A „könyvtár” egy általános kifejezés a számítástechnikában, amely számos dolgot jelenthet. A hálózatépítésben azonban a címtár általában a felhasználói adatokhoz és a hálózaton elérhető erőforrások listájához kapcsolódik.
Tehát a hálózaton kétféle címtárra kell figyelni: az egyikben az emberek, a másikban a berendezések listája található. Ebben az útmutatóban megvizsgáljuk azokat a különböző címtárrendszereket, amelyek ma általában működnek a hálózatokon.
Tartalomjegyzék
Könyvtár tárolási formátum
Bármilyen adatlista tárolható a számítógépen fájl vagy adatbázis formájában. A korai címtárrendszerek fájl alapúak voltak. Az adatbázis-kezelő rendszerek fejlődése azonban hatékonyabbá tette az adatbázis-lehetőséget. Az adatbázisokban könnyebben és gyorsabban lehet keresni, és a hozzájuk használt lekérdezési nyelvek (általában SQL) lehetővé teszik a logikai operátorok (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) beépítését a keresésekbe.
Címtár-hozzáférési eljárások
Nyíltan elérhető protokollon alapuló címtárrendszer alkalmazása előnyösebb, mint a saját kommunikációs formátumait használó, védett rendszer vásárlása. A címtárszolgáltatások két alapvető összetevőt igényelnek, egy klienst és egy szervert. A szerver az a program, amely az adatbázist őrzi és kezeli az adatokhoz való hozzáférést. A kliens rendszerint olyan interfészbe van beágyazva, amely vagy megjeleníti a visszakeresett adatokat, lehetővé teszi az adatok módosítását, vagy lehetővé teszi, hogy az információ kézhezvétele után feltételesen hajtsanak végre műveleteket.
Ha úgy dönt, hogy egy univerzális protokollokon alapuló címtárrendszert telepít, akkor képes lesz „keverni és párosítani” a kliens- és szerverrendszereket, mert garantáltan képesek lesznek kommunikálni egymással, függetlenül attól, hogy ki írta őket. Ezen túlmenően a hálózati címtárak információi kihasználhatók megfigyelő és tevékenységjelentési eszközökkel, mint például a behatolásjelző rendszerek (IDS). Az általánosan használt protokollt megvalósító címtárkezelő telepítése biztosítja, hogy az ezekben a könyvtárakban található információk hozzáférhetők legyenek a felhasználói megfigyelő és erőforrás-vezérlő csomagok számára.
Lightweight Directory Access Protocol (LDAP)
Az LDAP egy szolgáltatási protokoll, amelyet széles körben alkalmaztak hozzáférési mechanizmusként számos hálózati címtárhoz. Az alábbiakban felsorolt számos hálózati címtárrendszer LDAP eljárásokat használ.
Mivel ez egy protokoll és nem egy szoftver, nem vásárolhatja meg és telepítheti az LDAP-t. Inkább egy olyan programot kell beszereznie és futtatnia, amely megvalósítja az LDAP-szabályokat. A protokoll felvázolja azon szabványok és munkafolyamatok listáját, amelyek elérik a célt, így maga a protokoll nem operációs rendszer-függő. Ez azt jelenti, hogy bárki fejleszthet LDAP implementációt Windows, Linux, Unix vagy bármely más operációs rendszerhez.
Az LDAP definíció egyik fontos eleme, hogy meghatároz egy parancsnyelvet, amely lehetővé teszi az ügyfelek számára, hogy kommunikáljanak az LDAP szerverrel. Mivel a szabvány nyilvánosan elérhető, bárki használhatja olyan alkalmazás létrehozására, amely kölcsönhatásba lép az LDAP szerverrel. Ez azt jelenti, hogy az LDAP integrálható kereskedelmi szoftverekbe, és integrálható bármely házon belüli egyedi programba, amelyet esetleg fejleszt. Ez a rugalmasság és egyetemesség tette az LDAP-t a címtárszolgáltatások működési eljárásának de facto szabványává.
