Najlepšie sieťové adresárske služby a monitorovacie nástroje

„Adresár“ je bežný pojem v oblasti výpočtov, ktorý môže znamenať celý rad vecí. V sieti je však adresár zvyčajne spojený s užívateľskými údajmi a zoznamom zdrojov, ktoré je možné kontaktovať v sieti.

V sieti sa teda musia starať o dva typy adresárov: jeden uvádza zoznam ľudí a druhý zoznam zariadení. V tejto príručke budeme skúmať rôzne adresárové systémy, ktoré sa dnes v sieťach bežne používajú.

Formát úložiska adresárov

Akýkoľvek zoznam údajov sa môže uchovávať na počítači vo forme súboru alebo v databáze. Počiatočné adresárové systémy boli založené na súboroch. Vývoj systémov správy databáz však zefektívnil možnosti databázy. Databázy sa ľahšie a rýchlejšie prehľadávajú a používajú sa v nich jazyky dopytov (zvyčajne SQL) umožňujú zahrnutie logických operátorov (A ALEBO NIE, DIVIDE, TIMES, SELECT, PROJECT) vyhľadáva.

Postupy prístupu k adresárom

Pred nákupom v proprietárnom systéme, ktorý používa svoje vlastné komunikačné formáty, je vhodnejšie používať adresárový systém, ktorý sa spolieha na otvorene dostupný protokol. Adresárové služby vyžadujú dve základné komponenty, ktorými sú klient a server. Server je program, ktorý uchováva databázu a riadi prístup k údajom. Klient je zvyčajne zabudovaný do rozhrania, ktoré buď zobrazuje načítané údaje, umožňuje ich zmenu, alebo umožňuje vykonávanie akcií podmienečne po prijatí týchto informácií.

Ak sa rozhodnete nainštalovať adresárový systém, ktorý je založený na univerzálnych protokoloch, budete môcť „kombinovať“ klientske a serverové systémy, pretože bude zaručené, že budú môcť navzájom komunikovať bez ohľadu na to, kto napísal ne. Informácie obsiahnuté v sieťových adresároch môžu byť navyše využívané monitorovacími nástrojmi a nástrojmi na podávanie správ o činnosti, ako sú systémy detekcie narušenia (IDS). Inštalácia správcu adresárov, ktorý implementuje bežne používaný protokol, zaisťuje, že informácie obsiahnuté v týchto adresároch budú prístupné pre týchto používateľov na monitorovanie a kontrolu zdrojov balíčky.

Protokol ľahkého adresárového prístupu (LDAP)

LDAP je servisný protokol, ktorý bol široko implementovaný ako prístupový mechanizmus k širokej škále sieťových adresárov. Niektoré systémy sieťového adresára, ktoré sú uvedené nižšie, používajú postupy LDAP.

Keďže ide o protokol a nie o softvér, nemôžete si kúpiť LDAP a nainštalovať ho. Skôr by ste získali a spustili program, ktorý implementuje pravidlá LDAP. Protokol uvádza zoznam noriem a pracovných postupov, ktoré dosiahnu cieľ, takže samotný protokol nezávisí od operačného systému. To znamená, že ktokoľvek môže vyvinúť implementáciu LDAP pre Windows, Linux, Unix alebo akýkoľvek iný operačný systém.

Dôležitým prvkom definície LDAP je to, že stanovuje jazyk príkazov, ktorý umožňuje klientom komunikovať so serverom LDAP. Keďže je norma verejne dostupná, ktokoľvek ju môže použiť na vytvorenie aplikácie, ktorá interaguje so serverom LDAP. To znamená, že protokol LDAP sa dá integrovať do komerčného softvéru a tiež ho možno integrovať do akéhokoľvek vlastného zákazníckeho programu, ktorý by ste mohli vyvinúť. Táto flexibilita a univerzálnosť urobili LDAP de facto štandardom pre operačný postup adresárových služieb.

LDAP sa používa pre všetky servery DNS (Domain Name Service), takže systém LDAP budete pravidelne používať vo vašej sieti, či už si to uvedomujete alebo nie.

OpenLDAP

Ako už názov napovedá, OpenLDAP je najčistejšou implementáciou systému LDAP, ktorú nájdete. Toto je knižnica postupov, ktoré je možné integrovať do iných programov. OpenLDAP je projekt s otvoreným zdrojovým kódom, takže k nemu má prístup každý. Tento kód je implementovaný aj projektom OpenLDAP ako knižnice Java, takže je možné pristupovať k systému prostredníctvom rozhraní GUI na ľubovoľnom operačnom systéme.

