Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 81 (всего у книги 91 страниц)
защиты с о д е р ж и м о г о а в т о р и з о в а н н ы м и п о л ь з о в а т е л я м и . Э т а л и ц е н з и я
определяет назначенные права доступа к документу. Когда д о к у м е н т о т к р ы -
вает другой авторизованный п о л ь з о в а т е л ь , с е р в е р о м п р е д о с т а в л я е т с я л и -
цензия на использование, к о т о р а я н а в с е г д а п р и к р е п л я е т с я к д о к у м е н т у .
• Корневой кластер Создается автоматически п р и у с т а н о в к е AD R M S . Э т о т
кластер обеспечивает в ы с о к у ю готовность с л у ж б ы A D R M S п р и у с т а н о в к е
других серверов. В лесу AD DS м о ж н о у с т а н о в и т ь л и ш ь о д и н к о р н е в о й
Практические задания 7Q9
к л а с т е р , о д н а к о д л я п о д д е р ж к и о п е р а ц и й A D R M S м о ж н о также создавать
к л а с т е р ы л и ц е н з и р о в а н и я .
Сценарий. Подготовка к работе с внешним кластером
AD RMS
В н а с т о я щ е м с ц е н а р и и н е о б х о д и м о п р и м е н и т ь полученные знания о службах
у п р а в л е н и я п р а в а м и A c t i v e Directory. О т в е т ы иа вопросы представлены в раз-
д е л е « О т в е т ы » в к о н ц е к н и г и .
Б у д у ч и с и с т е м н ы м а д м и н и с т р а т о р о м к о м п а н и и Contoso, Ltd, в ы недавно
з а к о н ч и л и п р о ц е с с р а з в е р т ы в а н и я AD R M S в организации, и пока все рабо-
т а е т н о р м а л ь н о . П о л ь з о в а т е л и в н у т р и и вне сети имеют доступ к политикам
у п р а в л е н и я п р а в а м и , г а р а н т и р у ю щ и м з а щ и т у содержимого.
Т е п е р ь п о л и т и к и з а щ и т ы п р а в доступа необходимо использовать совместно
с п а р т н е р с к о й о р г а н и з а ц и е й , р а з м е с т и в и н ф р а с т р у к т у р ы служб федерации.
О п и ш и т е с в о и в о з м о ж н о с т и .
Практические задания
Ч т о б ы п о д г о т о в и т ь с я к с е р т и ф и к а ц и о н н о м у экзамену, выполните предлагаемые
д а л е е у п р а ж н е н и я .
Работа с AD RMS
П о д а н н о й т е м е н а э к з а м е н е будет т о л ь к о один вопрос. Поэтому займитесь
п р а к т и ч е с к и м и у п р а ж н е н и я м и в с л е д у ю щ и х случаях:
• о п р е д е л е н и е т р е б о в а н и й у с т а н о в к и AD RMS;
• п р о ц е с с у с т а н о в к и и н а с т р о й к и к о р н е в ы х кластеров AD RMS;
• з а в е р ш е н и е п р о ц е с с а н а с т р о й к и корневого кластера;
• и с п о л ь з о в а н и е ш а б л о н о в п о л и т и к и прав доступа.
В ы т а к ж е д о л ж н ы и з у ч и т ь с е к ц и и консоли A D RMS. Все они доступны
в Д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) .
• У п р а ж н е н и е 1 П о д г о т о в ь т е т е с т о в у ю среду, руководствуясь инструкци-
я м и , п р и в е д е н н ы м и в р а з д е л е « П р е ж д е всего» в начале этой главы. По
в о з м о ж н о с т и и с п о л ь з у й т е д л я п о д д е р ж к и установки внешний сервер баз
д а н н ы х , ч т о б ы о т к о н ф и г у р и р о в а т ь р е а л ь н ы й корневой кластер. Затем со-
з д а й т е к л а с т е р и добавьте в него второй сервер, чтобы проследить за работой
к л а с т е р о в .
• У п р а ж н е н и е 2 П о с л е у с т а н о в к и кластера выполните в Диспетчере сервера
( S e r v e r M a n a g e r ) все о п е р а ц и и , необходимые д л я создания или модифика-
ц и и ш а б л о н а п о л и т и к и п р а в доступа. Эти шаблоны играют важную роль
в п р о ц е с с е а д м и н и с т р и р о в а н и я AD R M S .
