І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory
| Вид материала | Документы |
- На правах рукописи, 1970.76kb.
- Телефон: +7-902-991-3258 (сотовый), 18.27kb.
- 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
- Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
- Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
- План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
- Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
- Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
- Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
- Безпека, 3519.8kb.
Корпоративна мережа — це мультисервісна мережа передачі даних, що працює під єдиним керуванням і призначена для задоволення власних виробничих потреб компанії та організації.
Залежно від розмірів організації, що розгортає корпоративну мережу, робоче середовище корпорації може містити в собі як невелику кількість комп'ютерів, що розміщені в межах одного будинку, так і величезну кількість комп'ютерних робочих місць, що знаходяться на географічно розподіленій території. В тому та в іншому випадку виникає необхідність такої організації мережі, при якій буде забезпечена найбільш ефективна можливість взаємодії користувачів в майже реальному часі із наданням можливості спільного використання ресурсів, зручність керування обліковими даними користувачів та іншими характеристиками мережі, а також масштабованість, тобто незалежність принципів роботи мережі від кількості її вузлів.
2.1. Поняття служби каталогу
В комп'ютерній мережі корпорації взаємодіє величезна кількість об'єктів, зокрема, файлові сервери, принтери, факс-сервери, додатки, бази даних, користувачі. Для забезпечення їхнього надійного зберігання необхідні спеціальні структури у вигляді каталогів.
Каталогом (directory) називається сукупність інформації про об'єкти, які тим або іншим способом зв'язані один з одним. Приміром, в адресній книзі клієнта електронної пошти зберігаються імена користувачів і відповідні їм адреси електронної пошти. Крім того, в неї можуть бути включені фізичні адреси та інші додаткові відомості про користувачів.
Оскільки в каталогах зберігаються самі різні об'єкти - завдання полягає в тому, щоб надати користувачам можливість знайти та застосувати ці об'єкти, керовані адміністраторами.
Служба каталогу (directory service) забезпечує зберігання всієї необхідної для застосування об'єктів і керування ними інформації в єдиному місці розташування, таким чином, процес виявлення та керування ресурсами значно спрощується. Крім того, служба каталогу надає зручний доступ до відомостей про різні об'єкти мережі, допомагаючи користувачам і додаткам знайти ці об'єкти. Таким чином, на відміну від каталогу, служба каталогу одночасно виконує дві ролі: джерела інформації та механізму, за допомогою якого ця інформація готується для доступу з боку користувачів.
Служба каталогу – є основною панеллю управління мережевої операційної системи. Це остання інстанція, що управляє ідентифікаторами, виступає посередником у взаємодії між розподіленими ресурсами та змушує їх працювати спільно. Оскільки служба каталогу забезпечує виконання операційною системою її основних функцій, то лише завдяки тісній інтеграції служби каталогу з механізмами управління і захисту операційної системи реалізуються такі характеристики мережі, як цілісність і конфіденційність. Саме від служби каталогу багато в чому залежить здатність компанії до проектування, впровадження і обслуговування мережевої інфраструктури, адміністрування системи та координації дій користувачів при взаємодії з корпоративними інформаційними системами.
2.2. Еволюція служби каталогу від Microsoft
Менеджер LAN для операційних систем OS/2 і MS-DOS
В 1987 році була розроблена перша служба каталогу з метою підтримки обчислювального середовища комп'ютерів Microsoft (операційні системи OS/2 і MS-DOS). Вона ґрунтувалася на мережевій операційній системі Microsoft LAN Manager. Служба каталогу системи LAN Manager забезпечувала основні функціональні можливості для спільного використання файлів і ресурсів друку, а також для користувацького захисту, але вона не підходила для середовищ великого підприємства. Ця служба погано масштабувалася та не підтримувала довірчі відносини. Щоб звернутися до загальнодоступних ресурсів, мережеві користувачі повинні були входити на кожний домен окремо.
Windows NT і SAM
В 90-і роки широке поширення одержав розвиток корпоративних мережевих операційних систем. Ці ОС відрізняються здатністю добре та стійко працювати у великих мережах, які характерні для більших підприємств, що мають відділення в десятках міст і, можливо, у різних країнах. Таким мережам органічно властивий високий ступінь гетерогенності програмних і апаратних засобів, наявність засобів централізованого адміністрування та управління, які дозволяють у єдиній базі даних зберігати облікові записи про десятки тисяч користувачів, комп'ютерів, комунікаційних пристроїв і модулів програмного забезпечення, наявних у корпоративній мережі.
