Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Конспект лекцій з дисципліни «Операційні системи»

Конспект лекцій з дисципліни «Операційні системи»




Сторінка6/17
Дата конвертації24.05.2017
Розмір1.81 Mb.
ТипКонспект
1   2   3   4   5   6   7   8   9   ...   17

Лекція 7. СЛУЖБА КАТАЛОГІВ Active Directory.Основні Терміни Й Поняття


Анотація
Моделі керування безпекою в мережі. Доменна модель безпеки. Практичні приклади керування системою безпеки мережі. Основні поняття служб каталогів Active Directory.
Сучасні мережі часто складаються з безлічі різних програмних платформ, великої різноманітності обладнання та програмного забезпечення. Користувачі часто змушені запам'ятовувати велику кількість паролів для доступу до різних мережевих ресурсів. Права доступу можуть бути різними для одного і того ж співробітника залежно від того, з якими ресурсами він працює. Все це безліч взаємозв'язків вимагає від адміністратора та користувача величезної кількості часу на аналіз, запам'ятовування і навчання.

Рішення проблеми управління такої різнорідної мережею було знайдено з розробкою служби каталогу. Служби каталогу надають можливості управління будь-якими ресурсами і сервісами з будь-якої точки незалежно від розмірів мережі, використовуваних операційних систем і складності устаткування. Інформація про користувача, заноситься один раз в службу каталогу, і після цього стає доступною в межах всієї мережі. Адреси електронної пошти, приналежність до груп, необхідні права доступу і облікові записи для роботи з різними операційними системами - все це створюється і підтримується в актуальному вигляді автоматично. Будь-які зміни, занесені в службу каталогу адміністратором, відразу оновлюються по всій мережі.

В даний час більшість служб каталогів різних фірм базуються на стандарті X.500.Для доступу до інформації, що зберігається в службах каталогів, зазвичай використовується протокол полегшений протокол доступу до каталогів (LDAP).У зв'язку зі стрімким розвитком мереж TCP / IP, протокол LDAP стає стандартом для служб каталогів і додатків, орієнтованих на використання служби каталогу.

Служба каталогів Active Directory є основою логічної структури корпоративних мереж, що базуються на системі Windows. Термін "Каталог" в самому широкому сенсі означає "Довідник", а служба каталогів корпоративної мережі - це централізований корпоративний довідник. Корпоративний каталог може містити інформацію про об'єкти різних типів. Служба каталогів Active Directory містить в першу чергу об'єкти, на яких базується система безпеки мереж Windows, - облікові записи користувачів, груп і комп'ютерів. Облікові записи організовані в логічні структури: домен, дерево, ліс, організаційні підрозділи.



Моделі управління безпекою: модель "Робоча група" і централізована доменна модель.

Основа мережевої безпеки - база даних облікових записів (акаунтів) користувачів, груп користувачів і комп'ютерів, за допомогою, якої здійснюється управління доступом до мережевих ресурсів. Перш ніж говорити про службу каталогів Active Directory, порівняємо дві моделі побудови бази даних служб каталогів і управління доступом до ресурсів.


7.1 Модель "Робоча група"
Дана модель управління безпекою корпоративної мережі - найпримітивніша. Вона призначена для використання в невеликих однорангових мережах (3-10 комп'ютерів) і заснована на тому, що кожен комп'ютер в мережі з операційними системами Windows NT/2000/XP/2003 має свою власну локальну базу даних облікових записів і за допомогою цієї локальної БД здійснюється управління доступом до ресурсів даного комп'ютера. Локальна БД облікових записів називається база даних SAM (Security Account Manager) і зберігається в реєстрі операційної системи. Бази даних окремих комп'ютерів повністю ізольовані один від одного і ніяк не пов'язані між собою.

