355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 56)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 56 (всего у книги 91 страниц)

компьютеров, д о в е р и т е л ь н ы х связей, и осуществляют преобразование структу-

ры безопасности. Э т и з а д а ч и в ы п о л н я ю т с я также с помощью консоли A DM T

и л и к о м а н д н о й с т р о к и , где к о м а н д а Admt.exe упрощается и автоматизируется с

помощью ф а й л о в о п ц и й , у к а з ы в а ю щ и х параметры для задачи миграции. Затем

объекты д л я м и г р а ц и и м о ж н о п е р е ч и с л и т ь с помощью простого текстового

файла, вместо т о г о ч т о б ы в в о д и т ь к а ж д ы й объект в командную строку. Кроме

того, инструмент A D M T обеспечивает интерфейсы, позволяющие использовать

сценарии задач м и г р а ц и и на таких языках, как Microsoft VBScript. Запустите

консоль A D M T и о т к р о й т е сетевую справку Help, чтобы получить сведения

об A D M T в к о м а н д н о й с т р о к е и создании сценариев для ADMT.

При в ы п о л н е н и и з а д а ч м и г р а ц и и утилита A D M T позволяет эмулировать

миграцию, ч т о б ы о ц е н и т ь п о т е н ц и а л ь н ы е результаты и ошибки без внесения

изменений в к о н е ч н ы й домен. М а с т е р ы этой утилиты позволяют тестировать

параметры м и г р а ц и и и в ы п о л н и т ь ее позже с помощью соответствующей опции

Test T h e Migration Settings And Migrate Later (Тестировать настройки миграции

и в ы п о л н и т ь м и г р а ц и ю п о з ж е ) . З а т е м задачу миграции можно отконфигури-

ровать, п р о т е с т и р о в а т ь п а р а м е т р ы , просмотреть файлы журналов и отчеты,

генерируемые мастерами. Процесс тестирования и анализа результатов будет

повторяться по мере м и г р а ц и и пользователей, групп и компьютеров, а также

выполнения п р е о б р а з о в а н и й безопасности.

Миграция и и д е н т и ф и к а т о р ы б е з о п а с н о с т и

Главной з а д а ч е й п р и в ы п о л н е н и и любой миграции является непрерывный

доступ к ресурсам. Кроме того, д л я выполнения миграции необходимо хоро-

шо знать к о н ц е п ц и и и д е н т и ф и к а т о р о в безопасности SID (Security Identifier),

I 5 7 8 Домены и леса

Глава 12

маркеров, списков контроля д о с т у п а A C L (Access C o n t r o l L i s t ) и а т р и б у т а

sIDHistory.

Идентификаторы безопасности S I D – это у н и к а л ь н ы е в д о м е н е з н а ч е н и я ,

которые назначаются учетным з а п и с я м п р и н ц и п а л о в б е з о п а с н о с т и ( н а п р и м е р ,

пользователи, группы и компьютеры), когда с о з д а ю т с я э ти у ч е т н ы е з а п и с и .

При входе пользователя генерируется м а р к е р с о с н о в н ы м S I D – и д е н т и ф и к а т о -

ром учетной записи пользователя и S I D – и д е н т и ф и к а т о р а м и групп, к о т о р ы м

принадлежит пользователь. Таким образом, м а р к е р п р е д с т а в л я е т п о л ь з о в а т е -

ля с помощью всех S I D – и д е н т и ф и к а т о р о в , с в я з а н н ы х с п о л ь з о в а т е л е м и его

членством.

Безопасность ресурсов обеспечивается с п о м о щ ь ю д е с к р и п т о р а безопас-

ности SD (Security Descriptor), к о т о р ы й о п и с ы в а е т р а з р е ш е н и я , в л а д е н и е ,

расширенные права и аудит ресурса. В д е с к р и п т о р е б е з о п а с н о с т и SD есть

два списка контроля доступа ACL (Access C o n t r o l L i s t ) . С и с т е м н ы й с п и с о к

ACL (System ACL, SACL) описывает аудит. Д и с к р е ц и о н н ы е с п и с к и A C L ( D i s -

cretionary ACL, DACL) о п и с ы в а ю т р а з р е ш е н и я д о с т у п а к ресурсу. М н о г и е

администраторы и документы н а з ы в а ю т д и с к р е ц и о н н ы й с п и с о к A C L просто

списком ACL. В списке DACL, к о т о р ы й п е р е ч и с л я е т р а з р е ш е н и я , с в я з а н н ы е

с принципалами безопасности, о т д е л ь н ы е э л е м е н т ы к о н т р о л я д о с т у п а А С Е

(Access Control Entries) связывают к о н к р е т н о е р а з р е ш е н и е с S I D – и д е н т и ф и -

катором принципала безопасности. Э л е м е н т ы А С Е т а к ж е м о г у т р а з р е ш а т ь

и запрещать права доступа.