Однією з перших ОС цього типу з'явилася корпоративна операційна система Microsoft Windows NT 3.1 Advanced Server. Платформа Windows NT Server пропонує стійке 32-бітне обчислювальне середовище із звичним зовнішнім виглядом і «відчуттям» популярної операційної системи Microsoft Windows for Workgroups, призначеної для настільних комп'ютерів.
Серцем Windows NT NOS (Network Operating System - мережева операційна система) є база даних SAM (Security Accounts Management - керування безпечними обліковими записами). Вона представляє центральну базу даних облікових записів, що включає всі облікові записи користувачів і груп в домені. Ці облікові записи використовуються для керування доступом до спільних ресурсів, що належать будь-якому серверу в домені Windows NT.
База даних SAM залишалася головною службою каталогу для декількох варіантів систем Microsoft Windows NT NOS, включаючи систему Windows NT 3.5 і систему Windows NT Server 4. База даних SAM масштабувалася набагато краще, ніж попередня архітектура служби каталогу через введення міждоменних довірчих відносин. Довірчі відносини в Windows NT були важливі для подолання інших обмежень служби каталогу Windows NT.
Однак база даних SAM мала кілька обмежень, до яких відносяться нестача об’єму та погані можливості доступу. База даних SAM мала обмеження розміру в 40 Мб. В термінах користувача, групи та комп'ютерних об'єктів це обмеження проявлялося в тому, що кількість об'єктів облікових записів не могло перевищувати 40000. Щоб масштабувати обчислювальне середовище за межі цього обмеження, мережеві адміністратори повинні були додавати більше доменів до своїх середовищ. Організації також розбивалися на декілька доменів з метою досягнення адміністративної автономії, щоб кожний адміністратор міг мати повний контроль над своїм власним доменом. Оскільки всі адміністратори домена Windows NT 4 мають, по суті, необмежені адміністративні привілеї, створення окремих доменів було єдиним методом встановлення границь адміністрування. Однак в межах домена всі адміністратори мали повний контроль над серверами та службами, які на них виконувалися. Створення додаткових доменів не було вдалим методом, оскільки кожний новий домен вимагав додаткових серверних апаратних засобів, що призводило до збільшення адміністративних накладних витрат. По мірі росту кількості доменів в організації забезпечення впевненості щодо довірчих відносин, які уможливлювали користувацьку ідентифікацію для доступу до ресурсів зовнішніх доменів, також приводило до росту накладних витрат. Щоб вирішити цю зростаючу складність доменів і довірчих відносин, мережеві адміністратори реалізовували одну із чотирьох доменних моделей: окремий домен (single domain), домен з одним хазяїном (master domain), домен з декількома хазяїнами (multiple master domain, або multimaster) і відносини повної довіри (complete trust). Ці доменні моделі показані на рисунку 2.1.
Рис. 2.1 – Доменні моделі ОС Windows NT 4
За підтримкою цих доменних моделей найбільші адміністративні турботи відображалися в необхідності створення та супроводу великої кількості довірчих відносин. Це було не просто, тому що всі довірчі відносини між доменами Windows NT 4 повинні були створюватися з двох сторін, тобто в обох доменах на кінцях довірчих відносин. У сценаріях, що припускають декількох адміністраторів домена, це вимагало координації та взаємодії, що не є характерною рисою роботи мережевих адміністраторів. Крім того, довірчі відносини в домені Windows NT були не дуже стійкі. Через застосування методу однозначно визначеної автентифікації між парою комп'ютерів, що використовувався для підтримки довірчих відносин в Windows NT, ці довірчі відносини часто були недоступні.
Друге обмеження на базу даних SAM виражалося в можливостях доступу. Єдиним методом доступу, що застосовувався при взаємодії з базою даних SAM, була сама NOS. Цей метод обмежував програмний доступ і не забезпечував кінцевим користувачам легкого доступу для пошуку об'єктів. Всі запити на читання, створення або зміну об'єктів SAM повинні були ініціюватися з використанням одного з декількох інструментальних засобів, включених в інтерфейс користувача (UI – User Interface) Windows NT 4, таких як User Manager For Domains (Адміністрування доменів) або Server Manager (Адміністрування серверів). Це обмежило корисність бази даних SAM в якості служби каталогу та призвело до реалізації потреби знайти заміну службі каталогу Windows NT у майбутніх версіях систем Windows-NOS. Така служба каталогу почала реалізовуватися командою розроблювачів Microsoft Exchange Server.
