Manage Engine AD Manager Plus

Manage Engine : AD Manager Plus

Featrue

บริการจัดการ User ทีละคน หรือ User จำนวนมากๆในคราวเดียวกันได้

บริหารจัดการเรื่องของ Password Management

Exchange Attribute Management สามารถบริหารจัดการค่า Attributes ต่างๆของ

Exchange บน Users ใน AD ได้ เช่น Enable / Disable Mailbox, Quota, etc.. ที่สำคัญคือทำผ่าน Web Based 

Files / Folders Permission เช่นการเพิ่มหรือ ลด Permission บน Shared Folder หรือบน File และยังสามารถออก Report ที่เกี่ยวข้องกับ File Shared ได้

Bulk Users Creation สามารถสร้าง Users ได้หลายๆคนพร้อมๆกันโดยผ่าน Web จากที่ไหนก็ได้โดยจะมีขบวนการทำงานตาม Workflow ด้านล่างนี้ครับ

การบริหารจัดการ Computer Accounts ก็สามารถทำได้ทุกอย่างครบถ้วนกระบวนความเช่นกันครับ

บริหารจัดการ OU

บริหารจัดการ Terminal Services Configure โดยไม่จำเป็นต้องรีโมทเข้าไปที่ Terminal Service Server เลยครับ

บริหารจัดการ Group ก็ยังคงสามรถทำผ่าน Web Browser ได้ด้วยเช่นเดียวกัน

ช่วยทำการ Delegrate Helpdesk Permission เช่นถ้าในบริษัทมีหลายสาขา และแต่ละสาขามี IT ที่ต้องคอยดูแลอยู่ ครั้นจะให้สิทธิ์ในการรีโมทมาที่ AD Server ก็คงไม่ใช่เรื่อง ตรงนี้เองที่เราสามารถให้สิทธิ์ IT ในแต่ละสาขาทำงานบางอย่าง เช่นการ สร้าง Users หรือ Reset Password ในสาขาของตัวเองได้โดยผ่านหน้าของ Web Browser ได้เลย โดยที่เราไม่ต้องไปทำการเขียน Web Application และลืมเรื่องการกำหนดสิทธิ์แบบเดิมๆไปได้เลยครับ

โปรโตคอล EAP

โปรโตคอล EAP

                

    มาตรฐาน IEEE 802.1X เป็นมาตรฐานใหม่ที่ทำงานใน MAC เลเยอร์ ซึ่งมาตรฐานนี้จะใช้ในการพิสูจน์ทราบตัวตนทั้งในเครือข่าย LAN และ WLAN ให้มีความปลอดภัยสูงขึ้น ในกรณีเมื่อผู้ใช้ต้องการเชื่อมต่อเข้าใช้เครือข่าย WLAN จะต้องมีการแสดงหลักฐานสำหรับประกอบการตรวจสอบ (Credential) ต่อแอ็กเซสพอยต์  หลังจากนั้นแอ็กเซสพอยต์จะส่งผ่านหลักฐานดังกล่าวต่อไปยัง RADIUS เซิร์ฟเวอร์ ซึ่งเป็นระบบสำหรับพิสูจน์ทราบตัวตนผู้ใช้โดยเฉพาะ การแลกเปลี่ยนกันระหว่าง RADIUS เซิร์ฟเวอร์และอุปกรณ์ WLAN จะใช้โปรโตคอล EAP ซึ่งมีความยืดหยุ่นสูงทำให้ผู้พัฒนาระบบสามารถนำไปใช้สร้างกลไกการตรวจสอบอย่างที่ต้องการได้ ปัจจุบันมีการใช้โปรโตคอลดังกล่าวในรูปแบบหลักๆ เช่น EAP-MD5, LEAP, EAP-TLS, EAP-TTLS, และ PEAP เป็นต้น

