Geriausios tinklo katalogo paslaugos ir stebėjimo įrankiai

„Katalogas“ yra įprastas skaičiavimo terminas, kuris gali reikšti daugybę dalykų. Tačiau kuriant tinklą, katalogas paprastai yra susijęs su vartotojo duomenimis ir išteklių, su kuriais galima susisiekti tinkle, sąrašu.

Taigi, tinkle reikia prižiūrėti du katalogų tipus: vienas surašo žmones, o kitas - įrangą. Šiame vadove mes ištirsime skirtingas katalogų sistemas, kurios šiandien dažniausiai veikia tinkluose.

Katalogų saugojimo formatas

Bet kokį duomenų sąrašą galima laikyti kompiuteryje failo arba duomenų bazės pavidalu. Ankstyvosios katalogų sistemos buvo pagrįstos failais. Tačiau plėtojant duomenų bazių valdymo sistemas, duomenų bazės parinktis tapo efektyvesnė. Duomenų bazėse yra lengviau ir greičiau ieškoti, o joms naudojamos užklausų kalbos (paprastai SQL) leidžia įtraukti loginius operatorius (IR, ARBA, NE, SKIRTI, LAIKUS, PASIRINKTI, PROJEKTĄ) paieškas.

Prieigos prie katalogų procedūros

Geriau naudoti katalogų sistemą, kuri remiasi atvirai prieinamu protokolu, o ne pirkti patentuota sistema, kuri naudoja savo komunikacijos formatus. Katalogų tarnyboms reikalingi du pagrindiniai komponentai, ty klientas ir serveris. Serveris yra programa, kuri laiko duomenų bazę ir tvarko prieigą prie duomenų. Paprastai klientas yra įterptas į sąsają, kurioje pateikiami gauti duomenys, leidžiama juos keisti arba leidžiama atlikti veiksmus sąlygiškai gavus tą informaciją.

Jei nuspręsite įdiegti katalogų sistemą, pagrįstą universaliaisiais protokolais, galėsite „sumaišyti ir suderinti“ klientų ir serverių sistemas, nes joms bus garantuojama, kad jos galės bendrauti viena su kita, nesvarbu, kas parašė juos. Be to, tinklo kataloguose esančią informaciją galima panaudoti stebėjimo ir veiklos ataskaitų teikimo priemonėmis, tokiomis kaip įsibrovimų aptikimo sistemos (IDS). Įdiegę katalogų tvarkyklę, įgyvendinančią dažniausiai naudojamą protokolą, užtikrinsite, kad informacija būtų tuose kataloguose esančius vartotojus galės pasiekti tie naudotojų stebėjimai ir išteklių valdymas pakuočių.

Lengvas katalogo prieigos protokolas (LDAP)

LDAP yra paslaugų protokolas, kuris buvo plačiai naudojamas kaip prieigos prie įvairių tinklo katalogų prieigos mechanizmas. Daugybė čia išvardytų tinklo katalogų sistemų naudoja LDAP procedūras.

Kadangi tai yra protokolas, o ne programinė įranga, negalima nusipirkti LDAP ir jo įdiegti. Geriau įsigytumėte ir paleistumėte programą, kuri įgyvendina LDAP taisykles. Protokole pateikiamas standartų ir darbo procedūrų, kuriomis bus pasiektas tikslas, sąrašas, todėl pats protokolas nepriklauso nuo operacinės sistemos. Tai reiškia, kad kiekvienas gali sukurti LDAP diegimą „Windows“, „Linux“, „Unix“ ar bet kuriai kitai operacinei sistemai.

Svarbus LDAP apibrėžimo elementas yra tas, kad jame išdėstoma komandų kalba, leidžianti klientams bendrauti su LDAP serveriu. Kadangi standartas yra viešai prieinamas, kiekvienas gali jį naudoti norėdamas sukurti programą, sąveikaujančią su LDAP serveriu. Tai reiškia, kad LDAP gali būti integruotas į komercinę programinę įrangą ir taip pat gali būti integruotas į bet kurią vidinę pasirinktinę programą, kurią galite sukurti. Šis lankstumas ir universalumas pavertė LDAP faktišku katalogų tarnybų darbo tvarkos standartu.

