Wymagana funkcjonalność

Czego więc możemy spodziewać się po rozwiązaniach do zarządzania kontami?

Sercem narzędzi jest zarządzanie uprawnieniami. Sposoby podejścia do tego zagadnienia również są zróżnicowane. Niektórzy traktują tę część jako trzon, wokół którego dobudowuje się poszczególne funkcjonalności. Są to zatem zaawansowane sejfy, które w mniej lub bardziej złożony sposób pozwalają przede wszystkim bezpiecznie przechowywać poświadczenia i generować nowe hasła, czy wydawać je uprawnionym do tego osobom. Bardziej zaawansowane rozwiązania znacznie wykraczają poza funkcje sejfów. Pozwalają na zbudowanie procesu, w oparciu o który możliwe jest manipulowanie poświadczeniami i decydowanie: kto, kiedy, na jak długo oraz w jakim celu otrzyma do nich dostęp. Udostępniają także API, które pozwala na szerokie spektrum integracji, na przykład z katalogiem LDAP, rozwiązaniami SIEM, Service Desk, czy wieloelementowe uwierzytelnianie.

Rozwiązania PIM powinny także umożliwiać zarządzanie kontami, którymi nie posługują się ludzie, ale usługi czy inne obiekty. Wspominaliśmy, że jedną z funkcji sejfów jest egzekwowanie polityki haseł. Ta może wymagać, aby hasła dla kont specjalnych były jednokrotnego użytku. To z kolei powoduje, że po każdym użyciu do konta powinno zostać wygenerowane nowe hasło. Jeżeli takie konto wykorzystywane jest w wielu miejscach (np. usługach), musimy mieć pewność, że zmiana zostanie rozpropagowana wszędzie. Przykładowo, jeden z analityków zatrudnionych w instytucji finansowej w rozmowie z tygodnikiem "Network World" powiedział, że hasła administracyjne posiadanego serwera BES (BlackBerry Enterprise Server) są wykorzystywane w 28 różnych usługach. Odnalezienie wszystkich usług i ręczna synchronizacja haseł spowodowałaby konieczność wyłączenia systemu z produkcji na pewien czas.

Drugi istotny element stanowi monitorowanie oraz kontrola prowadzonych sesji. W zależności od producenta może to być monitorowanie wszystkich sesji (bez względu na użytkownika) lub tylko tych, realizowanych za pomocą kont specjalnych. Sprawa teoretycznie prosta, lecz rozbieżności między narzędziami są spore. Przyjrzyjmy się najpierw modułowi monitorowania. Najczęściej spotyka się podejście polegające na nagrywaniu przebiegu sesji w postaci nagrań. Niektórzy nagrywają pełne filmy (w postaci plików wideo). Inni robią zrzuty ekranu tylko wtedy, gdy jest odnotowywana jakaś aktywność (bezczynność nie jest rejestrowana). Warto tutaj pamiętać o dwóch rzeczach. Po pierwsze, im więcej sesji, systemów, użytkowników - tym większy apetyt na przestrzeń konieczną do magazynowania nagrań. Część narzędzi jest bardzo oszczędna (kilka/kilkanaście MB na nagranie), lecz pozostałe już niekoniecznie. W dużych środowiskach może być wymagane nawet kilka TB do przechowywania nagrań. Druga sprawa to możliwości przeszukiwania nagrań. Są rozwiązania, które mają mechanizmy indeksowania sesji, jak i takie, które prowadzą tylko i wyłącznie rejestr wideo.

Indeksowanie polega na zapisywaniu dodatkowych metadanych, jak np. wydane polecenia, zmiany wprowadzone w plikach. Warto też zwrócić uwagę, czy takie indeksowanie jest możliwe zarówno wobec systemu *nix (i jakich), jak i Windows. W przypadku zwykłych rejestratorów wideo sprawdzenie konkretnej aktywności wymaga przejrzenia całego nagrania, które może trwać od kilku minut do kilku godzin. Należy również zaznaczyć, że od strony wymagań technicznych monitorowanie pomiędzy produktami również może znacząco się różnić. Najbardziej wyrazisty przykład, to podejście wymagające instalacji agentów lub bezagentowe.