Usługa Active Directory - PLD Linux Distribution
Download
Report
Transcript Usługa Active Directory - PLD Linux Distribution
Usługa Active Directory
Wprowadzenie
Informacja o zasobach sieci, sposobach i
możliwościach ich wykorzystania
Całkowicie zintegrowana z W2k Server
Oferuje hierarchiczny widok zasobów sieci,
rozszerzalność, skalowalność oraz rozproszony
system zabezpieczeń
Integruje pochodzącą z Internetu koncepcję
przestrzeni nazw z usługą katalogową systemu
operacyjnego
Korzysta z LDAP jako protokołu dostępowego i
wspiera model informacji protokołu X.500
Schemat rozszerzalny
Schemat usługi AD zawiera formalną
definicję zawartości i struktury AD
Domyślny schemat jest tworzony na
pierwszym kontrolerze domeny
Schemat jest rozszerzalny, co oznacza
możliwość definiowania nowych typów
obiektów i nowe atrybuty wszystkich typów
obiektów
Katalog globalny (Global Catalog)
Centralny „magazyn” informacji o obiektach w
drzewie domen lub lesie domen
Po zainstalowaniu usługi AD na pierwszym
kontrolerze domeny staje się on domyślnie
serwerem katalogu globalnego
Serwer katalogu globalnego jest kontrolerem
domeny
Dodatkowe kontrolery domeny mogą być
wyznaczone jako serwery katalogu globalnego
(zwiększa ruch replikacyjny)
Obszar nazw
Każda ograniczona przestrzeń, w której
można dokonać tłumaczenia nazwy na obiekt
lub informację, którą nazwa ta reprezentuje
Oparty na schemacie nazewniczym DNS
Ciągły jeśli nazwa obiektu podrzędnego
zawsze zawiera nazwę podrzędnej domeny
Nieciągły gdy nazwy obiektów podrzędnego i
nadrzędnego nie są bezpośrednio powiązane
Diagram obszaru nazw
Schemat nazewniczy DNS
Nazwa wyróżniająca (DN)
Nazwa – opisuje położenie obiektu w strukturze
hierarchicznej (np. ścieżka dostępu do pliku). Jest
określana jako Distinguished Name (DN).
Podstawowe składnniki:
DC – Domain Component (Microsoft, com)
CN – Common Name (Users, Jan)
OU – Organisation Unit
O – Organisation (Internet)
Internet.com.Microsoft.Users.Jan
Względna nazwa wyróżniająca (RDN)
Część pełnej nazwy wyróżniającej
wykorzystywana do odnajdowania obiektów
przez odpytywania (nazwa wyróżniająca nie
jest dokładnie znana)
Zazwyczaj jest to CN obiektu nadrzędnego
W domenie jeden obiekt może mieć dwie
identyczne nazwy RDN ale nie mogą istnieć
dwa obiekty o takiej samej nazwie RDN
Unikalny identyfikator globalny
Oprócz nazwy obiekt w magazynie AD posiada unikalną
tożsamość
Nazwa może ulegać zmianie, tożsamość zawsze pozostaje
niezmieniona
Tożsamość definiuje Unikalny identyfikator globalny (GUID –
Globally Unique Identifier)
GUID – liczba 128 – bitowa przyznana przez agenta
systemu katalogowego (DSA) w momencie tworzenia
obiektu
W Windows NT zasoby domeny są związane z
identyfikatorem zabezpieczeń (SID)
Identyfikator GUID jest przechowywany w atrybucie o
nazwie objectGUID (każdy obiekt)
Nazwa główna użytkownika
User Principal Name (UPN) jest „przyjazną”,
krótszą -> łatwiejszą do zapamiętania od DN
Składa się ze skróconej nazwy użytkownika i
zazwyczaj nazwy DNS domeny oddzielonych
„@” ([email protected])
UPN jest niezależna od DN obiektu, dzięki
czemu obiekt może zostać przeniesiony lub
usuniętu bez wpływu na sposób logowania
Architektura usługi AD
Model danych bazuje na modelu X.500
Schemat jest zaimplementowany jako zbiór
wystąpień klas obiektów składowanych w katalogu
Model zabezpieczeń bazuje na strukturze Trusted
Computing Base (TCB) z listami kontroli dostępu
Model administracyjny umożliwia zarządzanie tylko
użytkownikom uprawnionym. Przekazywanie
uprawnień odbywa się na zasadzie delegowania
DSA proces zarządzający fizycznym składowaniem
katalogu – izoluje klientów od fizycznego formatu
składowanych danych
Dostęp do usługi AD
Możliwy jedynie przy pomocy protokołów
definiujących format wiadomości i interakcji:
LDAP
MAPI-RPC (Messaging Application Program
Interface – Remote Procedure Call)
X.500
Dostęp do protokołów poprzez API (interfejsy
programowe aplikacji)
Model warstwowy usługi AD (1)
Składniki usług AD
Directory System Agent (DSA) – tworzy hierarchię
składowania danych w katalogu. Dostarcza
interfejsów dla API.
