“Diretório” é um termo comum em computação que pode significar uma variedade de coisas. No entanto, na rede, o diretório geralmente está relacionado aos dados do usuário e a uma lista de recursos que podem ser contatados na rede.
Portanto, existem dois tipos de diretórios para cuidar em uma rede: um lista pessoas e o outro lista equipamentos. Neste guia, investigaremos os diferentes sistemas de diretório que estão normalmente em operação nas redes atualmente.
últimas postagens
Formato de armazenamento de diretório
Qualquer lista de dados pode ser mantida em um computador na forma de um arquivo ou em um banco de dados. Os primeiros sistemas de diretórios eram baseados em arquivos. No entanto, o desenvolvimento de sistemas de gerenciamento de banco de dados tornou a opção de banco de dados mais eficiente. Os bancos de dados são mais fáceis e rápidos de pesquisar e as linguagens de consulta usadas para eles (geralmente SQL) permitem que operadores booleanos (AND, OR, NOT, DIVIDE, TIMES, SELECT, PROJECT) sejam incluídos nas pesquisas.
Procedimentos de acesso ao diretório
Empregar um sistema de diretório que depende de um protocolo disponível abertamente é preferível a comprar um sistema proprietário que usa seus próprios formatos de comunicação. Os serviços de diretório requerem dois componentes básicos, que são um cliente e um servidor. O servidor é o programa que mantém o banco de dados e gerencia o acesso aos dados. O cliente geralmente é incorporado em uma interface que exibe dados recuperados, permite que esses dados sejam alterados ou permite que ações sejam executadas condicionalmente ao recebimento dessas informações.
Se você optar por instalar um sistema de diretório baseado em protocolos universais, poderá “misturar e combinar” os sistemas cliente e servidor, pois eles terão a garantia de interagir entre si, independentemente de quem os escreveu. Além disso, as informações contidas nos diretórios de rede podem ser exploradas por ferramentas de monitoramento e relatório de atividades, como sistemas de detecção de intrusão (IDSs). A instalação de um gerenciador de diretórios que implementa o protocolo comumente usado garante que as informações contidas nesses diretórios sejam acessíveis a esses pacotes de monitoramento de usuários e controle de recursos.
Lightweight Directory Access Protocol (LDAP)
O LDAP é um protocolo de serviço que foi amplamente implementado como mecanismo de acesso a uma ampla variedade de diretórios de rede. Vários sistemas de diretórios de rede listados abaixo usam procedimentos LDAP.
Como é um protocolo e não um software, você não pode comprar o LDAP e instalá-lo. Em vez disso, você adquiriria e executaria um programa que implementasse as regras do LDAP. Um protocolo descreve uma lista de padrões e procedimentos de trabalho que atingirão uma meta, de modo que o protocolo em si não dependa do sistema operacional. Isso significa que qualquer pessoa pode desenvolver uma implementação LDAP para Windows, Linux, Unix ou qualquer outro sistema operacional.
Um elemento importante da definição LDAP é que ela estabelece uma linguagem de comando que permite que os clientes se comuniquem com o servidor LDAP. Como o padrão está disponível publicamente, qualquer pessoa pode usá-lo para criar um aplicativo que interaja com um servidor LDAP. Isso significa que o LDAP pode ser integrado ao software comercial e também pode ser integrado a qualquer programa personalizado interno que você possa desenvolver. Essa flexibilidade e universalidade fizeram do LDAP o padrão de fato para o procedimento operacional dos serviços de diretório.
O LDAP é usado para todos os servidores DNS (Domain Name Service) para que você empregue o sistema LDAP regularmente em sua rede, quer você perceba ou não.
OpenLDAP
Como o nome sugere, OpenLDAP é a implementação mais pura do sistema LDAP que você encontrará. Esta é uma biblioteca de procedimentos que podem ser integrados em outros programas. OpenLDAP é um projeto de código aberto e, portanto, qualquer pessoa pode acessar seu código gratuitamente. O código também é implementado pelo projeto OpenLDAP como bibliotecas Java e assim é possível acessar o sistema através de interfaces GUI em qualquer sistema operacional.
