O termo “diretório” no contexto da computação pode assumir diferentes significados. Em redes, geralmente refere-se a dados de usuários e listas de recursos acessíveis na rede.
Existem dois tipos principais de diretórios em redes: um que cataloga pessoas e outro que lista equipamentos. Este guia explorará os diversos sistemas de diretórios em uso nas redes contemporâneas.
Estrutura de Armazenamento de Diretórios
Listas de dados podem ser armazenadas em computadores como arquivos ou em bancos de dados. Os primeiros sistemas de diretórios baseavam-se em arquivos, mas os sistemas de gerenciamento de bancos de dados tornaram essa opção mais eficiente. Bancos de dados facilitam buscas rápidas, e as linguagens de consulta (como SQL) permitem o uso de operadores booleanos (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) em pesquisas.
Métodos de Acesso a Diretórios
Sistemas de diretórios que utilizam protocolos abertos são preferíveis a sistemas proprietários com formatos de comunicação únicos. Serviços de diretório exigem um cliente e um servidor. O servidor gerencia o banco de dados e o acesso aos dados. O cliente, normalmente integrado em uma interface, exibe os dados recuperados, permite modificações ou ações baseadas nessas informações.
Ao optar por sistemas baseados em protocolos universais, é possível combinar clientes e servidores de diferentes fontes, garantindo a interação entre eles. Além disso, dados em diretórios de rede podem ser usados por ferramentas de monitoramento, como sistemas de detecção de intrusão (IDS). Implementar protocolos comuns garante que esses dados sejam acessíveis a ferramentas de monitoramento e controle de recursos.
Protocolo de Acesso a Diretório Leve (LDAP)
O LDAP é um protocolo amplamente adotado para acessar diversos diretórios de rede. Muitos dos sistemas de diretório listados abaixo utilizam o LDAP.
Por ser um protocolo e não um software, não é possível comprá-lo e instalá-lo diretamente. Em vez disso, adquire-se um programa que implementa as regras do LDAP. Um protocolo define padrões e procedimentos para atingir um objetivo, sem depender do sistema operacional. Isso possibilita o desenvolvimento de implementações LDAP para Windows, Linux, Unix ou qualquer outro sistema operacional.
O LDAP estabelece uma linguagem de comando para comunicação entre clientes e servidores. Sendo um padrão público, permite que qualquer pessoa crie aplicativos compatíveis com servidores LDAP. Essa versatilidade e universalidade tornaram o LDAP o padrão para serviços de diretório.
O LDAP é usado em todos os servidores DNS (Serviço de Nome de Domínio), indicando que seu sistema já emprega o protocolo, mesmo que você não se dê conta.
OpenLDAP
OpenLDAP é a implementação mais pura do sistema LDAP. Trata-se de uma biblioteca de procedimentos que podem ser integrados a outros programas. OpenLDAP é um projeto de código aberto, com código acessível gratuitamente. O projeto também fornece bibliotecas Java, permitindo acesso ao sistema por meio de interfaces gráficas em qualquer sistema operacional.
Por ser uma biblioteca de código, poucos administradores de rede implementam o OpenLDAP diretamente. Geralmente, busca-se aplicações comerciais que utilizem o OpenLDAP.
Active Directory
O Active Directory da Microsoft foi um sistema de gerenciamento de usuários inovador para Windows. Criado em 1999, ainda é amplamente utilizado devido à sua eficácia.
O Active Directory mantém uma lista de usuários autorizados em uma rede, categorizando-os por níveis de permissão. Um usuário com privilégios de administrador terá maior acesso do que usuários comuns. Ele também verifica os direitos de computadores na rede, garantindo que apenas dispositivos autorizados se conectem e que apenas usuários autorizados façam login. É possível restringir o acesso a certos equipamentos ou aplicativos a determinados grupos de usuários.
A principal limitação do Active Directory é sua integração exclusiva com produtos Microsoft, não sendo compatível com Linux. Além disso, não controla o acesso a softwares de produtividade de outras empresas, como o Google Docs. A crescente lista de serviços concorrentes e sistemas baseados em nuvem diminui a usabilidade do Active Directory.
Serviços de Diretório Novell (NDS)
O NDS foi desenvolvido para redes Novell Netware, mas opera em redes sem Netware. O software funciona em Windows, Sun Solaris e IBM OS/390. Foi uma das primeiras implementações do LDAP, servindo de referência para outros serviços de diretório e influenciando o desenvolvimento do Active Directory.
Lista de Controle de Acesso (ACL)
ACL é um sistema de gerenciamento de acesso alternativo ao LDAP. Embora não seja tão difundido, é reconhecido como um serviço de autenticação confiável.