Pretože tento balík predstavuje knižnicu kódu, len málo správcov siete implementuje postup OpenLDAP priamo. Namiesto toho by ste mali hľadať komerčné aplikácie, ktoré uvádzajú ich používanie OpenLDAP.

Aktívny adresár

Aktívny adresár spoločnosti Microsoft bol prelomovým systémom správy používateľov, ktorý bol vytvorený pre Windows. Bol vynájdený v roku 1999 a bol tak dobre naplánovaný, že sa stále používa.

Služba Active Directory vedie zoznam oprávnených používateľov pre sieť. Je schopný kategorizovať týchto používateľov podľa úrovní oprávnení, takže používateľ s oprávneniami správcu je rozpoznaný a má väčší prístup ako bežní používatelia. Druhotnou výhodou služby Active Directory je to, že kontroluje aj práva počítačov v sieti. Je to vynikajúca bezpečnostná služba, pretože zaisťuje, že k sieti sú pripojené iba autorizované zariadenia a na týchto počítačoch sa môžu prihlásiť iba autorizovaní používatelia. Je možné zablokovať prístup k niektorému zariadeniu určitým skupinám používateľov a vyhradiť prístup k špecifickým aplikáciám tým, ktorí majú oprávnenie správcu.

Hlavným obmedzením služby Active Directory je, že sa integruje iba s inými produktmi spoločnosti Microsoft, takže ich nemôžete používať v systéme Linux. Taktiež nie je schopný riadiť prístup k balíkom produktivity iných ako Microsoft, ako sú napríklad Dokumenty Google. Ako sa zoznam úspešných konkurenčných služieb a cloudových systémov rozširuje, použiteľnosť služby Active Directory sa znižuje.

Novell Directory Services (NDS)

Systém NDS bol vynájdený na poskytovanie adresárových služieb pre siete Novell Netware. Môže však fungovať aj v sieťach, ktoré nemajú nainštalovaný program Netware. Softvér je možné spustiť na Windows, Sun Solaris a IBM OS / 390. Bola to včasná implementácia LDAP, a tak sa stala referenčným bodom pre ďalšie implementácie adresárových služieb. Jeho použitie LDAP konkrétne nasmerovalo cestu pre ďalší vývoj a vytvorilo model pre Active Directory.

Zoznam kontroly prístupu (ACL)

ACL je konkurenčný systém riadenia prístupu k LDAP. Aj keď nie je tak široko implementovaný ako LDAP, ACL je stále veľmi dobre známy systém a bol implementovaný dosť často na to, aby bol v priemysle označený ako spoľahlivá autentifikačná služba.

Systém ACL sa spolieha na formát ukladania údajov, ktorý vytvára strom atribútov. V terminológii ACL sa prostriedok, ktorý je chránený, nazýva „objekt“. Každému objektu je pridelený zoznam oprávnení používatelia a v závislosti od typu chráneného objektu je každému používateľovi pridelený jeden alebo viac oprávnenia.

Zoznam ACL možno použiť na prístup k súborom alebo prístup do siete. Sieťové ACL môžu byť užitočné pre systémy na zabránenie prieniku (IPS), pretože riadia prístup na konkrétne adresy hostiteľa a môžu dokonca selektívne blokovať prístup k portom. V sieťach sú prístupové práva zdokumentované ACL implementované do prepínačov a smerovačov.

Moderné zoznamy prístupových práv používajú databázy SQL na ukladanie povolení a nie na súbory. Tento pokrok tiež umožnil ACL vyvíjať sa nad rámec kontroly prístupu používateľov k správe skupín používateľov. To zjednodušuje správu prístupových povolení, najmä v sieťach, kde sa ACL bude možno musieť prihlásiť každý užívateľ mnohokrát, aby poskytol prístup aj k základným požiadavkám na zdroje, ktoré sú typické pre kancelárske účely Užívateľ.

Riešenia správy identít a prístupu (IAM)

Kategória sieťového nástroja, s ktorou sa môžete stretnúť pri skúmaní systémov overovania používateľov, je Identita a Prístupové riešenia pre správu alebo IAM. Tento výraz popisuje širšie riešenie autentifikácie používateľa ako iba adresár service. Jadrom každého IAM však bude adresár alebo dokonca niekoľko adresárov. Preto pri nakupovaní prístupových a autentifikačných systémov zamerajte sa na nástroje, ktoré majú oveľa širšie právomoci ako len správa adresárov. Uvedomte si však, že na implementáciu otvorenia potrebujete adresárovú službu v jadre IAM protokol, napríklad LDAP, takže prístup k adresárom bude k dispozícii aj pre ďalšie monitorovanie aplikácie.

