Najbolje mrežne usluge i alati za nadzor

"Imenik" je uobičajeni pojam za računarstvo koji može značiti niz stvari. Međutim, u umrežavanju se direktorij obično odnosi na korisničke podatke i popis resursa na koje se može kontaktirati na mreži.

Dakle, postoje dvije vrste direktorija koje treba paziti na mreži: jedan navodi ljude, a drugi navodi opremu. U ovom ćemo vodiču istražiti različite sustave direktorija koji danas rade u mrežama.

Format pohrane u direktoriju

Bilo koji popis podataka može se nalaziti na računalu u obliku datoteke ili u bazi podataka. Sustavi ranih imenika utemeljeni su na datotekama. Međutim, razvoj sustava za upravljanje bazama omogućio je mogućnost baze podataka učinkovitijom. Baze podataka su jednostavnije i brže pretraživati ​​i na jezicima upita koji se koriste za njih SQL) omogućuju uključivanje Booleovih operatora (AND, ILI, NOT, DIVIDE, TIMES, SELECT, PROJECT) pretraga.

Postupci pristupa imeniku

Upotreba sustava direktorija koji se oslanja na otvoreno dostupan protokol poželjna je kupnja u vlasničkom sustavu koji koristi vlastite komunikacijske formate. Usluge imenika zahtijevaju dvije osnovne komponente: klijent i poslužitelj. Poslužitelj je program koji sadrži bazu podataka i upravlja pristupom podacima. Klijent je obično ugrađen u sučelje koje ili prikazuje dohvaćene podatke, omogućava izmjenu tih podataka ili omogućuje uvjetno izvršavanje radnji po primanju tih podataka.

Ako odlučite instalirati sustav direktorija koji se temelji na univerzalnim protokolima, morat ćete ih "miješati i uskladiti" klijentske i poslužiteljske sustave jer će im biti zajamčeno da mogu međusobno komunicirati bez obzira tko napisali ih. Nadalje, informacije sadržane u mrežnim mapama mogu se iskoristiti pomoću alata za praćenje i izvještavanje o aktivnostima, poput sustava za otkrivanje provale (IDS-a). Instaliranje upravitelja direktorija koji implementira često korišteni protokol osigurava da su informacije sadržani u tim direktorijima bit će dostupni onome nadzoru korisnika i kontroli resursa paketi.

Lagani protokol pristupa katalogu (LDAP)

LDAP je protokol usluge koji se široko primjenjuje kao mehanizam pristupa širokom rasponu mrežnih direktorija. Brojni mrežni sustavi kataloga koji su ovdje navedeni dolje koriste LDAP procedure.

Kako je to protokol, a ne dio softvera, ne možete kupiti LDAP i instalirati ga. Umjesto toga, vi biste nabavili i pokrenuli program koji implementira LDAP pravila. Protokol prikazuje popis standarda i radnih postupaka kojima će se postići cilj, pa sam protokol ne ovisi o operativnom sustavu. To znači da svatko može razviti LDAP implementaciju za Windows, Linux, Unix ili bilo koji drugi operativni sustav.

Važan element LDAP definicije je taj što on postavlja naredbeni jezik koji omogućuje klijentima komunikaciju s LDAP poslužiteljem. Kako je standard javno dostupan, svatko ga može upotrijebiti za izradu aplikacije koja komunicira s LDAP serverom. To znači da se LDAP može integrirati u komercijalni softver, a također se može integrirati u bilo koji vlastiti prilagođeni program koji biste mogli razviti. Ova fleksibilnost i univerzalnost učinili su LDAP de fakto standardom za radni postupak direktorijskih usluga.

LDAP se koristi za sve DNS poslužitelje (Service Name Name), tako da ćete redovno koristiti LDAP sustav na vašoj mreži, bilo da je shvatate ili ne.

OpenLDAP

Kao što ime sugerira, OpenLDAP je najčišća implementacija LDAP sustava koji ćete naći. Ovo je knjižnica postupaka koji se mogu integrirati u druge programe. OpenLDAP projekt je otvorenog koda i svatko može besplatno pristupiti njegovom kôdu. Kôd također implementira OpenLDAP projekt kao Java knjižnice i tako je sustavu moguće pristupiti putem GUI sučelja na bilo kojem operacijskom sustavu.