LDAP yra naudojamas visiems DNS serveriams (domeno vardo paslauga), taigi jūs reguliariai naudosite LDAP sistemą savo tinkle, nesvarbu, ar ją suprantate, ar ne.

„OpenLDAP“

Kaip rodo pavadinimas, OpenLDAP yra gryniausia įdiegta LDAP sistema, kurią rasite. Tai procedūrų biblioteka, kurią galima integruoti į kitas programas. „OpenLDAP“ yra atvirojo kodo projektas, todėl kiekvienas gali nemokamai pasiekti jo kodą. Kodą taip pat įgyvendina „OpenLDAP“ projektas kaip „Java“ bibliotekas, todėl prie sistemos galima prisijungti per bet kurios operacinės sistemos GUI sąsajas.

Kadangi šis paketas yra kodo biblioteka, nedaugelis tinklo administratorių OpenLDAP procedūrą įgyvendina tiesiogiai. Vietoj to turėtumėte atkreipti dėmesį į komercines programas, kuriose nurodoma, kad jos naudoja OpenLDAP.

„Active Directory“

„Microsoft“ „Active Directory“ buvo novatoriška vartotojų valdymo sistema, sukurta „Windows“. Jis buvo išrastas 1999 m. Ir buvo taip gerai suplanuotas, kad vis dar plačiai naudojamas.

„Active Directory“ saugo įgaliotų tinklo vartotojų sąrašą. Tai gali suskirstyti tuos vartotojus į kategorijas pagal leidimų lygius, todėl vartotojas, turintis administratoriaus teises, yra atpažįstamas ir jam suteikiama didesnė prieiga nei įprastiems vartotojams. Antrinis „Active Directory“ pranašumas yra tas, kad ji taip pat tikrina tinklo kompiuterių teises. Taigi, tai yra puiki saugos tarnyba, nes ji užtikrina, kad prie tinklo būtų prijungti tik įgalioti įrenginiai ir tuose kompiuteriuose galėtų prisijungti tik įgalioti vartotojai. Galima užblokuoti prieigą prie tam tikros įrangos tam tikroms vartotojų grupėms ir suteikti prieigą prie konkrečių programų tiems, kurie turi administratoriaus teises.

Pagrindinis „Active Directory“ apribojimas yra tas, kad jis integruojamas tik su kitais „Microsoft“ produktais, todėl negalite jo naudoti „Linux“. Be to, jis negali valdyti prieigos prie ne „Microsoft“ produktyvumo rinkinių, tokių kaip „Google“ dokumentai. Išplečiant sėkmingų konkurentų paslaugų ir debesimis pagrįstų sistemų sąrašą, „Active Directory“ naudojimas sumažėja.

„Novell Directory Services“ (NDS)

NDS sistema buvo sugalvota teikti katalogų paslaugas „Novell Netware“ tinklams. Tačiau jis taip pat gali veikti tinkluose, kuriuose nėra įdiegtos internetinės programos. Programinė įranga gali veikti „Windows“, „Sun Solaris“ ir „IBM OS / 390“. Tai buvo ankstyvas LDAP diegimas, todėl jis tapo kitų katalogų paslaugų diegimo etalonu. LDAP naudojimas ypač atkreipė dėmesį į vėlesnius pokyčius ir sudarė „Active Directory“ modelį.

Prieigos kontrolės sąrašas (ACL)

ACL yra konkuruojanti prieigos prie LDAP valdymo sistema. Nors ACL nėra taip plačiai įdiegta kaip LDAP, ji vis dar yra labai gerai žinoma sistema ir ji buvo įdiegta pakankamai kartų, kad pramonėje ji būtų pažymėta kaip patikima autentifikavimo paslauga.