EAP-MD5

                ในกรณี EAP-MD5 นั้นหลักฐานที่ส่งผ่านไปยัง RADIUS เซิร์ฟเวอร์คือ Username และ Password ซึ่งจะถูกเข้ารหัสด้วยอัลกอริทึม MD5 การใช้กลไก EAP-MD5 ช่วยแก้ไขปัญหาเรื่องการตรวจสอบผู้ใช้ในเครือข่าย WLAN ให้มีความปลอดภัยมากขึ้น แต่ไม่ได้ช่วยแก้ปัญหาเรื่องความไม่ปลอดภัยของการใช้รหัสลับเครือข่าย (WEP Key) ซึ่งเป็นค่าคงที่ ดังนั้น ผู้โจมตียังคงสามารถดักฟังและแคร็ค WEP คีย์ซึ่งเป็นค่าคงที่ได้ ถึงแม้จะมีการใช้ EAP-MD5 เมื่อผู้โจมตีทราบ WEP คีย์ของเครือข่ายแล้ว ก็จะสามารถถอดรหัสข้อมูลที่รับส่งอยู่เครือข่าย และอาจทราบ Username และ Password โดยอาศัยเทคนิคต่างๆสำหรับการเจาะรหัส MD5 ได้ในที่สุด นอกจากนี้ข้อบกพร่องในกลไก EAP-MD5 อีกอย่างหนึ่งคือ ผู้ใช้ไม่สามารถตรวจสอบแอ็กเซสพอยต์ ซึ่งทำให้ผู้โจมตีอาจจะสามารถหลอกลวงให้ผู้ใช้ต่อเชื่อมเข้ากับอุปกรณ์แม่ข่ายของผู้โจมตีแล้วหลอกถาม Username และ Password ได้

LEAP

                LEAP (Lightweight Extensible Authentication Protocol) หรือ EAP-Cisco Wireless พัฒนาโดยบริษัทซิสโก้ ซึ่งในโปรโตคอลนี้นอกจากจะมีกลไกในการส่งผ่านข้อมูลเกี่ยวกับ Username และ Password ของผู้ใช้ไปยัง RADIUS เซิร์ฟเวอร์เพื่อทำการตรวจสอบแล้ว ยังมีการจัดการและบริหารรหัสลับของเครือข่าย (WEP Key) ให้มีการเปลี่ยนแปลงค่าบ่อยๆได้นั่นคือ เมื่อผู้ใช้ผ่านการตรวจสอบเรียบร้อยแล้วจะได้รับ WEP เพื่อใช้ในการเข้ารหัสข้อมูลสำหรับผู้ใช้นั้นๆ ซึ่งหมายความว่าผู้ใช้แต่ละคนอาจได้คีย์ที่แตกต่างกันออกไปได้ และเมื่อใช้งานร่วมกับ RADIUS ซึ่งสามารถกำหนดอายุแต่ละเซสชันได้ ซึ่งทำให้ WEP ของแต่ละผู้ใช้เปลี่ยนค่าไปทุกๆ ช่วงเวลาสั้นๆด้วย

                ในกรณีนี้เทคนิคการเจาะคีย์ WEP ที่มีอยู่ในปัจจุบันจะไม่สามารถนำมาใช้ประโยชน์ได้ นอกจากนี้ LEAP ยังกำหนดให้มีการตรวจสอบทั้งเครื่องแม่ข่ายและผู้ใช้ (Mutual Authentication) เพื่อป้องกันไม่ให้ผู้โจมตีสามารถหลอกลวงผู้ใช้ให้เชื่อมต่อกับเครื่องแม่ข่ายของผู้โจมตีได้ จะเห็นได้ว่า LEAP สามารถเพิ่มความปลอดภัยให้กับเครือข่าย WLAN ได้มาก แต่อย่างไรก็ตามข้อเสียอย่างหนึ่งก็คือ ในปัจจุบัน LEAP ยังถูกจำกัดอยู่แต่ในผลิตภัณฑ์ของ Cisco เท่านั้น

