U svetu računarstva, termin „imenik“ je vrlo uobičajen i može imati različita značenja. U kontekstu mrežnih tehnologija, imenik se najčešće povezuje sa podacima o korisnicima i spiskom resursa koji su dostupni na mreži.
Dakle, na mreži razlikujemo dve osnovne vrste imenika: jedan koji sadrži informacije o ljudima, i drugi koji se odnosi na opremu. U ovom tekstu istražićemo različite sisteme imenika koji su uobičajeni u savremenim mrežama.
Način skladištenja podataka u imeniku
Bilo koji set podataka može se sačuvati na računaru u formi datoteke ili u bazi podataka. Rani sistemi imenika bili su zasnovani na datotekama. Međutim, sa razvojem sistema za upravljanje bazama podataka, opcija baze podataka postala je daleko efikasnija. Baze podataka omogućavaju lakše i brže pretrage, a upitni jezici koji se koriste (najčešće SQL) omogućavaju korišćenje logičkih operatora (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) u pretragama.
Postupci za pristup imeniku
Korišćenje sistema imenika koji se oslanja na otvorene protokole je poželjnije od kupovine vlasničkog sistema sa sopstvenim formatima komunikacije. Usluge imenika zahtevaju dve osnovne komponente, klijenta i server. Server je program koji održava bazu podataka i kontroliše pristup podacima. Klijent je najčešće integrisan u interfejs koji prikazuje preuzete podatke, dozvoljava njihovu izmenu ili omogućava izvršavanje radnji uslovljenih primljenim informacijama.
Ako se odlučite za sistem imenika koji koristi univerzalne protokole, imaćete fleksibilnost da kombinujete klijentske i serverske sisteme različitih proizvođača, jer će oni moći da komuniciraju bez obzira na to ko ih je razvio. Takođe, informacije iz mrežnih imenika mogu se iskoristiti u alatima za praćenje aktivnosti, kao što su sistemi za detekciju upada (IDS). Implementacijom menadžera imenika koji koristi uobičajen protokol, osiguravate da će podaci u imeniku biti dostupni i tim paketima za kontrolu korisnika i resursa.
Lightweight Directory Access Protocol (LDAP)
LDAP je servisni protokol koji se široko koristi kao mehanizam za pristup različitim mrežnim imenicima. Brojni sistemi mrežnih imenika, koji su ovde navedeni, koriste LDAP procedure.
Pošto je reč o protokolu, a ne o softveru, ne možete kupiti i instalirati sam LDAP. Umesto toga, nabavili biste i pokrenuli program koji implementira LDAP pravila. Protokol sadrži skup standarda i radnih procedura za postizanje cilja, pa samim tim ne zavisi od operativnog sistema. To znači da svako može razviti LDAP implementaciju za Windows, Linux, Unix ili bilo koji drugi operativni sistem.
Ključni element LDAP definicije je da on definiše komandni jezik pomoću kojeg klijenti komuniciraju sa LDAP serverom. Pošto je standard javno dostupan, svako ga može koristiti za kreiranje aplikacije koja komunicira sa LDAP serverom. To znači da se LDAP može integrisati u komercijalni softver, ali i u prilagođene programe koje sami razvijete. Ova fleksibilnost i univerzalnost učinili su LDAP de facto standardom za rad sa uslugama imenika.
LDAP se koristi za sve DNS servere (Domain Name Service), što znači da svakodnevno koristite LDAP sistem u svojoj mreži, svesno ili ne.
OpenLDAP
Kao što samo ime govori, OpenLDAP je najčistija implementacija LDAP sistema koju možete pronaći. To je biblioteka procedura koja se može integrisati u druge programe. OpenLDAP je projekat otvorenog koda, što znači da je njegov kod svima besplatno dostupan. Kod je takođe implementiran od strane OpenLDAP projekta kao Java biblioteka, što omogućava pristup sistemu preko GUI interfejsa na bilo kom operativnom sistemu.