Budući da je ovaj paket knjižnica koda, nekoliko mrežnih administratora izravno implementira OpenLDAP postupak. Umjesto toga, treba paziti na komercijalne aplikacije u kojima se navodi njihovo korištenje OpenLDAP-a.

Aktivni direktorij

Microsoftov Active Directory bio je revolucionarni sustav upravljanja korisnicima, stvoren za Windows. Izumljen je 1999. godine i bio je tako dobro planiran da je i dalje široko u upotrebi.

Active Directory vodi popis ovlaštenih korisnika za mrežu. Može kategorizirati te korisnike prema razinama dozvola, tako da se prepoznaje korisnik s povlasticama administratora i omogućuje mu veći pristup redovitim korisnicima. Sekundarna prednost Active Directorya je da provjerava i prava računala na mreži. Dakle, ovo je sjajna sigurnosna usluga jer osigurava da su na mrežu spojeni samo ovlašteni uređaji i samo ovlašteni korisnici mogu se prijaviti na ta računala. Moguće je blokirati pristup nekoj opremi određenim grupama korisnika i rezervirati pristup određenim aplikacijama onima s administratorskim pravima.

Glavno ograničenje Active Directory-a je da se integrira samo s ostalim Microsoftovim proizvodima, tako da ga ne možete koristiti na Linuxu. Isto tako, ne može kontrolirati pristup paketima produktivnosti koji nisu Microsoftovi, kao što su Google dokumenti. Kako se popis uspješnih konkurentskih usluga i sustava utemeljenih na oblacima proširuje, upotrebljivost Active Directory smanjuje se.

Novell imeničke usluge (NDS)

NDS sustav izumljen je za pružanje usluga direktorija mrežama Novell Netware. Međutim, također može raditi u mrežama na kojima nije instaliran Netware. Softver se može izvoditi na Windowsima, Sun Solarisu i IBM OS / 390. Ovo je bila rana implementacija LDAP-a i tako je postala mjerilo za ostale implementacije usluga direktorija. Njegova upotreba LDAP-a posebno je ukazala put za kasnije razvoj i oblikovala model za Active Directory.

Popis kontrole pristupa (ACL)

ACL je suparnički sustav upravljanja pristupom LDAP-u. Iako nije tako široko implementiran kao LDAP, ACL je i dalje vrlo poznat sustav i dovoljno je puta implementiran da ga u industriji označi kao pouzdanu uslugu provjere autentičnosti.

ACL sustav oslanja se na format za pohranu podataka koji stvara stablo atributa. U ACL terminologiji resurs koji se štiti naziva "objekt". Svakom objektu dodjeljuje se popis dozvoljeni korisnici i, ovisno o vrsti objekta koji se štiti, svakom korisniku se pripisuje jedan ili više dozvole.

ACL se može primijeniti na pristup datotekama ili pristup mreži. Mrežni ACL-ovi mogu biti korisni za sustave za sprečavanje upada (IPS), jer oni kontroliraju pristup određenim adresama domaćina i mogu čak selektivno blokirati pristup portovima. Na mrežama se prava pristupa dokumentirana od strane ACL-a implementiraju na prekidače i usmjerivače.

Moderni ACL-ovi koriste SQL baze podataka za pohranu dopuštenja, a ne datoteke. Ovo napredovanje omogućilo je i da ACL evoluira izvan korisničkih kontrola pristupa upravljanju skupinama korisnika. To pojednostavljuje administraciju dopuštenja za pristup, posebno na mrežama, gdje se ACL možda treba prijaviti svaki korisnik više puta kako bi dobio pristup čak i osnovnim zahtjevima za resursima tipičnih ureda korisnik.

