„Adresář“ je běžný termín ve výpočetní technice, který může znamenat řadu věcí. V sítích však adresář obvykle souvisí s uživatelskými daty a seznamem zdrojů, které lze v síti kontaktovat.
V síti tedy existují dva typy adresářů, o které je třeba se starat: jeden obsahuje seznam lidí a druhý seznam zařízení. V této příručce prozkoumáme různé adresářové systémy, které jsou dnes běžně v sítích provozovány.
Table of Contents
Formát úložiště adresáře
Jakýkoli seznam dat může být uložen na počítači ve formě souboru nebo v databázi. Rané adresářové systémy byly založené na souborech. Vývoj systémů pro správu databází však zefektivnil možnost databáze. Databáze se snáze a rychleji prohledávají a pro ně používané dotazovací jazyky (obvykle SQL) umožňují zahrnout do vyhledávání logické operátory (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT).
Postupy přístupu k adresáři
Využití adresářového systému, který se spoléhá na otevřeně dostupný protokol, je vhodnější než nákup v proprietárním systému, který používá své vlastní komunikační formáty. Adresářové služby vyžadují dvě základní součásti, kterými jsou klient a server. Server je program, který uchovává databázi a spravuje přístup k datům. Klient je obvykle zabudován do rozhraní, které buď zobrazuje načtená data, umožňuje tato data měnit nebo umožňuje provádět akce podmíněně po obdržení těchto informací.
Pokud se rozhodnete nainstalovat adresářový systém, který je založen na univerzálních protokolech, budete moci „kombinovat a spárovat“ klientské a serverové systémy, protože bude zaručeno, že budou schopny vzájemné interakce bez ohledu na to, kdo je napsal. Kromě toho mohou být informace obsažené v síťových adresářích využívány nástroji pro monitorování a hlášení aktivit, jako jsou systémy detekce narušení (IDS). Instalace správce adresářů, který implementuje běžně používaný protokol, zajistí, že informace obsažené v těchto adresářích budou přístupné pro tyto balíčky monitorování uživatelů a řízení zdrojů.
Lightweight Directory Access Protocol (LDAP)
LDAP je servisní protokol, který byl široce implementován jako přístupový mechanismus k široké škále síťových adresářů. Řada síťových adresářových systémů, které jsou zde uvedeny níže, používá procedury LDAP.
Protože se jedná o protokol a ne o software, nemůžete si LDAP koupit a nainstalovat. Spíše byste získali a spustili program, který implementuje pravidla LDAP. Protokol nastiňuje seznam standardů a pracovních postupů, které povedou k dosažení cíle, takže samotný protokol není závislý na operačním systému. To znamená, že kdokoli může vyvinout implementaci LDAP pro Windows, Linux, Unix nebo jakýkoli jiný operační systém.
Důležitým prvkem definice LDAP je, že stanoví příkazový jazyk, který klientům umožňuje komunikovat se serverem LDAP. Jelikož je standard veřejně dostupný, může jej kdokoli použít k vytvoření aplikace, která spolupracuje se serverem LDAP. To znamená, že LDAP může být integrován do komerčního softwaru a může být také integrován do jakéhokoli vlastního vlastního programu, který můžete vyvinout. Díky této flexibilitě a univerzálnosti se LDAP stal de facto standardem pro provozní postup adresářových služeb.
LDAP se používá pro všechny DNS servery (Domain Name Service), takže systém LDAP budete na své síti využívat pravidelně, ať si to uvědomujete nebo ne.
OpenLDAP
Jak název napovídá, OpenLDAP je nejčistší implementace systému LDAP, kterou najdete. Jedná se o knihovnu procedur, kterou lze integrovat do jiných programů. OpenLDAP je projekt s otevřeným zdrojovým kódem, takže k jeho kódu má zdarma přístup kdokoli. Kód je také implementován projektem OpenLDAP jako Java knihovny a je tak možné do systému přistupovat přes GUI rozhraní na jakémkoli operačním systému.