S obzirom na to da je ovo paket biblioteka koda, većina administratora mreža ne implementira OpenLDAP procedure direktno. Umesto toga, treba obratiti pažnju na komercijalne aplikacije koje navode da koriste OpenLDAP.
Active Directory
Microsoft-ov Active Directory je bio revolucionarni sistem za upravljanje korisnicima, kreiran za Windows. Izmišljen je 1999. godine i bio je toliko dobro isplaniran da se i danas široko koristi.
Active Directory čuva listu ovlašćenih korisnika za mrežu. Može kategorisati korisnike prema nivoima dozvola, tako da se korisnik sa administratorskim privilegijama prepoznaje i ima veći pristup od običnih korisnika. Druga važna funkcija Active Directory-a je provera prava računara na mreži. Ovo je odlična bezbednosna usluga, jer osigurava da se samo ovlašćeni uređaji povezuju na mrežu i da se samo ovlašćeni korisnici mogu prijaviti na te računare. Moguće je blokirati pristup određenoj opremi određenim grupama korisnika i rezervisati pristup određenim aplikacijama samo za one sa administratorskim pravima.
Glavno ograničenje Active Directory-a je to što se integriše samo sa drugim Microsoft proizvodima, što znači da ga ne možete koristiti na Linux-u. Takođe, ne može kontrolisati pristup paketima koji nisu Microsoft-ovi, kao što su Google dokumenti. Sa porastom broja uspešnih konkurentskih usluga i sistema zasnovanih na oblaku, upotrebljivost Active Directory-a se smanjuje.
Novell Directory Services (NDS)
NDS sistem je kreiran da pruži usluge imenika za Novell Netware mreže. Međutim, može raditi i na mrežama bez Netware-a. Softver može raditi na Windows, Sun Solaris i IBM OS/390. Ovo je bila rana implementacija LDAP-a i tako je postala merilo za druge implementacije usluga imenika. Njegova upotreba LDAP-a je posebno ukazala na put kasnijem razvoju i formirala model za Active Directory.
Lista kontrole pristupa (ACL)
ACL je sistem za upravljanje pristupom koji konkuriše LDAP-u. Iako nije toliko rasprostranjen kao LDAP, ACL je i dalje vrlo poznat sistem i dovoljno je puta implementiran da bi se smatrao pouzdanim servisom za autentifikaciju.
ACL sistem se oslanja na format skladištenja podataka koji kreira stablo atributa. U ACL terminologiji, resurs koji se štiti naziva se „objekat“. Svakom objektu se dodeljuje lista ovlašćenih korisnika, a u zavisnosti od tipa objekta, svakom korisniku se dodeljuje jedna ili više dozvola.
ACL se može primeniti na pristup datotekama ili pristup mreži. ACL-ovi bazirani na mreži mogu biti korisni za sisteme za sprečavanje upada (IPS), jer kontrolišu pristup određenim adresama i mogu selektivno blokirati pristup portovima. Na mrežama, prava pristupa dokumentovana u ACL-u se implementiraju na svičevima i ruterima.
Moderni ACL-ovi koriste SQL baze podataka za čuvanje dozvola, umesto datoteka. Ovaj napredak je omogućio da ACL evoluira i proširi se izvan kontrole pristupa korisnika na upravljanje korisničkim grupama. Ovo pojednostavljuje administraciju dozvola za pristup, posebno na mrežama, gde bi ACL mogao morati da prijavi svakog korisnika više puta kako bi omogućio pristup čak i osnovnim resursima.
Rešenja za upravljanje identitetima i pristupom (IAM)
Kategorija mrežnih alata koju možete pronaći prilikom istraživanja sistema za autentifikaciju korisnika su rešenja za upravljanje identitetom i pristupom, ili IAM. Ovaj termin opisuje šire rešenje za autentifikaciju korisnika od same usluge imenika. Međutim, imenik ili čak više njih biće u srcu svakog IAM-a. Dakle, kada kupujete sisteme za pristup i autentifikaciju, ciljajte na alate koji imaju širu nadležnost od upravljanja samim imenikom. Ipak, imajte na umu da vam je potrebna usluga imenika u jezgru IAM-a kako biste implementirali otvoreni protokol, kao što je LDAP, tako da će pristup imeniku biti dostupan i drugim aplikacijama za praćenje.