ACL sistema remiasi duomenų saugojimo formatu, kuris sukuria atributų medį. ACL terminologijoje apsaugomas šaltinis vadinamas „objektu“. Kiekvienam objektui yra priskirtas sąrašas leidžiamiems vartotojams ir, atsižvelgiant į saugomo objekto tipą, kiekvienam vartotojui priskiriamas vienas ar keli leidimus.

ACL galima pritaikyti prieigai prie failų ar tinklo. Tinkle esantys ACL gali būti naudingi įsilaužimo prevencijos sistemoms (IPS), nes jie kontroliuoja prieigą prie konkrečių pagrindinio kompiuterio adresų ir netgi gali pasirinktinai blokuoti prieigą prie prievadų. Tinkluose ACL patvirtintos prieigos teisės yra įgyvendinamos perjungikliuose ir maršrutizatoriuose.

Šiuolaikiniai ACL naudoja SQL duomenų bazes leidimų saugojimui, o ne failams. Šis patobulinimas taip pat leido ACL peržengti vartotojo prieigos kontrolės galimybes, o ne vartotojų grupes. Tai supaprastina prieigos teisių administravimą, ypač tinkluose, kur gali reikėti prisijungti prie ACL kiekvienas vartotojas daug kartų, kad būtų suteikta prieiga net prie pagrindinių išteklių, būdingų tipiškai biure, poreikiams Vartotojas.

Tapatybės ir prieigos valdymo sprendimai (IAM)

Tinklo naudingumo kategorija, su kuria galite susidurti tyrinėdami vartotojo autentifikavimo sistemas, yra Tapatybė ir Prieigos valdymo sprendimai arba IAM. Šis terminas apibūdina platesnį vartotojo autentifikavimo sprendimą nei tik katalogas tarnyba. Bet katalogas ar net keli katalogai bus bet kurio IAM pagrindas. Taigi, pirkdami prieigos ir autentifikavimo sistemas, pasitelkite įrankius, kurių kompetencija yra daug platesnė nei vien katalogų tvarkymas. Tačiau atminkite, kad jums reikia katalogų paslaugos, esančios IAM šerdyje, norint įdiegti atvirą protokolą, pvz., LDAP, kad prieiga prie katalogo būtų prieinama ir kitoms stebėsenoms programos.

Tinklo katalogų paslaugų pasiūlymai

Šiame sąraše yra keletas programų, kurias galite išbandyti kaip specifines katalogų paslaugas jūsų tinkle, pasiūlymų. Tačiau kitos programos, kurias naudojate reguliariai, tokie žiniatinklio serveriai ar IP adresų tvarkytojai taip pat integruos katalogų paslaugas.

Šio produkto pavadinimo dalis „DaaS“ reiškia „katalogas kaip paslauga“. Tai yra termino „programinė įranga, kaip paslauga. “ Internetinės debesies programinės įrangos paslaugos naudoja „SaaS“ / programinę įrangą kaip paslaugų terminą, kad apibūdintų jų konfigūraciją. Taigi, „JumpCloud“ vardas akimirksniu praneša, kad tai internetinė paslauga, teikianti katalogų serverį internetu.

Tai yra mokamas produktas, kuriame įdiegiama „Active Directory“. Tačiau „JumpCloud“ išplečia „Active Directory“ galimybes iki „Unix“ ir „Linux“ sistemų, imituodamas AD su tų operacinių sistemų LDAP diegimu. „JumpCloud“ siūlo tvarkingą būdą, kaip pritraukti AD prie visų jūsų išteklių, ne tik tų, kuriuos teikia „Microsoft“. Jums nereikia mokėti už „JumpCloud DaaS“, jei ja naudojatės tik iki 10 vartotojų.

Apsaugos paslaugų teikimas internetu sukuria papildomą komponentą, kuris gali sugesti, ir taip pat sukuria papildomą galimybę įsilaužėliams sulaikyti jūsų srautą ir nutraukti jūsų autentifikavimą procesai. Laimei, „JumpCloud“ užkoduoja visą jūsų kliento ir serverio, esančio „JumpCloud“ nuotolinėje svetainėje, ryšius.