Identiteti i rješenja za upravljanje pristupom (IAM)

Kategorija mrežnog uslužnog programa na koju možete naići prilikom ispitivanja sustava provjere identiteta korisnika je identitet i Rješenja za upravljanje pristupom ili IAM-ovi. Ovaj izraz opisuje šire rješenje za provjeru autentičnosti korisnika nego samo direktorij servis. Međutim, direktorij, ili čak nekoliko direktorija, nalazit će se u središtu bilo kojeg IAM-a. Dakle, prilikom kupovine sustava za pristup i provjeru autentičnosti, nastojite za alatima koji imaju puno šire područje djelovanja nego samo upravljanje direktorijima. Međutim, imajte na umu da vam je potrebna usluga direktorija u jezgri IAM-a da biste implementirali open protokola, kao što je LDAP, tako da će pristup direktoriju biti dostupan i drugom nadzoru aplikacija.

Prijedlozi za usluge mrežnih direktorija

Ovaj popis sadrži nekoliko prijedloga aplikacija koje biste mogli isprobati kao određene usluge direktorija na vašoj mreži. Međutim, druge aplikacije koje redovno koristite, kao što su web-poslužitelji ili upravitelji IP adresa, također će integrirati usluge direktorija.

Dio "DaaS" naziva ovog proizvoda znači "imenik kao usluga". Ovo je emulacija pojma "softver kao usluga. " Mrežne softverske usluge temeljene na oblaku koriste SaaS / softver kao pojam usluge za opisivanje njihove konfiguracije. Dakle, ime JumpCloud vam odmah govori da je to internetska usluga koja isporučuje poslužitelj direktorija putem interneta.

Ovo je plaćeni proizvod koji implementira Active Directory. Međutim, JumpCloud proširuje mogućnosti Active Directory-a na Unix i Linux sustave oponašajući AD s LDAP implementacijom za te operativne sustave. JumpCloud nudi uredan način rada za AD koji radi za sve vaše resurse, a ne samo one koje pruža Microsoft. Ne morate plaćati JumpCloud DaaS ako ga koristite samo do 10 korisnika.

Trčanje sigurnosnih usluga putem interneta stvara dodatnu komponentu koja može propasti i to također stvara dodatnu priliku hakeri da vam presreću promet i probiju vašu provjeru autentičnosti procesi. Srećom, JumpCloud šifrira sve komunikacije između vašeg klijenta i poslužitelja koji se nalaze na udaljenom web mjestu JumpCloud.

Postavljanje AD-a na webu zanimljivo je rješenje za one koji ne koriste mnogo resursa na licu mjesta, ali se oslanjaju na cloud poslužitelje i SaaS za korisničke aplikacije. Model temeljen na oblaku zanimljiv je i za one tvrtke koje imaju puno radnika iz kuće, ili za agente, savjetnike ili obrtnike koji cijelo vrijeme rade na stranicama klijenata.

JumpCloud DaaS je primjer kako se tradicionalne aplikacije na web mjestu mogu lako prilagoditi za isporuku na daljinu poslužiteljima i kako nikad nije kasno da inovator dođe i obnovi ili proširi funkcionalnost uspostavljenih usluge.

Amazon Web Services nudi alternativu JumpCloud DaaS. Ovo je još jedna implementacija aktivnog direktorija utemeljena na oblaku, a pruža je jedan od velikih Cloud usluga. Možete koristiti ovu uslugu direktorija kao trenutnu postavku na licu mjesta ili je koristiti za premještanje pohrane i softvera u druge AWS usluge.

Za razliku od JumpCloud, AWS direktorijska usluga ne proširuje AD-ove mogućnosti na Unix i Linux. Umjesto toga, ovo je čista Microsoft Active Directory implementacija koja se nalazi u Cloudu.

Amazon ne nudi uslugu AWS imenika besplatno. Međutim, model cijene vrlo je skalabilan i temelji se na satu mjerne stope, koja pokriva dvije domene, s nižom stopom za svaku dodatnu domenu dodanu u plan. Ovo nije sasvim dobro kao besplatno. Međutim, uslugu možete isprobati besplatno 30 dana.

Web stranica 389 Directory Server tvrdi da je ovaj softver "očvrsnut uporabom u stvarnom svijetu". Kao učvršćeni mrežni administrator vjerojatno ćete se odnositi prema toj upotrebi riječi. Ovo je projekt otvorenog koda i proizvod je koji ne mora štiti. Ako niste u stanju sami sastaviti programe i nemate smisla češljati preko koda, svidjet će vam se ovaj sistem direktorija. Paket uključuje GUI kraj fonta za Gnome okruženja kako bi vam omogućio jednostavnu uporabu "klik i klik".