Windows 2000 і Active Directory
Оскільки база даних SAM не була легко доступної із зовнішньої сторони самої NOS, вона не підходила для підтримки мережевих додатків типу Exchange Server. Коли була випущена четверта версія Exchange Server, вона мала свою власну службу каталогу - Exchange Directory. Служба Exchange Directory була призначена для підтримки обчислювального середовища великих підприємств, у більш пізніх версіях вона ґрунтувалася на відкритих стандартах Інтернету. Підтримка відкритих стандартів припускала, що Exchange Directory задовольняла специфікації полегшеного протоколу служби каталогів (LDAP) сімейства протоколів TCP/IP і була легко доступна програмно.
Розробляючи наступну версію NOS-систем Windows, компанія Microsoft розглядала службу каталогу Exchange Server як модель для майбутньої реалізації служби каталогу. Додаткова вигода від розвитку мережевої служби каталогу на базі існуючої служби каталогу Exchange Server полягала в тому, що в майбутніх випусках Exchange Server могла б бути реалізована загальна платформа служби каталогу, що обслуговувала б і мережеве середовище, і середовище Exchange Server. Ця мета була досягнута з випуском Windows 2000.
Стійка служба каталогу Active Directory, що скромно починалася як служба каталогу Exchange Server версії 4, була в результаті випущена з Windows 2000. Служба Active Directory замінила базу даних SAM як служба каталогу для мережевих середовищ від Microsoft. Ця нова реалізація служби каталогу була спрямована на подолання обмежень служби Windows NT 4 SAM і забезпечувала додаткові вигоди мережевим адміністраторам. Головна вигода Active Directory у реалізації Windows 2000 полягає в тому, що вона масштабована. Новий файл бази даних облікових записів може досягати 70 Тб, що є вагомим удосконаленням у порівнянні з лімітом SAM в 40 Мб. Число об'єктів, які можуть бути збережені в Active Directory, перевищує один мільйон.
Фактично Active Directory була реалізована в випробувальному середовищі в моделі окремого домена, що містить більше ста мільйонів об'єктів. Як демонстрація масштабованості корпорація Compaq Computer Corporation, що тепер входить до складу корпорації Hewlett-Packard, успішно об'єднала в моделі окремого домена зведені каталоги домашніх телефонних номерів для всіх п'ятдесятьох штатів Сполучених Штатів Америки. Списки, що представляють два найбільших штати, були завантажені двічі, щоб збільшити обсяг до розміру, що перевищує сто мільйонів об'єктів. Якщо Active Directory може зберігати, управляти та швидко відповідати на запити для кожного домашнього номера телефону в Сполучених Штатах, то вона може також масштабуватися до розмірів організацій більших підприємств.
Такий величезний прогрес у можливому обсязі означає, що мережеві адміністратори більше не повинні ділити свої середовища на декілька доменів, щоб обійти обмеження розмірів служби каталогу. Результат полягає в зменшенні кількості доменів, серверних апаратних засобів і зменшенні обсягу мережевого адміністрування, тобто з'являються три причини для реалізації служби Active Directory. Складні доменні моделі, які переважали в Windows NT4, тепер можуть бути об'єднані в меншу кількість доменів за допомогою організаційних одиниць (OU - organizational unit), призначених для угруповування вмісту ресурсного або регіонального домена Windows NT4.
Інша важлива перевага служби Active Directory полягає в її доступності.
Архітектура Active Directory розроблена на відкритих стандартах Інтернету, таких як LDAP і простір імен Х.500. Active Directory також доступна цим відкритим стандартам програмно. Адміністратори можуть управляти своїми реалізаціями служби Active Directory, використовуючи LDAP-сумісні інструментальні засоби, такі як Active Directory Service Interface (ADSI) Edit і Ldp.exe (LDAP-сумісний інструмент адміністрування служби Active Directory). Оскільки служба Active Directory відкрита для LDAP, вона може управлятися програмно. В результаті мережеві адміністратори можуть писати сценарії завдань управління типу пакетного імпорту користувацьких об'єктів, які вимагають багато часу, якщо виконуються через графічний інтерфейс користувача (GUI).
Домени Windows Server 2003 і Active Directory
Наступна поліпшена та удосконалена версія Active Directory, представленої в Windows 2000, є компонентом всіх членів сімейства Windows Server 2003 за виключенням Web Edition, що не потребує компоненти Active Directory і не реалізує її. Служба Active Directory сімейства Windows Server 2003 пропонує мережевим адміністраторам масштабованість, можливості доступу та функціональність, необхідні для управління інфраструктурою служби каталогу обчислювального середовища сучасних корпорацій. Саме ця версія буде розглянута в данному навчальному посібнику.
2.3. Активний каталог Active Directory.
Характеристики Active Directory
Як ми вже відзначали вище, останньою версією служби каталогу для операційної системи Microsoft Windows є Active Directory. Служба Active Directory вперше з'явилася в Windows Server 2000, і вона є компонентом Windows Server 2003.
Active Directory (AD) – це ієрархічно організоване сховище, що надає зручний доступ до відомостей про різні об'єкти мережі, допомагаючи користувачам і додаткам знайти ці об'єкти. До того ж тут відбувається перевірка, чи є у користувача, що запросив інформацію, право на її одержання. Список користувацьких прав також розміщується в базі даних Active Directory.
Службі каталогу Active Directory характерні наступні ознаки.
Централізоване зберігання даних. Всі дані, що відносяться до Active Directory, зберігаються в єдиному розподіленому репозитарії, що надає можливість доступу до них із будь-якого місця розташування. Наявність єдиного розподіленого сховища даних скорочує витрати, пов'язані з адмініструванням і дублюванням, і підвищує доступність та організацію даних.
Масштабованість. Active Directory дозволяє масштабувати каталог відповідно до комерційних і мережевих вимог шляхом конфігурування доменів і дерев, а також введення нових або переміщення контролерів доменів. Об'єкти в складі одного домена Active Directory можуть налічувати мільйони; продуктивність при цьому підвищується за рахунок застосування технології індексування та прогресивних методик реплікації.
Розширюваність. Структура бази даних (схема) Active Directory припускає можливість розширення забезпечуючи можливість роботи із спеціальними типами інформації.
Керованість. На відміну від простої доменної моделі Windows NT, Active Directory ґрунтується на ієрархічних структурах. Ці структури спрощують, поперше, керування адміністративними привілеями та іншими настроюваннями безпеки, а по-друге, виявлення користувачами таких мережевих ресурсів, як файли та принтери.
Інтеграція із системою доменних імен (DNS). Active Directory звертається до DNS - стандартної служби Інтернет, призначеної для трансляції зручних у читанні імен вузлів у числові адреси протоколу Інтернет (Internet Protocol, IP).
Управління конфігураціями клієнта. Active Directory передбачає нові технології управління елементами конфігурації клієнта – зокрема, мобільністю користувача та збоями жорстких дисків; адміністрування і втрати часу користувачем при цьому зводяться до мінімуму.
Адміністрування на основі політик Політики в Active Directory визначають дозволені операції та настроювання, задані для користувачів і комп'ютерів у рамках даного сайту, домена або підрозділу. Керування на основі політик значно спрощує такі завдання, як відновлення операційної системи, установка додатків, створення користувальницьких профілів і блокування настільних систем.
Реплікація даних. Реалізована в Active Directory технологія реплікації з декількома хазяїнами забезпечує готовність інформації, відмовостійкість, вирівнювання навантаження, і крім того значно підвищує продуктивність. Реплікація з декількома хазяїнами дозволяє оновляти каталог на будь-якому окремо взятому контролері домена й реплікувати ці зміни на всі інші контролери. Оскільки в процесі бере участь кілька контролерів домена, реплікація триває навіть у випадку виходу з ладу одного з них.
Гнучкість і безпека процесів автентифікації та авторизації. Служби автентифікації та авторизації Active Directory гарантують надійний захист даних і зводять до мінімуму обмеження на комерційну діяльність у мережі Інтернет.
2.4. Поняття об'єкту Active Directory.
Схема Active Directory
Дані, що зберігаються в Active Directory, - зокрема, інформація про користувачів, принтери, сервери, бази даних, групи, комп'ютери і політики - систематизуються в рамках об'єктів.
Об'єкт (object) - це окремий іменований набір атрибутів, які представляють мережевий ресурс, наприклад, одним з об'єктів є користувацький обліковий запис, що присвоюється конкретному користувачеві, також обліковий запис комп'ютера, що відповідає окремому комп'ютеру і т.д..
Атрибутами об'єктів називаються їхні характеристики в рамках каталогу. Приміром, серед характеристик об'єкта користувацького облікового запису можна виділити ім'я та прізвище користувача, його ім'я входу; атрибутами облікового запису комп'ютера можуть бути ім'я цього комп'ютера і його опис.