Database Layer – warstwa abstrakcyjna, pośrednia
dla odwołań do bazy danych
Extensible Storage Engine – komunikuje się
bezpośrednio z rekordami w magazynie katalogu
Data store – plik bazy danych (Ntds.dit) zarządzany
przez motor bazy danych (program narzędziowy
Ntdsutil)
Interfejsy
LDAP – umożliwia dostęp do usługi AD aplikacjom
systemowym ja również tworzenie własnych
aplikacji
REPL – wykorzystywany przez usługę replikacji po
IP lub SMTP (lokacyjana i międzylokacyjna)
SAM – komunikacja międzydomenowa, replikacja w
domenach mieszanych (z Windows NT)
MAPI – dziedziczni klienci MAPI jak klient
komunikatów i pracy grupowej łączą się z DSA z
wykorzystaniem MAPI RPC
Directory System Agent (DSA)
Proces uruchamiany na każdym kontrolerze domeny
dla zarządzania fizycznym składowaniem katalogu.
Zapewnia:
Identyfikację obiektu
Przetwarzanie transakcji
Wymuszanie uaktualniania schematu
Wymuszanie kontroli dostępu
Wspiera replikacje
Utrzymuje strukturę hierarchiczną bazy danych oraz
zapewnia szybki dostęp do jej zawartości (odnośniki)
Warstwa bazy danych
Zasłania przed użytkownikiem budowę wewnętrzną
katalogu dostarczając strukturę hierarchiczną
Tłumaczy każdą nazwę wyróżnioną (DN) na liczbę
całkowitą (znacznik DN) będącą indeksem w bazie
Jest odpowiedzialna za tworzenie, usuwanie i
odzyskiwanie poszczególnych rekordów, atrybutów
wewnątrz rekordów i ich wartości w bazie danych
AD (korzysta ze struktur danych DSA – bufora
schematów)
Motor ESE
Wdraża transakcyjny system bazy danych, korzystający z
plików dziennika dla zapewnienia bezpieczeństwa
transakcji (Esent.dll, Ntds.dit w folderze
%systemroot%\system32)
Umożliwia obsługę pliku bazy danych o rozmiarze do 16 TB
(~108 rekordów)
Przystosowany do obsługi rzadkich wierszy macierzy
Zapewnia obsługę schematu dynamicznego (dostosowanie
liczby atrybutów do aktualnie definiowanego obiektu)
Umożliwia przechowywanie atrybutów o wielu wartościach
Obszary nazw
Obszar nazw jest najwyższego poziomu nazwą domeny
usługi AD dla instytucji składającej się z domen
Windows2000, kontrolerów domen, jednostek
organizacyjnych, relacji zaufania i drzew domen
Istotna zależność między obszarem nazw DNS a Active
Directory
Wewnętrzny obszar nazw – struktura wewnętrzna usługi
Zewnętrzny obszar nazw – widoczny z zewnątrz,
zazwyczaj udostępniany przez urządzenia aktywne sieci
Obszary nazw takie same
Klienci wewnętrznej, prywatnej sieci firmowej muszą mieć
dostęp do serwerów wewnętrznego i zewnętrznego
Klienci zewnętrzni muszą mieć dostęp do zasobów i
rozwiązywania nazw z zewnątrz
Konieczność istnienia dwóch odrębnych stref DNS
odpowiednio dla rozwiązywania nazw zewnętrznych i
wewnętrznych
Zalety:
Identyczna nazwa drzewa
Umożliwia użytkownikom korzystanie z sieci zewnętrznej i
wewnętrznej z wykorzystaniem tej samej nazwy
(logowanie, e-mail)
Obszary nazw takie same (2)
Wady
Skomplikowana konfiguracja (klienci proxy muszą
rozróżniać zasoby wewnętrzne i zewnętrzne)
Ograniczenia w publikowaniu zasobów
wewnętrznych w Internecie
Niektóre prace administratorskie ulegają
podwojeniu (np. DNS)
Pomimo identycznych nazw użytkownicy będą w
różny sposób widzieli zasoby wewnętrzne i
zewnętrzne
Rozdzielone obszary nazw
Domena jest widziana pod różnymi nazwami z
zewnątrz i wewnątrz
Konieczność rejestracji obu nazw w zewnętrznym
DNS co zapobiega wykorzystaniu wewnętrznego
obszaru nazw przez publiczną sieć
Zalety:
Łatwość odróżnienia zasobów wewnętrznych i