Az LDAP-t minden DNS-kiszolgáló (Domain Name Service) használja, így Ön rendszeresen fogja használni az LDAP-rendszert a hálózatán, akár észreveszi, akár nem.
OpenLDAP
Ahogy a neve is sugallja, az OpenLDAP az LDAP rendszer legtisztább megvalósítása. Ez egy olyan eljárások könyvtára, amely más programokba integrálható. OpenLDAP egy nyílt forráskódú projekt, így bárki ingyen hozzáférhet a kódjához. A kódot az OpenLDAP projekt Java könyvtárakként is implementálja, így bármely operációs rendszer grafikus felületén keresztül elérhető a rendszer.
Mivel ez a csomag egy kódkönyvtár, kevés hálózati rendszergazda valósítja meg közvetlenül az OpenLDAP eljárást. Ehelyett ügyeljen azokra a kereskedelmi alkalmazásokra, amelyek az OpenLDAP használatát jelzik.
Active Directory
A Microsoft Active Directory egy úttörő felhasználókezelő rendszer volt, amelyet Windowshoz készítettek. 1999-ben találták fel, és olyan jól megtervezték, hogy még mindig széles körben használják.
Az Active Directory listát vezet a hálózathoz engedélyezett felhasználókról. Képes jogosultsági szintek szerint kategorizálni ezeket a felhasználókat, így a rendszergazdai jogosultságokkal rendelkező felhasználókat felismeri, és nagyobb hozzáférést biztosít, mint a normál felhasználóknak. Az Active Directory másodlagos előnye, hogy a hálózaton lévő számítógépek jogait is ellenőrzi. Tehát ez egy nagyszerű biztonsági szolgáltatás, mert biztosítja, hogy csak engedélyezett eszközök csatlakozzanak a hálózathoz, és csak az arra jogosult felhasználók jelentkezzenek be ezekre a számítógépekre. Lehetőség van bizonyos felhasználói csoportok számára letiltani bizonyos berendezésekhez való hozzáférést, és fenntartani bizonyos alkalmazásokhoz való hozzáférést a rendszergazdai jogokkal rendelkezők számára.
Az Active Directory fő korlátja, hogy csak más Microsoft-termékekkel integrálható, így Linuxon nem használható. Ezenkívül nem tudja szabályozni a nem Microsoft termelékenységi csomagjaihoz, például a Google Dokumentumokhoz való hozzáférést. A sikeres versenytárs szolgáltatások és felhő alapú rendszerek listájának bővülésével az Active Directory használhatósága csökken.
Novell Címtárszolgáltatás (NDS)
Az NDS rendszert a Novell Netware hálózatok címtárszolgáltatására találták ki. Azonban olyan hálózatokon is képes működni, amelyekre nincs telepítve Netware. A szoftver Windows, Sun Solaris és IBM OS/390 rendszereken futhat. Ez az LDAP korai megvalósítása volt, így etalon lett más címtárszolgáltatás-megvalósítások számára. Az LDAP használata különösen utat mutatott a későbbi fejlesztésekhez, és modellt alkotott az Active Directory számára.
Hozzáférés-vezérlési lista (ACL)
Az ACL az LDAP rivális hozzáférés-kezelő rendszere. Bár nem olyan széles körben implementálva, mint az LDAP, az ACL még mindig nagyon jól ismert rendszer, és már elégszer implementálták ahhoz, hogy az iparágban megbízható hitelesítési szolgáltatásként jelöljék meg.
Az ACL rendszer egy adattárolási formátumra támaszkodik, amely attribútumfát hoz létre. Az ACL terminológiájában a védett erőforrást „objektumnak” nevezik. Minden objektumhoz hozzá van rendelve az engedélyezett felhasználók listája, és a védett objektum típusától függően minden felhasználóhoz egy vagy több engedély tartozik.