Skelbimų rodymas internete yra įdomus sprendimas tiems, kurie nenaudoja daug vietoje esančių išteklių, bet naudojasi debesies serveriais ir „SaaS“ vartotojų programoms. Debesis pagrįstas modelis taip pat įdomus toms įmonėms, kuriose dirba daug darbuotojų iš namų, arba su agentais, konsultantais ar amatininkais, kurie visą laiką dirba klientų svetainėse.

„JumpCloud DaaS“ yra pavyzdys, kaip tradicines svetainių programas galima lengvai pritaikyti siuntimui nuotoliniu būdu serverius ir kaip niekada nevėlu novatoriui atvykti ir atnaujinti ar išplėsti nustatytų funkcijų galimybes paslaugos.

„Amazon Web Services“ siūlo alternatyvą „JumpCloud DaaS“. Tai yra dar vienas debesies pagrindu sukurtas „Active Directory“ diegimas, kurį teikia vienas iš didžiausių „Cloud“ kūrėjų. Galite pasirinkti naudoti šią katalogo paslaugą tiesiog kaip esamą sąranką vietoje arba naudoti ją perkelti saugyklą ir programinę įrangą į kitas AWS paslaugas.

Priešingai nei „JumpCloud“, „AWS Directory Service“ neišplečia AD galimybių „Unix“ ir „Linux“. Atvirkščiai, tai yra grynas „Microsoft Active Directory“ diegimas, priglobtas „Cloud“.

„Amazon“ nemokamai nesiūlo „AWS Directory Service“. Tačiau kainodaros modelis yra labai keičiamas ir pagrįstas valandos skaitiklio tarifu, apimančiu du domenus, o kiekvienam papildomam domenui, pridedamam prie plano, yra mažesnis tarifas. Tai ne visai taip gerai, kaip nemokama. Tačiau 30 dienų galite nemokamai išbandyti paslaugą.

„389 Directory Server“ svetainė teigia, kad šią programinę įrangą „sukietina realus pasaulis“. Būdami užkietėjęs tinklo administratorius, tikriausiai susisieksite su tuo žodžių vartojimu. Tai yra atvirojo kodo projektas ir tai nėra paprastas produktas. Jei jums gerai sekasi sudaryti programas patiems ir negalvojate apie kodo sukūrimą, jums patiks ši katalogų sistema. Komplektą sudaro GUI šrifto pabaiga, skirta „Gnome“ aplinkoms, kad būtų lengviau naudotis „spustelk ir spustelėk“.

„389 Directory Server“ galima naudoti „Linux“ ir ja galima nemokamai naudotis. Paslaugos procedūros yra parašytos pagal LDAP standartus, taigi tai yra panašu į „Active Directory for Linux“.

Jei valdote svetainę, labai tikėtina, kad turite ir „Apache“ tinklo serverį. „Apache Directory“ yra nemokamas LDAP diegimas, kurį valdo ta pati organizacija, kuruojanti žiniatinklio serverio programinę įrangą. Nėra griežto „Apache Directory“ ir „Apache Web Server“ suderinamumo - jie yra du atskiri produktai. Tačiau faktas, kad pasitikite „Apache“ žiniatinklio serverio paketu, turėtų suteikti jums pasitikėjimo išbandyti „Apache Directory“, kuriuo galima laisvai naudotis.

Norėdami visiškai įdiegti „Apache Directory“, turite atsisiųsti ir įdiegti du programinės įrangos elementus. Tačiau abu jie visiškai atitinka LDAP, todėl galite juos pakeisti bet kuria kita programa, jei ji taip pat pagrįsta LDAP. Serverio modulis vadinamas Apache DirectoryDS, o klientas - Apache Directory Studio. Antrasis iš šių dviejų paketų leidžia peržiūrėti ir pakeisti katalogų įrašus, laikomus serveryje. Tiek klientas, tiek serveris yra visiškai laisvai naudojami ir abu veikia „Windows“, „Unix“, „Linux“ ir „Mac OS“.

