376.48K

Что такое авторизация. Active Directory

1.

Active Directory

2.

Что такое авторизация?
1. Идентификация – это процедура распознавания субъекта по его
идентификатору.
Идентификация (от латинского identifico — отождествлять) — это
процедура распознавания субъекта по его идентификатору (проще
говоря, это определение имени, логина или номера).
Идентификатором может быть логин, номер телефона, номер
паспорта, e-mail, номер страницы в социальной сети и т.д.

3.

2. Аутентификация – это процедура проверки подлинности.
Аутентификация (от греческого: αυθεντικός ; реальный или подлинный)
– это процедура проверки подлинности (пользователя проверяют с
помощью пароля, письмо проверяют по электронной подписи и т. д.)
Как можно проходить аутентификацию:
- Пароль – то, что мы знаем (слово, PIN-код, код для замка, графический
ключ)
- Устройство – то, что мы имеем (пластиковая карта, ключ от замка, USBключ)
- Биометрика – то, что является частью нас (отпечаток пальца, портрет,
сетчатка глаза)

4.

3. Авторизация – это предоставление доступа к какому-либо ресурсу.
Авторизация является функцией определения прав доступа к ресурсам и
управления этим доступом. Авторизация — это не то же самое что
идентификация и аутентификация: идентификация — это называние лицом себя
системе; аутентификация — это установление соответствия лица названному им
идентификатору; а авторизация — предоставление этому лицу возможностей в
соответствие с положенными ему правами или проверка наличия прав при
попытке выполнить какое-либо действие.
Примеры авторизации:
- Открытие двери после проворачивания ключа в замке
- Доступ к электронной почте после ввода пароля
- Разблокировка смартфона после сканирования отпечатка пальца
- Выдача средств в банке после проверки паспорта и данных о вашем счете

5.

Все три процедуры взаимосвязаны:
- Сначала определяют имя (логин или номер) – идентификация
- Затем проверяют пароль (ключ или отпечаток пальца) –
аутентификация
- И в конце предоставляют доступ – авторизация

6.

Сетевой каталог
Сетевые каталоги (службы каталогов) - средство иерархического
представления ресурсов, принадлежащих некоторой отдельно взятой
организации, и информации об этих ресурсах.
Сетевые каталоги:
- Хорошо масштабируются в силу своей иерархичности;
- Хорошо справляются с запросами на чтение в сравнении с запросами на
запись.
Под ресурсами могут пониматься: пользователи и группы, файлы и каталоги,
сетевые ресурсы и т.д.
Основной единицей информации, хранимой в каталоге, является отдельная
запись (entry). Каждая запись представляет какой-либо реальный объект:
человека, компьютер, организацию и т.д. Запись описывает объект через
набор присущих ему атрибутов. Атрибуты представляют собой пары вида «имя
— значение». Фактическое значение атрибута зависит от его типа.

7.

Записи в службе каталогов хранятся в иерархической структуре,
называемой «Информационное дерево каталога» (Directory
information tree - DIT):

8.

• Обращение к записям осуществляется по их уникальным именам (DN,
distinguished name). DN - это специальный атрибут каждого объекта, он
включает полный путь к записи от корня DIT и этим напоминает путь к
файлу в файловой системе.
• Помимо DN используется и относительное уникальное имя (RDN,
relative distinguished name). RDN для объекта - это как имя файла для
каталога, оно должно быть уникальным и определять этот объект.
• DN составляется из цепочки RDN всех объектов дерева, разделённых
через запятую, от самого объекта до корневого объекта.
• Вершиной дерева DIT является корневой объект (Root Entry). DN
корневого объекта одновременно является суффиксом каталога.
• Набор атрибутов объектов, их синтаксис и правила поиска
определяются схемой каталога (scheme). Специальный атрибут в
описании схемы – objectClass - указывает, к каким классам относится
данный объект и, следовательно, какие атрибуты он может иметь.

9.

Active Directory (AD) — это служебные программы, разработанные
для операционной системы Microsoft Server. Первоначально
создавалась в качестве облегченного алгоритма доступа к
каталогам пользователей. С версии Windows Server 2008 появилось
интеграция с сервисами авторизации. Дает возможность
соблюдать групповую политику, применяющую однотипность
параметров и ПО на всех подконтрольных ПК с помощью System
Center Configuration Manager. Если простыми словами для
начинающих – это роль сервера, которая позволяет из одного
места управлять всеми доступами и разрешениями в локальной
сети.

10.