Когда пользователь пытается п о л у ч и т ь д о с т у п к ресурсу, л о к а л ь н а я под-

система авторизации LSASS (Local Security A u t h o r i t y S u b s y s t e m ) с р а в н и в а е т

SID-идентификаторы в маркере пользователя с S I D – и д е н т и ф и к а т о р а м и в эле-

ментах разрешений АСЕ в списке к о н т р о л я доступа ( A C L ) к ресурсу.

При миграции учетных записей в н о в ы й д о м е н э т и у ч е т н ы е з а п и с и к л о н и -

руются или копируются из начального д о м е н а в к о н е ч н ы й . Д л я э т и х у ч е т н ы х

записей в конечном домене г е н е р и р у ю т с я н о в ы е S I D – и д е н т и ф и к а т о р ы , т а к

что SID-идентификаторы новых у ч е т н ы х з а п и с е й будут о т л и ч а т ь с я от S I D -

идентификаторов учетных записей в н а ч а л ь н о м домене. Т а к и м образом, д а ж е

несмотря на то, что клонированные учетные з а п и с и будут и м е т ь т а к о е же и м я

и многие свойства, по причине разных S I D – и д е н т и ф и к а т о р о в э т и учетные, за-

писи технически отличаются и не будут иметь доступа к ресурсам в н а ч а л ь н о м

домене. Эту проблему можно решить д в у м я способами: с п о м о щ ь ю атрибута

sIDHistory или путем преобразования безопасности.

• Атрибут sIDHistory Д л я реструктуризации д о м е н а на п р е д п р и я т и и , как

правило, предпочитают использовать атрибут sIDHistory. З а г л а в н ы е буквы

свидетельствуют о применении атрибута в схеме Active Directory. П р и н -

ципалы безопасности Active Directory ( в к л ю ч а я пользователей, г р у п п ы и

компьютеры) обладают S I D – и д е н т и ф и к а т о р о м п р и н ц и п а л а и а т р и б у т о м

sIDHistory, который содержит один и л и н е с к о л ь к о S I D – и д е н т и ф и к а т о р о в ,

также связанных с этой учетной записью. П р и к о п и р о в а н и и учетной за-

писи в конечный домен в структуре Active D i r e c t o r y к о н е ч н о г о домена

генерируется уникальный SID-идентификатор п р и н ц и п а л а безопасности.

^ Занятие 2 Управление множеством доменов и доверительными связями 5 7 9

П р и ж е л а н и и а т р и б у т sIDHistory м о ж н о загрузить вместе с SID-идентифи-

к а т о р о м у ч е т н о й з а п и с и в н а ч а л ь н о м домене. Когда пользователь входит

в д о м е н A c t i v e Directory, м а р к е р п о л ь з о в а т е л я заполняется SID-иденти-

ф и к а т о р о м п р и н ц и п а л а , а т а к ж е з н а ч е н и я м и атрибута sIDHistory учетной

з а п и с и п о л ь з о в а т е л я и г р у п п , к о т о р ы м п р и н а д л е ж и т пользователь. Под-

с и с т е м а а в т о р и з а ц и и L S A S S и с п о л ь з у е т S I D – и д е н т и ф и к а т о р ы из атрибута

sIDHistory а н а л о г и ч н о всем остальным S ID-идентификаторам в маркере для

п о д д е р ж к и д о с т у п а п о л ь з о в а т е л я к ресурсам в начальном домене.

• П р е о б р а з о в а н и е б е з о п а с н о с т и П р о ц е с с а н а л и з а дескриптора безопас-

н о с т и ( S D ) р е с у р с а , в к л ю ч а я его с п и с к и ACL, в котором каждый SID,

с с ы л а ю щ и й с я на у ч е т н у ю з а п и с ь в начальном домене идентифицируется

и з а м е н я е т с я S I D – и д е н т и ф и к а т о р о м в конечном домене. Процесс повтор-

ного с о п о с т а в л е н и я с п и с к о в A C L (и других элементов в дескрипторе бе-

з о п а с н о с т и ) с м и г р и р о в а в ш и м и у ч е т н ы м и з а п и с я м и в конечном домене