Az ACL fájl- vagy hálózati hozzáférésre alkalmazható. A hálózati alapú ACL-ek hasznosak lehetnek a behatolásgátló rendszerekben (IPS), mivel szabályozzák a hozzáférést bizonyos gazdagépcímekhez, és akár szelektíven blokkolhatják is a portokhoz való hozzáférést. Hálózatokon az ACL által dokumentált hozzáférési jogok kapcsolókon és útválasztókon valósulnak meg.
A modern ACL-ek SQL-adatbázisokat használnak az engedélyek tárolására, nem pedig a fájlok tárolására. Ez a fejlesztés azt is lehetővé tette, hogy az ACL a felhasználói hozzáférés-szabályozáson túl a felhasználói csoportok kezeléséig fejlődjön. Ez leegyszerűsíti a hozzáférési engedélyek adminisztrációját, különösen azokon a hálózatokon, ahol az ACL-nek előfordulhat, hogy minden felhasználót többször is naplóznia kell, hogy egy tipikus irodai felhasználó alapvető erőforrásigényéhez is hozzáférhessen.
Identitás- és hozzáférés-kezelési megoldások (IAM)
A hálózati segédprogramok egyik kategóriája, amellyel a felhasználói hitelesítési rendszerek vizsgálatakor találkozhat, az Identity and Access Management Solutions vagy az IAM-ek. Ez a kifejezés a felhasználói hitelesítés tágabb megoldását írja le, mint egy címtárszolgáltatás. Azonban egy címtár, vagy akár több könyvtár is minden IAM középpontjában áll. Ezért a hozzáférési és hitelesítési rendszerek vásárlásakor törekedjen olyan eszközökre, amelyek sokkal szélesebb hatáskörrel rendelkeznek, mint a címtárkezelés. Ne feledje azonban, hogy az IAM magjában lévő címtárszolgáltatásra van szüksége egy nyílt protokoll, például az LDAP megvalósításához, így a címtár-hozzáférés más megfigyelőalkalmazások számára is elérhető lesz.
Javaslatok a hálózati címtárszolgáltatásokhoz
Ez a lista néhány olyan alkalmazásra vonatkozó javaslatot tartalmaz, amelyeket konkrét címtárszolgáltatásként próbálhat ki a hálózaton. Azonban más rendszeresen használt alkalmazások, például webszerverek vagy IP-címkezelők is integrálják a címtárszolgáltatásokat.
JumpCloud DaaS
A termék nevének „DaaS” része a „könyvtár mint szolgáltatás” rövidítése. Ez a „szoftver, mint szolgáltatás” kifejezés emulációja. Az online, felhőalapú szoftverszolgáltatások a SaaS/szoftvert szolgáltatáskifejezésként használják konfigurációjuk leírására. Tehát a JumpCloud neve azonnal elárulja, hogy ez egy online szolgáltatás, amely címtárszervert szállít az interneten keresztül.
Ez egy fizetős termék, amely megvalósítja az Active Directoryt. A JumpCloud azonban kiterjeszti az Active Directory képességeit a Unix és Linux rendszerekre azáltal, hogy emulálja az AD-t egy LDAP implementációval ezekhez az operációs rendszerekhez. A JumpCloud ügyes módot kínál arra, hogy az AD minden erőforrásánál működjön, nem csak a Microsoft által biztosítottakra. Nem kell fizetnie a JumpCloud DaaS-ért, ha legfeljebb 10 felhasználó számára használja.
A biztonsági szolgáltatások interneten keresztüli futtatása olyan extra összetevőt hoz létre, amely meghibásodhat, és további lehetőséget teremt a hackerek számára, hogy elfogják a forgalmat, és áttörjék a hitelesítési folyamatokat. Szerencsére a JumpCloud titkosít minden kommunikációt az ügyfél és a JumpCloud távoli webhelyén lévő szerver között.
