Active Directory w Windows Server 2003.pdf

usługa katalogowa Active Directory WSKiZ

opracował Paweł Mielke

Cotojestusługakatalogowa?

CzymjestActiveDirectorynp.wWindowsSerwer2003

UŜytkownikzalogowanydosieciprzedsiębiorstwamoŜechciećpodłączyćsiędo

udostępnionegofolderulubwysłaćzadaniewydrukudodrukarkisieciowej.W

jakisposóbmoŜeonznaleźćtenfolderidrukarkę,bądźinnezasobywsieci?

Usługa katalogowa jest usługą sieciową, identyfikującą wszystkie zasoby w sieci i

udostępniającą informacje o nich uŜytkownikom i aplikacjom. Usługi katalogowe są w

dobie powszechnej informatyzacji zasobów i procesów przedsiębiorstwa niezwykle

istotne, poniewaŜ dostarczają jednolitego sposobu nazewnictwa, opisu, lokalizacji,

dostępu,zarządzaniaizabezpieczaniainformacjidlatychzasobów.

Kiedy uŜytkownik szuka udostępnionego folderu w sieci, moŜe skorzystać z usługi

katalogowej, która zidentyfikuje ten zasób i dostarczy odpowiednich informacji

uŜytkownikowi.

UsługaActiveDirectoryjestusługąkatalogowąwrodziniesystemówMicrosoft

WindowsServer2003iMicrosoftWindows2000ServerawprzyszłościtakŜe

MicrosoftWindowsServer2008

1/39

usługa katalogowa Active Directory WSKiZ

opracował Paweł Mielke

Definicja poj ę cia usługi katalogowej

1. Usługi katalogowe (Directory Services) to jedne z najistotniejszych elementów

rozproszonych systemów komputerowych, poniewaŜ upraszczają administrowania,

zapewniają spójny system zarządzania uŜytkownikami, aplikacjami i urządzeniami.

2. Zapewniają równieŜ lepszą ochronę, obejmującą usługi zabezpieczające profile

uŜytkowników wewnętrznych oraz komputery uŜytkowników zdalnych i

zewnętrznych w dostępie do sieci przedsiębiorstwa.

3. Pozwalają na standaryzację dostępu do wszystkich aplikacji korzystających z

katalogów, a takŜe umoŜliwiają, chociaŜ jeszcze nie w pełni synchronizację innych

katalogów

Zarządzanie rozbudowaną siecią przedsiębiorstwa trudno sobie wyobrazić bez usług

katalogowych, poniewaŜ pozwalają one na prowadzenie jakby ksiąŜki adresowej zasobów

sieci przedsiębiorstwa a takŜe na utrzymywanie i synchronizowanie informacji związanych z

bezpieczeństwem systemów komputerowych, takich jak zakresy uprawnień uŜytkowników

czy reguły udostępniania zasobów.

Katalog jest specjalizowaną bazą danych zawierającą informacje o wszystkich zasobach,

uŜytkownikach, grupach uŜytkowników sieci. Jest specjalizowanym, skalowalnym

repozytorium informacji o obiektach zoptymalizowanym pod kątem szybkiego dostępu do

informacji. Skalowalność jest tu waŜną cechą pozwalającą wręcz na nieograniczony rozrost

tego zbioru danych takich jak np.:

uŜytkownicy,

grupy uŜytkowników

administrowanie

drukarki

usługi sieciowe np. drukowanie w sieci

bazy danych

współdzielone pliki

zasoby obliczeniowe dostępne w sieci

informacje dotyczące pracowników, klientów czy partnerów handlowych

uprawnienia i prawa dostępu do róŜnego typu aplikacji i zasobów obecnych w sieci

dane inwentaryzacyjne zasobów sprzętowych i oprogramowania czy dane na temat sal

konferencyjnych

zasoby kadrowe, listy płac

poczta elektroniczna

poczta głosowa

Usługa katalogowa w dzisiejszym systemie operacyjny dostarcza informacji, która moŜe być

wykorzystywana nie tylko przez aplikacje tej samej firmy, ale takŜe przez inne aplikacje

równieŜ firm trzecich. Usługa katalogowa moŜe takŜe wspomagać integrację takich aplikacji,

które wcześniej funkcjonowały jako niezaleŜne systemy.

