Upload
delano
View
30
Download
1
Embed Size (px)
DESCRIPTION
Hálózati Operációs Rendszerek. Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos [email protected] www.inf.u-szeged.hu/~bilickiv. Forrás. Brian Arkils: LDAP directories explained SUN One Directory Server 5.2: ( http://docs.sun.com/db/prod/s1.s1dirs#hic ) - PowerPoint PPT Presentation
Citation preview
1
Hálózati Operációs Rendszerek
Sun ONE Directory Server, Active Directory
Előadó: Bilicki [email protected]/~bilickiv
2
Forrás Brian Arkils: LDAP directories explained SUN One Directory Server 5.2:
( http://docs.sun.com/db/prod/s1.s1dirs#hic ) Microsoft Active Directory: (
http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx
)
3
Tartalom/1 Sun ONE Directory Server
Névtér Adatbázisok Indexelés Hivatkozások Láncolás
Kliens LDAP műveletek Kliensek Vezérlők Plug-in-ek
Séma Csoportok Szabályok/Szerepkörök Szolgáltatás osztályok
Menedzsment Replikáció
Biztonság
4
Tartalom/2 Microsoft Active Directory
Névtér Particiók Elosztott Címtár funkcionalitás Adatbázisok
Kliens LDAP műveletek Kliensek Vezérlők
Séma Osztályok Tulajdonságok
Menedzsment Replikáció
Biztonság
5
SUN One Directory Server 5.2 Története:
University of Michigan - LDAP Netscape – Netscape Directory Server SUN + Netscape – iPlanet Directory Server SUN - SUN One Directory Server
Platform független: Linux, Solaris, Windows, AIX, … Integrált a Solaris-szal
6
Névtér DNS alapú a javallot (RFC2247), de támogatja az
X.500 alapút is Tetszőleges számú elnevezési környezetet
támogat Nem támogatja a DNS SRV alapú szolgáltatás
hirdetést(?) Sok más termék használja ezt a névteret
Sun ONE Identity Server,… LDBM adatbázis
Alapvetően egy adatbázis – egy név környezet Egy adatbázis – több környezet Több adatbázis – egy környezet
7
Névtér Speciális név környezet (telepítéskor genrálódik)
cn=config cn=plugins
cn=ldbmdatabase cn=index
cn=encryption cn=snmp cn= mapping tree cn=replication cn=uniqueid generator …
o=NetscapeRoot ez csak egy helyen található (adminisztráció, mindent)
rootDSE namingContexts tartalmazza a elnevezési környezeteket
Sajár névtér pl.: dc=cab,dc=u-szeged,dc=hu
8
Adatbázis funkcionalitás LDBM adatbázis alapegység:
Indexelés Replikáció Tárolás
Dinamikusan menedzselhető kiesés nélkül (OpenLDAP) Alap: Egy elnevezési környezet – egy adatbázis Konfigurálhatjuk a kérdés feldolgozás helyét:
Gyökér elem nsslapd-state attribútum (kérés utótag alapján)
backend (nsslapd-backend egy-név körny. több adatbázis) disabled referral (nnslapd-referral) referral update
9
Indexelés Adatbázisra lehet specifikálni Tulajdonságok:
Létezés Egyenlőség Kb. megegyezés Substring Nemzetközi
Két index csoport: Rendszer
dnComp eq objectClass eq …
Alapértelmezett cn pres,eq,sub givenName pres,eq,sub uid eq …
10
Hivatkozások Egy címtár egy külső hivatkozás Adatbázisonként egy végződés hivatkozás Okos hivatkozások (végződés alapján)
Mindenre Csak írásra
Hivatkozás láncolás Speciális objektum -> láncolás plug-in Ez egy link egy másik szerverre, nem LDAP
kompatibilis Több is lehet egymás után (nsHopLimit)
11
Műveletek kliensek Netscape böngésző Parancssor Címtárképes alkalmazások:
Sun ONE Web Server Sun ONE Calendar server Sun Directory Proxy server …
Programozás: Sun SDK
Java C Perl
Vezérlők (10 db) ManageDSAIT (referencia) Persistent Search Control Password Expiration Warning control Virtual List …
Plug-in-ek (31 darab) Könnyen bővíthető Ellátnak címtár független feladatokat is cn=plugins,cn=config
12
Séma (1) Minden LDAP specifikus eleme megtalálható LDIF fájl, hozzáférhető a névtérből is
cn=schema
Séma replikáció Multimaster (problémás lehet) Singlemaster
Csoportok groupOfNames – members (DN), lehet egymásba ágyazott is groupOfURLs – memberURL (kereső kifejezések, nem lehet
egymásba ágyazott) Dinamikus esetben nincs olyan módszer melyel könnyen
megállapítható, hogy egy DN mely csoportok tagja!