О б я з а т е л ь н о п р о а н а л и з и р у й т е р е а л и з а ц и ю D R M в Windows Server 2008.
На в е б – с а й т е M i c r o s o f t T e c h N e t т а к ж е есть много информации о службах AD
R M S , к о т о р у ю по в о з м о ж н о с т и следует просмотреть и изучить.
Службы управления правами Active Directory
Глава 16
Пробный экзамен
Н а п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
т р е н и р о в о ч н ы х тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и т о л ь к о п о о д н о й т е м е
с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м ' т е м а м .
Тестирование м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы о н о п р о в о д и л о с ь к а к
экзамен, л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е в ы с м о ж е т е
после к а ж д о г о с в о е г о о т в е т а на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е ответы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении, к д а н н о й книге.
Г Л А В А 1 7
Службы федерации Active Directory
Занятие 1. Концепция служб федерации Active Directory 843
Занятие 2. Настройка служб федерации Active Directory 866
С п о я в л е н и е м И н т е р н е т а о р г а н и з а ц и я м стало довольно сложно обеспечивать
б е з о п а с н о с т ь с в о и х сетей. О с н о в н о й п р и н ц и п защиты заключается в том, что
к а ж д а я о р г а н и з а ц и я , и с п о л ь з у ю щ а я и н т е р ф е й с между своей сетью и Интер-
нетом, т а к ж е р а с п о л а г а е т н е к о т о р ы м т и п о м сети периметра. Во многих слу-
ч а я х о р г а н и з а ц и и р е а л и з у ю т т а к и е специальные технологии безопасности,
к а к с и с т е м ы о б н а р у ж е н и я в т о р ж е н и й или межсетевого экранирования, где
н е о б х о д и м о о б е с п е ч и т ь м а к с и м а л ь н о возможную безопасность брандмауэров
в сети по п е р и м е т р у . Но к а к эти меры предосторожности влияют на потенци-
а л ь н ы е п а р т н е р с к и е с в я з и ?
Когда с о з д а в а л и с ь п е р в ы е д о м е н ы Microsoft Windows с системой Microsoft
W i n d o w s NT, к о р п о р а ц и я Microsoft предусмотрела возможность создания дове-
р и т е л ь н ы х о т н о ш е н и й между доменами с целью поддержки их взаимодействия.
С в ы х о д о м д о м е н н ы х с л у ж б Active Directory (Active Directory Domain Services,
AD D S ) в W i n d o w s 2000 к о р п о р а ц и я Microsoft внедрила концепцию доверия и
п о д д е р ж к и д о в е р и т е л ь н ы х о т н о ш е н и й между доменами. Домены в одном лесу
п р и м е н я л и а в т о м а т и ч е с к и е т р а н з и т и в н ы е доверия, а для совместного исполь-
з о в а н и я к о н т е к с т о в б е з о п а с н о с т и домены из других лесов применяли явные
д о в е р и т е л ь н ы е о т н о ш е н и я . С в ы х о д о м Microsoft Windows 2003 корпорация
M i c r o s o f t р а с ш и р и л а к о н ц е п ц и ю т р а н з и т и в н о г о доверия до уровня лесов и
р е а л и з о в а л а д о в е р и т е л ь н ы е о т н о ш е н и я между лесами. С помощью доверитель-
ных с в я з е й л е с о в п а р т н е р ы м о г л и расширять контексты безопасности своего
в н у т р е н н е г о леса с ц е л ь ю у с т а н о в л е н и я доверия с лесами других партнеров.
О д н а к о р е а л и з а ц и я д о в е р и т е л ь н ы х отношений лесов приводит к следующим
п о с л е д с т в и я м :
• в о – п е р в ы х , д л я п о д д е р ж к и т р а ф и к а доменных служб Active Directory (AD
D S ) в б р а н д м а у э р е н е о б х о д и м о открыть определенные порты;
• во-вторых, по м е р е р а с ш и р е н и я партнерских отношений станет довольно
с л о ж н о у п р а в л я т ь м н о ж е с т в о м доверительных связей (рис. 17-1).
' 838
Службы федерации Active Directory
Глава 17
Легенда
Доверие лесов
Рис. 17-1. Реализация доверительных связей между множеством лесов может представлять
очень сложную задачу
Использование д о в е р и т е л ь н ы х о т н о ш е н и й н е в с е г д а я в л я е т с я о п т и м а л ь н ы м
методом реализации п а р т н е р с т в а .