т а к ж е н а з ы в а е т с я п о – а н г л и й с к и re-ACLing. Преобразование безопасности

( r e – A C L i n g ) в р у ч н у ю п р е д с т а в л я е т собой утомительный процесс даже в

п р о с т о й среде. Т а к и е и н с т р у м е н т ы миграции, как ADMT, автоматизируют

п р е о б р а з о в а н и е б е з о п а с н о с т и . И н с т р у м е н т A D M T может преобразовать

д е с к р и п т о р ы б е з о п а с н о с т и и п о л и т и к и ресурсов в начальном домене для

с с ы л к и на с о о т в е т с т в у ю щ и е у ч е т н ы е записи в конечном домене. В част-

ности, у т и л и т а A D M T м о ж е т преобразовать:

• р а з р е ш е н и я ф а й л о в и папок;

• р а з р е ш е н и я п р и н т е р о в ;

• р а з р е ш е н и я о б щ е г о доступа;

• р а з р е ш е н и я реестра;

• п р а в а п о л ь з о в а т е л е й ;

• л о к а л ь н ы е п р о ф и л и с и з м е н е н и е м разрешений доступа к файлам, пап-

кам и реестру;

• ч л е н с т в о в г р у п п а х .

В б о л ь ш и н с т в е п р о е к т о в р е с т р у к т у р и з а ц и и и миграции доменов для под-

д е р ж к и доступа и ф у н к ц и о н а л ь н о с т и во время миграции используется атрибут

sIDHistory, а з а т е м в ы п о л н я е т с я преобразование безопасности.

К СВЕДЕНИЮ Миграция доменов

Подробная информация о миграции доменов, SID-идентификаторов и атрибуте

sIDHistory содержится в статье -«Domain Migration Cookbook» по адресу http://techneL

microsoft.com/en-us/library/bb727135.aspx.

Членство в г р у п п а х

Последняя п р о б л е м а д о с т у п а к ресурсам связана с членством в группах. 1ло-

бальные г р у п п ы могут содержать членов л и ш ь из одного домена. Поэтому при

клонировании п о л ь з о в а т е л я в конечный домен новая учетная запись пользова-

теля не м о ж е т б ы т ь ч л е н о м глобальных групп в начальном домене, к которым

принадлежит н а ч а л ь н а я у ч е т н а я запись пользователя.

5 8 0 Домены и леса

Глава 12

Для решения этого вопроса в п р о ц е с с е м и г р а ц и и м е ж д у л е с а м и в н а ч а л е

нужно выполнить миграцию г л о б а л ь н ы х г р у п п в к о н е ч н ы й д о м е н . Э т и гло-

бальные группы будут поддерживать S I D – и д е н т и ф и к а т о р ы н а ч а л ь н ы х г р у п п

в" своих атрибутах sIDHistory, п о д д е р ж и в а я т а к и м о б р а з о м д о с т у п к ресурсам.

Затем выполняется м и г р а ц и я п о л ь з о в а т е л е й . П р и м и г р а ц и и п о л ь з о в а т е л е й

утилита A D M T оценивает ч л е н с т в о н а ч а л ь н о й у ч е т н о й з а п и с и и д о б а в л я е т

новую учетную запись в ту же г р у п п у в к о н е ч н о м д о м е н е . Е с л и г р у п п а еще не

существует в конечном домене, у т и л и т а A D M T м о ж е т с о з д а т ь ее а в т о м а т и -

чески. После миграции учетная запись п о л ь з о в а т е л я в к о н е ч н о м д о м е н е будет

принадлежать глобальным г р у п п а м в к о н е ч н о м д о м е н е . П о л ь з о в а т е л ь и груп-

пы пользователя будут содержать S I D – и д е н т и ф и к а т о р ы н а ч а л ь н ы х у ч е т н ы х

записей в своих атрибутах sIDHistory. П о э т о м у п о л ь з о в а т е л ь с м о ж е т п о л у ч а т ь

доступ к ресурсам в начальном д о м е н е с р а з р е ш е н и я м и д о с т у п а д л я н а ч а л ь н ы х

учетных записей.

В миграции внутри леса процесс в ы п о л н я е т с я по-другому. Глобальная груп-

па создается в конечном домене к а к у н и в е р с а л ь н а я г р у п п а и м о ж е т с о д е р ж а т ь

пользователей из начального и конечного д о м е н о в . Э т а н о в а я г р у п п а п о л у ч а е т

новый SID-идентификатор, о д н а к о ее а т р и б у т sIDHistory з а п о л н я е т с я S I D -

идентификатором глобальной г р у п п ы в н а ч а л ь н о м д о м е н е , в р е з у л ь т а т е чего

поддерживаете оступ к ресурсам д л я н о в о й г р у п п ы . П о с л е м и г р а ц и и всех

пользователей начального домена в к о н е ч н ы й д л я г р у п п ы вновь н а з н а ч а е т с я

глобальная о б л а ч ъ действия вместо у н и в е р с а л ь н о й .