Poslužitelj imenika 389 dostupan je za Linux i besplatan je za upotrebu. Postupci usluge napisani su prema LDAP standardima, tako da je ovo slično Active Directoryu za Linux.

Ako imate web mjesto, vrlo je vjerojatno da imate i Apache Web Server. Apache Directory je besplatna LDAP implementacija kojom upravlja ista organizacija koja njeguje softver web poslužitelja. Ne postoji stroga interoperabilnost između Apache Directory i Apache Web Server - to su dva različita proizvoda. Međutim, činjenica da se oslanjate na paket web poslužitelja od Apachea trebala bi vam dati samopouzdanje za isprobavanje direktorija Apache koji je besplatan za upotrebu.

Da biste imali potpunu implementaciju Apache Directory-a, morate preuzeti i instalirati dva dijela softvera. Međutim, oba su u potpunosti usklađena s LDAP-om, tako da možete zamijeniti bilo s drugom aplikacijom, pod uslovom da je i na LDAP-u. Modul poslužitelja zove se Apache DirectoryDS, a klijent naziva Apache Directory Studio. Drugi od ova dva paketa omogućava pregled i izmjenu zapisa u imeniku koji se nalaze na poslužitelju. I klijent i poslužitelj potpuno su slobodni za korištenje i oba rade na Windows, Unix, Linux i Mac OS.

Ranije ste pročitali o sustavima upravljanja identitetom (IMS) i FreeIPA je uključena na ovaj popis direktorijskih usluga koje treba isprobati jer je to dobar primjer IMS-a. Ne morate brinuti da ćete trošiti novac na isprobavanje ovog uslužnog programa jer je besplatan za upotrebu.

"IPA" označava identitet, politiku i reviziju. Ta tri prioriteta obuhvaćaju procese provjere autentičnosti koji su vam potrebni za mrežu i sve vaše IT resurse. Kao što je gore objašnjeno, usluge direktorija su dio IMS sustava. U slučaju FreeIPA, komponentu poslužitelja imenika pruža 389 Directory Server. Dakle, možete odabrati da instalirate 389 Directory Server da biste dobili implementaciju LDAP-a ili proširite svoje usluge provjere autentičnosti i kontrolu pristupa tako da prođete cjelovit IMS sa FreeIPA.

FreeIPA je projekt otvorenog koda, tako da možete ispitati kôd da biste bili sigurni da u njemu nema skrivenih postupaka za prikupljanje podataka. Usluga vam nudi opcije metodologija provjere autentičnosti koje implementirate u sustavu IMS okvir - Kerberos je dobra besplatna opcija otvorenog koda dostupna u okviru ove kategorije IMS zadataka.

Ovaj IMS radi na Unixu ili Linuxu. Međutim, također može nadzirati Windows sustave, a može se instalirati i nadzirati Unix kompatibilno Mac OS okruženje. Koncept FreeIPA prikuplja već postojeće tehnologije, uključujući Apache HTTP poslužitelj i Python programiranje API-ja za pružanje cjelovitog IMS-a koji se temelji na komponentama za koje znate da su "otvrdnute" upotrebu u stvarnom svijetu. "

Nadgledanje mrežnog imenika

Prednost korištenja poznate usluge direktorija je u tome što mnoge aplikacije za nadzor sustava mogu iskoristiti informacije sadržane u vašim evidencijama kontrole pristupa resursima kako biste u potpunosti upravljali i kontrolirali mrežu i njenu mrežu usluge.

Postoji nekoliko vrlo korisnih mrežnih sustava praćenja koji koriste podatke direktorija kako bi vam pružili potpunu kontrolu nad mrežnim aktivnostima. Evo onih o kojima stvarno trebate znati:

Proizvodi SolarWinds rade na Windows Serveru, pa nema problema s kompatibilnošću Aktivni direktorij. Kao sustav praćenja namijenjen Windows okruženjima, SolarWinds se pobrinuo da ugradi nadzor nad Active Directoryom u ovaj alat. AD zapisi na vašoj mreži omogućavaju monitoru da označi učitavanje poslužitelja prema potrebama korisnika, a također prati tu aktivnost putem mreže ako imate i tvrtku NetFlow analizator prometa i Praćenje korisničkih uređaja instaliran.