Jelikož je tento balíček knihovnou kódu, málokterý síťový administrátor implementuje proceduru OpenLDAP přímo. Místo toho byste se měli poohlédnout po komerčních aplikacích, které uvádějí, že používají OpenLDAP.
Aktivní adresář
Microsoft Active Directory byl průlomový systém správy uživatelů vytvořený pro Windows. Byl vynalezen v roce 1999 a byl tak dobře naplánován, že je stále široce používán.
Služba Active Directory vede seznam oprávněných uživatelů pro síť. Je schopen kategorizovat tyto uživatele podle úrovní oprávnění, takže uživatel s administrátorskými právy je rozpoznán a má větší přístup než běžní uživatelé. Sekundární výhodou Active Directory je, že také kontroluje práva počítačů v síti. Jedná se tedy o skvělou bezpečnostní službu, protože zajišťuje, že k síti jsou připojena pouze autorizovaná zařízení a na tyto počítače se mohou přihlásit pouze oprávnění uživatelé. Je možné zablokovat přístup k některým zařízením určitým skupinám uživatelů a vyhradit přístup ke konkrétním aplikacím osobám s právy správce.
Hlavním omezením Active Directory je to, že se integruje pouze s jinými produkty společnosti Microsoft, takže ji nemůžete používat na Linuxu. Také není schopen řídit přístup k sadám produktivity jiných výrobců než Microsoft, jako jsou Dokumenty Google. Jak se seznam úspěšných konkurenčních služeb a cloudových systémů rozšiřuje, využitelnost Active Directory klesá.
Novell Directory Services (NDS)
Systém NDS byl vynalezen k poskytování adresářových služeb sítím Novell Netware. Je však také schopen pracovat v sítích, které nemají nainstalovaný Netware. Software lze spustit na Windows, Sun Solaris a IBM OS/390. Jednalo se o ranou implementaci LDAP, a tak se stal měřítkem pro další implementace adresářových služeb. Jeho použití LDAP zejména ukázalo cestu pro pozdější vývoj a vytvořilo model pro Active Directory.
Seznam řízení přístupu (ACL)
ACL je konkurenční systém řízení přístupu k LDAP. Přestože není implementován tak široce jako LDAP, je ACL stále velmi dobře známým systémem a byl implementován dostatečně často na to, aby byl v průmyslu označen jako spolehlivá autentizační služba.
Systém ACL se spoléhá na formát úložiště dat, který vytváří strom atributů. V terminologii ACL se prostředek, který je chráněn, nazývá „objekt“. Každému objektu je přidělen seznam povolených uživatelů a v závislosti na typu chráněného objektu je každému uživateli přiděleno jedno nebo více oprávnění.
ACL lze použít pro přístup k souborům nebo síťový přístup. Síťové ACL mohou být užitečné pro systémy prevence narušení (IPS), protože řídí přístup ke konkrétním hostitelským adresám a mohou dokonce selektivně blokovat přístup k portům. V sítích jsou přístupová práva dokumentovaná ACL implementována na přepínačích a směrovačích.
Moderní ACL používají databáze SQL pro ukládání oprávnění spíše než soubory. Tento pokrok také umožnil, aby se ACL vyvíjelo mimo řízení přístupu uživatelů ke správě skupin uživatelů. To zjednodušuje administraci přístupových oprávnění, zejména v sítích, kde ACL může vyžadovat mnohonásobné přihlášení každého uživatele, aby umožnil přístup i k základním požadavkům na zdroje typického uživatele v kanceláři.
Řešení správy identit a přístupu (IAM)
Kategorie síťových nástrojů, se kterými se můžete setkat při zkoumání systémů pro autentizaci uživatelů, je řešení Identity and Access Management Solutions neboli IAM. Tento termín popisuje širší řešení autentizace uživatele než jen adresářovou službu. Nicméně, adresář nebo dokonce několik adresářů bude ležet v srdci jakéhokoli IAM. Při nákupu přístupových a autentizačních systémů se tedy zaměřte na nástroje, které mají mnohem širší pole působnosti než jen správu adresářů. Uvědomte si však, že k implementaci otevřeného protokolu, jako je LDAP, potřebujete adresářovou službu, která je jádrem IAM, aby byl přístup k adresářům dostupný i pro ostatní monitorovací aplikace.