Návrhy na služby sieťových adresárov

Tento zoznam obsahuje niekoľko návrhov pre aplikácie, ktoré by ste mohli vyskúšať ako špecifické adresárové služby vo vašej sieti. Ostatné aplikácie, ktoré pravidelne používate, napríklad webové servery alebo správcovia IP adries, budú tiež integrovať adresárové služby.

Časť „DaaS“ názvu tohto produktu znamená „adresár ako služba“. Toto je emulácia pojmu softvér ako služba. “ Online cloudové softvérové ​​služby používajú softvér SaaS / softvér ako pojem služby na opis ich konfigurácie. Meno JumpCloud vám teda okamžite povie, že ide o online službu dodávajúcu adresárový server cez internet.

Toto je platený produkt, ktorý implementuje službu Active Directory. JumpCloud však rozširuje možnosti Active Directory na systémy Unix a Linux tým, že emuluje AD s implementáciou LDAP pre tieto operačné systémy. JumpCloud ponúka úhľadný spôsob, ako začať pracovať s AD pre všetky vaše zdroje, nielen pre zdroje poskytované spoločnosťou Microsoft. Za program JumpCloud DaaS nemusíte platiť, ak ho používate iba pre 10 používateľov.

Prevádzka bezpečnostných služieb cez internet vytvára ďalšiu zložku, ktorá by mohla zlyhať, a tiež vytvára ďalšiu príležitosť pre hackerov, aby vás zachytili a prerušili vašu autentifikáciu procesy. Našťastie JumpCloud šifruje všetku komunikáciu medzi vašim klientom a serverom, ktorá sa nachádza na vzdialenom webe JumpCloud.

Uvedenie reklamy na web je zaujímavým riešením pre tých, ktorí nevyužívajú veľa miestnych zdrojov, ale spoliehajú sa na cloudové servery a SaaS pre užívateľské aplikácie. Cloudový model je zaujímavý aj pre tie podniky, ktoré majú veľa pracovníkov z domova, alebo s agentmi, konzultantmi alebo remeselníkmi, ktorí neustále pracujú na klientskych stránkach.

JumpCloud DaaS je príkladom toho, ako je možné tradičné aplikácie založené na webe ľahko prispôsobiť na doručovanie na diaľku servery a ako nikdy nie je neskoro na to, aby inovátor prišiel a vylepšil alebo rozšíril funkčnosť zavedených služby.

Amazon Web Services ponúka alternatívu k JumpCloud DaaS. Toto je ďalšia implementácia služby Active Directory v cloude a poskytuje ju jeden z veľkých hitterov cloudu. Môžete si vybrať, či chcete túto adresárovú službu použiť iba ako svoje aktuálne nastavenie na mieste, alebo ju použiť na migráciu svojho úložiska a softvéru na iné služby AWS.

Na rozdiel od služby JumpCloud adresárová služba AWS nerozširuje možnosti služby AD na systémy Unix a Linux. Ide skôr o čistú implementáciu Microsoft Active Directory, ktorá je hosťovaná v službe Cloud.

Amazon neponúka bezplatnú službu AWS Directory Service. Cenový model je však veľmi škálovateľný a je založený na hodinovej sadzbe, ktorá pokrýva dve domény, s nižšou sadzbou pre každú ďalšiu doménu pridanú do plánu. To nie je také dobré ako bezplatné. Službu však môžete vyskúšať zadarmo po dobu 30 dní.

Webové stránky servera 389 Directory Server tvrdia, že tento softvér je „stvrdnutý skutočným použitím“. Ako správca tvrdenej siete budete pravdepodobne súvisieť s týmto používaním slov. Toto je projekt s otvoreným zdrojovým kódom a je produktom bez ozdôb. Ak ste v poriadku pri zostavovaní programov sami a nevadí vám prečítať kód, tento adresárový systém sa vám bude páčiť. Balík obsahuje grafické rozhranie GUI pre prostredia Gnome, ktoré vám umožňujú jednoduché použitie jednoduchým spôsobom.