Назначение брандмауэра
Хотя доверительные с в я з и л е с о в б ы в а ю т о ч е н ь с л о ж н ы м и , о н и т а к ж е в л и я ю т
н а механизмы защиты. Н а п р и м е р , е с л и т р а ф и к A D D S п р о х о д и т ч е р е з T C P / I P -
порт389, используется п р о т о к о л L D A P ( L i g h t w e i g h t D i r e c t o r y A c c e s s P r o t o c o l )
или (рекомендуется) б е з о п а с н ы й п р о т о к о л L D A P ( L D A P / S ) ч е р е з п о р т 6 3 6 .
Кроме того, при н е о б х о д и м о с т и п е р е с ы л а т ь т р а ф и к г л о б а л ь н о г о к а т а л о г а п р и -
меняется порт 3 2 6 8 и л и ( р е к о м е н д у е т с я ) п о р т 3 2 6 9 с L D A P / S .
Однако б р а н д м а у э р ы п р е д н а з н а ч е н ы д л я б л о к и р о в а н и я н е ж е л а т е л ь н о г о
трафика. И х п е р ф о р и р о в а н и е п у т е м о т к р ы т и я б е с к о н е ч н о г о ч и с л а п о р т о в T C P /
I P н е решает проблему. В т р а д и ц и о н н ы х с е т я х п о п е р и м е т р у п р е д у с м о т р е н ы
два уровня защиты. С а м п е р и м е т р о б е с п е ч и в а е т м н о ж е с т в о т а к и х с е р в и с о в , к а к
службы с е р т и ф и к а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s ,
A D CS), с л у ж б ы у п р а в л е н и я п р а в а м и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s
M a n a g e m e n t Services, A D R M S ) и в н е к о т о р ы х с л у ч а я х – с л у ж б ы A c t i v e
D i r e c t o r y о б л е г ч е н н о г о д о с т у п а к к а т а л о г а м ( A c t i v e D i r e c t o r y L i g h t w e i g h t
Directory Services, A D L D S ) . С л у ж б ы A D D S п р е д н а з н а ч е н ы и с к л ю ч и т е л ь н о
для в н у т р е н н и х сетей. И д е а л ь н ы й в н е ш н и й б р а н д м а у э р и с п о л ь з у е т т о л ь к о
один набор к л ю ч е в ы х п о р т о в .
• П о р т 5 3 д л я т р а ф и к а D N S ( D o m a i n T r a n s f e r P r o t o c o l ) Т р а ф и к D N S
обычно п р е д о с т а в л я е т с я т о л ь к о д л я ч т е н и я .
• П о р т 8 0 д л я п е р е д а ч и д а н н ы х H T T P ( H y p e r t e x t T r a n s f e r P r o t o c o l ) П о р т
80 обычно применяется с ц е л ы о п р е д о с т а в л е н и я д о с т у п а т о л ь к о д л я ч т е н и я ,
поскольку он не з а щ и щ е н .
Глава 17
илужвБГрЗДерацИи Active uirectory
– щ -
л П о р т 4 4 3 д л я S e c u r e H T T P и л и H T T P S ( H y p e r t e x t T r a n s f e r P r o t o c o l
S e c u r e ) К о м м у н и к а ц и и н а п о р т е 4 4 3 з а щ и щ е н ы с п о м о щ ь ю п р о т о к о л а S S L
( S e c u r e S o c k e t s L a y e r ) и л и T L S ( T r a n s p o r t Layer S e c u r i t y ) . Д л я ш и ф р о в а н и я
д а н н ы х о б а п р о т о к о л а и с п о л ь з у ю т с е р т и ф и к а т ы и з ц е н т р а с е р т и ф и к а ц и и
( C e r t i f i c a t e A u t h o r i t y ) , п о э т о м у к о м м у н и к а ц и и н а п о р т е 4 4 3 п о д д е р ж и в а ю т
о п е р а ц и и ч т е н и я / з а п и с и и л и б е з о п а с н о г о ч т е н и я д а н н ы х .
• П о р т 2 5 д л я п е р е д а ч и д а н н ы х S M T P ( S i m p l e M a i l T r a n s f e r P r o t o c o l ) Этот
п о р т н е о б х о д и м о о т к р ы т ь , п о с к о л ь к у н и к т о н е с м о ж е т р а б о т а т ь без доступа
к э л е к т р о н н о й п о ч т е .