Návrhy na síťové adresářové služby
Tento seznam obsahuje několik návrhů aplikací, které byste mohli vyzkoušet jako konkrétní adresářové služby ve vaší síti. Adresářové služby však budou integrovat i jiné aplikace, které pravidelně používáte, jako jsou webové servery nebo správci IP adres.
JumpCloud DaaS
Část „DaaS“ názvu tohoto produktu znamená „adresář jako služba“. Jedná se o emulaci termínu „software jako služba“. Online softwarové služby založené na cloudu používají SaaS/software jako servisní termín k popisu jejich konfigurace. Takže jméno JumpCloud vám okamžitě řekne, že se jedná o online službu poskytující adresářový server přes internet.
Jedná se o placený produkt, který implementuje Active Directory. JumpCloud však rozšiřuje možnosti Active Directory na systémy Unix a Linux emulací AD s implementací LDAP pro tyto operační systémy. JumpCloud nabízí elegantní způsob, jak zajistit, aby AD fungovala pro všechny vaše zdroje, nejen pro ty, které poskytuje Microsoft. Za JumpCloud DaaS nemusíte platit, pokud jej používáte pouze pro 10 uživatelů.
Spuštění bezpečnostních služeb přes internet vytváří další součást, která by mohla selhat, a také vytváří další příležitost pro hackery zachytit váš provoz a prolomit vaše ověřovací procesy. Naštěstí JumpCloud šifruje veškerou komunikaci mezi vaším klientem a serverem na vzdáleném webu JumpCloud.
Umístění AD na web je zajímavým řešením pro ty, kteří nevyužívají mnoho zdrojů na místě, ale spoléhají na cloudové servery a SaaS pro uživatelské aplikace. Cloudový model je také zajímavý pro ty podniky, které mají mnoho pracovníků z domova nebo s agenty, konzultanty nebo řemeslníky, kteří neustále pracují na klientských stránkách.
JumpCloud DaaS je příkladem toho, jak lze tradiční aplikace založené na webu snadno přizpůsobit pro doručování na vzdálené servery a jak nikdy není pozdě, aby přišel inovátor a přepracoval nebo rozšířil funkčnost zavedených služeb.
Adresářová služba AWS
Amazon Web Services nabízí alternativu k JumpCloud DaaS. Toto je další cloudová implementace Active Directory a je poskytována jedním z velkých hitů Cloudu. Můžete se rozhodnout, že tuto adresářovou službu použijete pouze jako aktuální nastavení na místě, nebo ji použijete k migraci úložiště a softwaru na jiné služby AWS.
Na rozdíl od JumpCloud, AWS Directory Service nerozšiřuje možnosti AD na Unix a Linux. Spíše se jedná o čistou implementaci Microsoft Active Directory, která je hostována v cloudu.
Amazon nenabízí AWS Directory Service zdarma. Cenový model je však velmi škálovatelný a je založen na hodinové sazbě, pokrývající dvě domény, s nižší sazbou pro každou další doménu přidanou do plánu. To není tak dobré jako zdarma. Službu si však můžete na 30 dní zdarma vyzkoušet.
389 adresářový server
Webová stránka 389 Directory Server tvrdí, že tento software je „zpevněn používáním v reálném světě“. Jako ostřílený správce sítě budete pravděpodobně mít vztah k používání slov. Toto je projekt s otevřeným zdrojovým kódem a je to jednoduchý produkt. Pokud jste v pořádku s kompilací programů sami a nevadí vám pročesávání kódu, budete tento adresářový systém milovat. Balíček obsahuje GUI font-end pro prostředí Gnome, který vám usnadní použití ukaž a klikni.
389 Directory Server je k dispozici pro Linux a je zdarma k použití. Procedury služby jsou napsány podle standardů LDAP, takže je to něco jako Active Directory pro Linux.