Adresárový server 389 je k dispozícii pre Linux a je zadarmo ho používať. Procedúry služby sú napísané podľa štandardov LDAP, takže je to ako služba Active Directory pre Linux.

Ak prevádzkujete webovú stránku, je veľmi pravdepodobné, že máte aj webový server Apache. Apache Directory je bezplatná implementácia LDAP, ktorú spravuje rovnaká organizácia, ktorá spravuje softvér webového servera. Medzi adresárom Apache a webovým serverom Apache neexistuje žiadna prísna interoperabilita - sú to dva odlišné produkty. Skutočnosť, že sa spoliehate na balík webového servera od spoločnosti Apache, by vám však mala dať dôveru pri vyskúšaní adresára Apache, ktorý môžete používať zadarmo.

Aby ste mali úplnú implementáciu Apache Directory, musíte si stiahnuť a nainštalovať dva kusy softvéru. Obidve sú však plne kompatibilné s protokolom LDAP, takže môžete nahradiť buď inú aplikáciu, ak je založená aj na protokole LDAP. Serverový modul sa nazýva Apache DirectoryDS a klient sa nazýva Apache Directory Studio. Druhý z týchto dvoch balíkov vám umožňuje prezerať a meniť záznamy adresárov, ktoré sa nachádzajú na serveri. Klient aj server sú úplne zadarmo a obe sú prevádzkované na Windows, Unix, Linux a Mac OS.

Predtým, ako ste si prečítali informácie o systémoch správy totožnosti (IMS) a FreeIPA je zahrnutá v tomto zozname adresárových služieb, ktoré je možné vyskúšať, pretože je to dobrý príklad IMS. Nemusíte sa obávať, že zbytočne míňate peniaze na vyskúšanie tohto nástroja, pretože ho môžete používať zadarmo.

„IPA“ znamená identita, politika a audit. Tieto tri priority enkapsulujú procesy autentifikácie, ktoré potrebujete pre svoju sieť a všetky vaše IT zdroje. Ako je vysvetlené vyššie, adresárové služby sú súčasťou systémov IMS. V prípade FreeIPA poskytuje komponent adresárového servera 389 Directory Server. Môžete sa teda rozhodnúť nainštalovať adresárový server 389, aby ste získali implementáciu LDAP, alebo rozšíriť svoje autentifikačné služby a riadenie prístupu pomocou úplnej IMS s FreeIPA.

FreeIPA je projekt s otvoreným zdrojovým kódom, takže môžete skontrolovať kód a ubezpečiť sa, že v ňom nie sú žiadne skryté postupy zberu údajov. Táto služba vám poskytuje možnosti týkajúce sa metodík overovania, ktoré implementujete v rámci systému Rámec IMS - Kerberos je dobrá voľba otvoreného zdroja, ktorá je k dispozícii v rámci tejto kategórie IMS úloh.

Tento IMS beží na Unixe alebo Linuxe. Je však tiež schopný monitorovať systémy Windows a môže tiež inštalovať a monitorovať prostredie Mac OS kompatibilné s Unixom. Koncept FreeIPA zhromažďuje už existujúce technológie vrátane servera Apache HTTP a Pythonu programovacie rozhrania API tak, aby poskytovali kompletný IMS založený na zložkách, o ktorých viete, že sú „utvrdené použitie v skutočnom svete. “

Monitorovanie sieťového adresára

Výhodou použitia dobre známej adresárovej služby je to, že veľa aplikácií na monitorovanie systému môže využívať informácie obsiahnuté vo vašich záznamoch o riadení prístupu k prostriedkom s cieľom úplne spravovať a riadiť vašu sieť a jej siete služby.

Existuje niekoľko veľmi užitočných monitorovacích systémov siete, ktoré využívajú údaje adresárov, aby vám mohli získať úplnú kontrolu nad činnosťami vašej siete. Tu sú tie, o ktorých naozaj potrebujete vedieť:

Produkty SolarWinds fungujú na systéme Windows Server, takže nie je problém s kompatibilitou Aktívny adresár. Ako monitorovací systém určený pre prostredie Windows zabezpečil SolarWinds zabudovanie monitorovania Active Directory do tohto nástroja. Záznamy AD vo vašej sieti umožňujú monitoru označovať zaťaženie servera podľa požiadaviek používateľa a tiež sledovať túto aktivitu v sieti, ak máte aj spoločnosť Analyzátor prevádzky NetFlow a Užívateľ Tracker nainštalovaný.

