Nejlepší síťové adresářové služby a nástroje pro monitorování
Přehled síťových adresářů a služeb
Termín „adresář“ se v informatice používá poměrně často a může označovat různé koncepty. V kontextu sítí se však obvykle vztahuje k datům o uživatelích a seznamu zdrojů, které jsou v dané síti dostupné.
V síťovém prostředí se tedy setkáváme se dvěma hlavními typy adresářů: jeden eviduje seznamy uživatelů, zatímco druhý zaznamenává seznamy zařízení. V tomto článku se podíváme na různé systémy adresářů, které se v současnosti běžně používají v síťových infrastrukturách.
Formát uložení adresáře
Data v jakémkoli seznamu lze v počítači ukládat buď jako soubory, nebo v databázi. Starší adresářové systémy se opíraly o soubory. S rozvojem systémů pro správu databází však získaly databáze na efektivitě. Databáze umožňují rychlejší vyhledávání a díky dotazovacím jazykům (obvykle SQL) lze do vyhledávání zahrnout logické operátory (např. AND, OR, NOT, SELECT, PROJECT).
Způsoby přístupu k adresáři
Je výhodnější používat adresářový systém, který je založen na otevřeném protokolu, než spoléhat na proprietární systém s vlastními formáty komunikace. Služby adresářů vyžadují dvě základní komponenty: klienta a server. Server je program, který spravuje databázi a přístup k datům. Klient je obvykle zabudován do rozhraní, které zobrazuje načtená data, umožňuje jejich změnu nebo provádí akce na základě získaných informací.
Pokud se rozhodnete pro adresářový systém založený na univerzálních protokolech, budete moci volně kombinovat klienty a servery různých výrobců, protože bude zajištěna jejich vzájemná kompatibilita. Informace v síťových adresářích mohou být navíc využity nástroji pro monitorování a hlášení aktivit, jako jsou systémy detekce narušení (IDS). Použitím adresářové služby s běžným protokolem zajistíte, že data v adresářích budou dostupná i pro tyto monitorovací nástroje.
Lightweight Directory Access Protocol (LDAP)
LDAP je protokol, který se široce používá jako přístupový mechanismus k různým síťovým adresářům. Mnoho systémů uvedených níže využívá právě protokol LDAP.
LDAP není software, a proto si jej nelze zakoupit a nainstalovat. Jedná se o protokol, který definuje standardy a postupy pro dosažení cíle. Konkrétní implementace LDAP je závislá na operačním systému. Kdokoli může vytvořit implementaci LDAP pro Windows, Linux, Unix nebo jiný operační systém.
Důležitou součástí LDAP je definice příkazového jazyka, který umožňuje klientům komunikovat se serverem LDAP. Vzhledem k tomu, že je standard veřejně dostupný, může jej kdokoli použít k vývoji aplikace pro interakci se serverem LDAP. LDAP tak lze integrovat do komerčního softwaru i do vlastních programů. Díky této flexibilitě a univerzálnosti se LDAP stal standardem pro adresářové služby.
LDAP se využívá i v DNS serverech (Domain Name Service). Proto s ním přicházíte do styku pravidelně, i když si to nemusíte uvědomovat.
OpenLDAP
Jak název napovídá, OpenLDAP je jednou z nejpřímějších implementací systému LDAP. Jedná se o knihovnu procedur, kterou lze integrovat do jiných programů. OpenLDAP je open-source projekt, a proto je jeho kód volně dostupný. Kód je také implementován jako knihovna Java, což umožňuje přístup k systému přes grafické rozhraní na různých operačních systémech.
Protože se jedná o knihovnu kódu, jen málo administrátorů implementuje procedury OpenLDAP přímo. Místo toho se doporučuje hledat komerční aplikace, které uvádějí, že OpenLDAP využívají.
Active Directory
Microsoft Active Directory je systém pro správu uživatelů, který byl vytvořen pro operační systém Windows. Byl uveden v roce 1999 a je dodnes široce používán.
Active Directory spravuje seznam autorizovaných uživatelů v síti. Uživatelé jsou kategorizováni podle úrovně oprávnění. Uživatelé s administrátorskými právy mají větší přístup než běžní uživatelé. Dalším benefitem Active Directory je kontrola práv počítačů v síti. Zajišťuje tak, že jsou do sítě připojena pouze autorizovaná zařízení a že se k nim mohou přihlásit pouze oprávnění uživatelé. Je možné blokovat přístup k určitým zařízením pro vybrané skupiny uživatelů a omezit přístup ke konkrétním aplikacím pouze pro administrátory.