Другие проблемы миграции

В процессе планирования и в ы п о л н е н и я м и г р а ц и и о б ъ е к т о в м е ж д у д о м е н а м и

и лесами требуется решить много вопросов. Все э т и в о п р о с ы п о д р о б н о изложе-

ны в руководстве A D M T на странице з а г р у з к и A D M T , у к а з а н н о й ранее. Д а л е е

описаны самые важные вопросы м и г р а ц и и .

• Миграция паролей И н с т р у м е н т A D M T п о д д е р ж и в а е т м и г р а ц и ю паро-

лей пользователей, однако он не м о ж е т г а р а н т и р о в а т ь с о о т в е т с т в и е э т и х

паролей политикам конечного домена, у к а з ы в а ю щ и м д л и н у и с л о ж н о с т ь

паролей. Непустые пароли будут м и г р и р о в а н ы н е з а в и с и м о от п о л и т и к и

паролей конечного домена, и п о л ь з о в а т е л и смогут в х о д и т ь в д о м е н вплоть

до истечения срока действия этих паролей, п о с л е чего п о т р е б у е т с я создать

новый, уже соответствующий политике, пароль. Таким образом, блокировка

учетных записей во время м и г р а ц и и не о с у щ е с т в л я е т с я . О д н а к о вы може-

те с помощью A D M T о т к о н ф и г у р и р о в а т ь с л о ж н ы е п а р о л и и л и сценарий

начального пароля, а затем п р и н у д и т ь п о л ь з о в а т е л я и з м е н и т ь п а р о л ь п р и

первом входе в домен.

• Учетные записи с л у ж б С л у ж б ы на к о н т р о л л е р а х д о м е н о в могут исполь-

зовать для проверки подлинности у ч е т н ы е з а п и с и п о л ь з о в а т е л е й домена.

При миграции этих учетных з а п и с е й п о л ь з о в а т е л е й в к о н е ч н ы й д о м е н

все службы необходимо обновить с п о м о щ ь ю нового объекта и д е н т и ф и -

кации учетной записи службы. И н с т р у м е н т A D M T а в т о м а т и з и р у е т этот

процесс.

Занятие 2

Управление множеством доменов и доверительными связями

5 8 1

• О б ъ е к т ы , не п о д л е ж а щ и е м и г р а ц и и Некоторые объекты не так просто пе-

ренести. И н с т р у м е н т A D M T не может в ы п о л н я т ь миграцию таких встроен-

н ы х групп, к ак л о к а л ь н а я г р у п п а Администраторы (Administrators) домена.

В р у к о в о д с т в е п о л ь з о в а т е л я описано, к а к обойти это ограничение.

СОВЕТ К ЭКЗАМЕНУ

На сертификационном экзамене 7 0 – 6 4 0 следует помнить, что инструмент ADMT

применяется для копирования и перемещения учетных записей между доменами.

Нужно также понимать, что новая учетная запись в конечном домене получает новый

SID-идентификатор, однако при правильном использовании инструмента ADMT

можно выполнить миграцию членства в группах и заполнить атрибут sIDHistory

идентификаторами SID начальной учетной записи.

Доверительные связи

П р и р е а л и з а ц и и с ц е н а р и я с у ч а с т и е м не менее двух доменов AD DS может

потребоваться р а б о т а т ь с доверительными связями, или довериями. Важно пони-

мать н а з н а ч е н и е , ф у н к ц и о н а л ь н о с т ь и к о н ф и г у р а ц и ю доверительных связей.