Adresář Apache
Pokud provozujete webovou stránku, je velmi pravděpodobné, že máte také webový server Apache. Apache Directory je bezplatná implementace LDAP, kterou spravuje stejná organizace, která spravuje software webového serveru. Mezi adresářem Apache a webovým serverem Apache neexistuje žádná přísná interoperabilita – jedná se o dva odlišné produkty. Nicméně skutečnost, že se spoléháte na balíček Web Server od Apache, by vám měla dát jistotu, že můžete vyzkoušet Apache Directory, který je zdarma k použití.
Chcete-li mít úplnou implementaci adresáře Apache, musíte si stáhnout a nainstalovat dva kusy softwaru. Oba jsou však plně kompatibilní s LDAP, takže je můžete nahradit jinou aplikací, pokud je také založena na LDAP. Serverový modul se nazývá Apache DirectoryDS a klient se nazývá Apache Directory Studio. Druhý z těchto dvou balíčků umožňuje prohlížet a měnit záznamy adresářů, které jsou na serveru. Klient i server jsou k použití zcela zdarma a oba běží na Windows, Unix, Linux a Mac OS.
FreeIPA
Dříve jste četli o systémech správy identit (IMS) a FreeIPA je zahrnuta v tomto seznamu adresářových služeb k vyzkoušení, protože je dobrým příkladem IMS. Nemusíte se bát plýtvání penězi tím, že tento nástroj vyzkoušíte, protože je zdarma.
„IPA“ znamená identitu, zásady a audit. Tyto tři priority zahrnují procesy ověřování, které potřebujete pro svou síť a všechny vaše IT zdroje. Jak bylo vysvětleno výše, adresářové služby jsou součástí systémů IMS. V případě FreeIPA je komponenta adresářového serveru poskytována 389 Directory Server. Můžete se tedy rozhodnout nainstalovat 389 Directory Server, abyste získali implementaci LDAP, nebo rozšířit své ověřovací služby a řízení přístupu tím, že použijete úplný IMS s FreeIPA.
FreeIPA je projekt s otevřeným zdrojovým kódem, takže můžete kód prozkoumat, abyste se ujistili, že v něm nejsou obsaženy žádné skryté procedury sběru dat. Tato služba vám poskytuje možnosti nad metodami ověřování, které implementujete v rámci IMS – Kerberos je dobrá bezplatná možnost s otevřeným zdrojovým kódem dostupná v rámci této kategorie úloh IMS.
Tento IMS běží na Unixu nebo Linuxu. Je však také schopen monitorovat systémy Windows a může také instalovat a monitorovat prostředí Mac OS kompatibilní s Unixem. Koncept FreeIPA shromažďuje již existující technologie, včetně Apache HTTP Server a programovacích API Pythonu, aby poskytoval kompletní IMS, který je založen na komponentách, o kterých víte, že jsou „vyztužené používáním v reálném světě“.
Sledování síťového adresáře
Výhodou používání známé adresářové služby je to, že mnoho aplikací pro monitorování systému může využívat informace obsažené ve vašich záznamech řízení přístupu ke zdrojům k plné správě a kontrole vaší sítě a jejích služeb.
Existuje řada velmi užitečných systémů pro monitorování sítě, které využívají data v adresáři, aby vám poskytly plnou kontrolu nad aktivitami vaší sítě. Zde jsou ty, o kterých opravdu potřebujete vědět:
Monitor serveru a aplikací SolarWinds (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
Produkty SolarWinds fungují na Windows Server, takže není problém s kompatibilitou s Active Directory. Jako monitorovací systém určený pro prostředí Windows se SolarWinds postaral o zabudování monitorování Active Directory do tohoto nástroje. Záznamy AD ve vaší síti umožňují monitoru označit zatížení serveru podle požadavků uživatelů a také sledovat tuto aktivitu prostřednictvím sítě, pokud máte také nainstalovaný NetFlow Traffic Analyzer a User Device Tracker společnosti.