Функции и предназначения
Microsoft Active Directory – (так называемый каталог) пакет средств,
позволяющий проводить манипуляции с пользователями и
данными сети. Основная цель создания – облегчение работы
системных администраторов в обширных сетях.
Каталоги содержат в себе разную информацию, относящуюся к
юзерам, группам, устройствам сети, файловым ресурсам — одним
словом, объектам. Например, атрибуты пользователя, которые
хранятся в каталоге должны быть следующими: адрес, логин,
пароль, номер мобильного телефона и т.д. Каталог используется в
качестве точки аутентификации, с помощью которой можно узнать
нужную информацию о пользователе.

11.

Основные понятия, встречающиеся в ходе
работы
Существует ряд специализированных понятий, которые
применяются при работе с AD:
1. Сервер – компьютер, содержащий все данные.
2. Контроллер – сервер с ролью AD, который обрабатывает
запросы от людей, использующих домен.
3. Домен AD — совокупность устройств, объединенных под одним
уникальным именем, одновременно использующих общую
базу данных каталога.
4. Хранилище данных — часть каталога, отвечающая за хранение
и извлечение данных из любого контроллера домена.

12.

Как работает Active Directory
Основными принципами работы являются:
1. Авторизация, с помощью которой появляется возможность воспользоваться ПК в
сети просто введя личный пароль. При этом, вся информация из учетной записи
переносится.
2. Защищенность. Active Directory содержит функции распознавания пользователя.
Для любого объекта сети можно удаленно, с одного устройства, выставить
нужные права, которые будут зависеть от категорий и конкретных юзеров.
3. Администрирование сети из одной точки. Во время работы с Active Directory
сисадмину не требуется заново настраивать все ПК, если нужно изменить права
на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
4. Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все
устройства обозначаются точно так же, как и во всемирной паутине.
5. Крупные масштабы. Совокупность серверов способна контролироваться одной
Active Directory.
6. Поиск производится по различным параметрам, например, имя компьютера,
логин.

13.

Объекты и атрибуты
Объект — совокупность
атрибутов, объединенных под
собственным названием,
представляющих собой ресурс
сети.
Атрибут — характеристики
объекта в каталоге. Например, к
таким относятся ФИО
пользователя, его логин. А вот
атрибутами учетной записи ПК
могут быть имя этого
компьютера и его описание.
Пример:
“Сотрудник” – объект, который обладает атрибутами
“ФИО”, “Должность” и “ТабN”.Контейнер и имя LDAP

14.

Контейнер — тип объектов, которые могут состоять из других
объектов. Домен, к примеру, может включать в себя объекты
учетных записей.
Основное их назначение — упорядочивание объектов по видам
признаков. Чаще всего контейнеры применяют для группировки
объектов с одинаковыми атрибутами.
Почти все контейнеры отображают совокупность объектов, а
ресурсы отображаются уникальным объектом Active Directory.
Один из главных видов контейнеров AD — модуль организации,
или OU (organizational unit). Объекты, которые помещаются в этот
контейнер, принадлежат только домену, в котором они созданы.
Облегченный протокол доступа к каталогам (Lightweight Directory
Access Protocol, LDAP) — основной алгоритм подключений TCP/IP.
Он создан с целью снизить количество нюанс во время доступа к
службам каталога. Также, в LDAP установлены действия,
используемые для запроса и редактирования данных каталога.

15.

Дерево и сайт
Дерево доменов – это структура, совокупность доменов, имеющих
общие схему и конфигурацию, которые образуют общее
пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт — совокупность устройств в IP-подсетях, представляющая
физическую модель сети, планирование которой совершается вне
зависимости от логического представления его построения. Active
Directory имеет возможность создания n-ного количества сайтов
или объединения n-ного количества доменов под одним сайтом.

16.

17.

• Совокупность доменов, использующих единую схему каталога,
называется лесом доменов. Входящие в лес домены могут не
образовывать "непрерывного" пространства смежных имен.
Совокупность доменов, образующих непрерывное пространство
смежных имен, называют деревом доменов.
• Первое созданное в лесу доменов дерево является корневым
деревом. Первый домен, созданный в лесу доменов, называется
корневым доменом леса. Корневой домен леса играет очень важную
роль, связывая деревья, образующие лес доменов, воедино и поэтому
не может быть удален. В частности, он хранит информацию о
конфигурации леса и деревьях доменов, его образующих.
• Чаще всего в организациях используют самую простую структуру. Один
лес и в нем корневой домен, который содержит различные объекты,
такие как пользователи и компьютеры. Развитая структура встречается
в основном в крупных компаниях, с большим штатом ИТ-специалистов
и разными уровнями ответственности.

18.

Установка и настройка Active Directory
1. Настройка локального сервера.
2. Добавление роли AD в Диспетчере Сервера.
3. После установки (через уведомления) переходим к настройке
AD с помощью мастера установки доменных служб AD.
4. Создание контроллера домена.
English     Русский Правила