13
Séma (2) Szerepek/Szabályok
A csoport inverze nsRole - (csak olvasható dinamikus) nsRoleDN - (írható, olvasható) A visszacstolás hiány indokolja Típusai:
nsNestedRoleDefinition nsManagedRoleDefinition (alap) nsFilteredRoleDefinition
Problémás lehet ha a felhasználónak joga van saját adatait írni
14
Séma (3) Szolgáltatás Osztálya (Class of Service CoS)
Egy tulajdonságot több tulajdonsághoz rendel (X.500 alséma) Előnye
Hatékonyabb helykihasználás Egyszerűbb menedzsment
Hátránya Nem használható kereső mezőnek
Típusai: cosTemplate cos defniciós bejegyzések
cosClassicDefinition cosIndirectDefinition cosPointerDefinition
15
Séma (4) cos definiciós bejegyzések
Meghatározzák a helyükkel az érvényességi kört Minden alattuk lévő elemre vonatkozik cosAttribute – megmondja mely tulajdonságokra
érvényes specifier – az értéket adja meg (más-más módon)
PointerCoS cosTemplateDN – cosTemplate (egy DN mely a template-
re mutat) cosAttribute (egy tulajdonság mely megmondja mit kell
kiolvasni)
16
Ábra
17
Séma(5) cosClassicDefinition
cosAttribute – ezt olvassa ki cosSpecifier - Ezt pakolja hozzá az alsóhoz cosTemplateDN - ez a template helye Pl.:Egy cél bejegyzés: Bilicki Vilmos: o=cab, …
cosSpecifier = o cosTemplateDN = cn=u-szeged,cn=hu
ekkor a cél o értéket csapja hozzá a cosTemplateDN értékhez
18
Ábra
19
Séma(6) cosIndirectDefinition
cosIndirectSpecifier – a cél bejegyzésen egy érték, ezt DN-nek tekintve lekérdezi az
cosAttribute értékét
Pl.: cosIndirectSpecifier = managerA manager tulajdonság a menedzserteljes DN
címét tartalmazza, így a menedszer bejegyzés egy a cosAttribute tulajdonságban megadott értékeét foja megkani a cél elem. Pl.: o
Így lehet egy menedzser mozgatásával átmozgatni egy egész csoportot…
20
Ábra
21
Menedzsment Sok megoldás
HTML, GUI LDAP Proxy
Saját szabályok adhatóak meg Biztonságos megoldás
iPlanet MetaDirectory Sok csatlakozó SQL, …
22
Replikáció Push modell (a forrás szól ha változás történt) Elemei:
Master – írható, olvastható, változás napló Consumer – olvasható, írásnál a masterre irányít Hub – ugyanaz mint a fogyasztó, csak ez is tükrözhető
Replikációs megegyezések Fogyasztó Adatbázis Időzítés Azonosítás Titkosítás
Multimaster -> mindkét irányba megegyezést definiálni Ütközés
Utolsó változás (időbélyeg) Manuális (nsds5ReplConflict)
A séma automatikusan replikálódik (elsőnek)
23
Biztonság Nagyon sokoldalú
Proxy (személyetelnítés, …) Dinamikus csoport Szabály Tetszőleges tulajdonság IP DNS név, …
Digitális Igazlovány – userCertificate Kliens továbbadás (mint kerberos esetén) Engedélyezés
Statikus és dinamikus ACI
Cél pl.: (target=”ldap://cn=*,ou=*,dc=u-szeged,dc=hu), tetszőleges kereső kifejezés
Fejléc (verzió, név) Engedélyek Kötési szabályok (a felhasználó azonosítását írja le: DN, DNS, IP, …)
ACL Makró használat
24
Active Directory NT 4.0
Lapos névtér (netbios) Csak azonositás