В с е о с т а л ь н ы е п о р т ы в и д е а л е д о л ж н ы б ы т ь з а к р ы т ы . В н у т р е н н и й бранд-
м а у э р о т к р ы в а е т б о л ь ш е – в з а в и с и м о с т и о т т е х н о л о г и й , и с п о л ь з у е м ы х п о
п е р и м е т р у ( р и с . 1 7 – 2 ) . Н а п р и м е р , е с л и в п е р и м е т р е с ц е л ы о п р е д о с т а в л е н и я
с л у ж б п р о в е р к и п о д л и н н о с т и д л я в е б – п р и л о ж е н и й и с п о л ь з у е т с я A D LDS, т о
д л я п р е д о с т а в л е н и я у ч е т н ы х з а п и с е й в а ш и х п о л ь з о в а т е л е й н а в е р н я к а потребу-
е т с я о д н о с т о р о н н я я с и н х р о н и з а ц и я и з в н у т р е н н е г о к а т а л о г а A D DS, а в случае
п р и м е н е н и я I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ) – п е р е м е щ е н и е д а н н ы х в веб-
с а й т ы п о п е р и м е т р у . К р о м е т о г о , э л е к т р о н н ы е с о о б щ е н и я S M T P в п е р и м е т р е
н у ж н о п е р е д а в а т ь в о в н у т р е н н ю ю сеть. В э т о м с о с т о и т п р и н ц и п п р о е к т и р о в а -
н и я б е з о п а с н о г о п е р и м е т р а .
-Интернет
Сеть по периметру
Внутренняя: сеть
DNS AD LDS
25 —( .SMTP
Ретрансляция UgJ^J
SMTP
Рис. 17-2. Основой безопасного периметра является набор безопасных брандмауэров
Службы федерации Active Directory
С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n Services)
в ы п о л н я ю т ф у н к ц и и р а с ш и р е н и я п о л н о м о ч и й в н у т р е н н е й сети в о в н е ш н и й
м и р ( р и с . 1 7 – 3 ) , а н а л о г и ч н ы е д о в е р и ю л е с о в и л и я в н о м у д о в е р и ю , н о н е через
т р а д и ц и о н н ы е T C P / I P – п о р т ы L D A P , а через п о р т ы H T T P . В частности, исполь-
з у е т с я п о р т 4 4 3 , п о с к о л ь к у в с е д о в е р и т е л ь н ы е к о м м у н и к а ц и и A D F S я в л я ю т с я
б е з о п а с н ы м и и з а ш и ф р о в а н н ы м и и , т а к и м о б р а з о м , з а д е й с т в у ю т т е х н о л о г и ю
A D C S д л я п р е д о с т а в л е н и я с е р т и ф и к а т о в к а ж д о м у с е р в е р у в структуре A D FS,
8 4 0 Службы федерации Active Directory
Глава 17
с л у ж б ф е д е р а ц и и д л я у п р а в л е н и я и н т е л л е к т у а л ь н о й с о б с т в е н н о с т ь ю с р е д и
партнеров, а т а к ж е д л я р а с ш и р е н и я р а з в е р т ы в а н и я A D R M S .
Легенда
Интеграция технологий Active Directory
Потенциальные связи
Рис. 17-3. Службы AD FS расширяют полномочия внутреннего каталога AD DS
С целыо р а с ш и р е н и я в н у т р е н н и х п о л н о м о ч и й т е х н о л о г и я A D F S о б е с п е -
чивает р а с ш и р е н и я д л я в н у т р е н н и х л е с о в и п о з в о л я е т о р г а н и з а ц и я м с о з д а в а т ь
партнерские связи, не о т к р ы в а я на с в о и х б р а н д м а у э р а х д о п о л н и т е л ь н ы е Пор-
ты. С целыо предоставления в о з м о ж н о с т е й п р о в е р к и п о д л и н н о с т и д л я с л у ж б
экстрасети и п е р и м е т р а т е х н о л о г и я A D F S и с п о л ь з у е т в н у т р е н н и й к а т а л о г
A D D S каждого партнера. Когда п о л ь з о в а т е л ь п ы т а е т с я п р о й т и п р о в е р к у под-
линности в п р и л о ж е н и и , и н т е г р и р о в а н н о м в A D FS, д в и ж о к A D F S в ы п о л н и т
опрос внутреннего к а т а л о г а д л я п о л у ч е н и я д а н н ы х п р о в е р к и п о д л и н н о с т и .