Модель «Робоча група» більш проста для вивчення, тут немає необхідності вивчати складні поняття Active Directory. Але при використанні в мережі з великою кількістю комп'ютерів і мережевих ресурсів стає дуже складним управляти іменами користувачів і їх паролями - припадає на кожному комп'ютері (який надає свої ресурси для спільного використання в мережі) вручну створювати одні й ті ж облікові записи з однаковими паролями, що дуже трудомістко, або робити один обліковий запис на всіх користувачів з одним на всіх паролем (або взагалі без пароля), що сильно знижує рівень захисту інформації. Тому модель "Робоча група" рекомендується тільки для мереж з числом комп'ютерів від 3 до 5, за умови що серед всіх комп'ютерів немає жодного з системою Windows Server.


7.2 Доменна модель
У доменній моделі існує єдина база даних служб каталогів, доступна всім комп'ютерам мережі. Для цього в мережі встановлюються спеціалізовані сервери, звані контролерами домену, які зберігають на своїх жорстких дисках цю базу. На рис. 7.1. зображена схема доменної моделі. Сервери DC-1 і DC-2 - контролери домену, вони зберігають доменну базу даних облікових записів (кожен контролер зберігає у себе свою власну копію БД, але всі зміни, вироблені в БД на одному з серверів, реплиціюються на інші контролери).

У доменній моделі управління безпекою користувач реєструється на комп'ютері ("входить в систему") зі своєю доменної обліковим записом і, незалежно від комп'ютера, на якому була виконана реєстрація, отримує доступ до необхідних мережевих ресурсів. І немає необхідності на кожному комп'ютері створювати велику кількість локальних облікових записів, всі записи створені одноразово в доменній БД. І за допомогою доменної бази даних здійснюється централізоване управління доступом до мережевих ресурсів незалежно від кількості комп'ютерів в мережі.



Рисунок 7.1 - Доменна модель безпеки


7.3 Призначення служби каталогів Active Directory
Каталог (довідник) може зберігати різну інформацію, що відноситься до користувачів, групах, комп'ютерам, мережевих принтерів, загальним файлових ресурсів і так далі - будемо називати все це об'єктами. Каталог зберігає також інформацію про сам об'єкт, або його властивості, звані атрибутами. Наприклад, атрибутами, збереженими в каталозі про користувача, може бути ім'я його керівника, номер телефону, адресу, ім'я для входу в систему, пароль, групи, в які він входить, та багато іншого. Для того щоб зробити сховище каталогу корисним для користувачів, повинні існувати служби, які будуть взаємодіяти з каталогом. Наприклад, можна використовувати каталог як сховище інформації, за якою можна автентифікувати користувача, або як місце, куди можна надіслати запит для того, щоб знайти інформацію про об'єкт.

Active Directory відповідає не тільки за створення і організацію цих невеликих об'єктів, але також і за великі об'єкти, такі як домени, OU (організаційні підрозділи) і сайти.

Служба каталогів Active Directory (скорочено - AD) забезпечує ефективну роботу складної корпоративної середовища, надаючи наступні можливості:

1.Єдина реєстрація в мережі. Користувачі можуть реєструватися в мережі з одним ім'ям і паролем і отримувати при цьому доступ до всіх мережних ресурсів і службам (служби мережевої інфраструктури, служби файлів і друку, сервери додатків і баз даних і т.д.);

2.Безпека інформації. Засоби аутентифікації і управління доступом до ресурсів, вбудовані в службу каталогів Active Directory, забезпечують централізований захист мережі;

3.Централізоване управління. Адміністратори можуть централізовано керувати всіма корпоративними ресурсами;

4.Адміністрування з використанням групових політик. При завантаженні комп'ютера або реєстрації користувача в системі виконуються вимоги групових політик; їх налаштування зберігаються в об'єктах групових політик (GPO) та застосовуються до всіх облікових записів користувачів і комп'ютерів, розташованих в сайтах, доменах або організаційних підрозділах;

5.Інтеграція з DNS. Функціонування служб каталогів повністю залежить від роботи служби DNS. У свою чергу сервери DNS можуть зберігати інформацію про зони в базі даних Active Directory;

6.Розширюваність каталогу. Адміністратори можуть додавати в схему каталогу нові класи об'єктів або додавати нові атрибути до існуючих класів;

7.Масштабованість. Служба Active Directory може охоплювати як один домен, так і безліч доменів, об'єднаних в дерево доменів, а з декількох дерев доменів може бути побудований ліс;

8. Реплікація інформації. У службі Active Directory використовується реплікація службової інформації в схемі з багатьма провідними (мульти-майстер), що дозволяє модифікувати БД Active Directory на будь-якому контролері домена. Наявність у домені декількох контролерів забезпечує відмовостійкість і можливість розподілу мережного навантаження;

9. Гнучкість запитів до каталогу. БД Active Directory може використовуватися для швидкого пошуку будь-якого об'єкту AD, використовуючи його властивості (наприклад, ім'я користувача та адресу його електронної пошти, тип принтера або його місцеположення і т.п.);

10.Стандартні інтерфейси програмування. Для розробників програмного забезпечення служба каталогів надає доступ до всіх можливостей (засобів) каталогу і підтримує прийняті стандарти і інтерфейси програмування (API).

 

7.4 Термінологія AD


 

Служба каталогів системи Windows Server побудована на загальноприйнятих технологічних стандартах. Спочатку для служб каталогів був розроблений стандарт X.500, який призначався для побудови ієрархічних деревоподібних масштабованих довідників з можливістю розширення як класів об'єктів, так і наборів атрибутів (властивостей) кожного окремого класу. Проте практична реалізація цього стандарту виявилася неефективною з точки зору продуктивності. Тоді на базі стандарту X.500 була розроблена спрощена (полегшена) версія стандарту побудови каталогів, що отримала назву LDAP (Lightweight Directory Access Protocol). Протокол LDAP зберігає всі основні властивості X.500 (ієрархічна система побудови довідника, масштабованість, розширюваність), але при цьому дозволяє досить ефективно реалізувати даний стандарт на практиці. Термін "легкий" ("полегшений") у назві LDAP відображає основну мету розробки протоколу: створити інструментарій для побудови служби каталогів, яка володіє достатньою функціональною міццю для вирішення базових завдань, але не перевантажена складними технологіями, що роблять реалізацію служб каталогів неефективною. В даний час LDAP є стандартним методом доступу до інформації мережевих каталогів і грає роль фундаменту у безлічі продуктів, таких як системи аутентифікації, поштові програми та програми електронної комерції. Сьогодні на ринку присутні більше 60 комерційних серверів LDAP, причому близько 90% з них являють собою самостійні сервери каталогів LDAP, а решта пропонуються в якості компонентів інших додатків.

Протокол LDAP чітко визначає коло операцій над каталогами, які може виконувати клієнтську програму. Ці операції розпадаються на п'ять груп:

1.       встановлення зв'язку з каталогом;

2.       пошук в ньому інформації;

3.       модифікація його вмісту;

4.       додавання об'єкта;

5.       видалення об'єкта.

Крім протоколу LDAP служба каталогів Active Directory використовує також протокол аутентифікації Kerberos і службу DNS для пошуку в мережі компонент служб каталогів (контролери доменів, сервери глобального каталогу, службу Kerberos та ін.)

Домен. Основною одиницею системи безпеки Active Directory є домен.Домен формує область адміністративної відповідальності. Імена доменів Active Directory формуються за тією ж схемою, що й імена в просторі імен DNS. І це не випадково. Служба DNS є засобом пошуку компонент домену - в першу чергу контролерів домену.


Контролери домену - спеціальні сервери, які зберігають відповідну даному домену частина бази даних Active Directory. Основні функції контролерів домена:

1.       зберігання БД Active Directory (організація доступу до інформації, що міститься в каталозі, включаючи управління цією інформацією і її модифікацію);

2.       синхронізація змін до AD (зміни в базу даних AD можуть бути внесені на будь-якому з контролерів домену, будь-які зміни, здійснювані на одному з контролерів, будуть синхронізовані з копіями, що зберігаються на інших контролерах);

3.       аутентифікація користувачів (будь-який з контролерів домену здійснює перевірку повноважень користувачів, що реєструються на клієнтських системах).