Hlavním omezením Active Directory je její integrace pouze s produkty společnosti Microsoft. Nejde ji tedy používat například v Linuxu. Stejně tak není schopna spravovat přístup k produktům jiných výrobců, jako jsou Google Dokumenty. S rozšiřováním konkurenčních služeb a cloudových systémů však využitelnost Active Directory klesá.
Novell Directory Services (NDS)
Systém NDS vznikl pro poskytování adresářových služeb v sítích Novell Netware. Je však použitelný i v sítích bez Netware. Software lze provozovat na systémech Windows, Sun Solaris a IBM OS/390. NDS představoval ranou implementaci LDAP, a proto se stal etalonem pro další implementace adresářových služeb. Jeho použití LDAP dalo směr pozdějšímu vývoji a vytvořilo model pro Active Directory.
Seznam řízení přístupu (ACL)
ACL je alternativní systém řízení přístupu k LDAP. Ačkoli není tak široce implementován jako LDAP, je ACL stále dobře známý a používá se dostatečně často, aby byl považován za spolehlivou autentizační službu.
ACL využívá formát uložení dat, který vytváří strom atributů. Prostředek, který je chráněn, se v terminologii ACL nazývá „objekt“. Každému objektu je přiřazen seznam povolených uživatelů a podle typu chráněného objektu je každému uživateli přiděleno jedno nebo více oprávnění.
ACL lze využít pro řízení přístupu k souborům nebo síťovému přístupu. Síťové ACL jsou užitečné pro systémy prevence narušení (IPS), protože kontrolují přístup ke konkrétním hostitelským adresám a mohou selektivně blokovat přístup k portům. V sítích jsou přístupová práva dokumentovaná ACL implementována na přepínačích a směrovačích.
Moderní ACL používají databáze SQL pro ukládání oprávnění místo souborů. Tento vývoj umožnil, aby se ACL vyvíjelo i mimo řízení přístupu uživatelů a začalo se využívat ke správě uživatelských skupin. To zjednodušuje administraci přístupových oprávnění, zejména v rozsáhlých sítích, kde ACL může vyžadovat mnohonásobné přihlášení pro přístup i k základním zdrojům.
Řešení správy identit a přístupu (IAM)
Při zkoumání systémů pro autentizaci uživatelů se můžete setkat s kategorií nástrojů Identity and Access Management Solutions (IAM). Tento termín popisuje širší řešení autentizace uživatele než pouhá adresářová služba. Nicméně, adresář nebo i několik adresářů tvoří základ každého systému IAM. Při nákupu přístupových a autentizačních systémů je vhodné se zaměřit na nástroje s širším záběrem než pouhá správa adresářů. Důležité je, aby systém IAM měl v jádru adresářovou službu, která implementuje otevřený protokol, jako je LDAP. Tím se zajistí přístup k adresářům i pro další monitorovací aplikace.
Doporučení pro síťové adresářové služby
Následuje několik doporučení aplikací, které můžete vyzkoušet jako konkrétní adresářové služby ve vaší síti. Adresářové služby však integrováno i do dalších aplikací, které běžně používáte, jako jsou webové servery nebo správci IP adres.
JumpCloud DaaS
Část „DaaS“ v názvu tohoto produktu znamená „adresář jako služba“. Tento termín je obdobou termínu „software jako služba“ (SaaS), který se používá pro online cloudové služby. Název JumpCloud naznačuje, že se jedná o online službu poskytující adresářový server přes internet.
Jde o placený produkt, který implementuje Active Directory. JumpCloud rozšiřuje možnosti Active Directory i na systémy Unix a Linux díky emulaci AD pomocí implementace LDAP pro tyto operační systémy. JumpCloud tak nabízí elegantní způsob, jak zajistit, aby AD fungovala pro všechny vaše zdroje, nejen pro ty od Microsoftu. JumpCloud DaaS je zdarma pro použití do 10 uživatelů.
Spuštění bezpečnostních služeb přes internet vytváří další potenciální bod selhání a také další příležitost pro hackery k zachycení provozu a prolomení ověřovacích procesů. Naštěstí JumpCloud šifruje veškerou komunikaci mezi klientem a serverem na vzdáleném webu.