Доверительные связи внутри домена

В г л а в е 5 мы о б с у ж д а л и , ч т о п р о и с х о д и т в процессе присоединения к домену

рядового с е р в е р а и л и р а б о ч е й с т а н ц и и . В рабочей группе компьютер поддер-

ж и в а е т х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и в базе данных диспетчера безо-

пасности у ч е т н ы х з а п и с е й S A M ( S e c u r i t y Account Manager) и выполняет про-

верку п о л ь з о в а т е л е й на о с н о в е и н ф о р м а ц и и из этого хранилища, обеспечивая

безопасность с и с т е м н ы х р е с у р с о в л и ш ь с помощью объектов идентификации

в базе д а н н ы х S A M . В с л у ч а е п р и с о е д и н е н и я к домену компьютер формирует

д о в е р и т е л ь н у ю с в я з ь с э т и м д о м е н о м . Доверительная связь компьютера позво-

ляет в ы п о л н я т ь п р о в е р к у п о д л и н н о с т и пользователей не с помощью локальной

системы и ее л о к а л ь н о г о х р а н и л и щ а объектов идентификации, а с помощью

служб п р о в е р к и п о д л и н н о с т и и х р а н и л и щ а объектов идентификации домена

A D DS. Ч л е н д о м е н а т а к ж е п о з в о л я е т использовать объекты идентификации

домена д л я обеспечения безопасности системных ресурсов. Например, в локаль-

ную г р у п п у Users д о б а в л я е т с я г р у п п а Пользователи домена (Domain Users),

получая т а к и м о б р а з о м п р а в о л о к а л ь н о г о входа в систему. Кроме того, учетные

записи д о м е н н ы х п о л ь з о в а т е л е й и групп могут добавляться в списки контро-

ля доступа ( A C L ) к ф а й л а м , п а п к а м , к л ю ч а м реестра и принтерам в системе.

Все ч л е н ы д о м е н а р а с п о л а г а ю т с х о д н ы м и доверительными связями с доме-

ном, в результате чего д о м е н становится центральным хранилищем объектов

и д е н т и ф и к а ц и и и п р е д о с т а в л я е т ц е н т р а л и з о в а н н у ю службу, выполняющую

проверку п о д л и н н о с т и .

Доверительные связи между доменами

Концепцию д о в е р и т е л ь н ы х с в я з е й м о ж н о расширить и на другие домены. До-

верительная связь м е ж д у д о м е н а м и позволяет одному домену доверять службе

проверки подлинности и х р а н и л и щ у объектов идентификации в другом домене

I 5 8 2 Домены и леса

Глава 12

и использовать эти объекты и д е н т и ф и к а ц и и д л я о б е с п е ч е н и я б е з о п а с н о с т и

ресурсов. Таким образом, д о в е р и т е л ь н а я с в я з ь я в л я е т с я л о г и ч е с к о й с с ы л к о й ,

устанавливаемой между доменами д л я в ы п о л н е н и я в з а и м н о й п р о в е р к и под-

линности.

В каждой доверительной с в я з и у ч а с т в у ю т д в а д о м е н а : д о в е р я ю щ и й до-

мен и доверенный домен. Д о в е р е н н ы й домен с о д е р ж и т х р а н и л и щ е объектов

идентификации и обеспечивает проверку п о д л и н н о с т и п о л ь з о в а т е л е й в этом

хранилище. Когда пользователь в к а т а л о г е д о в е р е н н о г о д о м е н а в х о д и т и л и

подключается к системе в д о в е р я ю щ е м домене, д о в е р я ю щ и й д о м е н не м о ж е т

проверить его подлинность, поскольку д а н н ы е о н е м о т с у т с т в у ю т в его хра-

нилище. Поэтому доверяющий домен передает з а д а ч у в ы п о л н е н и я п р о в е р к и

подлинности контроллеру в доверенном домене. Т а к и м образом, п е р в ы й домен

доверяет второму домену в ы п о л н и т ь п р о в е р к у п о д л и н н о с т и п о л ь з о в а т е л я .

Доверяющий (первый) домен расширяет доверие на с л у ж б ы п р о в е р к и п о д л и н -

ности и хранилище объектов и д е н т и ф и к а ц и и в д о в е р е н н о м ( в т о р о м ) домене.

Поскольку первый домен доверяет объектам п о д л и н н о с т и во в т о р о м доме-

не, первый (доверяющий) домен может и с п о л ь з о в а т ь э т и д о в е р е н н ы е о б ъ е к т ы

идентификации для предоставления доступа к ресурсам. П о л ь з о в а т е л и в дове-

ренном домене получают такие права, как р а з р е ш е н и е входа на рабочие станции

в доверяющем домене. Пользователи в глобальных группах д ове р е н н ог о домена

могут добавляться в локальные группы д о в е р я ю щ е г о д о м е н а . П о л ь з о в а т е л и и

глобальные группы в доверенном домене могут п о л у ч а т ь р а з р е ш е н и я доступа

к общим папкам путем добавления этих о б ъ е к т о в и д е н т и ф и к а ц и и в с п и с к и

ACL доверяющего домена.