Predlozi za usluge mrežnog imenika
Ova lista predstavlja nekoliko predloga za aplikacije koje možete isprobati kao specifične usluge imenika na vašoj mreži. Međutim, i druge aplikacije koje redovno koristite, kao što su web serveri ili menadžeri IP adresa, takođe će integrisati usluge imenika.
JumpCloud DaaS
Deo naziva ovog proizvoda „DaaS“ označava „imenik kao usluga“. Ovo je slično terminu „softver kao usluga“. Online softverske usluge bazirane na oblaku koriste SaaS/softver kao uslugu za opisivanje svoje konfiguracije. Dakle, JumpCloud-ovo ime odmah ukazuje na to da je reč o online usluzi koja pruža server imenika preko interneta.
Ovo je proizvod koji se plaća, a koji implementira Active Directory. Međutim, JumpCloud proširuje mogućnosti Active Directory-a na Unix i Linux sisteme, emulirajući AD sa LDAP implementacijom za te operativne sisteme. JumpCloud nudi pogodan način da AD radi za sve vaše resurse, a ne samo za one koje pruža Microsoft. Ne morate plaćati JumpCloud DaaS ako ga koristite za do 10 korisnika.
Pokretanje bezbednosnih usluga preko interneta stvara dodatnu komponentu koja bi mogla da zakaže, a takođe stvara dodatnu priliku hakerima da presretnu vaš saobraćaj i probiju vaše procese autentifikacije. Na sreću, JumpCloud šifruje svu komunikaciju između vašeg klijenta i servera koji se nalazi na udaljenoj lokaciji JumpCloud-a.
Postavljanje AD na web je zanimljivo rešenje za one koji ne koriste mnogo resursa na licu mesta, već se oslanjaju na servere u oblaku i SaaS za korisničke aplikacije. Model zasnovan na oblaku je takođe interesantan za ona preduzeća koja imaju puno radnika koji rade od kuće, ili za agente, konsultante i zanatlije koji stalno rade na lokacijama klijenata.
JumpCloud DaaS je primer kako se tradicionalne aplikacije zasnovane na lokaciji lako mogu prilagoditi za isporuku na udaljenim serverima i kako nikad nije kasno za inovacije koje obnavljaju ili proširuju funkcionalnost postojećih usluga.
AWS Directory Service
Amazon Web Services nudi alternativu JumpCloud DaaS-u. Ovo je još jedna implementacija Active Directory-a zasnovana na oblaku i pružena od strane jednog od najvećih provajdera usluga u oblaku. Možete odabrati da ovu uslugu imenika koristite samo kao trenutno rešenje ili da je koristite za migraciju vašeg skladišta i softvera na druge AWS usluge.
Za razliku od JumpCloud-a, AWS Directory Service ne proširuje mogućnosti AD-a na Unix i Linux. Umesto toga, ovo je čista Microsoft Active Directory implementacija koja se hostuje u oblaku.
Amazon ne nudi besplatnu uslugu AWS imenika. Međutim, model određivanja cena je veoma skalabilan i zasnovan je na satnici, koja pokriva dva domena, sa nižom cenom za svaki dodatni domen. Ovo nije toliko povoljno kao besplatna opcija. Ipak, možete isprobati uslugu besplatno 30 dana.
389 Directory Server
Na veb sajtu 389 Directory Server tvrde da je ovaj softver „očvrsnut upotrebom u stvarnom svetu“. Kao iskusan administrator mreža, verovatno razumete značenje tog izraza. Ovo je projekat otvorenog koda i jednostavan je za korišćenje. Ako nemate problem sa samostalnim kompajliranjem programa i nemate ništa protiv da pregledate kod, ovaj sistem imenika će vam se dopasti. Paket uključuje GUI interfejs za Gnome okruženja, što olakšava upotrebu pomoću „point-and-click“ sistema.