O sistema ACL utiliza uma estrutura de árvore de atributos. O recurso protegido é chamado de “objeto”, e cada objeto tem uma lista de usuários permitidos, cada um com permissões específicas. ACLs podem ser aplicadas a acessos a arquivos ou à rede.
ACLs baseadas em rede são úteis em sistemas de prevenção de intrusão (IPSs) para controlar o acesso a endereços de host e bloquear seletivamente o acesso a portas. Em redes, os direitos de acesso da ACL são implementados em switches e roteadores.
ACLs modernas usam bancos de dados SQL para armazenar permissões, permitindo o gerenciamento de grupos de usuários, simplificando a administração de permissões de acesso, especialmente em redes com muitos usuários.
Soluções de Gerenciamento de Identidades e Acesso (IAMs)
IAMs são soluções abrangentes para autenticação de usuários, indo além de serviços de diretório. Um ou mais diretórios são essenciais em qualquer IAM. Ao adquirir sistemas de acesso e autenticação, busque ferramentas com um escopo maior do que apenas o gerenciamento de diretórios. É crucial que o serviço de diretório no núcleo do IAM implemente um protocolo aberto, como o LDAP, para garantir que outros aplicativos de monitoramento também tenham acesso.
Sugestões para Serviços de Diretório de Rede
Esta seção apresenta sugestões de aplicativos que podem ser usados como serviços de diretório em sua rede. Outros aplicativos comuns, como servidores web e gerenciadores de endereços IP, também integram serviços de diretório.
JumpCloud DaaS
O termo “DaaS” neste produto significa “Diretório como Serviço”, um termo análogo ao “Software como Serviço” (SaaS). Isso indica que o JumpCloud é um serviço online que entrega um servidor de diretório via internet.
Este é um produto pago que implementa o Active Directory, estendendo seus recursos para sistemas Unix e Linux por meio de uma implementação LDAP. O JumpCloud oferece uma forma de utilizar o AD para todos os seus recursos, não apenas os da Microsoft. O serviço é gratuito para até 10 usuários.
Serviços de segurança online criam pontos adicionais de falha e oportunidades para ataques. No entanto, o JumpCloud criptografa todas as comunicações entre cliente e servidor.
Colocar o AD na nuvem é uma solução interessante para quem não usa muitos recursos locais, mas depende de servidores na nuvem e SaaS. O modelo é também ideal para empresas com muitos funcionários remotos ou em campo.
O JumpCloud DaaS exemplifica como aplicações tradicionais podem ser adaptadas para servidores remotos, e como é sempre possível inovar e estender a funcionalidade de serviços já estabelecidos.
Serviço de Diretório da AWS
A Amazon Web Services oferece uma alternativa ao JumpCloud DaaS. Trata-se também de uma implementação do Active Directory baseada na nuvem, fornecida por um dos grandes nomes da computação em nuvem. Pode ser usado como sua configuração local atual ou para migrar armazenamento e softwares para outros serviços da AWS.
Ao contrário do JumpCloud, o AWS Directory Service não estende os recursos do AD para Unix e Linux. É uma implementação pura do Microsoft Active Directory hospedada na nuvem.
O AWS Directory Service não é gratuito, mas seu modelo de preços é escalável e baseado em uma taxa horária, abrangendo dois domínios, com um custo menor para domínios adicionais. Oferece um período de teste gratuito de 30 dias.
389 Servidor de Diretório
O site do 389 Directory Server afirma que o software é “endurecido pelo uso no mundo real”. Este é um projeto de código aberto e um produto sem muitos recursos extras. Se você se sente confortável em compilar os programas e navegar pelo código, este sistema de diretório será ideal. O pacote inclui um final GUI para ambientes Gnome.
O 389 Directory Server é gratuito e disponível para Linux. Os procedimentos do serviço seguem os padrões LDAP, funcionando como um Active Directory para Linux.
Diretório Apache
Se você gerencia um site, é provável que já utilize o Apache Web Server. O Apache Directory é uma implementação LDAP gratuita, gerenciada pela mesma organização que mantém o servidor web. Apesar de não haver interoperabilidade estrita entre os dois, a confiança no Apache Web Server deve encorajar o teste do Apache Directory, que também é gratuito.
É necessário baixar e instalar dois softwares para uma implementação completa do Apache Directory. Ambos são compatíveis com o LDAP, permitindo substituições por outros aplicativos baseados em LDAP. O módulo de servidor é o Apache DirectoryDS e o cliente é o Apache Directory Studio, que permite visualizar e alterar registros de diretório. Ambos são gratuitos e compatíveis com Windows, Unix, Linux e Mac OS.