Эта терминология выглядит н е с к о л ь к о з а п у т а н н о й , п о э т о м у к о н ц е п ц и ю

доверительных связей проще понять с п о м о щ ь ю рисунка. На рис. 12-5 показана

простая схема доверительной связи. Домен А д о в е р я е т д о м е н у Б, то есть домен

А является доверяющим, а домен Б – доверенным. Е с л и п о л ь з о в а т е л ь в домене

Б подключается или входит на компьютер в д о м е н е А, то э т о т д о м е н передает

запрос проверки подлинности к о н т р о л л е р у в д о м е н е Б. Д о м е н А т а к ж е может

использовать объекты и д е н т и ф и к а ц и и из д о м е н а Б, н а п р и м е р п о л ь з о в а т е л е й

и группы, чтобы предоставлять доступ к ресурсам в д о м е н е А. П о э т о м у поль-

зователя или группу в домене Б можно д о б а в и т ь в с п и с о к A C L о б щ е й п а п к и

в домене А. Пользователь или группа в д о м е н е Б т а к ж е могут быть д о б а в л е н ы

в локальную группу домена А.

Рис. 12-5. Схема простой доверительной связи

Занятие 2

Управление множеством доменов и доверительными связями

5 8 3

СОВЕТ К ЭКЗАМЕНУ

Доверительные связи являются важной темой сертификационного экзамена 70-640.

Поэтому следует полностью понимать концепцию доверяющего домена, доверенного

домена и доверия. При сдаче экзамена можно рисовать схемы доверительных связей,

чтобы было проще понять, какой домен является доверенным и содержит поль-

зователей и группы, которые использует доверяющий домен, чтобы предоставить

доступ к ресурсам. Связь всегда следует проводить из домена с ресурсами, такими

как компьютеры и общие папки, в домен с пользователями.

Характеристики доверительных отношений

Д о в е р и т е л ь н ы е о т н о ш е н и я м е ж д у д о м е н а м и характеризуются следующими

а т р и б у т а м и д о в е р и я .

• Т р а н з и т и в н о с т ь О д н и д о в е р и т е л ь н ы е с в я з и я в л я ю т с я транзитивными,

д р у г и е – нет. На рис. 12-6 д о м е н А доверяет домену Б, а домен Б доверяет

д о м е н у В. Е с л и э т и д о в е р и я я в л я ю т с я транзитивными, то домен А будет

д о в е р я т ь д о м е н у В. Е с л и же д о в е р и е не является транзитивным то домен А

не будет д о в е р я т ь д о м е н у В. В большинстве случаев можно создать третью

д о в е р и т е л ь н у ю с в я з ь , у к а з ы в а ю щ у ю доверие домена А к домену В. При

и с п о л ь з о в а н и и т р а н з и т и в н о г о доверия третья доверительная связь стано-

в и т с я л и ш н е й , п о с к о л ь к у она подразумевается по умолчанию.

Рис. 12-6. Пример доверительной связи

• Н а п р а в л е н и е Д о в е р и т е л ь н а я с в я з ь может быть односторонней и двух-

с т о р о н н е й . В о д н о с т о р о н н е м д о в е р и и (см. рис. 12-5) пользователи в дове-

р е н н о м д о м е н е п о л у ч а ю т д о с т у п к ресурсам в доверяющем домене, однако

п о л ь з о в а т е л и в д о в е р я ю щ е м домене не могут получить доступ к ресурсам в

д о в е р е н н о м домене. В большинстве случаев для решения этой задачи нужно

создать в т о р у ю о д н о с т о р о н н ю ю связь в обратном направлении – например,

чтобы д о м е н Б д о в е р я л д о м е н у А. Некоторые доверительные связи по своей

сути я в л я ю т с я д в у х с т о р о н н и м и : оба домена доверяют объектам идентифи-

к а ц и и и с л у ж б а м п р о в е р к и п о д л и н н о с т и в другом домене.

• С о з д а н и е а в т о м а т и ч е с к и или в р у ч н у ю Доверительные связи создаются

как автоматически, т а к и вручную.