389 Directory Server je dostupan za Linux i besplatan je za korišćenje. Procedure usluge su napisane u skladu sa LDAP standardima, tako da je ovo kao Active Directory za Linux.
Apache Directory
Ako imate web sajt, vrlo je verovatno da imate i Apache web server. Apache Directory je besplatna implementacija LDAP-a kojom upravlja ista organizacija koja upravlja softverom web servera. Ne postoji stroga interakcija između Apache Directory-a i Apache web servera – to su dva različita proizvoda. Međutim, činjenica da koristite paket web servera iz Apache-a trebalo bi da vam ulije samopouzdanje da isprobate Apache Directory, koji je besplatan za korišćenje.
Potrebno je da preuzmete i instalirate dva softverska paketa da biste imali potpunu implementaciju Apache Directory-a. Oba su u potpunosti usklađena sa LDAP-om, tako da ih možete zameniti bilo kojom drugom aplikacijom koja je bazirana na LDAP-u. Serverski modul se zove Apache DirectoryDS, a klijent se zove Apache Directory Studio. Drugi paket vam omogućava da vidite i menjate zapise imenika koji se čuvaju na serveru. I klijent i server su potpuno besplatni za korišćenje i oba rade na Windows, Unix, Linux i Mac OS.
FreeIPA
Ranije ste čitali o sistemima za upravljanje identitetima (IMS), a FreeIPA je uključena na ovu listu usluga imenika koje možete isprobati, jer je dobar primer IMS-a. Ne morate da brinete o gubljenju novca da biste isprobali ovaj alat, jer je besplatan za korišćenje.
„IPA“ je skraćenica od identiteta, politike i revizije. Ova tri prioriteta obuhvataju procese autentifikacije koji su vam potrebni za vašu mrežu i sve IT resurse. Kao što je gore objašnjeno, usluge imenika su deo IMS sistema. U slučaju FreeIPA, serversku komponentu imenika pruža 389 Directory Server. Dakle, možete izabrati da instalirate 389 Directory Server da biste dobili LDAP implementaciju, ili da proširite svoje usluge autentifikacije i kontrole pristupa korišćenjem kompletnog IMS-a sa FreeIPA.
FreeIPA je projekat otvorenog koda, što znači da možete pregledati kod i osigurati da nema skrivenih procedura za prikupljanje podataka. Usluga pruža opcije u vezi sa metodologijama autentifikacije koje implementirate u okviru IMS-a. Kerberos je dobra besplatna opcija otvorenog koda dostupna u okviru ove kategorije IMS zadataka.
Ovaj IMS radi na Unix-u ili Linux-u. Međutim, takođe je sposoban da nadgleda Windows sisteme i može se instalirati i nadgledati u okruženju kompatibilnom sa Unix-om, kao što je Mac OS. FreeIPA koncept kombinuje već postojeće tehnologije, uključujući Apache HTTP server i Python programske API-je kako bi obezbedio kompletan IMS koji se zasniva na komponentama za koje znate da su „očvrsnute upotrebom u stvarnom svetu“.
Praćenje mrežnog imenika
Prednost korišćenja poznate usluge imenika je da mnoge aplikacije za nadgledanje sistema mogu iskoristiti informacije u vašim zapisima o kontroli pristupa resursima kako bi u potpunosti upravljale i kontrolisale vašu mrežu i njene usluge.
Postoji veliki broj vrlo korisnih sistema za praćenje mreže koji koriste podatke iz imenika da bi vam pružili potpunu kontrolu nad aktivnostima vaše mreže. Evo onih za koje morate znati:
SolarWinds Server & Application Monitor (besplatna probna verzija)
SolarWinds proizvodi rade na Windows Server-u, tako da nema problema sa kompatibilnošću sa Active Directory-om. Kao sistem za nadzor namenjen Windows okruženjima, SolarWinds je integrisao Active Directory nadgledanje u ovaj alat. AD zapisi u vašoj mreži omogućavaju monitoru da prati opterećenje servera prema zahtevima korisnika, i takođe prati tu aktivnost kroz mrežu ako imate instalirane NetFlow Traffic Analyzer i User Device Tracker.