zewnętrznych
Łatwa konfiguracja klientów proxy
Rozdzielone obszary nazw (2)
Wady:
Nazwy logowania są inne niż adresy poczty
elektronicznej
W Internetowym DNS należy zarejestrować
kilka nazw
Architektura obszaru nazw
Ograniczenie ruchu replikacyjnego
Możliwość łatwej rekonfiguracji struktury
Skalowalność
Rozróżnianie zasobów wewnętrznych i zewnętrznych przy
jednoczesnej ochronie danych
Powinna reprezentować strukturę organizacyjną
przedsiębiorstwa
Zalecane trzy warstwy domen
Domena katalogu głównego
Domena pierwszej warstwy
Domena drugiej warstwy
Domena katalogu głównego
Pierwsza domena w obszarze nazw
odwzorowująca obszar nazw firmy
Wszystkie wewnętrzne domeny są częścią tej
domeny tworząc przylegający, połączony w
formie drzewa domen obszar nazw
Serwery zawierające katalog główny nie są
widoczne w Internecie
Domeny pierwszej warstwy
Ich zadanie to stworzenie nazw domen
„odpornych” na reorganizację firmy
Mogą odpowiadać np. położeniu geograficznemu
oddziałów
Relacje zaufania pomiędzy domeną katalogu
głównego a domenami pierwszej warstwy
pozwalają aby zasoby były dostępne dla
wszystkich odgałęzień drzewa domen
Nazwy domen tej warstwy powinny mieć co
najmniej 3 znaki długości (standard ISO 3166)
Domeny drugiej warstwy
Całkowicie konfigurowalne stanowią
podstawową jednostkę zarządzania
Domeny podrzędne mogą być tworzone
poniżej warstwy drugiej
Przykład (ISO 3166):
1.
2.
3.
4.
microsoft.com
noamer.microsoft.com
usa.noamer.microsoft.com
ny.usa.noamer.microsoft.com
Planowanie jednostek
organizacyjnych
Tworzone w celu delegowania administrowania
powinny odzwierciedlać szczegółową strukturę
organizacyjną
Przejrzysta struktura jednostek organizacyjnych
zapewnia łatwą administrację
Zastosowanie zasad zabezpieczeń
Możliwość ograniczenia publikowania zasobów w sieci
zewnętrznej
Niezmienność struktury jednostek
Zbliżona liczność jednostek organizacyjnych w
domenie
Hierarchia jednostek
organizacyjnych
Oparte na administracji lub obiektach
(użytkownicy, grupy, zasady zabezpieczeń)
Oparte na podziale geograficznym (struktura bez
tendencji do zmian)
Oparte na funkcjach działalności (np. rekrutacja,
obsługa studenta itd. – stałe)
Oparte na oddziałach (w oparciu o relacje między
oddziałami - zmienne)
Oparte na projektach (np. projekty badawcze,
struktura nietrwała)
Planowanie lokacji
Projekt fizyczny sieci opartej na Windows2000
Server obsługującej Active Directory
Lokacja nie jest częścią obszaru nazw użytkownicy i komputery zgrupowani są w domeny
i jednostki organizacyjne
Lokacja to zespolenie jednej lub więcej podsieci
połączonych szybkimi łączami
Rozłożenie lokacji wpływa na:
Logowanie do stacji roboczych (klienci AD odszukują
kontroler domeny w lokacji w której znajduje się
użytkownik dla jego obsługi)
Replikacje (międzylokacyjne powinny zachodzić rzadziej)
Łączenie podsieci w lokacje
Konieczność zapewnienia szybkiego (co najmniej
512 Kbps) i niezawodnego połączenia
Planowanie replikacji na godziny nie kolidujące
ze zwykłym ruchem
W usłudze AD struktura domeny i struktura
lokacji utrzymywane są oddzielnie
Pojedyncza domena może rozciągać się na wiele
lokacji, a pojedyncza lokacja może zawierać
wiele domen lub części wielu domen
Przykłady lokacji
Optymalizacje
Logowania – określone stacje robocze i
kontrolery powinny znajdować się w tej
samej lokacji
1-5 stacji roboczych – nie tworzymy lokacji
Stacji roboczych > 5 – tworzymy lokacje z
lokalnym kontrolerem domeny. Replikacja
może przebiegać wolnymi łączami poza
godzinami szczytu
Wdrażanie usługi AD
Kreator instalacji usługi AD (Start->Narzędzia
administracyjne->Usługa Active Directory>Konfigurowanie serwera)
Menu Start->uruchom->dcpromo.exe
Dodawanie kontrolera domeny do istniejącej domeny
Tworzenie pierwszego kontrolera domeny dla nowej
domeny
Tworzenie nowej domeny podrzędnej
Tworzenie nowego drzewa domen
Typy kontrolerów domen
Kontrolery domen w praktyce
Dodawanie do istniejącej domeny – utworzenie
równoprawnego kontrolera domeny (nadmiarowość
oraz redukcja obciążenia istniejących kontrolerów)
Tworzenie pierwszego – utworzenie nowej domeny i
pierwszego jej kontrolera (podział informacji dla
skalowania usługi AD)
Domena podrzędna jest dodawana do istniejącej domeny
(stanowi jej część)
Nowa domena nie będzie częścią istniejącej. Możliwe
utworzenie nowego lasu lub części istniejącego
Baza danych usługi AD
Domyślna lokalizacja: %systemroot%\Ntds.
Podczas instalacji możliwa zmiana lokalizacji
Zalecane umieszczenie bazy danych i plików
dziennika na oddzielnych fizycznych dyskach –
lepsza wydajność
W zastosowaniach droższych RAID sprzętowy
(RAID-5 lub RAID-10)
Baza danych w pliku Ntds.dit. W trakcie promocji
jest kopiowany z katalogu
%systemroot%\system32 do wyznaczonego
katalogu i z niej startowana jest usługa
Udostępniony wolumen systemowy
Struktura istniejąca na wszystkich kontrolerach
domeny zawierająca skrypty i obiekty zasad grup
Domyślna lokalizacja: %systemroot%\Sysvol
Udostępniony wolumen systemowy musi znajdować
się na partycji lub wolumenie sformatowanym w
systemie plików NTFS w wersji 5.0
Replikacja odbywa się według tego samego
harmonogramu co replikacja usługi AD
Tryb domeny mieszany
Kontroler pracuje w trybie mieszanym po
pierwszej instalacji lub aktualizacji do
systemu W2k
Pozwala on na prace z kontrolerami domeny
pracującymi pod kontrolą Windows NT 3.5 i
4.0
Konieczny do uwierzytelniania klientów
korzystających z NTLM oraz do rozwiązywania
nazw przez WINS
Tryb domeny macierzysty
Wykorzystywany gdy wszystkie kontrolery domeny
pracują pod kontrolą W2k Server
W trakcie konwersji trybu:
Ustaje wsparcie dla replikacji niższego poziomu
(brak NTLM)
Nie można dodawać kontrolerów niższego poziomu
do domeny
Podstawowy kontroler domeny przestaje być
kontrolerem nadrzędnym; wszystkie kontrolery
domeny stają się równoprawne
Administrowanie usługą AD
Obiekty usługi AD reprezentują zasoby sieciowe. Obiekt jest
zbiorem atrybutów. Dodawanie nowych zasobów powoduje
utworzenie nowych obiektów. Przed dodaniem nowych
obiektów należy utworzyć jednostki organizacyjne, w skład
których będą wchodziły te obiekty
Jednostki administracyjne można tworzyć w domenie, w
obiekcie kontroler domeny lub wewnątrz innej jednostki
organizacyjnej
Utworzenie nowej jednostki wymaga posiadania
odpowiednich uprawnień (grupa Administratorzy)
Nie można tworzyć jednostek administracyjnych w większości
kontenerów domyślnych jak np. Użytkownicy czy Komputery
Jednostki organizacyjne
Tworzone w celu delegowania kontroli administracyjnej do
innych użytkowników lub administratorów
Dla grupowania obiektów wymagających podobnych zajęć
administracyjnych (np. konta użytkowników pracowników
sezonowych)
Ograniczają widzialność zasobów sieciowych w magazynie
usługi Active Directory (użytkownicy mogą widzieć jedynie
te zasoby do których mają dostęp).