Внутри леса все д о м е н ы доверяют друг другу. Причина заключается в том,

что корневой д о м е н каждого дерева в лесу доверяет корневому домену леса

5 8 4 Домены и леса

(первому домену, установленному в лесу), н к а ж д ы й д о ч е р н и й д о м е н д о в е р я е т

своем)' родительскому домену. Все связи, с о з д а в а е м ы е а в т о м а т и ч е с к и , у д а л я т ь

нельзя. Они являются транзитивными и д в у х с т о р о н н и м и . К о н е ч н ы й результат

состоит в том, что домен д о в е р я е т х р а н и л и щ а м о б ъ е к т о в и д е н т и ф и к а ц и и и

службам проверки подлинности всех о с т а л ь н ы х д о м е н о в в своем лесу. Поль-

зователей и глобальные группы из лю б о г о д о м е н а л е с а м о ж н о д о б а в л я т ь в ло-

кальные группы домена, предоставлять им права доступа и д о б а в л я т ь в с п и с к и

ACL ресурсов в любом другом д о м е н е леса. Д о в е р и т е л ь н ы е с в я з и с д р у г и м и

лесами и доменами вне своего леса необходимо у с т а н а в л и в а т ь в р у ч н у ю . Д а л е е

мы более подробно рассмотрим д о в е р и т е л ь н ы е с в я з и в н у т р и и в н е леса Active

Directory.

Протоколы проверки подлинности и доверительные связи

Проверка подлинности пользователей Active D i r e c t o r y в W i n d o w s Server 2008

выполняется одним из двух протоколов – K e r b e r o s v5 и л и NT LAN M a n a g e r

(NTLM). Протокол Kerberos v5 по у м о л ч а н и ю и с п о л ь з у е т с я к о м п ь ю т е р а м и

Windows Server 2008, W i n d o w s Vista, W i n d o w s S e r v e r 2003, W i n d o w s ХР и

Windows 2000 Server. Если компьютер, у ч а с т в у ю щ и й в т р а н з а к ц и и п р о в е р к и

подлинности, не поддерживает Kerberos v5, вместо него п р и м е н я е т с я п р о т о к о л

NTLM.

Проверка подлинности Kerberos внутри домена

Когда пользователь входит на клиентский компьютер, и с п о л ь з у ю щ и й протокол

Kerberos v5, на контроллер домена отправляется з а п р о с п р о в е р к и подлинности.

Каждый контроллер домена Active Di r e c t o r y в ы п о л н я е т р о л ь ц е н т р а распреде-

ления ключей KDC (Key Distribution C e n t e r ) , я в л я ю щ е г о с я я д р о м Kerberos.

После подтверждения подлинности п о л ь з о в а т е л я ц е н т р K D C н а к о н т р о л л е р е

домена выдает прошедшему проверку п о л ь з о в а т е л ю т а к н а з ы в а е м ы й б и л е т на

получение билетов T G T (Ticket-Granting T i c k e t ) .

Когда пользователю нужен доступ к р е с у р с а м на к о м п ь ю т е р е в т о м же до– |

мене, то вначале он должен получить п о д л и н н ы й сеансовый билет д л я компью-

тера. Сеансовые билеты выдаются центром K D C к о н т р о л л е р а домена, т а к что

пользователь возвращается к контроллеру домена и делает запрос, представляя

билет T G T в подтверждение того, что он у ж е п р о ш е л п р о в е р к у подлинности.

Поэтому центр K D C отвечает на запрос сеансового б и л е т а без п о в т о р н о й про-

верки подлинности объекта и д е н т и ф и к а ц и и п о л ь з о в а т е л я . П о л ь з о в а т е л ь с к и й

запрос сеансового билета указывает компьютер и службу, к к о т о р о й требуется

доступ. Центр K D C идентифицирует расположение с л у ж б ы в том же домене на

основе имени участника службы S P N (Service Principal N a m e ) запрашиваемого

сервера, а затем выдает пользователю сеансовый б и л е т д л я нее.

После этого пользователь подключается к с л у ж б е и п р е д ъ я в л я е т сеансовый

билет. Сервер определяет его подлинность и прохождение проверки подлиннос-

ти пользователем в домене с помощью частных ключей (на этом з а н я т и и они не

описаны). Поэтому серверу нет надобности в ы п о л н я т ь проверку подлинности

пользователя: ои принимает проверку подлинности и объект и д е н т и ф и к а ц и и

в домене, с которым у компьютера установлена д о в е р и т е л ь н а я связь.

Занятие 2

Управление множеством доменов и доверительными связями

5 8 5

Все эти т р а н з а к ц и и Kerberos у п р а в л я ю т с я клиентами и серверами Windows

в п р о з р а ч н о м р е ж и м е д л я с а м и х п о л ь з о в а т е л е й .