SolarWinds proizvodi niz alata za praćenje resursa, a svi su napisani na zajedničkoj platformi, pod nazivom Orion. Ovo omogućava svakom modulu koji instalirate da komunicira sa drugim SolarWinds proizvodima koje imate na svom serveru. PerfStack modul monitora servera i aplikacija najbolje funkcioniše ako imate instalirane i mrežne monitore, kao što je SolarWinds Network Performance Monitor. To je zato što PerfStack prikazuje svaki nivo usluga zajedno, što omogućava brzu identifikaciju izvora problema sa performansama.
Praćenje korisničkih uređaja posebno koristi informacije iz Active Directory-a da bi obavestilo druge monitore u paketu o izvoru opterećenja resursa. Tracker vam pomaže da uočite kršenja bezbednosti, dok će monitor performansi mreže i NetFlow Traffic Analyzer prikazati prekomerni saobraćaj koji bi mogao ukazivati na aktivnost uljeza. Možete isprobati sve ove SolarWinds proizvode besplatno 30 dana.
PRTG Network Monitor
PRTG je objedinjeni sistem za nadzor mreže, servera i aplikacija. Ako preuzmete ovaj alat, možete ga primeniti široko ili usko, po želji, jer je njegov obim potpuno prilagodljiv. PRTG sistem se sastoji od stotina senzora. Svaki senzor treba aktivirati, tako da će bez vaše intervencije sve mogućnosti sistema ostati neaktivne. Senzor se fokusira na jedan aspekt vaših mrežnih usluga ili na jedan resurs. Na primer, postoji Ping senzor za praćenje saobraćaja, a postoji i niz senzora koji koriste vaše LDAP imenike za informacije.
Paessler ne naplaćuje PRTG ako aktivirate do 100 senzora. Dakle, možete jednostavno koristiti alat kao monitor Active Directory-a. Dok imate alat za nadgledanje AD aktivnosti, takođe možete besplatno nadgledati nekoliko drugih aktivnosti na mreži. Možete aktivirati SNMP i NetFlow senzore za informacije o mrežnom saobraćaju, ili odabrati da aktivirate monitore portova ili senzore statusa servera.
Ako želite da koristite više od 100 senzora, možete isprobati PRTG uz 30-dnevnu besplatnu probnu verziju. PRTG se instalira u Windows Server okruženju.
ManageEngine ADAudit Plus
ManageEngine proizvodi skup odličnih monitora resursa koji rade na Windows-u ili Linux-u. U okviru ManageEngine sistema, pronaći ćete brojne alate koji su specijalno prilagođeni za praćenje Active Directory-a. ADAudit Plus je jedan od tih alata. Ovaj alat će vam pomoći da administrirate AD preko ManageEngine interfejsa i pratiće sve korisničke aktivnosti, uključujući prijavljivanje i odjavljivanje. Ovo će vam pomoći da uočite nelogične aktivnosti korisnika i prekomerne pokušaje prijavljivanja koji mogu ukazivati na prisustvo uljeza.
ADAudit Plus je bogat funkcijama i uključuje mogućnost praćenja i izveštavanja. Možete ga isprobati uz 30-dnevnu besplatnu probnu verziju. Ako ne želite da plaćate nakon probnog perioda, možete se odlučiti za besplatnu verziju ovog alata. ManageEngine nudi niz besplatnih Active Directory alata, uključujući Active Directory alatku za upite, CSV Generator koji izdvaja AD zapise, Last Login Reporter i Menadžer replikacije AD, između ostalih.
Usluge imenika
Imate mnogo opcija prilikom odabira usluga mrežnog imenika. Nadamo se da vam je ovaj vodič dao početnu tačku za vašu potragu.
Da li koristite neki od alata pomenutih u ovom tekstu? Da li više volite neki alat koji ovde nije spomenut? Ostavite poruku u odeljku za komentare ispod i podelite svoje znanje sa zajednicom.