SolarWinds vyrába množstvo nástrojov na monitorovanie zdrojov a všetky sú napísané na spoločnej platforme s názvom Orion. To umožňuje každému nainštalovanému modulu interagovať s ostatnými produktmi SolarWinds, ktoré máte spustené na serveri. Modul PerfStack servera a aplikačného monitora funguje najlepšie, ak máte nainštalované aj sieťové monitory, napríklad Monitor výkonu siete SolarWinds. Je to preto, že PerfStack zobrazuje každú úroveň zásobníka služieb spoločne, takže môžete rýchlo zistiť, kde skutočne existujú problémy s výkonom.

Aplikácia Device Device Tracker využíva najmä informácie, ktoré vlastníte v službe Active Directory, aby informovala ostatných monitorov v sérii o pôvode načítania prostriedkov. Sledovač vám pomôže zistiť narušenia zabezpečenia a program Sledovanie výkonu siete a analyzátor prenosu NetFlow vám ukážu nadmernú komunikáciu, ktorá by mohla znamenať aktivity votrelcov. Ktorýkoľvek z týchto produktov SolarWinds môžete získať v 30-dňovej bezplatnej skúšobnej verzii.

PRTG je zjednotený sieťový, serverový a aplikačný monitor. Ak sa rozhodnete pre tento nástroj, môžete sa rozhodnúť implementovať ho tak široko alebo úzko, ako sa vám páči, pretože jeho rozsah je úplne prispôsobiteľný. Systém PRTG sa skladá zo stoviek senzorov. Každý senzor musí byť aktivovaný, takže bez vášho zásahu zostanú všetky možnosti systému pozastavené. Senzor sa zameriava na jeden aspekt vašich sieťových služieb alebo na jeden zdroj. Napríklad je k dispozícii snímač Ping na monitorovanie dopravy a existuje tiež rad senzorov, ktoré využívajú vaše adresáre LDAP na informáciu.

Paessler sa za PRTG neúčtuje, ak aktivujete iba 100 senzorov. Tento nástroj by ste teda mohli použiť iba ako monitor služby Active Directory. Aj keď máte pomocný program na sledovanie vašich aktivít v oblasti AD, v rámci bezplatnej ponuky služieb máte tiež priestor na sledovanie niekoľkých ďalších aktivít vo vašej sieti. Mohli by ste aktivovať senzory SNMP a NetFlow, aby ste získali spätnú väzbu o sieťovej premávke, alebo zvoliť aktiváciu monitorov portov alebo senzorov stavu servera.

Ak chcete používať viac ako 100 senzorov, môžete získať PRTG na 30-dňovú bezplatnú skúšobnú verziu. Inštalácia PRTG v prostredí Windows Server.

ManageEngine produkuje sadu vynikajúcich monitorov zdrojov, ktoré bežia na Windows alebo Linuxe. V stajni ManageEngine nájdete množstvo nástrojov, ktoré sú špeciálne prispôsobené na monitorovanie služby Active Directory. ADAudit Plus je jedným z týchto nástrojov. Tento nástroj vám pomôže spravovať AD prostredníctvom rozhrania ManageEngine a bude tiež sledovať všetky činnosti používateľov vrátane prihlásenia a odhlásenia. Pomôže vám to zistiť nelogickú aktivitu používateľov a nadmerné pokusy o prihlásenie, ktoré môžu naznačovať prítomnosť narušiteľa.

ADAudit Plus je bohatý na funkcie a obsahuje prostriedky na sledovanie a podávanie správ. Môžete ho získať v 30-dňovej bezplatnej skúšobnej verzii. Ak sa vám po skúšobnej dobe nechce platiť, môžete si zvoliť bezplatnú verziu tohto nástroja ManageEngine. ManageEngine ponúka množstvo bezplatných nástrojov služby Active Directory vrátane Aktívny nástroj pre správu riaditeľa, Generátor CSV, ktorý extrahuje záznamy AD, Reportér posledného prihláseniaa Správca replikácie AD, medzi ostatnými.

Adresárové služby

Keď začnete nakupovať služby sieťového adresára, máte veľa možností. Dúfame, že vám táto príručka poskytla východiskový bod pre vaše vyhľadávanie.

Používate niektorý z pomocných programov uvedených v tejto príručke? Uprednostňujete nástroj, ktorý sme tu nezaoberali? Zanechajte odkaz v sekcii Komentáre nižšie a podeľte sa o svoje znalosti s komunitou.