Beste nettverkskatalogtjenester og overvåkningsverktøy

"Directory" er et vanlig begrep innen databehandling som kan bety en rekke ting. I nettverk er katalogen imidlertid vanligvis relatert til brukerdata og en liste over ressurser som kan kontaktes i nettverket.

Så det er to typer kataloger å passe på i et nettverk: den ene lister mennesker, og den andre viser utstyr. I denne guiden vil vi undersøke de forskjellige katalogsystemene som ofte er i bruk i nettverk i dag.

Kataloglagringsformat

Enhver liste over data kan holdes på en datamaskin i form av en fil, eller i en database. Tidlige katalogsystemer var filbaserte. Imidlertid gjorde utviklingen av databasestyringssystemer databasealternativet mer effektivt. Databaser er enklere og raskere å søke gjennom og spørrespråkene som brukes for dem (vanligvis SQL) tillater at boolske operatører (OG, ELLER, IKKE, DIVID, TIDER, VELG, PROSJEKT) blir inkludert i søk.

Prosedyrer for katalogtilgang

Å bruke et katalogsystem som er avhengig av en åpen tilgjengelig protokoll er å foretrekke fremfor å kjøpe inn et proprietært system som bruker sine egne kommunikasjonsformater. Katalogtjenester krever to grunnleggende komponenter, som er en klient og en server. Serveren er programmet som har databasen og administrerer tilgang til data. Klienten er vanligvis innebygd i et grensesnitt som enten viser hentede data, gjør at data kan endres, eller gjør at handlinger kan utføres betinget av mottak av den informasjonen.

Hvis du velger å installere et katalogsystem som er basert på universelle protokoller, vil du kunne "blande og matche" klient- og serversystemer fordi de vil være garantert å kunne samhandle med hverandre uansett hvem som skrev dem. Videre kan informasjonen i nettverkskatalogene utnyttes ved overvåking og aktivitetsrapporteringsverktøy, for eksempel inntrengingsdeteksjonssystemer (IDS). Å installere en katalogbehandler som implementerer ofte brukt protokoll, sikrer at informasjonen som finnes i disse katalogene, vil være tilgjengelig for brukerovervåking og ressurskontroll pakker.

Lett katalogtilgangsprotokoll (LDAP)

LDAP er en tjenesteprotokoll som er implementert i stor utstrekning som tilgangsmekanisme til et bredt spekter av nettverkskataloger. Flere av nettverkskatalogsystemene som er listet opp nedenfor bruker LDAP-prosedyrer.

Ettersom det er en protokoll og ikke et programvare, kan du ikke kjøpe LDAP og installere det. Snarere vil du skaffe og kjøre et program som implementerer LDAP-reglene. En protokoll skisserer en liste over standarder og arbeidsprosedyrer som vil oppnå et mål, slik at protokollen i seg selv ikke er operativsystemavhengig. Det betyr at hvem som helst kan utvikle en LDAP-implementering for Windows, Linux, Unix eller et hvilket som helst annet operativsystem.

Et viktig element i LDAP-definisjonen er at den setter ut et kommandospråk som gjør det mulig for klienter å kommunisere med LDAP-serveren. Siden standarden er offentlig tilgjengelig, kan hvem som helst bruke den til å lage et program som samhandler med en LDAP-server. Dette betyr at LDAP kan integreres i kommersiell programvare og også kan integreres i ethvert eget tilpasset program du måtte utvikle. Denne fleksibiliteten og universaliteten har gjort LDAP til de facto standard for operasjonsprosedyren for katalogtjenester.

LDAP brukes for alle DNS-servere (Domain Name Service), så du vil ansette LDAP-systemet regelmessig i nettverket ditt, enten du er klar over det eller ikke.

OpenLDAP

Som navnet antyder er OpenLDAP den reneste implementeringen av LDAP-systemet du vil finne. Dette er et bibliotek med prosedyrer som kan integreres i andre programmer. OpenLDAP er et åpen kildekode-prosjekt, og slik at alle kan få tilgang til koden gratis. Koden implementeres også av OpenLDAP-prosjektet som Java-biblioteker, og det er derfor mulig å få tilgang til systemet via GUI-grensesnitt på ethvert operativsystem.