2/39

usługa katalogowa Active Directory WSKiZ

opracował Paweł Mielke

Historia

Usługi katalogowe w róŜnych formach istnieją praktycznie od początku istnienia sieciowych

czy nawet wielodostępnych systemów komputerowych, zapewniając podstawową

funkcjonalność wyszukiwania i uwierzytelniania w ramach sieci w systemów

informatycznych przedsiębiorstw. Taka zresztą od początku była potrzeba ich

zaprojektowania.

Taka usługa katalogowa ma dostarczać szczegółowych informacji o uŜytkownikach, ich

zasobach i innych obiektach w sieci przedsiębiorstwa w prosty, ale wiarygodny sposób jak np.

wyszukiwanie numeru telefonu w ksiąŜce telefonicznej. Usługa katalogowa jakby z załoŜenia

musi udostępniać definicje uŜytkowników i obiektów oraz metody zarządzania nimi.

Pierwsze zastosowane implementacje usług katalogowych w systemach informatycznych

miały zadanie uwierzytelniać uŜytkowników oraz kontrolować ich dostęp do zasobów.

Następnie one zostały rozbudowywane stopniowo np. o przechowywanie i udostępnianie

podstawowych danych o uŜytkownikach, głównie danych kontaktowych jak np. nazwę działu,

telefon czy e-mail kontaktowy itp. :

MVS PROFS IBMa

WHOIS unixowe

Grapevine Registration Database

Usługi katalogowe stały się wówczas tak popularne, Ŝe zaczęły powstawać ich nowe

implementacje rozwijane w ramach firm i przypisywane do konkretnych aplikacji. Spełniały

one ich określone potrzeby adresowania i wyszukiwania kontaktów dla produktów czy osób.

Niestety były one dostępne jedynie przez konkretne firmowe metody dostępu, przez co miały

ograniczony zasięg do danej aplikacji, systemu:

GroupWise Directory Novella

Lotus Notes

baza /etc/aliases w unikowym programie sendmail

Microsoft Exchange

Microsoft Internet Information Server

Microsoft Site Server

Z dzisiejszego punktu widzenia największy - przełomowy wpływ na rozwój usług

katalogowych miała firma Novell wraz z wydaniem w 1991 roku NDSa (Novell Directory

Services). Pomysł ten został umieszczony w środowiskach NetWare a takŜe częściowo

wykorzystany przez firmę Microsoft w swoich systemach NT. Nadal jednak istniał problem

braku synchronizacji i współpracy pomiędzy tymi dwoma środowiskami, ale produkt Novella

był na ówczesne czasy znacznie bardziej zaawansowany i rozpowszechniony od innych tego

typu.

Powstała potrzeba większej standaryzacji i moŜliwości współpracy. Kierując się ją Microsoft

wprowadzając na rynek system Windows 2000 Server oparł swoją nową usługę katalogową

nazwaną Active Directory na protokole LDAP (Lighweight Directory Access Control czyli

okrojonym protokole dostępu do katalogu). Protokół ten powstał podczas olbrzymiego

rozwoju Internetu w roku 1997 i stał się standardem uŜywanym w duŜych sieciach do

uzyskiwania informacji z róŜnych usług katalogowych. Protokół LDAP to otwarta i

niezastrzeŜona przez nikogo metoda dostępu i modyfikacji danych katalogowych w pełni

wykorzystująca protokół TCP/IP.

3/39

usługa katalogowa Active Directory WSKiZ

opracował Paweł Mielke

Przyszło ść

Wybór protokołu LDAP jako podstawy komunikacji w usłudze katalogowej systemów

Microsoft Windows 2000 Server i Microsoft Windows Server 2003 miał na celu otworzyć

drogę do wymiany informacji między róŜnymi implementacjami usług wykorzystujących ten

protokół. LDAP został zdefiniowany jako standard internetowy w dokumencie RFC1777.