EAP-TLS

โปรโตคอล EAP-TLS (Transport Layer Security) ได้รับการพัฒนาขึ้นโดยบริษัทไมโครซอฟต์ ซึ่งมีการอ้างอิงตาม RFC 2716 ในโปรโตคอลนี้จะไม่มีการใช้ Username และ Password ในการตรวจสอบผู้ใช้ แต่จะใช้ X.509 certificates แทนการทำงานของโปรโตคอลนี้ จะอาศัยการส่งผ่าน PKI ผ่าน SSL (Secure Sockets Layers) ผ่าน EAP เพื่อใช้กำหนดคีย์ WEP สำหรับผู้ใช้แต่ละคน EAP-TLS กำหนดให้มีการพิสูจน์ทราบตัวตนทั้งเครื่องแม่ข่ายและผู้ใช้ (Mutual Authentication) ด้วยเช่นเดียวกับ LEAP แต่อย่างไรก็ตามปัญหาหลัก EAP-TLS จะอยู่ที่ความยุ่งยาก และค่าใช้จ่ายในการติดตั้งจัดการและบริหารระบบ PKI Certificate

EAP-TTLS

                โปรโตคอล EAP-TTLS เริ่มพัฒนาโดยบริษัทฟังค์ซอฟต์แวร์ ซึ่งการทำงานของ EAP-TTLS คล้ายกับ EAP-TLS คือ จะมีการตรวจสอบเครื่องแม่ข่ายโดยใช้เซอร์ติฟิเกต (Certificate) แต่ผู้ใช้จะถูกตรวจสอบโดยการใช้ Username และ Password ซึ่งความปลอดภัยของ EAP-TTLS จะน้อยกว่า EAP-TLS และที่สำคัญ EAP-TTLS ต่อไปอาจไม่ได้รับความนิยมมากนัก เนื่องจากไมโครซอฟต์และซิสโก้ได้ร่วมมือกันพัฒนาโปรโตคอลขึ้นมาใหม่ชื่อว่า PEAP (Protected EAP) ซึ่งมีการทำงานเดียวกับ EAP-TLS

ข้อมูลอ้างอิงจากหนังสือเจาะรบบ NETwork 3 Edition

มาตรฐาน IEEE 802.1X

มาตรฐาน IEEE 802.1X

 

   มาตรฐาน IEEE 802.1X เป็นเฟรมเวิร์คสำหรับการพิสูจน์ทราบตัวตนของอุปกรณ์ต่างๆ ที่เชื่อมต่อเข้ากับเครือข่ายโดยไม่จำกัดเฉพาะไวร์เลสแลนเท่านั้น โดยกลไกการทำงานนั้นจะไม่อนุญาตให้เข้าถึงเครือข่ายจนกว่าจะผ่านการพิสูจน์ทราบว่า อุปกรณ์นั้นมีสิทธิ์จริง นากจากการพิสูจน์ทราบตัวตนแล้ว IEEE -802.1X ยังเป็นเฟรมเวิร์คสำหรับการแลกเปลี่ยนคีย์ที่ใช้สำหรับการเข้ารหัสข้อมูลด้วย
   IEEE 802.1X เป็นมาตรฐานสำหรับการควบคุมการเข้าถึงเครือข่ายในระดับพอร์ต (Port-based Network Access Control) โดยใช้โปรโตคอล EAP (Extensible Authentication Protocol) ในการแลกเปลี่ยนข้อมูล อุปกรณ์เครือข่ายที่รองรับมาตรฐานนี้สามารถป้องกันการเข้าถึงเครือข่ายสำหรับอุปกรณ์หรือไคลเอนท์ที่ไม่ได้รับอนุญาติ

องค์ประกอบสำหรับการพิสูจน์ทราบตัวตน

• Supplicant : ไคลเอนท์ที่เชื่อมต่อเข้ากับไวร์เลสแลน
• Authenticator : แอ็กเซสพอยต์ที่ทำหน้าที่เป็นตัวกลางในการพิสูจน์ทราบตัวตน
• Authentication Server : Server ที่ทำหน้าที่ในการพิสูจน์ทราบตัวตน ซึ่งโดยส่วนใหญ่จะใช้ RADIUS Server