Anksčiau skaitėte apie tapatybės valdymo sistemas (IMS), o FreeIPA yra įtraukta į šį katalogo paslaugų sąrašą, kad galėtumėte išbandyti, nes tai yra geras IMS pavyzdys. Nereikia jaudintis dėl pinigų švaistymo šiam įrankiui išbandyti, nes juo galima laisvai naudotis.

„IPA“ reiškia tapatybę, politiką ir auditą. Šie trys prioritetai apima autentifikavimo procesus, kurių jums reikia jūsų tinklui ir visiems jūsų IT ištekliams. Kaip paaiškinta aukščiau, katalogų paslaugos yra IMS sistemų dalis. „FreeIPA“ atveju katalogo serverio komponentą teikia „389 Directory Server“. Taigi, galite pasirinkti įdiegti 389 katalogų serverį, kad gautumėte LDAP diegimą, arba išplėskite savo autentifikavimo paslaugas ir prieigos valdymą, eidami į visišką IMS su FreeIPA.

„FreeIPA“ yra atvirojo kodo projektas, todėl galite patikrinti kodą ir įsitikinti, kad jame nėra paslėptų duomenų rinkimo procedūrų. Paslauga suteikia jums parinktis, susijusias su autentifikavimo metodikomis, kurias įgyvendinate IMS sistema - „Kerberos“ yra gera nemokamo atvirojo kodo galimybė, prieinama šioje IMS kategorijoje užduotys.

Ši IMS veikia „Unix“ ar „Linux“. Tačiau jis taip pat gali stebėti „Windows“ sistemas, taip pat gali įdiegti ir stebėti „Unix“ suderinamą „Mac OS“ aplinką. „FreeIPA“ koncepcija renka jau egzistuojančias technologijas, įskaitant „Apache HTTP Server“ ir „Python“ programavimo API, kad būtų galima pateikti visą IMS, pagrįstą komponentais, kuriuos, jūsų žiniomis, „sukietina“ realiame pasaulyje. “

Tinklo katalogų stebėjimas

Žinomos katalogų paslaugos naudojimo pranašumas yra tas, kad daugelis sistemos stebėjimo programų gali išnaudoti informaciją, esančią jūsų prieigos prie išteklių valdymo įrašuose, kad būtų galima visiškai valdyti ir valdyti jūsų tinklą ir jo tinklus paslaugos.

Yra keletas labai naudingų tinklo stebėjimo sistemų, kurios išnaudoja katalogų duomenis, kad galėtumėte visiškai valdyti savo tinklo veiklą. Štai tie, apie kuriuos tikrai reikia žinoti:

„SolarWinds“ produktai veikia „Windows Server“, todėl nėra problemų dėl suderinamumo su „Active Directory“. Kaip stebėjimo sistema, skirta „Windows“ aplinkoms, „SolarWinds“ įsitikino, kad į šį įrankį turi integruoti „Active Directory“ stebėjimą. Jūsų tinklo AD įrašai leidžia monitoriui žymėti serverio apkrovą pagal vartotojo poreikius ir taip pat sekti tą veiklą tinkle, jei turite ir įmonės „NetFlow“ srauto analizatorius ir Vartotojo įrenginių sekimo priemonė įdiegta.

„SolarWinds“ gamina daugybę išteklių stebėjimo priemonių ir visos jos yra parašytos bendroje platformoje, vadinamoje „Orion“. Tai leidžia kiekvienam įdiegtam moduliui sąveikauti su kitais „SolarWinds“ produktais, kuriuos naudojate savo serveryje. „PerfStack“ serverio ir programos stebėjimo modulis geriausiai veikia, jei turite įdiegtus tinklo monitorius, pvz., „SolarWinds“ tinklo našumo monitorius. Taip yra todėl, kad „PerfStack“ rodo kiekvieną paslaugų krūvos lygį kartu, todėl galite greitai nustatyti, kur iš tikrųjų yra našumo problemų.