AcitveDirectory RFC kompatibilis LDAP cimtár Platform függő (Win200, Win2003) Inkább menedzsment eszköz mint cimtár
Nagyon jól integrált megoldás Kliens menedzsment (jogok, programok,…) Cimjegyzék Digitális bizonyitványok, …
25
Névtér(1) DNS-hez kötött (RFC2247)
Minden objektumnak globálisan is egyedi azonositoja van
Használja a DNS SRV bejegyzéseket (round-robin terheléselosztásra is)
A kliens a legközelebbi szervert tudja kiválasztani (sites)
A DNS is integrálható az AD-be Nem kell a replikációval foglalkoznunk Biztonságos frissités lehetősége
Nem támogatja az X.500 névtér tervet
26
Névtér(2) Az alábbi egységekből épül fel:
Erdő – egy erdőben több különböző DNS névtér tartozhat Pl.: cab.inf.u-szeged.hu, inform.inf.u-szeged.hu Közös séma Közös konfiguráció
Fa – Az erdő épitőköve: egy DNS névtér (folytonos) Pl.: cab.u-szeged.hu Közös névtér
Tartomány – A fa ága, egy DNS azonositó Pl.: windom.cab.u-szeged.hu Tartományvezérlők tárolják
Egy tartományvezérlő csak egy tartományt tárolhat Az elsőnek létrehozott lesz az erdő és fa gyökér, … Egy tartománz tetszőleges számú gépen tárolható Replikálás biztositja az adat konzisztenciát
27
Névtér(3) Helyek (Sites)
Egy olyan egység mely nagysávszélességű kapcsolatokkal rendelkezik a hozzátartozó elemek között
A cimtár forgalomszabályozását segitik speciális paraméterek segitségével
Független a cimtár felépitésétől A cimtérban van tárolva A replikáció a site-k között definiálható
Hely híd (site bridge) Megadható a sávszélesség, költség, …
Site alapján is kereshetünk Nyomtató, …
28
Névtér(4) Particiók:
Minden tartományvezérlőn 3 partíció van A partíció a replikáció alaegysége Tipusai:
Tartomány elnevezési környezet (Domain Naming Context) Ez a felhasználó adat tárolója
Konfiguráció elnevezési környezet (Configuration Naming Context) Ez közös minden tartományvezérlőn az erdőben
Séma elnevezési környezet (Schema Naming Context) Ez közös minden tartományvezérlőn az erdőben
Minden tartományvezérlő kvázi függetlenül működhet a többitől
29
Névtér(5) Konfiguráció partíció
Az egész cimtárban állandó Configuration
WellKnowSecurityPrincipals (AuthenticatedUsers) Services (az erdőben érvényes csoportházirend is itt van
tárolva) NetServices RRAS WindowsNT Public Key Services
ExtendedRights (saját jogok) Sites (pl. GC helye)
Intersite Transports DisplaySpecifiers Partitions (hivatkozások - crossRef) LostAndFoundConfig (replikációs hibák, árva elemek, …)
30
Névtér(6) Tartomány partíció
Computers Builtins LostAndFound ForeignSecurityPrincipals – proxy azonositok Users DomainControlers System – FSMO, DNS bejegyzések
Ez a felhasználó adatok tárolója
31
Névtér(7) Flexible Single Master Operations
Csak egy helyen irható, olvasható Tipusai:
Infrastruktúra – particiok közötti konzisztencia RID master – egyedi azonositó gyártás Schema master Domain Naming master PDC emulator – NT4.0
32
Névtér (8) Séma partíció(142 osztály, 863 tulajdonság)