FreeIPA
O FreeIPA está incluído nesta lista por ser um bom exemplo de IMS (Sistema de Gerenciamento de Identidade). Este utilitário é gratuito, então o experimente sem preocupações financeiras.
“IPA” significa Identidade, Política e Auditoria, os processos de autenticação para sua rede e recursos de TI. Serviços de diretório são componentes de IMS. No FreeIPA, o componente de servidor de diretório é o 389 Directory Server. É possível instalar apenas o 389 Directory Server para uma implementação LDAP ou optar por um IMS completo com o FreeIPA.
O FreeIPA é um projeto de código aberto. Ele oferece opções sobre as metodologias de autenticação, sendo o Kerberos uma opção gratuita disponível nesta categoria de tarefas do IMS.
Este IMS funciona em Unix ou Linux, mas também monitora sistemas Windows e instala e monitora ambientes Mac OS compatíveis com Unix. O FreeIPA utiliza tecnologias pré-existentes, incluindo o Apache HTTP Server e APIs de programação Python, para um IMS robusto e testado.
Monitoramento de Diretório de Rede
A vantagem de usar serviços de diretório bem conhecidos é que muitos aplicativos de monitoramento de sistema podem usar informações dos registros de controle de acesso a recursos para gerenciar e controlar a rede e seus serviços.
Existem vários sistemas de monitoramento que exploram dados de diretório para fornecer controle total sobre as atividades da sua rede. Aqui estão alguns dos mais importantes:
SolarWinds Server e Application Monitor (AVALIAÇÃO GRATUITA)
Os produtos SolarWinds operam no Windows Server, garantindo compatibilidade com o Active Directory. Como um sistema de monitoramento para ambientes Windows, a SolarWinds integrou o monitoramento do Active Directory. Registros AD permitem que o monitor rastreie a carga do servidor por demanda do usuário, monitorando a atividade pela rede com o NetFlow Traffic Analyzer e o User Device Tracker.
A SolarWinds oferece diversos utilitários de monitoramento, todos baseados em uma plataforma comum, chamada Orion. Isso permite que os módulos instalados interajam com outros produtos da SolarWinds. O módulo PerfStack do Server and Application Monitor funciona melhor em conjunto com outros monitores de rede, como o SolarWinds Network Performance Monitor. O PerfStack mostra todos os níveis da pilha de serviços para identificar rapidamente problemas de desempenho.
O User Device Tracker utiliza as informações do Active Directory para informar outros monitores sobre a origem da carga de recursos. O rastreador ajuda a detectar violações de segurança, enquanto o Network Performance Monitor e o NetFlow Traffic Analyzer mostram tráfego excessivo indicativo de atividades suspeitas. Todos esses produtos SolarWinds oferecem um período de avaliação gratuito de 30 dias.
Monitor de Rede PRTG
O PRTG é um monitor unificado para rede, servidor e aplicações. Seu escopo é totalmente personalizável, permitindo implementações amplas ou restritas. O sistema consiste em centenas de sensores, que precisam ser ativados individualmente. Cada sensor monitora um aspecto específico da rede ou um recurso. Por exemplo, há um sensor Ping para monitoramento de tráfego e sensores para dados de diretórios LDAP.
A Paessler oferece o PRTG gratuitamente para até 100 sensores ativados. É possível usar a ferramenta para monitorar o Active Directory e outras atividades. É possível ativar sensores SNMP e NetFlow, monitores de porta ou sensores de status do servidor.
Para usar mais de 100 sensores, é possível obter o PRTG em uma avaliação gratuita de 30 dias. O PRTG é instalado em ambientes Windows Server.
ManageEngine ADAudit Plus
A ManageEngine oferece excelentes monitores de recursos para Windows ou Linux. Existem várias ferramentas adaptadas ao monitoramento do Active Directory, sendo o ADAudit Plus uma delas. Essa ferramenta auxilia na administração do AD, monitorando atividades de usuários, incluindo logons e logoffs, ajudando a detectar atividades ilógicas e tentativas de login excessivas que podem indicar a presença de intrusos.
O ADAudit Plus possui recursos de rastreamento e relatórios. Ele oferece um período de avaliação gratuita de 30 dias, com uma versão gratuita disponível após o período de teste. A ManageEngine oferece outras ferramentas gratuitas para o Active Directory, incluindo o Ferramenta de Consulta do Active Directory, o Gerador de CSV, o Repórter de Último Logon e o Gerenciador de Replicação do AD, entre outros.
Considerações Finais
A escolha de serviços de diretório de rede é vasta. Este guia oferece um ponto de partida para a sua pesquisa.
Você utiliza alguma das ferramentas mencionadas? Ou você prefere outra que não foi abordada aqui? Compartilhe seu conhecimento na seção de comentários.