Umístění AD na web představuje zajímavé řešení pro ty, kteří nevyužívají mnoho lokálních zdrojů a spoléhají na cloudové servery a SaaS pro uživatelské aplikace. Cloudový model je vhodný i pro firmy s velkým počtem zaměstnanců pracujících z domova nebo s agenturami, konzultanty a řemeslníky, kteří pracují u klientů.
JumpCloud DaaS je ukázkovým příkladem, jak lze tradiční webové aplikace snadno přizpůsobit pro vzdálené servery a jak nikdy není pozdě pro inovátory, kteří dokážou přepracovat nebo rozšířit funkčnost zavedených služeb.
Adresářová služba AWS
Amazon Web Services nabízí alternativu k JumpCloud DaaS. Jedná se o další cloudovou implementaci Active Directory, kterou poskytuje jeden z největších cloudových hráčů. Adresářovou službu můžete využívat samostatně, nebo ji použít k migraci úložiště a softwaru k dalším službám AWS.
Na rozdíl od JumpCloud, AWS Directory Service nerozšiřuje možnosti AD na Unix a Linux. Jedná se o čistou implementaci Microsoft Active Directory hostovanou v cloudu.
Amazon neposkytuje AWS Directory Service zdarma. Cenový model je však škálovatelný a je založen na hodinové sazbě za dvě domény. Snížená sazba platí za každou další doménu. Službu si však můžete na 30 dnů zdarma vyzkoušet.
389 adresářový server
Webová stránka 389 Directory Server uvádí, že tento software je „prověřen používáním v reálném světě“. Zkušení správci sítí pravděpodobně ocení toto slovní spojení. Jedná se o open-source projekt, který je poměrně jednoduchý. Pokud vám nevadí kompilovat programy a procházet kód, tento adresářový systém se vám bude líbit. Balíček obsahuje GUI front-end pro prostředí Gnome, které zjednodušuje jeho používání.
389 Directory Server je k dispozici pro Linux a je zdarma. Služby jsou napsány podle standardů LDAP, takže se jedná o jakousi alternativu Active Directory pro Linux.
Adresář Apache
Pokud provozujete webovou stránku, je pravděpodobné, že používáte i webový server Apache. Apache Directory je bezplatná implementace LDAP, kterou spravuje stejná organizace jako webový server. Mezi adresářem Apache a webovým serverem Apache neexistuje přímá interoperabilita – jedná se o dva odlišné produkty. Pokud však používáte webový server od Apache, měli byste vyzkoušet i Apache Directory, který je zdarma.
Pro kompletní implementaci adresáře Apache je nutné stáhnout a nainstalovat dva softwarové balíčky. Oba jsou plně kompatibilní s LDAP, takže je můžete nahradit jinou aplikací založenou na LDAP. Serverový modul se nazývá Apache DirectoryDS a klient se jmenuje Apache Directory Studio. Klient umožňuje prohlížet a měnit záznamy adresářů, které jsou na serveru. Obě aplikace jsou zcela zdarma a fungují na systémech Windows, Unix, Linux a Mac OS.
FreeIPA
Již dříve jste se dočetli o systémech správy identit (IMS). FreeIPA je zařazena do tohoto seznamu, protože představuje dobrý příklad IMS. Nemusíte se bát, že byste museli za tento nástroj platit, protože je zdarma.
Zkratka „IPA“ znamená identitu, zásady a audit. Tyto tři priority zahrnují procesy ověřování, které potřebujete pro vaši síť a všechny IT zdroje. Jak již bylo vysvětleno, adresářové služby jsou součástí systémů IMS. V případě FreeIPA je komponenta adresářového serveru poskytována 389 Directory Server. Můžete se tedy rozhodnout, zda nainstalujete 389 Directory Server pro implementaci LDAP, nebo rozšíříte své ověřovací služby pomocí systému IMS FreeIPA.
FreeIPA je open-source projekt, takže můžete prozkoumat kód a ujistit se, že neobsahuje žádné skryté procedury pro sběr dat. Tato služba nabízí možnosti ověřování v rámci IMS – Kerberos je dobrá bezplatná možnost s otevřeným zdrojovým kódem.
IMS běží na systémech Unix nebo Linux. Je však schopen monitorovat i systémy Windows a prostředí Mac OS kompatibilní s Unixem. FreeIPA shromažďuje již existující technologie, včetně Apache HTTP Server a API Pythonu, a nabízí kompletní IMS, který je založen na komponentách, které jsou prověřené v reálném provozu.
Sledování síťového adresáře
Výhodou používání známé adresářové služby je, že mnoho aplikací pro monitorování systému může využívat informace z vašich záznamů řízení přístupu k zdrojům a řídit tak vaši síť a její služby.
Existuje řada užitečných systémů pro monitorování sítě, které využívají data v adresáři k plné kontrole aktivity sítě. Mezi nejdůležitější patří:
Monitor serveru a aplikací SolarWinds (ZKUŠEBNÍ VERZE ZDARMA)
Produkty SolarWinds fungují na Windows Serveru, takže není problém s kompatibilitou s Active Directory. Jako monitorovací systém určený pro Windows má SolarWinds zabudovanou podporu pro monitorování Active Directory. Záznamy AD v síti umožňují monitoru sledovat zatížení serveru podle požadavků uživatelů a také aktivitu v síti, pokud máte nainstalované i produkty NetFlow Traffic Analyzer a User Device Tracker.
SolarWinds vyvíjí celou řadu nástrojů pro monitorování zdrojů. Všechny jsou napsány na společné platformě Orion. Díky tomu může každý modul, který nainstalujete, komunikovat s ostatními produkty SolarWinds, které na serveru provozujete. Modul PerfStack Server and Application Monitor funguje nejlépe, pokud máte nainstalované i síťové monitory, jako je SolarWinds Network Performance Monitor. PerfStack zobrazuje všechny úrovně zásobníku služeb společně, takže rychle zjistíte, kde se nacházejí problémy s výkonem.
Nástroj User Device Tracker využívá informace uložené ve službě Active Directory k informování ostatních monitorů o původu zatížení zdrojů. Sledovač pomůže odhalit narušení bezpečnosti a Network Performance Monitor a NetFlow Traffic Analyzer vám ukážou nadměrný provoz, který může signalizovat aktivitu vetřelce. Všechny tyto produkty SolarWinds můžete získat ve 30denní zkušební verzi.
PRTG Network Monitor
PRTG je komplexní monitor pro sítě, servery i aplikace. Tento nástroj můžete implementovat dle potřeby. Systém PRTG se skládá ze stovek senzorů. Každý senzor je nutné aktivovat. Pokud nezasáhnete, zůstanou všechny funkce systému neaktivní. Senzor se zaměřuje na jeden aspekt vašich síťových služeb nebo na jeden zdroj. Existuje například senzor Ping pro sledování provozu. Dále je k dispozici řada senzorů, které pro informace využívají vaše adresáře LDAP.
Paessler neúčtuje za PRTG, pokud aktivujete pouze 100 senzorů. Můžete jej tedy používat pouze jako monitor služby Active Directory. Kromě monitorování aktivit AD tak máte možnost sledovat i několik dalších aktivit v síti. Můžete aktivovat senzory SNMP a NetFlow pro zpětnou vazbu o síťovém provozu, nebo aktivovat monitory portů či senzory stavu serveru.
Pokud chcete využívat více než 100 senzorů, můžete si PRTG na 30 dnů zdarma vyzkoušet. PRTG se instaluje do prostředí Windows Server.
ManageEngine ADAudit Plus
ManageEngine vytváří vynikající sadu monitorů zdrojů, které běží na Windows nebo Linuxu. Nabízí řadu nástrojů speciálně přizpůsobených pro sledování Active Directory. Jedním z nich je ADAudit Plus. Tento nástroj pomáhá spravovat AD prostřednictvím rozhraní ManageEngine a sleduje veškeré aktivity uživatelů včetně přihlašování a odhlašování. Pomáhá to odhalit nelogické aktivity uživatelů a nadměrné pokusy o přihlášení, které mohou signalizovat přítomnost vetřelce.
ADAudit Plus má bohatou funkčnost včetně sledování a hlášení. Můžete jej získat ve 30denní zkušební verzi. Pokud po zkušební době nechcete platit, můžete použít bezplatnou verzi tohoto nástroje ManageEngine. Společnost nabízí řadu bezplatných nástrojů Active Directory, včetně Active Director Query Tool, CSV generátoru, který extrahuje záznamy AD, Reportéru posledního přihlášení a Správce replikací AD.
Závěr
Při hledání síťových adresářových služeb máte mnoho možností. Doufáme, že vám tento článek poskytl úvodní informace pro vaše rozhodování.
Používáte některý z uvedených nástrojů? Preferujete nějaký, který jsme zde nezmínili? Zanechte nám komentář a podělte se o své zkušenosti s ostatními.