Como este pacote é uma biblioteca de código, poucos administradores de rede implementam o procedimento OpenLDAP diretamente. Em vez disso, você deve procurar aplicativos comerciais que declarem o uso do OpenLDAP.
Active Directory
O Active Directory da Microsoft era um sistema de gerenciamento de usuários inovador, criado para Windows. Foi inventado em 1999 e foi tão bem planejado que ainda é amplamente utilizado.
O Active Directory mantém uma lista de usuários autorizados para uma rede. Ele é capaz de categorizar esses usuários por níveis de permissão, para que um usuário com privilégios de administrador seja reconhecido e tenha maior acesso que os usuários comuns. Um benefício secundário do Active Directory é que ele também verifica os direitos dos computadores na rede. Portanto, este é um ótimo serviço de segurança, pois garante que apenas dispositivos autorizados estejam conectados à rede e apenas usuários autorizados possam fazer login nesses computadores. É possível bloquear o acesso a alguns equipamentos a determinados grupos de usuários e reservar o acesso a aplicativos específicos àqueles com direitos de administrador.
A principal limitação do Active Directory é que ele só se integra a outros produtos da Microsoft, então você não pode usá-lo no Linux. Além disso, não é capaz de controlar o acesso a pacotes de produtividade que não são da Microsoft, como o Google Docs. À medida que a lista de serviços concorrentes bem-sucedidos e sistemas baseados em nuvem se estende, a usabilidade do Active Directory diminui.
Serviços de diretório da Novell (NDS)
O sistema NDS foi inventado para fornecer serviços de diretório para redes Novell Netware. No entanto, também é capaz de operar em redes que não possuem Netware instalado. O software pode ser executado em Windows, Sun Solaris e IBM OS/390. Essa foi uma implementação inicial do LDAP e, portanto, tornou-se uma referência para outras implementações de serviços de diretório. Seu uso do LDAP apontou particularmente o caminho para desenvolvimentos posteriores e formou um modelo para o Active Directory.
Lista de controle de acesso (ACL)
ACL é um sistema de gerenciamento de acesso rival ao LDAP. Embora não seja tão amplamente implementado quanto o LDAP, o ACL ainda é um sistema muito conhecido e foi implementado o suficiente para ser sinalizado no setor como um serviço de autenticação confiável.
O sistema ACL conta com um formato de armazenamento de dados que cria uma árvore de atributos. Na terminologia ACL, o recurso que está sendo protegido é chamado de “objeto”. A cada objeto é atribuída uma lista de usuários permitidos e, dependendo do tipo de objeto que está sendo protegido, a cada usuário é atribuída uma ou mais permissões.
A ACL pode ser aplicada ao acesso a arquivos ou à rede. As ACLs baseadas em rede podem ser úteis para sistemas de prevenção de intrusão (IPSs) porque controlam o acesso a endereços de host específicos e podem até bloquear seletivamente o acesso às portas. Nas redes, os direitos de acesso documentados pela ACL são implementados em switches e roteadores.
As ACLs modernas usam bancos de dados SQL para armazenamento de permissão em vez de arquivos. Esse avanço também possibilitou que a ACL evoluísse além dos controles de acesso do usuário para o gerenciamento do grupo de usuários. Isso simplifica a administração de permissões de acesso, principalmente em redes, onde a ACL pode precisar registrar cada usuário várias vezes para dar acesso até mesmo aos requisitos básicos de recursos de um usuário típico de escritório.
Soluções de gerenciamento de identidades e acesso (IAMs)
Uma categoria de utilitário de rede que você pode encontrar ao investigar sistemas de autenticação de usuário é o Identity and Access Management Solutions, ou IAMs. Este termo descreve uma solução mais ampla para autenticação de usuário do que apenas um serviço de diretório. No entanto, um diretório, ou mesmo vários diretórios, estarão no centro de qualquer IAM. Portanto, ao comprar sistemas de acesso e autenticação, procure ferramentas que tenham uma missão muito mais ampla do que apenas o gerenciamento de diretórios. No entanto, esteja ciente de que você precisa do serviço de diretório no núcleo do IAM para implementar um protocolo aberto, como LDAP, para que o acesso ao diretório também esteja disponível para outros aplicativos de monitoramento.
Sugestões para serviços de diretório de rede
Esta lista apresenta algumas sugestões de aplicativos que você pode experimentar como serviços de diretório específicos em sua rede. No entanto, outros aplicativos que você usa regularmente, como servidores da Web ou gerenciadores de endereços IP, também integrarão serviços de diretório.
JumpCloud DaaS
A parte “DaaS” do nome deste produto significa “diretório como serviço”. Esta é uma emulação do termo “software como serviço”. Os serviços de software online baseados em nuvem usam o SaaS/software como um termo de serviço para descrever sua configuração. Portanto, o nome do JumpCloud informa instantaneamente que é um serviço online que entrega um servidor de diretório pela Internet.
Este é um produto pago que implementa o Active Directory. No entanto, JumpCloud estende os recursos do Active Directory para sistemas Unix e Linux emulando AD com uma implementação LDAP para esses sistemas operacionais. O JumpCloud oferece uma maneira elegante de fazer o AD funcionar para todos os seus recursos, não apenas os fornecidos pela Microsoft. Você não precisa pagar pelo JumpCloud DaaS se o usar apenas para até 10 usuários.
A execução de serviços de segurança pela Internet cria um componente extra que pode falhar e também cria uma oportunidade extra para hackers interceptarem seu tráfego e romper seus processos de autenticação. Felizmente, o JumpCloud criptografa todas as comunicações entre seu cliente e o servidor mantido no site remoto do JumpCloud.
Colocar o AD na web é uma solução interessante para quem não usa muitos recursos no local, mas depende de servidores em nuvem e SaaS para aplicativos do usuário. O modelo baseado em nuvem também é interessante para aquelas empresas que têm muitos funcionários em casa, ou com agentes, consultores ou artesãos que trabalham em sites de clientes o tempo todo.
JumpCloud DaaS é um exemplo de como os aplicativos tradicionais baseados em site podem ser facilmente adaptados para entrega em servidores remotos e como nunca é tarde demais para um inovador entrar e renovar ou estender a funcionalidade dos serviços estabelecidos.
Serviço de diretório da AWS
A Amazon Web Services oferece uma alternativa ao JumpCloud DaaS. Esta é outra implementação do Active Directory baseada em nuvem e é fornecida por um dos grandes nomes da nuvem. Você pode optar por usar apenas esse serviço de diretório como sua configuração local atual ou usá-lo para migrar seu armazenamento e software para outros serviços da AWS.
Ao contrário do JumpCloud, o AWS Directory Service não estende os recursos do AD para Unix e Linux. Em vez disso, esta é uma implementação pura do Microsoft Active Directory hospedada na nuvem.
A Amazon não oferece o AWS Directory Service gratuitamente. No entanto, o modelo de precificação é muito escalável e baseado em uma taxa horária, abrangendo dois domínios, com uma taxa menor para cada domínio adicional adicionado ao plano. Isso não é tão bom quanto gratuito. No entanto, você pode experimentar o serviço gratuitamente por 30 dias.
389 Servidor de Diretório
O site do 389 Directory Server afirma que este software é “endurecido pelo uso no mundo real”. Como um administrador de rede experiente, você provavelmente se identificará com esse uso de palavras. Este é um projeto de código aberto e é um produto sem frescuras. Se você concorda em compilar os programas por conta própria e não se importa em vasculhar o código, você vai adorar este sistema de diretórios. O pacote inclui um final de fonte GUI para ambientes Gnome para facilitar o uso de apontar e clicar.