Az AD internetes elhelyezése érdekes megoldás azok számára, akik nem használnak sok helyszíni erőforrást, de felhőszerverekre és SaaS-re támaszkodnak felhasználói alkalmazásokhoz. A felhő alapú modell azon vállalkozások számára is érdekes, akiknek sok dolgozója van otthonról, vagy ügynökök, tanácsadók vagy kézművesek, akik állandóan az ügyféloldalakon dolgoznak.
A JumpCloud DaaS egy példa arra, hogy a hagyományos webhely-alapú alkalmazások könnyen adaptálhatók távoli szervereken való szállításra, és hogy soha nem késő egy újítónak belépni, és megújítani vagy kiterjeszteni a meglévő szolgáltatások funkcionalitását.
AWS címtárszolgáltatás
Az Amazon Web Services alternatívát kínál a JumpCloud DaaS helyett. Ez egy másik felhő alapú Active Directory megvalósítás, amelyet a Cloud egyik nagy sikere biztosítja. Dönthet úgy, hogy csak ezt a címtárszolgáltatást használja jelenlegi helyszíni beállításként, vagy használja a tárhely és a szoftver más AWS-szolgáltatásokba való áttelepítésére.
A JumpCloudtól eltérően az AWS címtárszolgáltatás nem terjeszti ki az AD képességeit a Unixra és a Linuxra. Inkább ez egy tiszta Microsoft Active Directory implementáció, amely a felhőn található.
Az Amazon nem kínálja ingyenesen az AWS címtárszolgáltatást. Az árazási modell azonban nagyon skálázható, óránkénti mérődíjon alapul, két tartományt fed le, és minden további domain esetében alacsonyabb a díj. Ez nem olyan jó, mint az ingyenes. A szolgáltatást azonban 30 napig ingyenesen kipróbálhatja.
389 Directory Server
A 389 Directory Server webhelye azt állítja, hogy ezt a szoftvert „megerősítette a valós használat”. Megrögzött hálózati rendszergazdaként valószínűleg kötődni fog ehhez a szóhasználathoz. Ez egy nyílt forráskódú projekt, és egy egyszerű termék. Ha nem bánja, ha saját maga fordítja le a programokat, és nem bánja, ha átfésüli a kódot, akkor imádni fogja ezt a címtárrendszert. A csomag GUI-betűkészletet tartalmaz a Gnome-környezetekhez, amely megkönnyíti a rámutatással és kattintással történő használatot.
A 389 Directory Server elérhető Linuxra, és ingyenesen használható. A szolgáltatás eljárásai az LDAP szabványok szerint vannak megírva, így ez olyan, mint az Active Directory for Linux.
Apache könyvtár
Ha webhelyet üzemeltet, nagy valószínűséggel rendelkezik Apache webszerverrel is. Az Apache Directory egy ingyenes LDAP-megvalósítás, amelyet ugyanaz a szervezet kezel, amely a webszerver-szoftvert is kezeli. Az Apache Directory és az Apache Web Server között nincs szigorú együttműködés – két külön termékről van szó. Azonban az a tény, hogy az Apache webszerver-csomagjára hagyatkozik, önbizalmat ad az ingyenesen használható Apache Directory kipróbálásához.
Két szoftvert kell letöltenie és telepítenie az Apache Directory teljes megvalósításához. Mindkettő azonban teljes mértékben kompatibilis az LDAP-val, így bármelyiket helyettesítheti egy másik alkalmazással, amennyiben az is LDAP-alapú. A kiszolgálómodul neve Apache DirectoryDS, a kliens neve pedig Apache Directory Studio. A két csomag közül a második lehetővé teszi a kiszolgálón tárolt címtárrekordok megtekintését és módosítását. Mind a kliens, mind a szerver teljesen ingyenesen használható, és mindkettő Windows, Unix, Linux és Mac OS rendszeren fut.