SolarWinds proizvodi niz alata za nadzor resursa i svi su napisani na zajedničkoj platformi, nazvanoj Orion. To omogućuje svakom modulu koji instalirate da komunicira s ostalim SolarWinds proizvodima koje imate na svom poslužitelju. PerfStack modul monitora poslužitelja i aplikacija najbolje radi ako su instalirani i mrežni monitori, kao što je Monitor performansi mreže SolarWinds. To je zato što PerfStack prikazuje sve nivoe skupa usluga zajedno, tako da možete brzo prepoznati gdje problemi s performansama zaista postoje.

Korisnički uređaj za praćenje posebno koristi informacije koje imate u Active Directoryu kako bi obavijestio ostale monitore u paketu o podrijetlu opterećenja resursa. Tragač vam pomaže u otkrivanju sigurnosnih kršenja, a Network Performance Monitor i NetFlow Traffic Analyzer pokazat će vam pretjerani promet koji bi mogao značiti aktivnosti uljeza. Bilo koji i sve ove proizvode SolarWinds možete dobiti na 30-dnevnoj besplatnoj probnoj verziji.

PRTG je objedinjeni monitor mreže, poslužitelja i aplikacija. Ako preuzmete ovaj alat, možete ga implementirati onoliko široko ili usko kako želite jer je njegov opseg potpuno prilagodljiv. PRTG sustav čine stotine senzora. Treba aktivirati svaki senzor, tako da će bez vaše intervencije sve mogućnosti sustava ostati u stanju mirovanja. Senzor se fokusira na jedan aspekt mrežnih usluga ili na jedan resurs. Na primjer, postoji Ping senzor za praćenje prometa, a postoji i niz senzora koji koriste informacije o vašim LDAP mapama.

Paessler ne naplaćuje PRTG ako aktivirate samo do 100 senzora. Dakle, alat možete koristiti kao monitor Active Directory-a. Dok uslužni program prati svoje aktivnosti na AD-u, također imate prostora unutar te besplatne ponude usluga za praćenje nekoliko drugih aktivnosti na vašoj mreži. Možete aktivirati SNMP i NetFlow senzore da biste dobili povratnu informaciju o mrežnom prometu ili se odlučili za aktiviranje monitora porta ili senzora statusa poslužitelja.

Ako želite koristiti više od 100 senzora, PRTG možete dobiti na 30-dnevnoj besplatnoj probnoj verziji. PRTG se instalira na Windows Server okruženje.

ManageEngine proizvodi niz izvrsnih monitora resursa koji se izvode na Windows ili Linuxu. U stabilnom ManageEngine pronaći ćete niz alata koji su posebno prilagođeni nadzoru Active Directory-a. ADAudit Plus jedno je od ovih uslužnih programa. Ovaj će vam alat pomoći da upravljate AD-om putem sučelja ManageEngine te će također pratiti sve korisničke aktivnosti, uključujući prijavu i odjava. To će vam pomoći da uočite nelogične korisničke aktivnosti i prevelike pokušaje prijave koji mogu ukazivati ​​na uljeze.

ADAudit Plus je bogat značajkama i uključuje mogućnost praćenja i izvještavanja. Možete ga dobiti u 30-dnevnoj besplatnoj probnoj verziji. Ako nakon probnog razdoblja ne želite platiti, možete se odlučiti za besplatnu verziju ovog ManageEngine alata. ManageEngine nudi brojne besplatne alate Active Directory, uključujući i Alat za upite aktivnog direktora, the CSV Generator, koji izdvaja AD zapise, Izvještavač s zadnjim prijavama, i Upravitelj replikacije AD-a, između ostalih.

Usluge direktorija

Kada počnete kupovati za usluge mrežnih direktorija, imate mnogo opcija. Nadamo se da vam je ovaj vodič dao početnu točku za vaše pretraživanje.

Koristite li neki od uslužnih programa navedenih u ovom vodiču? Da li više volite alat koji ovdje nismo pokrili? Ostavite poruku u odjeljku Komentari u nastavku kako biste svoje znanje podijelili sa zajednicom.