O 389 Directory Server está disponível para Linux e é de uso gratuito. Os procedimentos do serviço são escritos nos padrões LDAP, portanto, é como o Active Directory para Linux.
Diretório Apache
Se você administra um site, é muito provável que também tenha o Apache Web Server. O Apache Directory é uma implementação LDAP gratuita que é gerenciada pela mesma organização que faz a curadoria do software do servidor web. Não há interoperabilidade estrita entre o Apache Directory e o Apache Web Server — eles são dois produtos distintos. No entanto, o fato de você confiar no pacote Web Server do Apache deve lhe dar confiança para experimentar o Apache Directory, que é de uso gratuito.
Você precisa baixar e instalar dois softwares para ter uma implementação completa do Apache Directory. No entanto, ambos são totalmente compatíveis com o LDAP, portanto, você pode substituí-los por um aplicativo diferente, desde que também seja baseado em LDAP. O módulo do servidor é chamado Apache DirectoryDS e o cliente é chamado Apache Directory Studio. O segundo desses dois pacotes permite visualizar e alterar os registros de diretórios mantidos no servidor. Tanto o cliente quanto o servidor são totalmente gratuitos e rodam em Windows, Unix, Linux e Mac OS.
FreeIPA
Anteriormente, você leu sobre sistemas de gerenciamento de identidade (IMS) e o FreeIPA está incluído nesta lista de serviços de diretório para experimentar porque é um bom exemplo de um IMS. Você não precisa se preocupar em desperdiçar dinheiro experimentando este utilitário porque é gratuito.
“IPA” significa Identidade, Política e Auditoria. Essas três prioridades encapsulam os processos de autenticação necessários para sua rede e todos os seus recursos de TI. Conforme explicado acima, os serviços de diretório fazem parte dos sistemas IMS. No caso do FreeIPA, o componente do servidor de diretório é fornecido pelo 389 Directory Server. Assim, você pode optar por instalar o 389 Directory Server para obter uma implementação LDAP ou expandir seus serviços de autenticação e controle de acesso, optando por um IMS completo com FreeIPA.
O FreeIPA é um projeto de código aberto, portanto, você pode examinar o código para garantir que não haja nenhum procedimento oculto de coleta de dados contido nele. O serviço oferece opções sobre as metodologias de autenticação que você implementa na estrutura do IMS — Kerberos é uma boa opção de código aberto gratuita disponível nessa categoria de tarefas do IMS.
Este IMS é executado em Unix ou Linux. No entanto, também é capaz de monitorar sistemas Windows e também pode instalar e monitorar o ambiente Mac OS compatível com Unix. O conceito FreeIPA coleta tecnologias pré-existentes, incluindo o Apache HTTP Server e APIs de programação Python para fornecer um IMS completo baseado em componentes que você sabe que são “reforçados pelo uso no mundo real”.
Monitoramento de diretório de rede
O benefício de usar um serviço de diretório bem conhecido é que muitos aplicativos de monitoramento de sistema podem explorar as informações contidas em seus registros de controle de acesso a recursos para gerenciar e controlar totalmente sua rede e seus serviços.
Existem vários sistemas de monitoramento de rede muito úteis que exploram os dados do diretório para fornecer controle total sobre as atividades de sua rede. Aqui estão os que você realmente precisa saber:
SolarWinds Server e Application Monitor (AVALIAÇÃO GRATUITA)
Os produtos SolarWinds operam no Windows Server, portanto, não há problema de compatibilidade com o Active Directory. Como um sistema de monitoramento destinado a ambientes Windows, a SolarWinds fez questão de incorporar o monitoramento do Active Directory nessa ferramenta. Os registros AD em sua rede permitem que o monitor rotule a carga do servidor por demanda do usuário e também rastreie essa atividade pela rede se você também tiver o NetFlow Traffic Analyzer e o User Device Tracker da empresa instalados.