FreeIPA
Korábban olvasott az Identity Management Systems (IMS) rendszerről, és a FreeIPA szerepel ezen a címtárszolgáltatások listáján, amelyeket érdemes kipróbálni, mert ez az IMS jó példája. Nem kell attól tartania, hogy pénzt pazarol, ha kipróbálja ezt a segédprogramot, mert ingyenesen használható.
Az „IPA” az Identity, Policy és Audit rövidítése. Ez a három prioritás magában foglalja azokat a hitelesítési folyamatokat, amelyekre a hálózathoz és az összes IT-erőforráshoz szüksége van. A fentebb leírtak szerint a címtárszolgáltatások az IMS-rendszerek részét képezik. A FreeIPA esetében a címtárszerver összetevőt a 389 Directory Server biztosítja. Tehát választhat a 389 Directory Server telepítése mellett, hogy LDAP-megvalósítást kapjon, vagy kibővítse hitelesítési szolgáltatásait és hozzáférés-szabályozását egy teljes IMS-re a FreeIPA-val.
A FreeIPA egy nyílt forráskódú projekt, így megvizsgálhatja a kódot, hogy megbizonyosodjon arról, hogy nincsenek benne rejtett adatgyűjtési eljárások. A szolgáltatás választási lehetőségeket kínál az IMS-keretrendszerben alkalmazott hitelesítési módszerekkel szemben – a Kerberos egy jó ingyenes nyílt forráskódú lehetőség, amely az IMS-feladatok ezen kategóriájában érhető el.
Ez az IMS Unix vagy Linux rendszeren fut. Mindazonáltal képes figyelni a Windows rendszereket, valamint telepíteni és felügyelni a Unix-kompatibilis Mac OS környezetet. A FreeIPA koncepció összegyűjti a már létező technológiákat, köztük az Apache HTTP Server és a Python programozási API-kat, hogy teljes IMS-t biztosítson, amely olyan összetevőkön alapul, amelyekről tudja, hogy „a valós használat megkeményíti”.
Hálózati címtár figyelés
A jól ismert címtárszolgáltatás használatának az az előnye, hogy sok rendszerfigyelő alkalmazás képes kihasználni az erőforrás-hozzáférés-ellenőrzési rekordokban található információkat a hálózat és szolgáltatásainak teljes körű kezeléséhez és vezérléséhez.
Számos nagyon hasznos hálózatfigyelő rendszer létezik, amelyek kihasználják a címtáradatokat, hogy teljes ellenőrzést biztosítsanak a hálózat tevékenységei felett. Íme, amelyekről igazán tudnia kell:
SolarWinds szerver és alkalmazásfigyelő (INGYENES PRÓBA)
A SolarWinds termékek Windows Serveren működnek, így nincs probléma az Active Directoryval való kompatibilitásban. A SolarWinds Windows-környezetekhez készült megfigyelőrendszerként gondoskodott arról, hogy az Active Directory-felügyeletet ebbe az eszközbe építse. A hálózaton található AD-rekordok lehetővé teszik a monitor számára, hogy felhasználói igény szerint felcímkézze a szerverterhelést, és nyomon kövesse ezt a tevékenységet a hálózaton keresztül, ha telepítve van a vállalat NetFlow Traffic Analyzer és User Device Tracker programja is.
A SolarWinds egy sor erőforrás-figyelő segédprogramot gyárt, és mindegyik egy közös platformra, az Orionra van írva. Ez lehetővé teszi, hogy minden telepített modul együttműködjön a szerverén futó többi SolarWinds termékkel. A kiszolgáló- és alkalmazásfigyelő PerfStack modulja akkor működik a legjobban, ha hálózati monitorok is telepítve vannak, például a SolarWinds Network Performance Monitor. Ennek az az oka, hogy a PerfStack a szolgáltatásverem minden szintjét együtt jeleníti meg, így gyorsan azonosíthatja, hol vannak valóban teljesítményproblémák.