Проверка подлинности Kerberos внутри леса

К а ж д ы й д о ч е р н и й д о м е н в л е с у д о в е р я е т своему родительскому домену с ис-

п о л ь з о в а н и е м а в т о м а т и ч е с к о й д в у х с т о р о н н е й т р а н з и т и в н о й связи, которая

н а з ы в а е т с я связью «родитель – потомок». К о р н е в о й домен каждого дерева

доверяет к о р н е в о м у д о м е н у леса с п р и м е н е н и е м автоматической двухсторонней

т р а н з и т и в н о й с в я з и , к о т о р а я н а з ы в а е т с я связью «дерево – корень».

Э т и д о в е р и т е л ь н ы е с в я з и с о з д а ю т в л е с у т а к называемый путь доверия,

и л и поток доверия. К о н ц е п ц и ю п у т и д о в е р и я п р о щ е понять с помощью схе-

мы, п о к а з а н н о й на р и с . 12-7. Л е с с о с т о и т из двух деревьев tailspintoys.com

и w i n g t i p t o y s . c o m . К о р н е в ы м д о м е н о м леса я в л я е т с я домен tailspintoys.com.

На рис. 12-7 с в е р х у п о к а з а н л е с в п е р с п е к т и в е DNS, внизу – путь доверия,

у к а з ы в а ю щ и й , что к о р н е в о й д о м е н д е р е в а wingtiptoys.com доверяет домену

tailspintoys.com.

Лес в перспективе DNS

Лес в перспективе пути доверия

Рис. 12-7. Лес Active Directory в перспективе DNS и перспективе пути доверия

20 Зак. 3399

I 5 8 6 Домены и леса

Глава 12

Путь доверия используется в п р о в е р к е п о д л и н н о с т и K e r b e r o s д л я предо-

ставления пользователю в одном д о м е н е сеансового б и л е т а д о с т у п а к с л у ж б е

в другом домене. Если пользователю в д о м е н е u s a . w i n g t i p t o y s . c o m требуется

доступ к общей папке на сервере в д о м е н е europe.tailspintoys.com, в ы п о л н я е т с я

следующая транзакция.

1. Пользователь входит на компьютер в домене usa.wingtiptoys.com и проходит

проверку подлинности на контроллере в домене usa.wingtiptoys.com с помощью

процесса проверки подлинности, описанного в п р е д ы д у щ е м разделе. Поль-

зователь получает билет T G T для контроллера в д о м е н е usaiwingtiptoys.com.

Пользователю требуется п о д к л ю ч и т ь с я к о б щ е й п а п к е на сервере в д о м е н е

europe.tailspintoys.com.

2. Пользователь связывается с ц е н т р о м K D C к о н т р о л л е р а в д о м е н е usa.

wingtiptoys.com для запроса сеансового б и л е т а с е р в е р а в д о м е н е europe.

tailspintoys.com.

3. Контроллер в домене usa.wingtiptoys.com на о с н о в е и м е н и у ч а с т н и к а служ-

бы SPN определяет, что требуемая с л у ж б а р а с п о л о ж е н а в д о м е н е europe.

tailspintoys.com, а не в локальном домене.

Центр KDC выполняет роль д о в е р е н н о г о п о с р е д н и к а м е ж д у к л и е н т о м

и службой. Если K D C не может выдать с е а н с о в ы й б и л е т д л я с л у ж б ы по-

тому, что эта служба расположена в д о в е р е н н о м , а не л о к а л ь н о м домене,

центр K D C выдаст клиенту реферрал ( н а п р а в л е н и е ) , с п о м о щ ь ю которого

клиент получит запрашиваемый с е а н с о в ы й билет.

Чтобы определить следующий шаг, центр K D C и с п о л ь з у е т п р о с т о й алго-

ритм. Если домен службы доверяет н е п о с р е д с т в е н н о д о м е н у K D C , центр

KDC выдаст клиенту реферрал на к о н т р о л л е р в д о м е н е с л у ж б ы . Е с л и эти

домены не являются непосредственными у ч а с т н и к а м и д о в е р и я , но м е ж д у

KDC и доменом службы установлено т р а н з и т и в н о е д о в е р и е , ц е н т р K D C

выдаст клиенту реферрал на с л е д у ю щ и й д о м е н в п у т и д о в е р и я .

4. Домены usa.wingtiptoys.com и europe.tailspintoys.com не я в л я ю т с я непос-

редственными участниками доверия, однако м е ж д у н и м и существует тран-

зитивная связь, поэтому центр K D C в д о м е н е u s a . w i n g t i p t o y s . c o m выдает

клиенту реферрал на контроллер в с л е д у ю щ е м д о м е н е w i n g t i p t o y s . c o m на


    Ваша оценка произведения:

Популярные книги за неделю