A SolarWinds produz uma variedade de utilitários de monitoramento de recursos e todos eles são escritos em uma plataforma comum, chamada Orion. Isso permite que cada módulo instalado interaja com os outros produtos SolarWinds que estão sendo executados em seu servidor. O módulo PerfStack do Server and Application Monitor funciona melhor se você também tiver monitores de rede instalados, como o SolarWinds Network Performance Monitor. Isso ocorre porque o PerfStack mostra cada nível da pilha de serviços juntos, para que você possa identificar rapidamente onde realmente existem problemas de desempenho.
O User Device Tracker explora particularmente as informações que você mantém no Active Directory para informar os outros monitores do conjunto sobre a origem da carga de recursos. O rastreador ajuda você a detectar violações de segurança e o Monitor de desempenho de rede e o NetFlow Traffic Analyzer mostrarão tráfego excessivo que pode significar atividades de invasores. Você pode obter todos e quaisquer desses produtos SolarWinds em uma avaliação gratuita de 30 dias.
Monitor de Rede PRTG
O PRTG é um monitor unificado de rede, servidor e aplicativo. Se você adotar essa ferramenta, poderá optar por implementá-la da maneira mais ampla ou restrita que desejar, pois seu escopo é totalmente personalizável. O sistema PRTG é composto por centenas de sensores. Cada sensor precisa ser ativado, portanto, sem sua intervenção, todos os recursos do sistema permanecerão inativos. Um sensor se concentra em um aspecto de seus serviços de rede ou em um recurso. Por exemplo, há um sensor Ping para monitoramento de tráfego e também uma série de sensores que exploram seus diretórios LDAP para obter informações.
A Paessler não cobra pelo PRTG se você ativar apenas até 100 sensores. Portanto, você pode usar a ferramenta como um monitor do Active Directory. Enquanto você tem o utilitário para monitorar suas atividades do AD, você também tem espaço nessa oferta de serviço gratuito para monitorar algumas outras atividades em sua rede. Você pode ativar os sensores SNMP e NetFlow para obter feedback sobre o tráfego de rede ou optar por ativar monitores de porta ou sensores de status do servidor.
Se você quiser usar mais do que apenas 100 sensores, poderá obter o PRTG em uma avaliação gratuita de 30 dias. O PRTG é instalado no ambiente do Windows Server.
ManageEngine ADAudit Plus
ManageEngine produz um conjunto de excelentes monitores de recursos que rodam em Windows ou Linux. No estável ManageEngine, você encontrará várias ferramentas especificamente adaptadas ao monitoramento do Active Directory. ADAudit Plus é um desses utilitários. Essa ferramenta ajudará você a administrar o AD por meio da interface ManageEngine e também rastreará todas as atividades do usuário, incluindo logon e logoff. Isso ajudará você a identificar atividades ilógicas do usuário e tentativas de login excessivas que podem indicar a presença de invasores.
O ADAudit Plus é rico em recursos e inclui recursos de rastreamento e relatórios. Você pode obtê-lo em uma avaliação gratuita de 30 dias. Se você não quiser pagar após o período de teste, poderá optar pela versão gratuita desta ferramenta ManageEngine. O ManageEngine oferece várias ferramentas gratuitas do Active Directory, incluindo o Ferramenta de consulta do Active Directora Gerador de CSVque extrai registros AD, o Repórter do último logine as Gerenciador de replicação do ADentre outros.
Serviços de diretório
Você tem muitas opções quando começa a procurar serviços de diretório de rede. Espero que este guia tenha lhe dado um ponto de partida para sua pesquisa.
Você usa algum dos utilitários mencionados neste guia? Você prefere uma ferramenta que não abordamos aqui? Deixe uma mensagem na seção Comentários abaixo para compartilhar seu conhecimento com a comunidade.