Jednak w dzisiejszej specyfikacji LDAPv3 brakuje rozszerzeń integracyjnych takich jak

replikacje czy synchronizacje, niezbędne do scalania róŜnych katalogów i budowania

rozproszonych usług katalogowych. Obecnie za pomocą tego protokołu rozwiązywany jest

problem integracji katalogów w jednej organizacji, ale prawdziwym wyzwaniem jest wyjście

z integracja poza zapory ogniowe sieci przedsiębiorstwa. Najprawdopodobniej rozwiązaniem

tego problemu będzie rozwój takich technologii jak XML (Extensible Markup Language).

Prace na róŜnymi rozwiązaniami trwają cały czas (wielotorowo) pod nadzorem organizacji

IETF (Internet Engineering Task Force). PoniŜej lista głównych kierunków, na których

koncentruje się rozwój usług katalogowych:

LDUP (LDAP Duplication/Replication/Update Protocol) opisuje standard replikacji

protokołem LDAPv3 typu master-slave i multimaster – rozwijanie protokołu LDAP

DSML (Directory Sevices Markup Languages) v2.0 opis reprezentacji LDAP w XML

SAML (Security Assertion Model) – standard opisujący bezpieczeństwo oparte na XML

do wymiany informacji uwierzytelniających i autoryzacyjnych w domenach

bezpieczeństwa. W przyszłości ma wyeliminować obecny standard replikacji i

synchronizacji w usługach katalogowych

XACKM (Extensible Access Control Markup Language) – specyfikacja XML

określająca reguły dostępu do informacji poprzez Internet.

Dodatkowo w środowiskach Open Group takŜe trwają prace w tym temacie głównie pod

przewodnictwem:

DIF (Directory Inoperable Forum) – globalne forum, promujące otwarte i

współdziałające usługi katalogowe do róŜnego zastosowania w informatyce.

Ponadto usługi katalogowe stały się kluczowym komponentem w projektowaniu platform

biznesowych. Zarządzają dostępem do korporacyjnych zasobów danych otwieranych dla

partnerów biznesowych i klientów z sieci zewnętrznych (Internet lub ekstranety) chociaŜby

poprzez dostarczenie metod uwierzytelniania i autoryzowania dostępu.

4/39

usługa katalogowa Active Directory WSKiZ

opracował Paweł Mielke

Działanie

Działanie usługi katalogowej oparte jest na procesach programowych oczekujących na

zlecenie od uŜytkownika poprzez:

przeglądarki www

klientów poczty elektronicznej

oprogramowanie zarządzające

wszelkiego rodzaju aplikacje działające na jakichkolwiek zasobach

Taki proces przetwarza otrzymane zlecenie przeszukując bazę informacji katalogowych lub

wysyłając zlecenie przeszukania do innych, powiązanych usług katalogowych. Ostatecznie

zwraca on wyniki przeszukiwania do zleceniodawcy, czyli jakiejś aplikacji z listy

wymienionych wyŜej.

Zbiór informacji o obiekcie katalogowym tworzy pozycje katalogu tzw. directory entry.

Obiekty są definiowane jako składowe poszczególnych klas obiektów tak jak jest to w

tradycyjnej technice obiektowej. W trakcie tworzenia architektury katalogu definiuje się

strukturę kaŜdej pozycji katalogu i przypisuje jej jedną lub kilka klas obiektów. RóŜne klasy

obiektów mogą składać się z róŜnych atrybutów, np. atrybuty pozycji pracownik mogą

obejmować:

tytuł zawodowy

dział firmy

numer biura

adres poczty elektronicznej

numer telefonu słuŜbowego itd.

Katalog

inaczej

baza

Pozycja

katalogu

obiekt

atrybuty

wartość

Klasyobiektów

5/39

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: