Логика и язык. 5 страница

- контактов;

- компьютеров;

- принтеров;

- общих папок;

- других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей[9]:

1) управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);

2) делегирование прав администрирования, ­– например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики (см. рис. 7.7).

Рис. 7.7. Домен факультета математики

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).

Резюме

В целях централизованного управления ресурсами сети в операционных системах Microsoft Windows Server 2003 существует служба каталога Active Directory.

Основой логической структуры каталога является домен – это группа компьютеров, имеющая общий каталог и единую политику безопасности. Несколько доменов могут быть объединены в дерево доменов, несколько деревьев составляют лес доменов. Для структуризации объектов внутри домена используются организационные подразделения.

Физическая структура основана на понятии сайта – это часть сети, все контроллеры домена которой связаны высокоскоростным соединением. Внутри сайта в процессе репликации (копирования изменений в структуре каталога на все контроллеры домена) информация не сжимается, а обмен осуществляется часто, между сайтами репликация происходит редко, а трафик репликации сжимается.

Информация как о логической, так и о физической структурах каталога хранится на контроллере домена в файле Ntds.dit.

Между доменами могут быть установлены доверительные отношения, чтобы пользователи одного домена могли получать доступ к ресурсам другого домена. Доверительные отношения между всеми доменами леса устанавливаются автоматически. В других случаях их следует настраивать вручную.

Контрольные вопросы

1. Какая информация хранится в каталоге Active Directory? Где находится сам каталог?

2. Что такое домен?

3. Чем отличается контроллер домена от других узлов сети?

4. Какова цель логической структуризации каталог Active Directory?

5. По какому принципу следует осуществлять деление на сайты?

6. Для чего нужна репликация?

7. Сколько всего может быть создано глобальных идентификаторов GUID?

8. Чем аутентификация отличается от авторизации?

9. Объясните понятия «доверенный» и «доверяющий» домен. В каком случае один домен может быть доверенным и доверяющим одновременно?

10. Для чего используют организационные подразделения?

Лекция 8. Планирование и управление Active Directory

План лекции

· Планирование Active Directory.

· Планирование логической структуры.

· Планирование физической структуры.

· Учетные записи.

· Группы пользователей.

· Групповые политики.

· Резюме.

· Контрольные вопросы.

Планирование Active Directory

Рассмотренная в предыдущей лекции служба каталога Active Directory играет центральную роль при выполнении задач сетевого администрирования. Успешная работа пользователей сетевых ресурсов, а также служб, реализующих протоколы TCP/IP, зависит от правильного функционирования Active Directory. Поэтому крайне важной становится задача планирования структуры каталога Active Directory. Удачно спроектированный каталог позволит сделать работу сети более эффективной и стабильной, а также намного облегчит труд администратора.

В процессе планирования Active Directory можно выделить два основных этапа (рис. 8.1):

1) планирование логической структуры, включающее проектирование доменов и организационных подразделений, а также проблему именования;

2) планирование физической структуры, состоящее из разделения сети на сайты и размещения контроллеров домена.

Рис. 8.1. Планирование Active Directory

Планирование логической структуры

При планировании доменной структуры нужно определить количество и способ организации доменов. Возможны три варианта: единственный домен, дерево доменов или лес. Критерии выбора следующие.

1. Размер организации – один домен может содержать несколько миллионов пользователей, рекомендуется не превышать 1–2 миллиона, однако организаций с таким количеством пользователей немного, поэтому данный критерий применяется нечасто.

2. Географическое расположение – имеются ли у организации филиалы или отделы, находящиеся на большом расстоянии и связанные с центральным офисом низкоскоростными каналами связи. Наличие таких филиалов при единственном в организации домене, скорее всего, вызовет перегрузку линий связи из-за трафика репликации.

3. Стабильность предприятия – насколько высока подвижность кадрового состава, не планируется ли в ближайшее время разделение предприятия или присоединения новых структур.

4. Потребности в разных доменных именах – в некоторых случаях в рамках одной организации требуются разные доменные имена. Например, в случае создания единой компьютерной сети двух университетов каждый из них, вероятно, захочет иметь свое собственное доменное имя.

5. Способ управления сетью – может быть централизованным и децентрализованным. Централизованный способ предполагает сосредоточение всей административной власти у единого коллектива администраторов и наличие однодоменной модели. При децентрализованном способе полномочия делегируются нескольким слабосвязанным удаленным группам администраторов, управляющих доменами дерева или леса.

6. Единство политики безопасности. Чаще всего политика безопасности в одной организации едина для всех отделов и сотрудников, однако бывают исключения, например, для отдельных цехов завода, работающих на нужды армии.

Исходя из перечисленных критериев, можно выделить те признаки, по которым выбирается вариант с одним доменом:

1) в организации менее миллиона пользователей;

2) отсутствие удаленных филиалов;

3) относительная стабильность структуры организации;

4) отсутствие потребности в разных доменных именах;

5) централизованный способ администрирования;

6) единая политика безопасности.

Отсутствие первых четырех признаков существенно склоняет выбор в пользу многодоменной модели. Последние два признака в меньшей степени должны влиять на выбор, так как задачи делегирования администрирования и разделения политик безопасности можно решить средствами организационных подразделений в рамках одного домена.

При выборе модели с несколькими доменами в большинстве ситуаций нужно использовать дерево доменов. Лес доменов приемлем в том случае, когда две независимые организации хотят иметь общие сетевые ресурсы.

После выбора доменной структуры следует продумать имена для создаваемых доменов. Особенно важно имя корневого домена. Хотя Windows Server 2003 позволяет переименовывать домены (при условии, что в домене нет контроллеров с Windows Server 2000 и Windows NT), делать это нежелательно: выбранное доменное имя уже может быть прочно ассоциировано с организацией.

Правил для выбора доменного имени немного: во-первых, оно должно отражать специфику организации, во-вторых, быть понятным всем пользователям ресурсов домена, а не только администратору и, в-третьих, не должно быть слишком сложным. Например, для обозначения домена университета необязательно называть его vyatka_state_humanitarian_university (хотя это имя отражает специфику организации и является понятным для пользователей, оно слишком сложное). Для имени такого домена достаточно обозначения vshu.

Планирование структуры организационных подразделений в каждом домене является важным шагом. От этой структуры зависит эффективность решения ежедневных административных задач, оптимальность управления объектами сети.

Как отмечалось в предыдущей лекции, ОП применяются в том случае, если для задач управления группой объектов или делегирования административных прав образование новых доменов нецелесообразно.

В связи с тем, что организационные подразделения можно использовать в качестве контейнеров, допускается строить иерархию ОП с несколькими уровнями вложений.

Иерархию можно строить с помощью двух основных подходов: либо следуя организационной структуре предприятия (организационный подход); либо исходя из задач управления сетевыми объектами (административный подход). Оба способа используются на практике, и задача администратора состоит в том, чтобы выяснить, какой из подходов (или их комбинация) применим в данной ситуации.

Иллюстрацией обоих подходов может служить следующий пример. На предприятии имеются три отдела – безопасности, маркетинга и планирования. Требуется спроектировать для данных отделов структуру организационных подразделений (рис. 8.2).

Рис. 8.2. Организационный и административный подходы

к планированию структуры ОП

Применяя организационный подход, следует в структуре ОП отразить структуру предприятия. Таким образом, отделы представляются как организационные подразделения Security, Marketing и Planning. Административный подход во главу угла ставит задачи управления. Допустим, сотрудники отдела безопасности регулярно устанавливают на компьютеры новые приложения, а отделам маркетинга и планирования установка программ должна быть запрещена. Из этих соображений можно отдел безопасности поместить в ОП Install с правом установки программ, а отделы маркетинга и планирования объединить в ОП NotInstall.

Планирование физической структуры

Основная цель планирования физической структуры – оптимизация трафика репликации. Цель достигается путем продуманного расположения сайтов и контроллеров домена.

В принципе та же задача может быть решена с помощью изменения доменной структуры, так как основной объем данных репликации остается в рамках одного домена, междоменный трафик репликации существенно ниже внутридоменного. Однако рекомендуется при планировании иерархии доменов применять критерии, описанные выше, а для оптимизации процесса репликации использовать механизм сайтов.

На начальном этапе следует проанализировать существующую сеть – её структуру, количество пользователей и компьютеров, пропускную способность, колебания трафика. Все эти данные нужно учитывать при планировании. Чем больше пользователей и компьютеров в сети, тем больше объем передаваемой информации при репликации. Линии с большой пропускной способностью могут быть сильно загружены, и большой трафик репликации внесет существенные проблемы, в то время как низкоскоростные каналы, возможно, практически свободны и выдержат дополнительный объем данных репликации.

Во время анализа следует учитывать возможность расширения сети и увеличения числа пользователей. Считается достаточным принимать коэффициент расширения в пределах 30–50 %.

Основной критерий при выделении сайтов – пропускная способность линий связи. Части домена, связанные высокоскоростными линиями, помещаются в один сайт. Если между частями домена имеются каналы с низкой скоростью передачи данных, их следует разместить в разных сайтах. При этом трафик межсайтовой репликации сжимается и его передача происходит во время наименьшей загрузки низкоскоростных линий.

Вопрос о необходимом количестве и размещении контроллеров домена решается тогда, когда известна доменная структура и расположение сайтов. Общее правило таково, что для каждого домена необходимо не менее двух контроллеров (при этом в случае отказа одного из контроллеров второй обеспечит работу сети). Количество контроллеров зависит от числа пользователей (а следовательно, числа обращений на контроллеры домена), принадлежащих данному домену или сайту. Например, если домен включает два сайта, связанных модемной линией, и к одному из сайтов принадлежит всего несколько пользователей, то совсем не обязательно в этом сайте располагать отдельный контроллер домена (при условии, что загрузка модемной линии невысока).

Учетные записи

После реализации спроектированной структуры Active Directory администратор должен добавить в каталог учетные записи всех пользователей системы и назначить каждой из них определенные права. Учетная запись пользователя – это набор атрибутов, сопоставленных с определенным пользователем. Самые важные атрибуты следующие:

– имя учетной записи, с помощью которого пользователь осуществляет вход в систему (в пределах домена должно быть уникально);

– полное имя пользователя;

– пароль;

– группы, в которые входит пользователь;

– права пользователя.

Создав все необходимые учетные записи, администратору следует продумать, какими правами должен обладать тот или иной пользователь. Права пользователя – это список действий, которые может выполнять пользователь. Права бывают следующих видов:

· привилегия (privilege) – право выполнения операций по изменению состояния или параметров системы (например, выключение компьютера или изменение системного времени);

· право на вход в систему (logon right);

· разрешение доступа (access permission) – право осуществления действий с файлами, папками, принтерами, объектами Active Directory, реестром (при условии, что используется файловая система NTFS).

Более подробно виды прав пользователя описаны в Приложении III.

При условии, что пользователей порядка десяти человек, определить необходимые права можно достаточно просто. Однако гораздо чаще на практике встречаются сети с сотнями и тысячами учетных записей. В таких масштабах задача распределения прав отдельным пользователям становится невыполнимой. В этом случае на помощь администратору приходит механизм групп пользователей.

Группы пользователей

Группа пользователей (группа безопасности, Security Group) – это объединение учетных записей пользователей, которому можно назначать права[10]. С использованием групп распределение прав осуществляется следующим образом. Сначала выбираются такие пользователи, список прав которых должен быть одинаковым. Затем создается группа, членами которой являются выбранные пользователи. Требуемые права назначаются уже не отдельным пользователям, а группе, и эти права автоматически распространяются на всех пользователей группы.

Следует отметить, что группы пользователей и организационные подразделения представляют собой разные механизмы, предназначенные для разных целей. Создание групп безопасности преследует цель распределения прав доступа к ресурсам пользователям сети, в то время как основное назначение организационных подразделений – управление пользователями (а также компьютерами) (см. рис. 8.3).

Рис. 8.3. Использование ОП и групп безопасности

Группы пользователей различаются по области действия. Выделяют три области действия:

– доменную локальную (domain local scope);

– глобальную (global scope);

– универсальную (universal scope).

Доменные локальные группы действуют в рамках только своего домена. За его пределами указывать локальную доменную группу нельзя. Такие группы обычно применяются для управления доступом к файлам, общим папкам и принтерам.

Глобальные группы могут использоваться в рамках всего леса доменов. Однако глобальная группа принадлежит определенному домену, и в её состав могут входить только объекты этого домена. Применяются глобальные группы в том случае, если пользователям одного домена нужно получить доступ к ресурсам другого домена.

Универсальные группы привязаны к корневому домену леса, но в их состав могут входить пользователи любого домена. Чаще всего универсальные группы используются для объединения глобальных групп.

Групповые политики

В заключение лекции рассмотрим один из наиболее эффективных и удобных инструментов администрирования – групповые политики.

Групповые политики [11] (group policy) – это способ автоматизации работы по настройке рабочих столов пользователей и параметров компьютеров. Групповые политики представляют собой наборы правил конфигурирования, применяемых к компьютеру или пользователю. Каждый такой набор правил называется объектом групповой политики (Group Policy Object, GPO).

Один или несколько объектов групповой политики могут применяться к трем видам объединений:

– сайтам;

– доменам;

– организационным подразделениям.

Кроме того, для каждого компьютера может быть определен объект локальной групповой политики (Local Group Policy Object, LGPO).

Объекты групповых политик являются наследуемыми. Это означает, например, что GPO, применяемый к домену, наследуется всеми его организационными подразделениями. В том случае, если правила одного объекта групповой политики конфликтуют с правилами другого, наибольший приоритет имеет GPO организационного подразделения, ниже по уровню GPO домена, затем следует GPO сайта, наименьший приоритет у LGPO.

Приведем краткий обзор возможностей, предоставляемых групповыми политиками (рис. 8.4).

Рис. 8.4. Пример объекта групповой политики

Объект групповой политики содержит две основные части:

– Конфигурация компьютера (Computer Configuration);

– Конфигурация пользователя (User Configuration).

Каждая из частей включает три раздела:

– Настройки приложений (Software Settings);

– Настройки Windows (Windows Settings);

– Административные шаблоны (Administrative Templates).

В разделе Настройки приложений находится подраздел Установка приложений (Software Installation), позволяющий автоматически устанавливать выбранные программы на компьютеры пользователей.

Правила, создаваемые в разделе Настройки Windows, позволяют:

– выполнять задаваемые сценарии (Scripts) при включении-выключении компьютера, при входе пользователя в систему и выходе из неё;

– настраивать параметры безопасности (Security Settings) компьютера и пользователя (требования к паролям, доступ к реестру, политику аудита событий);

– конфигурировать Internet Explorer (Internet Explorer Maintenance);

– изменять места расположения папок пользователей (Folder Redirection).

Раздел Административные шаблоны предназначен для настройки рабочего стола пользователя, ограничения доступа к системным компонентам и компонентам приложений.

Таким образом, Windows Server 2003 предоставляет мощный набор инструментов администрирования, способствующий эффективному управлению сети любой организации.

Резюме

При развертывании службы каталога Active Directory на первый план выходит задача планирования его структуры, от успешности решения которой зависит эффективность и стабильность работы сети. В процессе проектирования выделяют два этапа – планирование логической структуры и планирование физической структуры.

В ходе планирования логической структуры следует определиться с количеством доменов и способом их организации – одиночный домен, доменное дерево или лес. Затем нужно выбрать имена для созданных доменов и построить иерархию организационных подразделений.

Основной целью планирования физической структуры является оптимизации трафика репликации. На этом этапе в сети выделяют сайты и определяют количество и размещение контроллеров домена.

После проектирования и реализации структуры каталога должны быть созданы учетные записи пользователей и определены их привилегии. Задача управления пользователями решается при помощи групп безопасности организационных подразделений и групповых политик. Группы безопасности служат для объединения тех пользователей, которые имеют одинаковые разрешения доступа к ресурсам сети. Организационные подразделения создаются для удобства управления пользователями. Управление осуществляется с использованием групповых политик, включающих множество настроек, облегчающих процесс администрирования.

Контрольные вопросы

1. В чем цель планирования логической структуры каталога?

2. В чем цель планирования физической структуры каталога?

3. Назовите признаки, по которым следует осуществлять выбор многодоменной модели?

4. Какой подход предпочтительнее при проектировании структуры организационных подразделений: организационный или административный?

5. Каким образом деление на сайты влияет на процесс репликации?

6. Как выбираются число и расположение контроллеров домена?

7. Чем отличаются организационные подразделения и группы безопасности?

8. Назовите основные элементы объектов групповых политик.

Лекция 9. Средства обеспечения безопасности

План лекции

· Средства сетевой безопасности Windows Server 2003.

· Протокол аутентификации Kerberos.

· Термины, используемые в протоколе Kerberos.

· Основные этапы аутентификации.

· Этап регистрации клиента.

· Этап получения сеансового билета.

· Этап доступа к серверу.

· Протокол IPsec.

· Функции протокола IPsec.

· Протоколы AH и ESP.

· Протокол IKE.

· Резюме.

· Контрольные вопросы.

Средства сетевой безопасности Windows Server 2003

Для обеспечения безопасности сетевого соединения в целом требуется обеспечить безопасность двух важнейших процессов:

· процесса аутентификации при установке соединения;

· процесса передачи данных.

Основной метод аутентификации в Windows Server 2003 – это протокол Kerberos v5. Также поддерживается протокол NTLM (NT LAN Manager), который был основным в операционной системе Windows NT и остался в Windows Server 2003 для совместимости со старыми версиями. В лекции будет подробно рассмотрен протокол Kerberos v5.

Для защищенной передачи сообщений наиболее надежным и перспективным считается протокол IPsec. В нем используется криптостойкое шифрование, а также собственные методы аутентификации и проверки целостности передаваемых данных. Этот протокол рассматривается во второй части лекции.

Протокол аутентификации Kerberos

Протокол аутентификации Kerberos разработан в начале 80-х годов в Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT). Описан в RFC 1510. По-русски Kerberos – это Цербер, трехглавый пес, охраняющий вход в царство мертвых в древнегреческой мифологии.

В Windows Server 2003 используется модифицированная пятая версия протокола – Kerberos v5. Для шифрования применяется алгоритм DES (Data Encryption Standard – стандарт шифрования данных). Протокол обеспечивает аутентификацию в открытых сетях, т. е. там, где передаваемые пакеты могут быть перехвачены и изменены. Преимуществом протокола Kerberos по сравнению с протоколом NTLM является то, что в процессе аутентификации сервер не только удостоверяет подлинность клиента, но и по требованию клиента подтверждает свою достоверность. Ещё одно преимущество – время аутентификации при использовании Kerberos меньше, чем в случае применения NTLM.

Термины, используемые в протоколе Kerberos

Рассмотрим основные термины, используемые при описании протокола Kerberos.

Понятия аутентификации и авторизации рассматривались в лекции 7, в разделе «Доверительные отношения».

Шифрование (encryption) – процесс преобразования данных в такую форму, которая не может быть прочитана без процесса расшифрования. Шифрование осуществляется с применением шифрующего ключа (encryption key), расшифрование использует расшифровывающий ключ (decryption key).

В симметричных методах шифрования, к которым относится алгоритм DES, шифрующий и расшифровывающий ключи совпадают и такой единый ключ называется секретным ключом (secret key). Секретный ключ пользователя получается путем хеширования его пароля.

Хеширование (hashing) обозначает такое преобразование исходной последовательности данных, результат которого – хеш (hash), в отличие от результата шифрования, не может быть преобразован обратно в исходную последовательность. Это преобразование может осуществляться с помощью некоторого ключа. Хеширование часто применяют для проверки знания участниками соединения общего секретного ключа. При этом источник вычисляет хеш некоторого блока данных с использованием секретного ключа и отправляет эти данные совместно с хешем. Приемник также вычисляет хеш блока данных, и при условии совпадения ключей значения хешей должны быть равны.

Сеанс (session) – это период непрерывного соединения между двумя узлами (например, клиентом и сервером). В начале сеанса требуется пройти процедуру аутентификации. Соединение в течение сеанса осуществляется с использованием сеансового ключа.

Сеансовый ключ (session key) – секретный ключ, служащий для шифрования всех сообщений между участниками сеанса. Очевидно, должен быть известен всем участникам сеанса.

В протоколе Kerberos существует три основных участника сеансов – клиент, сервер и посредник.

Клиент – компьютер (пользователь, программа), желающий получить доступ к ресурсам сервера. Предварительно клиент должен пройти процедуры аутентификации и авторизации, используя свое удостоверение.

Сервер – компьютер (программа), предоставляющий ресурсы авторизованным клиентам.

Посредник – это специальный физически защищенный сервер, на котором работают две службы[12] – центр распространения ключей (Key Distribution Center, KDC) и служба предоставления билетов (Ticket Granting Service, TGS). В сетях Active Directory этим сервером является контроллер домена.

Центр распространения ключей KDC хранит секретные ключи всех клиентов и серверов и по запросу аутентифицированного клиента выдает ему удостоверение.

Служба предоставления билетов TGS выдает сеансовые билеты, позволяющие пользователям проверять подлинность серверов.

Удостоверения (credentials) – специальные сетевые пакеты, используемые для взаимной идентификации клиента и сервера. Удостоверения бывают двух видов: билеты (tickets) и аутентификаторы (authenticators).

Билет (ticket) – специальный пакет, удостоверяющий подлинность своего владельца. В состав билета входят имя владельца, сеансовый ключ и другие параметры. Период действия билета ограничен параметром, который называется время жизни (lifetime). По умолчанию время жизни равно 5 минутам.

Существует два типа билетов: билеты TGT (Ticket-Granting Ticket – билеты на выдачу билетов) и сеансовые билеты (session ticket).

Билет TGT содержит учетные данные, выдаваемые пользователю центром распределения ключей KDC при входе пользователя в систему.

Сеансовый билет требуется для установления сеанса соединения клиента с сервером.

Аутентификатор (authenticator) – это пакет, доказывающий, что клиент действительно является обладателем секретного ключа.

Приведенные выше термины сведены в схему на рис. 9.1.

Рис. 9.1. Термины, используемые при описании протокола Kerberos

Для дальнейшего изложения введем обозначения, представленные в таблице.

Дата добавления: 2017-01-13; Просмотров: 821; Нарушение авторских прав?; Мы поможем в написании вашей работы!