Настійно рекомендується в кожному домені встановлювати не менше двох контролерів домену - по-перше, для захисту від втрати БД Active Directory в разі виходу з ладу будь-якого контролера, по-друге, для розподілу навантаження між контролерами.

  Дерево. Дерево є набором доменів, які використовують єдине пов'язане простір імен. У цьому випадку «дочірній» домен успадковує своє ім'я від «батьківського» домену. Дочірній домен автоматично встановлює двосторонні транзитивні довірчі відносини з батьківським доменом. Довірчі відносини означають, що ресурси одного з доменів можуть бути доступні користувачам інших доменів.



Рисунок 7.2 - Приклад дерева Active Directory


Корпорація Microsoft рекомендує будувати Active Directory у вигляді одного домену. Побудова дерева, що складається з багатьох доменів необхідно в наступних випадках:

1.       для децентралізації адміністрування служб каталогів (наприклад, у випадку, коли компанія має філії, географічно віддалені один від одного, і централізоване управління утруднено з технічних причин);

2.       для підвищення продуктивності (для компаній з великою кількістю користувачів і серверів актуальне питання підвищення продуктивності роботи контролерів домену);

3.       для більш ефективного управління реплікацією (якщо контролери доменів віддалені один від одного, то реплікація в одному може зажадати більше часу і створювати проблеми з використанням несинхронізованих даних);

4.       для застосування різних політик безпеки для різних підрозділів компанії;

5.       при великій кількості об'єктів в БД Active Directory.

Ліс. Найбільш велика структура в Active Directory. Ліс об'єднує дерева, які підтримують єдину схему (схема Active Directory - набір визначень типів, або класів, об'єктів у БД Active Directory).У лісі між усіма доменами встановлені двосторонні транзитивні довірчі відносини, що дозволяє користувачам будь-якого домену отримувати доступ до ресурсів всіх інших доменів, якщо вони мають відповідні дозволи на доступ. За замовчуванням, перший домен, створюваний у лісі, вважається його кореневим доменом, в кореневому домені зберігається схема AD. Нові дерева в лісі створюються в тому випадку, коли необхідно побудувати ієрархію доменів з простором імен, відмінним від інших просторів лісу.

При управлінні деревами і лісами потрібно пам'ятати два дуже важливих моменти:

1.       Перший створений в лісі доменів дерево є кореневим деревом, перший створений в дереві домен називається кореневим доменом дерева (дерево кореневого домена);

2.       перший домен, створений в лісі доменів, називається кореневим доменом лісу (кореневого домена лісу), даний домен не може бути видалений (він зберігає інформацію про конфігурацію лісу і деревах доменів, що його утворюють).



Організаційні підрозділи (Organizational Units, OU) - контейнери всередині AD, які створюються для об'єднання об'єктів з метою делегування адміністративних прав і застосування групових політик у домені. ВП існують тільки усередині доменів і можуть об'єднувати тільки об'єкти зі свого домену. ОП можуть бути вкладеними один в одного, що дозволяє будувати всередині домену складну деревоподібну ієрархію з контейнерів і здійснювати більш гнучкий адміністративний контроль. Крім того, ОП можуть створюватися для відображення адміністративної ієрархії та організаційної структури компанії.

Глобальний каталог є переліком всіх об'єктів, які існують у лісі Active Directory.За замовчуванням, контролери домену містять тільки інформацію про об'єкти свого домену. Сервер Глобального каталогу є контролером домену, в якому міститься інформація про кожен об'єкт (хоча і не про всіх атрибутах цих об'єктів), що знаходиться в даному лісі.
1   2   3   4   5   6   7   8   9   ...   17



  • 7.4 Термінологія AD