Jednostki organizacyjne tworzy się w przystawce
Użytkownicy i komputery usługi Active Directory
Obiekty jednostek organizacyjnych
Dodanie wymaga posiadania uprawnień (domyślnie
członkowie grupy Administratorzy)
Obiekty możliwe do dodania określają zasoby
schematu
Atrybuty obiektu w schemacie są kategoriami
informacji definiującymi charakterystyki wszystkich
możliwych wystąpień definiowanego typu obiektu
Wartości atrybutów dowolnego wystąpienia obiektu
czynią go unikalnym
Obiekty tworzone są w przystawce Użytkownicy i
komputery usługi Active Directory
Obiekty usługi Active Directory (1)
Komputer – obiekt reprezentuje komputer i
zawiera informacje o komputerze z domeny
Kontakt – obiekt bez uprawnień
zabezpieczeń i brakiem możliwości logowania.
Reprezentuje zewnętrznych użytkowników na
potrzeby poczty elektronicznej
Grupa – może zawierać użytkowników,
komputery i inne grupy. Ułatwia zarządzanie
dużą liczbą obiektów
Obiekty usługi Active Directory (2)
Drukarka – drukarka sieciowa opublikowana w katalogu.
Jeśli komputer do którego jest podłączona nie znajduje
się w AD drukarka musi zostać opublikowana oddzielnie
Użytkownik – główne zabezpieczenie katalogu.
Informacje zawarte w obiekcie pozwalają na logowanie
się
Udostępniony folder – obiekt jest wskaźnikiem do
udostępnionego folderu (zawiera jego adres a nie dane).
Udostępnione foldery znajdują się w rejestrze komputera,
zaś a AD utworzony jest obiekt zawierający wskaźnik do
udostępnionego folderu.
Zarządzanie obiektami usługi
Active Directory
Ustalanie położenia obiektów
Modyfikowanie
Usuwanie
Przenoszenie
Dla modyfikacji, usuwania i przenoszenia
należy posiadać wymagane uprawnienia do
obiektu oraz jednostki organizacyjnej do
której będzie przenoszony dany obiekt
Ustalanie położenia obiektów
Znajdowanie obiektów w domenie drzewa lub lasu
Z wykorzystaniem przystawki Użytkownicy i
komputery Active Directory z folderu
Narzędzia administracyjne
Odszukiwanie według
Listy atrybutów (warunek)
Zawartości listy atrybutów (pole)
Wartość (pola atrybutu)
Kryteria wyszukiwania (lista kryteriów wyszukiwania)
Przystawka
Modyfikowanie wartości atrybutów
i usuwanie obiektów
Użytkownicy i komputery usługi
AD – znajdujemy obiekt , z menu
Akcja -> Właściwości i dokonujemy
modyfikacji właściwości obiektów
Usuwamy obiekty, które nie są
efektywnie wykorzystywane, po
zaznaczeniu obiektu z menu Akcja
wybieramy Usuń
Przenoszenie obiektów
Przenoszenie obiektów jest możliwe
pomiędzy lokalizacjami w magazynie AD
oraz jednostkami organizacyjnymi
Wykonywane w przypadku reorganizacji
Użytkownicy i komputery usługi
AD – zaznaczamy obiekt, z menu Akcja
opcję Przenieś i wskazujemy nową
lokalizację