190 likes | 274 Views
Hálózati Operációs Rendszerek. Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv. Forrás. Brian Arkils: LDAP directories explained
E N D
Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv
Forrás • Brian Arkils: LDAP directories explained • Microsoft Active Directory: (http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx )
Tartalom • Microsoft Active Directory • Névtér • Particiók • Elosztott Címtár funkcionalitás • Adatbázisok • Kliens LDAP műveletek • Kliensek • Vezérlők • Séma • Osztályok • Tulajdonságok • Menedzsment • Replikáció • Biztonság
Active Directory • NT 4.0 • Lapos névtér (netbios) • Csak azonositás • AcitveDirectory • RFC kompatibilis LDAP cimtár • Platform függő (Win200, Win2003) • Inkább menedzsment eszköz mint cimtár • Nagyon jól integrált megoldás • Kliens menedzsment (jogok, programok,…) • Cimjegyzék • Digitális bizonyitványok, …
Névtér(1) • DNS-hez kötött (RFC2247) • Minden objektumnak globálisan is egyedi azonositoja van • Használja a DNS SRV bejegyzéseket (round-robin terheléselosztásra is) • A kliens a legközelebbi szervert tudja kiválasztani (sites) • A DNS is integrálható az AD-be • Nem kell a replikációval foglalkoznunk • Biztonságos frissités lehetősége • Nem támogatja az X.500 névtér tervet
Névtér(2) • Az alábbi egységekből épül fel: • Erdő – egy erdőben több különböző DNS névtér tartozhat • Pl.: cab.inf.u-szeged.hu, inform.inf.u-szeged.hu • Közös séma • Közös konfiguráció • Fa – Az erdő épitőköve: egy DNS névtér (folytonos) • Pl.: cab.u-szeged.hu • Közös névtér • Tartomány – A fa ága, egy DNS azonositó • Pl.: windom.cab.u-szeged.hu • Tartományvezérlők tárolják • Egy tartományvezérlő csak egy tartományt tárolhat • Az elsőnek létrehozott lesz az erdő és fa gyökér, … • Egy tartománz tetszőleges számú gépen tárolható • Replikálás biztositja az adat konzisztenciát
Névtér(3) • Helyek (Sites) • Egy olyan egység mely nagysávszélességű kapcsolatokkal rendelkezik a hozzátartozó elemek között • A cimtár forgalomszabályozását segitik speciális paraméterek segitségével • Független a cimtár felépitésétől • A cimtérban van tárolva • A replikáció a site-k között definiálható • Hely híd (site bridge) • Megadható a sávszélesség, költség, … • Site alapján is kereshetünk • Nyomtató, …
Névtér(4) • Particiók: • Minden tartományvezérlőn 3 partíció van • A partíció a replikáció alaegysége • Tipusai: • Tartomány elnevezési környezet (Domain Naming Context) • Ez a felhasználó adat tárolója • Konfiguráció elnevezési környezet (Configuration Naming Context) • Ez közös minden tartományvezérlőn az erdőben • Séma elnevezési környezet (Schema Naming Context) • Ez közös minden tartományvezérlőn az erdőben • Minden tartományvezérlő kvázi függetlenül működhet a többitől
Névtér(5) • Konfiguráció partíció • Az egész cimtárban állandó • Configuration • WellKnowSecurityPrincipals (AuthenticatedUsers) • Services (az erdőben érvényes csoportházirend is itt van tárolva) • NetServices • RRAS • WindowsNT • Public Key Services • ExtendedRights (saját jogok) • Sites (pl. GC helye) • Intersite Transports • DisplaySpecifiers • Partitions (hivatkozások - crossRef) • LostAndFoundConfig (replikációs hibák, árva elemek, …)
Névtér(6) • Tartomány partíció • Computers • Builtins • LostAndFound • ForeignSecurityPrincipals – proxy azonositok • Users • DomainControlers • System – FSMO, DNS bejegyzések • Ez a felhasználó adatok tárolója
Névtér(7) • Flexible Single Master Operations • Csak egy helyen irható, olvasható • Tipusai: • Infrastruktúra – particiok közötti konzisztencia • RID master – egyedi azonositó gyártás • Schema master • Domain Naming master • PDC emulator – NT4.0
Névtér (8) • Séma partíció(142 osztály, 863 tulajdonság) • Az erdőben egyforma • Két objektum engedélyezett: • attributeSchema • classSchema • Saját osztályt, tulajdonságot definiálhatunk • Globális Katalógus – GC • Gyorstár • Minden objektumot tárol, nem minden tulajdonsággal • A tulajdonságról a sémában mondhatjuk meg, hogy szerepeljen-e a GC-ben • Csak olvasható • Azonositásban kritikus szerepe van
Műveletek, Kliensek • LDAP v3 kompatibils • A klinesek nagyon jól integrálják a cimtár szolgáltatásait • Azonositas • Kereső segitő • Cimjegyzék • Nyomtató keresés • Megosztott mappák • DFS, … • Komoly programozói támogatás • ADSI Active Directory Services Interface – cimtár független is tud lenni • LDAP API SDK • Vezérlők (16): • Statisztika • Lusta módositás • Törölt objektumok visszaadása • … • Exchange integrálás • Levelezés • Naptár • Üzenetküldés, …
Séma • Mindenhol egyforma • Sok előre gyártott elem • Néhány részét nem lehet megváltoztatni • Néhány helyen nem teljesen szabványos (X.500): • sn egy értékű • Nem lehet új szintxisokat, összehasonlitasokat definiálni • Osztályok: • Származtatás • Top osztályból származik minden • Nincs Alias • User, Computer objektum nagyon sokoldalú • Principal name • … • objectGUID, objectSID • Tulajdonságok • Kapcsolt tulajdonságok, ha egy elemhez adott tulajdonsággal hozzáadok egy másikat akkor ez viszont is működik másik attribútum párral
Menedzsment • MMC • ADSI • LDIF, … • Replikáció • SMTP, RPC • Minden partíció külön replikálható • Séma, Konfiguráció minden tartományvezérlőre • Tartomány csak az azonos tartományba lévőekre • Gyűrű replikációs topológia • KCC • Sirkő • UpdateSequenceNumber, Időbélyeg • Indexelés • Microsoft Metadirectory Services
Alap Késleltés = 5 perc • Ha nincs változás = Egy óra • Fontos Változás = Azonnali Értesités Replikált Frissités Változás Értesités DomainController B Replikáció Eredti Frissités Domain Controller A Változás Értesités Replikált Frissités Domain Controller C Replikáció
Domain Controller A Domain Controller B Originating Update Originating Update Bélyeg Bélyeg Konfl. Konfl. Verzió Szám Időbélyeg Szerver GUID Bélyeg Konfliktusok okai: • Attribútum változás • Törölt tárolóba helyezni objektumokat Konfliktus kezelés
Biztonság • PKI támogatás • Cert hatóság • Kerberos V5 • NTLM • TLS • Smart Card • A következő óra erről fog szólni
Áttekintés • Microsoft Active Directory • Névtér • Particiók • Elosztott Címtár funkcionalitás • Adatbázisok • Kliens LDAP műveletek • Kliensek • Vezérlők • Séma • Osztályok • Tulajdonságok • Menedzsment • Replikáció • Biztonság