Az erdőben egyforma Két objektum engedélyezett:
attributeSchema classSchema
Saját osztályt, tulajdonságot definiálhatunk Globális Katalógus – GC
Gyorstár Minden objektumot tárol, nem minden tulajdonsággal A tulajdonságról a sémában mondhatjuk meg, hogy
szerepeljen-e a GC-ben Csak olvasható Azonositásban kritikus szerepe van
33
Műveletek, Kliensek LDAP v3 kompatibils A klinesek nagyon jól integrálják a cimtár szolgáltatásait
Azonositas Kereső segitő Cimjegyzék Nyomtató keresés Megosztott mappák DFS, …
Komoly programozói támogatás ADSI Active Directory Services Interface – cimtár független is tud lenni LDAP API SDK
Vezérlők (16): Statisztika Lusta módositás Törölt objektumok visszaadása …
Exchange integrálás Levelezés Naptár Üzenetküldés, …
34
Séma Mindenhol egyforma Sok előre gyártott elem Néhány részét nem lehet megváltoztatni Néhány helyen nem teljesen szabványos (X.500):
sn egy értékű Nem lehet új szintxisokat, összehasonlitasokat definiálni Osztályok:
Származtatás Top osztályból származik minden
Nincs Alias User, Computer objektum nagyon sokoldalú
Principal name …
objectGUID, objectSID Tulajdonságok
Kapcsolt tulajdonságok, ha egy elemhez adott tulajdonsággal hozzáadok egy másikat akkor ez viszont is működik másik attribútum párral
35
Menedzsment MMC ADSI LDIF, … Replikáció
SMTP, RPC Minden partíció külön replikálható
Séma, Konfiguráció minden tartományvezérlőre Tartomány csak az azonos tartományba lévőekre
Gyűrű replikációs topológia KCC Sirkő UpdateSequenceNumber, Időbélyeg
Indexelés Microsoft Metadirectory Services
36
Replikáció
ReplikációEredti FrissitésEredti Frissités
Domain Controller A
Változás Értesités
Változás Értesités
Domain Controller C
DomainController B
Replikált FrissitésReplikált Frissités
Replikált FrissitésReplikált Frissités
Alap Késleltés = 5 perc
Ha nincs változás = Egy óra
Fontos Változás = Azonnali Értesités
37
Konfliktus kezelésDomain Controller A
Originating UpdateOriginating Update
Domain Controller B
Konfl.Konfl.
Originating UpdateOriginating UpdateBélyegBélyeg BélyegBélyeg
Konfl.Konfl.
Verzió Szám IdőbélyegIdőbélyeg Szerver GUID
BélyegBélyeg
Konfliktusok okai: Attribútum változás Törölt tárolóba helyezni objektumokat
38
Biztonság PKI támogatás Cert hatóság Kerberos V5 NTLM TLS Smart Card A következő óra erről fog szólni
39
Áttekintés/1 Sun ONE Directory Server
Névtér Adatbázisok Indexelés Hivatkozások Láncolás
Kliens LDAP műveletek Kliensek Vezérlők Plug-in-ek
Séma Csoportok Szabályok/Szerepkörök Szolgáltatás osztályok
Menedzsment Replikáció
Biztonság
40
Áttekintés/2 Microsoft Active Directory
Névtér Particiók Elosztott Címtár funkcionalitás Adatbázisok
Kliens LDAP műveletek Kliensek Vezérlők
Séma Osztályok Tulajdonságok
Menedzsment Replikáció
Biztonság
41
A következő előadás tartalma ADAM Biztonság
Problémák Technológiák Azonosítás
NTLM TLS Kerberos V5