Siden denne pakken er et bibliotek med kode, implementerer få nettverksadministratorer OpenLDAP-prosedyren direkte. I stedet bør du se etter kommersielle applikasjoner som oppgir bruken av OpenLDAP.

Aktiv katalog

Microsofts Active Directory var et banebrytende brukeradministrasjonssystem, opprettet for Windows. Den ble oppfunnet i 1999 og var så godt planlagt at den fremdeles er mye i bruk.

Active Directory holder en liste over autoriserte brukere for et nettverk. Det er i stand til å kategorisere disse brukerne etter tillatelsesnivåer, slik at en bruker med administratorrettigheter blir gjenkjent og tillatt større tilgang til vanlige brukere. En sekundær fordel med Active Directory er at den også sjekker rettighetene til datamaskiner i nettverket. Så dette er en flott sikkerhetstjeneste fordi den sørger for at bare autoriserte enheter er koblet til nettverket og bare autoriserte brukere kan logge på disse datamaskinene. Det er mulig å blokkere tilgang til noe utstyr til visse brukergrupper og reservere tilgang til spesifikke applikasjoner til de med administratorrettigheter.

Hovedbegrensningen til Active Directory er at den bare integreres med andre Microsoft-produkter, slik at du ikke kan bruke den på Linux. Den er heller ikke i stand til å kontrollere tilgangen til produktivitetssuiter som ikke er fra Microsoft, for eksempel Google Docs. Ettersom listen over vellykkede konkurrenttjenester og skybaserte systemer utvider, reduseres bruken av Active Directory.

Novell Directory Services (NDS)

NDS-systemet ble oppfunnet for å tilby katalogtjenester til Novell Netware-nettverk. Imidlertid er den også i stand til å operere i nettverk som ikke har Netware installert. Programvaren kan kjøres på Windows, Sun Solaris og IBM OS / 390. Dette var en tidlig implementering av LDAP, og det ble derfor et mål for andre implementeringer av katalogtjenester. Bruken av LDAP pekte spesielt for senere utvikling og dannet en modell for Active Directory.

Tilgangskontrolliste (ACL)

ACL er et konkurrerende tilgangsstyringssystem for LDAP. Selv om det ikke er så vidt implementert som LDAP, er ACL fortsatt et meget kjent system, og det er implementert nok ganger til å flagge det i bransjen som en pålitelig autentiseringstjeneste.

ACL-systemet er avhengig av et datalagringsformat som lager et tre av attributter. I ACL-terminologi kalles ressursen som blir beskyttet et "objekt." Hvert objekt tildeles en liste over tillatte brukere, og avhengig av hvilken type objekt som blir beskyttet, blir hver bruker tilskrevet en eller flere tillatelser.

ACL kan brukes på filtilgang eller nettverkstilgang. Nettverksbaserte ACL-er kan være nyttige for innbruddsforebyggende systemer (IPS) fordi de kontrollerer tilgangen til bestemte vertsadresser og til og med selektivt kan blokkere tilgangen til porter. På nettverk implementeres tilgangsrettighetene som er dokumentert av ACL på brytere og rutere.

Moderne ACL-er bruker SQL-databaser for lagring av tillatelser i stedet for filer. Denne fremgangen gjorde det også mulig for ACL å utvikle seg utover brukertilgangskontroller til brukergruppeadministrasjon. Dette forenkler administrasjonen av tilgangstillatelser, spesielt i nettverk der ACL kan trenge å logge hver bruker mange ganger for å gi tilgang til selv de grunnleggende ressurskravene til en typisk kontorbasert bruker.

Identiteter og løsninger for tilgangsstyring (IAM)

En kategori nettverksverktøy som du kanskje kommer over når du undersøker brukergodkjenningssystemer, er Identitet og Access Management Solutions, eller IAMs. Dette begrepet beskriver en bredere løsning for brukerautentisering enn bare en katalog service. Imidlertid vil en katalog, eller til og med flere kataloger, ligge i hjertet av enhver IAM. Så når du handler etter tilgangs- og autentiseringssystemer, må du sikte på verktøy som har mye større ansvarsområde enn bare katalogstyring. Vær imidlertid oppmerksom på at du trenger katalogtjenesten i kjernen av IAM for å implementere en åpen protokoll, for eksempel LDAP, slik at katalogtilgang også vil være tilgjengelig for annen overvåking applikasjoner.

Forslag til nettverkskatalogtjenester

Denne listen presenterer noen få forslag til applikasjoner du kan prøve som spesifikke katalogtjenester i nettverket ditt. Andre applikasjoner som du bruker regelmessig, for eksempel en web-server eller IP-adresseadministrator, vil imidlertid også integrere katalogtjenester.

"DaaS" -delen av dette produktets navn står for "katalog som en tjeneste." Dette er en emulering av begrepet “programvare som en tjeneste." Nettbaserte, skybaserte programvaretjenester bruker SaaS / programvaren som et tjenestebegrep for å beskrive konfigurasjonen. Så, JumpCloud-navnet forteller deg øyeblikkelig at det er en online tjeneste som leverer en katalogserver over internett.

Dette er et betalt produkt som implementerer Active Directory. JumpCloud utvider imidlertid Active Directory-funksjonene til Unix og Linux-systemer ved å emulere AD med en LDAP-implementering for disse operativsystemene. JumpCloud tilbyr en fin måte å få AD til å jobbe for alle ressursene dine, ikke bare de som er levert av Microsoft. Du trenger ikke å betale for JumpCloud DaaS hvis du bare bruker det for opptil 10 brukere.

Å drive sikkerhetstjenester over internett skaper en ekstra komponent som kan mislykkes, og det også skaper en ekstra mulighet for hackere til å avskjære trafikken og bryte godkjenningen din prosesser. Heldigvis krypterer JumpCloud all kommunikasjon mellom klienten din og serveren som holdes på det eksterne nettstedet JumpCloud.

Å sette AD på nettet er en interessant løsning for de som ikke bruker mange ressurser på stedet, men er avhengige av skyservere og SaaS for brukerapplikasjoner. Den skybaserte modellen er også interessant for de virksomhetene som har mange arbeidere hjemmefra, eller med agenter, konsulenter eller håndverkere som jobber på kundesider hele tiden.

JumpCloud DaaS er et eksempel på hvordan tradisjonelle nettstedsbaserte applikasjoner enkelt kan tilpasses for levering på fjernkontroll servere, og hvordan det aldri er for sent for en innovatør å komme inn og forny eller utvide funksjonaliteten til etablerte tjenester.

Amazon Web Services tilbyr et alternativ til JumpCloud DaaS. Dette er en annen skybasert Active Directory-implementering, og den er levert av en av Cloud's store hitters. Du kan velge å bare bruke denne katalogtjenesten som ditt nåværende oppsett på stedet, eller bruke den til å migrere lagring og programvare til andre AWS-tjenester.

I motsetning til JumpCloud, utvider AWS Directory Service ikke mulighetene til AD til Unix og Linux. Snarere er dette en ren Microsoft Active Directory-implementering som er vert på Cloud.

Amazon tilbyr ikke AWS Directory Service gratis. Prisingsmodellen er imidlertid veldig skalerbar og basert på en timemålerpris, som dekker to domener, med en lavere hastighet for hvert ekstra domene lagt til planen. Dette er ikke så bra som gratis. Du kan imidlertid prøve tjenesten gratis i 30 dager.

Nettstedet til 389 Directory Server hevder at denne programvaren er "herdet av virkelig bruk." Som herdet nettverksadministrator vil du sannsynligvis forholde deg til den ordbruken. Dette er et åpen kildekode-prosjekt og er et fritt produkt. Hvis du har det bra med å kompilere programmene selv og ikke har noe imot å kamme deg gjennom kode, vil du elske dette katalogsystemet. Pakken inneholder en GUI-font-ende for Gnome-miljøer for å gi deg brukervennlighet ved pek og klikk.

389 Directory Server er tilgjengelig for Linux, og den er gratis å bruke. Prosedyrene for tjenesten er skrevet til LDAP-standardene, så dette er som Active Directory for Linux.

Hvis du driver et nettsted, er det veldig sannsynlig at du også har Apache Web Server. Apache Directory er en gratis LDAP-implementering som administreres av samme organisasjon som kuraterer webserverprogramvaren. Det er ingen streng interoperabilitet mellom Apache Directory og Apache Web Server - de er to forskjellige produkter. At du stoler på Web Server-pakken fra Apache, bør imidlertid gi deg selvtillit til å prøve Apache Directory, som er gratis å bruke.

Du må laste ned og installere to programvarestykker for å få en fullstendig implementering av Apache Directory. Imidlertid er begge kompatible med LDAP, slik at du kan erstatte enten med et annet program, så lenge det også er LDAP-basert. Servermodulen heter Apache DirectoryDS og klienten heter Apache Directory Studio. Den andre av disse to pakkene lar deg se og endre katalogposter som er på serveren. Både klienten og serveren er helt gratis å bruke og kjøres både på Windows, Unix, Linux og Mac OS.

Tidligere har du lest om identitetsstyringssystemer (IMS) og FreeIPA er inkludert i denne listen over katalogtjenester for å prøve fordi det er et godt eksempel på en IMS. Du trenger ikke å bekymre deg for å kaste bort penger på å prøve dette verktøyet fordi det er gratis å bruke.

“IPA” står for identitet, policy og revisjon. Disse tre prioriteringene omslutter autentiseringsprosessene du trenger for nettverket ditt og alle IT-ressursene dine. Som forklart over er katalogtjenester en del av IMS-systemer. Når det gjelder FreeIPA, blir katalogserverkomponenten levert av 389 Directory Server. Så du kan velge å installere 389 Directory Server for å få en LDAP-implementering, eller utvide godkjenningstjenestene og tilgangskontrollen ved å gå for et fullstendig IMS med FreeIPA.

FreeIPA er et åpen kildekode-prosjekt, så du kan undersøke koden for å forsikre deg om at det ikke er noen skjulte prosedyrer for datahøsting. Tjenesten gir deg alternativer i forhold til godkjenningsmetodologiene du implementerer i IMS-rammeverk - Kerberos er et godt gratis open source-alternativ som er tilgjengelig i denne kategorien av IMS oppgaver.

Denne IMS kjører på Unix eller Linux. Imidlertid er den også i stand til å overvåke Windows-systemer, og den kan også installere og overvåke det Unix-kompatible Mac OS-miljøet. FreeIPA-konseptet samler inn eksisterende teknologier, inkludert Apache HTTP-server og Python programmering av API-er for å gi et komplett IMS som er basert på komponenter som du vet er “herdet av bruk i den virkelige verden. ”

Nettverkskatalogovervåking

Fordelen med å bruke en kjent katalogtjeneste er at mange systemovervåkningsapplikasjoner kan utnytte informasjon i ressursadgangskontrollpostene for fullstendig å administrere og kontrollere nettverket og dets tjenester.

Det er en rekke nyttige nettverksovervåkingssystemer som utnytter katalogdata for å gi deg full kontroll over nettverkets aktiviteter. Her er de du virkelig trenger å vite om:

SolarWinds-produkter opererer på Windows Server, så det er ikke noe problem med kompatibilitet med Aktiv katalog. Som et overvåkningssystem beregnet på Windows-miljøer, sørget SolarWinds for å bygge Active Directory-overvåking til dette verktøyet. AD-postene i nettverket ditt gjør det mulig for skjermen å merke serverbelastning etter brukernes etterspørsel og også spore den aktiviteten gjennom nettverket hvis du også har selskapets NetFlow Traffic Analyzer og Brukerenhetssporing installert.

SolarWinds produserer en rekke ressursovervåkningsverktøy, og alle er skrevet på en felles plattform, kalt Orion. Dette gjør det mulig for hver modul du installerer å samhandle med de andre SolarWinds-produktene du har på serveren din. PerfStack-modulen på serveren og applikasjonsmonitoren fungerer best hvis du også har installert nettverksmonitorer, for eksempel SolarWinds Network Performance Monitor. Dette er fordi PerfStack viser hvert nivå av servicestabelen sammen, slik at du raskt kan identifisere hvor ytelsesproblemer virkelig eksisterer.

User Device Tracker utnytter spesielt informasjonen du har i Active Directory for å informere de andre monitorene i pakken om opprinnelsen til ressursbelastning. Trackeren hjelper deg med å oppdage sikkerhetsbrudd og Network Performance Monitor og NetFlow Traffic Analyzer vil vise deg overdreven trafikk som kan indikere inntrengeraktiviteter. Du kan få alle disse SolarWinds-produktene på en 30-dagers gratis prøveperiode.

PRTG er et enhetlig nettverks-, server- og applikasjonsmonitor. Hvis du tar på deg dette verktøyet, kan du velge å implementere det så vidt eller så smalt du vil fordi omfanget er fullstendig tilpassbar. PRTG-systemet består av hundrevis av sensorer. Hver sensor må aktiveres, så uten ditt inngrep vil alle systemets funksjoner forbli sovende. En sensor fokuserer på ett aspekt av nettverkstjenestene dine eller på én ressurs. For eksempel er det en Ping-sensor for trafikkovervåking, og det er også en serie sensorer som utnytter LDAP-katalogene dine for informasjon.

Paessler tar ikke betalt for PRTG hvis du bare aktiverer opptil 100 sensorer. Så du kan bare bruke verktøyet som en Active Directory-skjerm. Mens du har verktøyet til å se på AD-aktivitetene dine, har du også plass innenfor det gratis tjenestetilbudet for å overvåke et par andre aktiviteter i nettverket ditt. Du kan aktivere SNMP- og NetFlow-sensorene for å få tilbakemelding på nettverkstrafikk eller velge å aktivere portmonitorer eller serverstatussensorer.

Hvis du vil bruke mer enn bare 100 sensorer, kan du få PRTG på en 30-dagers gratis prøveperiode. PRTG installeres i Windows Server-miljøet.

ManageEngine produserer en serie utmerkede ressursmonitorer som kjører på Windows eller Linux. I ManageEngine-stallen finner du et antall verktøy som er spesielt tilpasset Active Directory-overvåking. ADAudit Plus er et av disse verktøyene. Dette verktøyet vil hjelpe deg å administrere AD gjennom ManageEngine-grensesnittet, og det vil også spore alle brukeraktiviteter, inkludert pålogging og logoff. Dette vil hjelpe deg å oppdage ulogisk brukeraktivitet og overdreven påloggingsforsøk som kan indikere inntrengerens tilstedeværelse.

ADAudit Plus er funksjonsrikt, og det inkluderer sporings- og rapporteringsfasiliteter. Du kan få det i en 30-dagers gratis prøveperiode. Hvis du ikke har lyst til å betale etter prøveperioden, kan du velge gratisversjonen av dette ManageEngine-verktøyet. ManageEngine tilbyr en rekke gratis Active Directory-verktøy, inkludert Aktiv Director Query Tool, den CSV Generator, som trekker ut AD-poster, the Siste innloggingsreporter, og AD Replication Manager, blant andre.

Katalogtjenester

Du har mange muligheter når du begynner å shoppe for nettverkskatalogtjenester. Forhåpentligvis har denne guiden gitt deg et utgangspunkt for søket ditt.

Bruker du noen av verktøyene som er nevnt i denne guiden? Foretrekker du et verktøy som vi ikke har dekket her? Legg igjen en melding i kommentarfeltet nedenfor for å dele kunnskapen din med fellesskapet.