS. Nu trebuie să vă faceți griji că pierdeți bani, încercând acest utilitar, deoarece este gratuit de utilizat.
„IPA” înseamnă Identitate, Politică și Audit. Aceste trei priorități încapsulează procesele de autentificare de care aveți nevoie pentru rețeaua dvs. și pentru toate resursele IT. După cum sa explicat mai sus, serviciile de directoare fac parte din sistemele IMS. În cazul FreeIPA, componenta de server de director este furnizată de 389 Directory Server. Deci, puteți alege să instalați 389 Directory Server pentru a obține o implementare LDAP sau să vă extindeți serviciile de autentificare și controlul accesului prin alegerea unui IMS complet cu FreeIPA.
FreeIPA este un proiect cu sursă deschisă, astfel încât să puteți examina codul pentru a vă asigura că nu există proceduri ascunse de colectare a datelor conținute în el. Serviciul vă oferă opțiuni față de metodologiile de autentificare pe care le implementați în cadrul IMS — Kerberos este o opțiune bună gratuită open source disponibilă în această categorie de sarcini IMS.
Acest IMS rulează pe Unix sau Linux. Cu toate acestea, este, de asemenea, capabil să monitorizeze sistemele Windows și, de asemenea, poate instala și monitoriza mediul Mac OS compatibil Unix. Conceptul FreeIPA colectează tehnologii preexistente, inclusiv Apache HTTP Server și API-urile de programare Python pentru a oferi un IMS complet care se bazează pe componente despre care știți că sunt „întărite de utilizarea în lumea reală”.
Monitorizarea directorului de rețea
Avantajul utilizării unui serviciu de director bine-cunoscut este că multe aplicații de monitorizare a sistemului pot exploata informațiile conținute în înregistrările de control al accesului la resurse pentru a gestiona și controla complet rețeaua și serviciile acesteia.
Există o serie de sisteme de monitorizare a rețelei foarte utile care exploatează datele din director pentru a vă oferi control deplin asupra activităților rețelei dvs. Iată cele despre care trebuie cu adevărat să știți:
SolarWinds Server and Application Monitor (PROCĂ GRATUITĂ)
Produsele SolarWinds funcționează pe Windows Server, deci nu există nicio problemă de compatibilitate cu Active Directory. Fiind un sistem de monitorizare destinat mediilor Windows, SolarWinds sa asigurat că a integrat monitorizarea Active Directory în acest instrument. Înregistrările AD din rețeaua dvs. permit monitorului să eticheteze încărcarea serverului în funcție de cererea utilizatorului și, de asemenea, să urmărească acea activitate prin rețea, dacă aveți instalate și Analizorul de trafic NetFlow și Trackerul dispozitivului utilizator al companiei.
SolarWinds produce o serie de utilități de monitorizare a resurselor și toate sunt scrise pe o platformă comună, numită Orion. Acest lucru permite fiecărui modul pe care îl instalați să interacționeze cu celelalte produse SolarWinds pe care le aveți pe server. Modulul PerfStack al Monitorului Server și Aplicației funcționează cel mai bine dacă aveți instalate și monitoare de rețea, cum ar fi Monitorul de performanță al rețelei SolarWinds. Acest lucru se datorează faptului că PerfStack arată fiecare nivel al stivei de servicii împreună, astfel încât să puteți identifica rapid unde există cu adevărat problemele de performanță.
User Device Tracker exploatează în special informațiile pe care le dețineți în Active Directory pentru a informa celelalte monitoare din suită despre originea încărcării resurselor. Trackerul vă ajută să identificați breșele de securitate, iar Network Performance Monitor și NetFlow Traffic Analyzer vă vor arăta trafic excesiv care ar putea semnifica activități de intruși. Puteți obține oricare dintre aceste produse SolarWinds cu o probă gratuită de 30 de zile.
Monitor de rețea PRTG
PRTG este un monitor unificat de rețea, server și aplicație. Dacă asumați acest instrument, puteți alege să îl implementați atât de larg sau cât de restrâns doriți, deoarece domeniul său de aplicare este complet personalizabil. Sistemul PRTG este format din sute de senzori. Fiecare senzor trebuie activat, astfel încât, fără intervenția dvs., toate capabilitățile sistemului vor rămâne latente. Un senzor se concentrează pe un aspect al serviciilor dvs. de rețea sau pe o resursă. De exemplu, există un senzor Ping pentru monitorizarea traficului și există și o serie de senzori care exploatează directoarele LDAP pentru informații.
Paessler nu taxează pentru PRTG dacă activați doar până la 100 de senzori. Deci, puteți utiliza instrumentul ca monitor Active Directory. În timp ce aveți utilitarul să vă urmărească activitățile AD, aveți și spațiu în cadrul acelei oferte de servicii gratuite pentru a monitoriza alte câteva activități din rețeaua dvs. Puteți activa senzorii SNMP și NetFlow pentru a obține feedback cu privire la traficul de rețea sau puteți alege să activați monitoare de porturi sau senzori de stare a serverului.
Dacă doriți să utilizați mai mult de 100 de senzori, puteți obține PRTG într-o perioadă de încercare gratuită de 30 de zile. PRTG se instalează în mediul Windows Server.
ManageEngine ADAudit Plus
ManageEngine produce o suită de monitoare de resurse excelente care rulează pe Windows sau Linux. În stabilul ManageEngine, veți găsi o serie de instrumente care sunt special adaptate pentru monitorizarea Active Directory. ADAudit Plus este una dintre aceste utilitare. Acest instrument vă va ajuta să administrați AD prin interfața ManageEngine și, de asemenea, va urmări toate activitățile utilizatorilor, inclusiv conectarea și deconectarea. Acest lucru vă va ajuta să identificați activitatea ilogică a utilizatorului și încercările excesive de conectare care pot indica prezența intrusului.
ADAudit Plus este bogat în funcții și include facilități de urmărire și raportare. Îl puteți obține într-o încercare gratuită de 30 de zile. Dacă nu aveți chef să plătiți după perioada de probă, puteți opta pentru versiunea gratuită a acestui instrument ManageEngine. ManageEngine oferă o serie de instrumente gratuite Active Directory, inclusiv Instrumentul de interogare Active Directorcel Generator CSVcare extrage înregistrările AD, the Ultima logare Reportersi Manager de replicare ADprintre alții.
Servicii de director
Aveți o mulțime de opțiuni când începeți să căutați servicii de director de rețea. Sperăm că acest ghid ți-a oferit un punct de plecare pentru căutarea ta.
Folosiți vreunul dintre utilitățile menționate în acest ghid? Preferiți un instrument pe care nu l-am acoperit aici? Lăsați un mesaj în secțiunea Comentarii de mai jos pentru a vă împărtăși cunoștințele comunității.