A User Device Tracker különösen az Active Directoryban tárolt információkat használja ki, hogy tájékoztassa a többi megfigyelőt a csomagban az erőforrások betöltésének eredetéről. A nyomkövető segít észlelni a biztonsági réseket, a Network Performance Monitor és a NetFlow Traffic Analyzer pedig megmutatja a túlzott forgalmat, amely behatoló tevékenységekre utalhat. Ezeket a SolarWinds termékeket 30 napos ingyenes próbaverzióval szerezheti be.
PRTG hálózati monitor
A PRTG egy egységes hálózat-, szerver- és alkalmazásfigyelő. Ha felvállalja ezt az eszközt, választhat, hogy olyan széles vagy szűk körben valósítja meg, amennyire csak akarja, mert a hatóköre teljesen személyre szabható. A PRTG rendszer több száz érzékelőből áll. Minden érzékelőt aktiválni kell, így az Ön beavatkozása nélkül a rendszer összes képessége alvó marad. Az érzékelő a hálózati szolgáltatások egy aspektusára vagy egy erőforrásra összpontosít. Például van egy Ping érzékelő a forgalom figyelésére, és van egy sor olyan érzékelő is, amely az LDAP-címtárakat használja információszerzésre.
A Paessler nem számít fel díjat a PRTG-ért, ha legfeljebb 100 érzékelőt aktivál. Tehát az eszközt csak Active Directory-figyelőként használhatja. Miközben rendelkezik az AD-tevékenységek figyelésére szolgáló segédprogramtal, az ingyenes szolgáltatási ajánlaton belül is van hely a hálózaton néhány egyéb tevékenység megfigyelésére. Aktiválhatja az SNMP és NetFlow érzékelőket, hogy visszajelzést kapjon a hálózati forgalomról, vagy választhatja a portfigyelők vagy a szerver állapotérzékelők aktiválását.
Ha 100 érzékelőnél többet szeretne használni, a PRTG-t 30 napos ingyenes próbaverzióval szerezheti be. A PRTG a Windows Server környezetre települ.
ManageEngine ADAudit Plus
A ManageEngine kiváló erőforrás-figyelők sorozatát állítja elő, amelyek Windows vagy Linux rendszeren futnak. A ManageEngine istállóban számos olyan eszköz található, amelyek kifejezetten az Active Directory figyelésére lettek szabva. Az ADAudit Plus az egyik ilyen segédprogram. Ez az eszköz segít az AD adminisztrálásában a ManageEngine felületen keresztül, és nyomon követi az összes felhasználói tevékenységet, beleértve a bejelentkezést és a kijelentkezést is. Ez segít felismerni a logikátlan felhasználói tevékenységeket és a túlzott bejelentkezési kísérleteket, amelyek behatoló jelenlétét jelezhetik.
Az ADAudit Plus funkciókban gazdag, és nyomkövetési és jelentési lehetőségeket is tartalmaz. 30 napos ingyenes próbaverzióval szerezheti be. Ha a próbaidőszak után nincs kedve fizetni, választhatja ennek a ManageEngine eszköznek az ingyenes verzióját. A ManageEngine számos ingyenes Active Directory-eszközt kínál, beleértve a Active Director lekérdező eszközaz CSV-generátoramely AD rekordokat bont ki, a Utolsó bejelentkezési riporterés a AD-replikációs kezelőtöbbek között.
Címtárszolgáltatások
Számos lehetőség közül választhat, amikor elkezdi vásárolni a hálózati címtárszolgáltatásokat. Remélhetőleg ez az útmutató kiindulópontot adott a kereséshez.
Használja az ebben az útmutatóban említett segédprogramokat? Inkább olyan eszközt szeretne, amelyre itt nem tértünk ki? Hagyjon üzenetet az alábbi Megjegyzések részben, hogy megossza tudását a közösséggel.