SolarWinds vyrábí řadu nástrojů pro monitorování zdrojů a všechny jsou napsány na společné platformě zvané Orion. To umožňuje každému modulu, který nainstalujete, komunikovat s ostatními produkty SolarWinds, které máte spuštěné na svém serveru. Modul PerfStack Server a Application Monitor funguje nejlépe, pokud máte nainstalované také síťové monitory, jako je SolarWinds Network Performance Monitor. Je to proto, že PerfStack zobrazuje každou úroveň zásobníku služeb společně, takže můžete rychle zjistit, kde skutečně existují problémy s výkonem.
Nástroj User Device Tracker využívá zejména informace, které uchováváte ve službě Active Directory, k informování ostatních monitorů v sadě o původu zatížení zdrojů. Sledovač vám pomůže odhalit narušení bezpečnosti a Network Performance Monitor a NetFlow Traffic Analyzer vám ukáží nadměrný provoz, který by mohl znamenat aktivity vetřelce. Všechny tyto produkty SolarWinds můžete získat na 30denní bezplatnou zkušební verzi.
PRTG Network Monitor
PRTG je jednotný monitor sítě, serveru a aplikací. Pokud si vezmete tento nástroj, můžete se rozhodnout jej implementovat tak široce nebo tak úzce, jak chcete, protože jeho rozsah je zcela přizpůsobitelný. Systém PRTG se skládá ze stovek senzorů. Každý senzor musí být aktivován, takže bez vašeho zásahu zůstanou všechny schopnosti systému nečinné. Senzor se zaměřuje na jeden aspekt vašich síťových služeb nebo na jeden zdroj. Existuje například senzor Ping pro sledování provozu a existuje také řada senzorů, které využívají vaše adresáře LDAP pro informace.
Paessler neúčtuje za PRTG, pokud aktivujete pouze 100 senzorů. Tento nástroj tedy můžete použít pouze jako monitor služby Active Directory. Zatímco máte nástroj ke sledování vašich aktivit AD, máte také prostor v rámci této bezplatné nabídky služeb pro sledování několika dalších aktivit ve vaší síti. Můžete aktivovat senzory SNMP a NetFlow, abyste získali zpětnou vazbu o síťovém provozu, nebo aktivovat monitory portů nebo senzory stavu serveru.
Pokud chcete používat více než jen 100 senzorů, můžete získat PRTG na 30denní bezplatnou zkušební verzi. PRTG se nainstaluje do prostředí Windows Server.
ManageEngine ADAudit Plus
ManageEngine vytváří sadu vynikajících monitorů prostředků, které běží na Windows nebo Linux. Ve stáji ManageEngine najdete řadu nástrojů, které jsou speciálně přizpůsobeny pro sledování Active Directory. ADAudit Plus je jedním z těchto nástrojů. Tento nástroj vám pomůže spravovat AD prostřednictvím rozhraní ManageEngine a bude také sledovat všechny aktivity uživatele, včetně přihlášení a odhlášení. To vám pomůže odhalit nelogickou aktivitu uživatelů a nadměrné pokusy o přihlášení, které mohou naznačovat přítomnost vetřelce.
ADAudit Plus je bohatý na funkce a zahrnuje možnosti sledování a hlášení. Můžete jej získat ve 30denní bezplatné zkušební verzi. Pokud se vám po zkušební době nechce platit, můžete se rozhodnout pro bezplatnou verzi tohoto nástroje ManageEngine. ManageEngine nabízí řadu bezplatných nástrojů Active Directory, včetně Active Director Query Tool, CSV generátorkterá extrahuje záznamy AD, Reportér posledního přihlášenía Správce replikací ADmezi ostatními.
Adresářové služby
Když začnete hledat síťové adresářové služby, máte mnoho možností. Doufejme, že vám tato příručka poskytla výchozí bod pro vaše hledání.
Používáte některý z nástrojů uvedených v této příručce? Dáváte přednost nástroji, který jsme zde nepopsali? Zanechte zprávu v sekci Komentáře níže a podělte se o své znalosti s komunitou.