Vartotojo įrenginių sekimo priemonė ypač naudoja turimą „Active Directory“ informaciją norėdama informuoti kitus rinkinio monitorius apie išteklių įkėlimo kilmę. Sekiklis padeda pastebėti saugumo pažeidimus, o tinklo našumo stebėjimo įrankis ir „NetFlow“ srauto analizatorius parodys, kad srautas yra didelis, o tai gali reikšti įsibrovėlių veiklą. Galite įsigyti bet kurį iš šių „SolarWinds“ produktų per 30 dienų nemokamą bandomąją versiją.

PRTG yra vieningas tinklo, serverio ir programų monitorius. Jei pasirinksite šį įrankį, galite pasirinkti jį įgyvendinti kuo plačiau ar siauriau, nes jums visiškai tinka jo taikymo sritis. PRTG sistemą sudaro šimtai jutiklių. Kiekvienas jutiklis turi būti suaktyvintas, taigi be jūsų įsikišimo visos sistemos galimybės liks neveikiančios. Jutiklis sutelkia dėmesį į vieną tinklo paslaugų aspektą arba į vieną išteklių. Pvz., Yra „Ping“ jutiklis, skirtas srauto stebėjimui, taip pat yra daugybė jutiklių, kurie naudojasi jūsų LDAP katalogais informacijai gauti.

„Paessler“ nemoka PRTG, jei suaktyvinote tik iki 100 jutiklių. Taigi, įrankį galite tiesiog naudoti kaip „Active Directory“ monitorių. Kol turite naudingumą stebėti savo AD veiklą, taip pat turite nemokamų paslaugų pasiūlymą, kad galėtumėte stebėti dar keletą kitų jūsų tinklo veiklų. Galite suaktyvinti jutiklius SNMP ir NetFlow, kad gautumėte grįžtamąjį ryšį apie tinklo srautą, arba pasirinkti aktyvuoti prievadų monitorius arba serverio būsenos jutiklius.

Jei norite naudoti daugiau nei 100 jutiklių, galite gauti PRTG per 30 dienų nemokamą bandymą. PRTG įdiegia „Windows Server“ aplinkoje.

„ManageEngine“ sukuria puikių išteklių monitorių, veikiančių „Windows“ ar „Linux“, rinkinį. Tvarkyklėje „ManageEngine“ rasite daugybę įrankių, specialiai pritaikytų „Active Directory“ stebėjimui. „ADAudit Plus“ yra viena iš šių paslaugų. Šis įrankis padės jums administruoti AD per „ManageEngine“ sąsają ir taip pat stebės visas vartotojo veiklas, įskaitant prisijungimą ir atsijungimą. Tai padės pastebėti nelogišką vartotojo veiklą ir per daug prisijungimo bandymų, kurie gali reikšti įsibrovėlių buvimą.

„ADAudit Plus“ yra daug funkcijų ir apima stebėjimo bei ataskaitų teikimo galimybes. Galite gauti per 30 dienų nemokamą bandomąją versiją. Jei nesijaudinate mokėti po bandomojo laikotarpio, galite pasirinkti nemokamą šio „ManageEngine“ įrankio versiją. „ManageEngine“ siūlo daugybę nemokamų „Active Directory“ įrankių, įskaitant Aktyvioji direktoriaus užklausos priemonė, CSV generatorius, iš kurio ištraukiami AD įrašai, Paskutinio prisijungimo reporteris, ir AD replikacijos tvarkyklė, tarp kitų.

Katalogų paslaugos

Kai pradedate ieškoti tinklo katalogų paslaugų, turite daugybę galimybių. Tikimės, kad šis vadovas davė jums atskaitos tašką jūsų paieškai.

Ar naudojate kurią nors iš šiame vadove paminėtų komunalinių paslaugų? Ar jums labiau patinka įrankis, kurio čia neapibūdinome? Jei norite pasidalinti savo žiniomis su bendruomene, palikite pranešimą žemiau esančiame komentarų skyriuje.