Існує категорія об'єктів, до складу яких можуть входити інші об'єкти. Вони називаються контейнерами (containers). Приміром, існує такий контейнер як домен, він містить об'єкти облікових записів користувачів і комп'ютерів, що входять у цей домен. Папка Users являє собою контейнер, що включає в себе об'єкти користувальницьких облікових записів. Контейнер Computers містить облікові записи комп’юрів даного домена.
Об'єкти, які можна зберігати в каталогах Active Directory встановлює схема Active Directory.
Схемою (schema) називається список, що визначає види об'єктів і типи інформації про них, що зберігаються в Active Directory. Самі визначення схеми також зберігаються у вигляді об'єктів, тому адмініструвати їх можна так само, як і всі інші об'єкти Active Directory.
Схема визначається двома типами об'єктів: об'єктами класів схеми (які також називаються класами схеми) і об'єктами атрибутів схеми (атрибутами схеми). Об'єкти класів і об'єкти атрибутів знаходяться в різних списках схеми. У об'єктів класів схеми та об'єктів її атрибутів є дві збірних назви: об'єкти схеми (schema objects) і метадані (metadata).
Об'єкти класів схеми (schema class objects) описують об'єкти, які можна створювати в Active Directory. Клас схеми виконує роль шаблона для створення нових об'єктів Active Directory. Наприклад, існує такий клас схеми як Користувач (User), на основі якої створюються облікові записи для всіх користувачів мережі.
Кожний клас схеми являє собою сукупність об'єктів атрибутів схеми. При створенні класу схеми інформація, що характеризує об'єкт, зберігається саме в складі атрибутів, наприклад клас User складається з великої кількості атрибутів схеми, — у тому числі, Network Address і Home Directory.
Кожний об'єкт, що управляється Active Directory, фактично є екземпляром того або іншого об'єкта класу схеми.
Об'єкти атрибутів схеми (schema attribute objects) визначають об'єкти класів схеми, з якими вони асоційовані. Атрибути схеми можна задіяти в будь-якій кількості класів. Взяти хоча б атрибут Description, цей атрибут застосовується в самих різних класах, разом з тим він визначений тільки в одній схемі, за рахунок чого забезпечується відсутність суперечності.
На основі вище сказаного можна надати наступне визначення схеми. Схема - це набір класів об'єктів і атрибутів, з яких створюються екземпляри об'єктів Active Directory.
В поставці Active Directory є в наявності ряд базових класів і атрибутів схеми. Досвідченим розробникам і мережевим адміністраторам цілком під силу динамічно розширювати схему, вводячи в неї нові класи та визначення вже існуючих атрибутів. Приміром, для того щоб ввести дотепер не визначену в схемі інформацію про користувачів, потрібно розширити клас схеми User. Треба, втім, мати на увазі, що розширення схеми - операція складна, і наслідки її проведення можуть бути досить серйозними.
Крім того, Active Directory не дозволяє видаляти що-небудь зі схеми, є можливість тільки деактивізувати класи об'єктів або атрибутів. Деактивізація якого-небудь класу не призводить до видалення екземплярів об'єктів, що використовують деактивізований клас. Вони як і раніше будуть присутні в Active Directory. Правда, не можна буде створювати нові екземпляри цих об'єктів. Для видалення таких об'єктів потрібно організувати їхній пошук по всьому каталогу.
Оскільки видалити схему не можна (можна тільки деактивізувати), а, крім того, вона підлягає автоматичній реплікації, її розширення потрібно ретельно планувати та готувати.
Нижче наведені деякі ситуації, в яких потрібно виконувати модифікацію схеми, а також способи того, як це краще зробити.
СИТУАЦІЯ 1: жоден з існуючих класів не відповідає вимогам компанії.
РІШЕННЯ : створення нового класу.
СИТУАЦІЯ 2: існуючий клас в цілому підходить але в нього немає потрібних атрибутів.
РІШЕННЯ: створення нових атрибутів і додання їх до існуючого класу АБО створення нового класу на базі існуючого та додання нових атрибутів до створеного класу АБО створення допоміжного класу, що містить тільки відсутні атрибути та додання допоміжного класу до існуючого.
СИТУАЦІЯ 3: необхідно мати набір нових унікальних атрибутів, але не потрібен новий клас.
РІШЕННЯ: створення допоміжного класу, що містить тільки необхідні атрибути.
СИТУАЦІЯ 4: створені класи або атрибути більше не потрібні.
РІШЕННЯ: деактивація класу або атрибута. При необхідності потрібно знайти та видалити всі об'єкти цього класу або ті, що містять деактивізовані атрибути.