Если в н у т р е н н и й каталог п р е д о с т а в л я е т д о с т у п , э т о т п о л ь з о в а т е л ь п о л у ч и т j
доступ и к в н е ш н е м у п р и л о ж е н и ю . Г л а в н о е п р е и м у щ е с т в о т а к о й м е т о д и к и
состоит в том, что к а ж д о й п а р т н е р с к о й о р г а н и з а ц и и н е о б х о д и м о у п р а в л я т ь
л и ш ь д а н н ы м и проверки п о д л и н н о с т и во в н у т р е н н е й с е т и – в с ю о с т а л ь н у ю
часть работы в ы п о л н я ю т с л у ж б ы ф е д е р а ц и и A D F S .
Короче говоря, A D F S следует и с п о л ь з о в а т ь д л я р е а л и з а ц и и п а р т н е р с т в а
с организациями, которые работают с в н у т р е н н и м и к а т а л о г а м и AD D S . Е с л и
же нужно предоставить с л у ж б ы п р о в е р к и п о д л и н н о с т и в сети по п е р и м е т р у ,
но пользователи и л и о р г а н и з а ц и и , с к о т о р ы м и н у ж н о в з а и м о д е й с т в о в а т ь , не
Прежде всего 841
располагают в н у т р е н н и м и каталогами AD DS или в партнерстве не планируется
р а з в е р т ы в а н и е AD FS, следует п р и м е н я т ь технологию AD LDS.
Т е м а э к з а м е н а :
• Н а с т р о й к а д о п о л н и т е л ь н ы х ролей сервера Active Directory.
• Н а с т р о й к а с л у ж б ф е д е р а ц и и Active Directory ( A D FS).
Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й этой главы необходимо оборудование, указанное
в списке. Строго рекомендуется использовать виртуальные машины, поскольку
п о н а д о б и т с я д о с т у п к ряду компьютеров. Если вы выполняли упражнения пре-
д ы д у щ и х глав, н е к о т о р ы е из т а к и х м а ш и н у ж е д о л ж н ы быть в вашей среде.
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 с именем SER-
V E R 0 1 – контроллер домена contoso.com. Конфигурация описана в главах 1 и 2.
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-
t i o n с и м е н е м S E R V E R 0 3 – рядовой сервер в домене contoso.com. Этот
к о м п ь ю т е р д о л ж е н у п р а в л я т ь внутренней ролью AD FS, которую вам не-
о б х о д и м о будет у с т а н о в и т ь и отконфигурировать в процессе выполнения
у п р а ж н е н и й .
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-
t i o n с и м е н е м S E R V E R 0 4 – рядовой сервер в домене contoso.com, который
б у д е т у п р а в л я т ь п р о к с и – с е р в е р о м AD FS.
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2003 Enterprise Edi-
t i o n с и м е н е м S E R V E R 0 5 – р я д о в о й сервер в домене contoso.com, предна-
з н а ч е н н ы й в д а н н о м случае д л я управления экземпляром Microsoft SQL
S e r v e r 2 0 0 5 с б а з о й д а н н ы х конфигурации и журналов AD RMS. Этот ком-
п ь ю т е р т а к ж е д о л ж е н содержать диск D объемом пе менее 10 Гбайт для
х р а н е н и я д а н н ы х S Q L Server. Мы выбрали версию Windows Server 2003,
п о с к о л ь к у д л я нее требуется меньше оперативной памяти, чем для Windows
Server 2008. О т м е т и м , что этот компьютер необязателен для выполнения
у п р а ж н е н и й д а н н о й главы, однако в случае его установки не будут возни-
к а т ь о ш и б к и A D R M S н а S E R V E R 0 4 .
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 с именем SER-
V E R 0 6 – к о н т р о л л е р домена woodgrovebank.com, который будет управлять
ролью сервера DNS, если создать новый каталог с именем woodgrovebanlc.com.
ш Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-
tion с и м е н е м S E R V E R 0 7 – рядовой сервер в домене woodgrovebank.com.
Этот к о м п ь ю т е р будет у п р а в л я т ь внутренней ролью AD FS, которую вы
у с т а н о в и т е и отконфигурируете, в ы п о л н я я задания данной главы.
• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-
tion с и м е н е м S E R V E R 0 8 – р я д о в о й сервер в домене woodgrovebank.com
д л я у п р а в л е н и я прокси-сервером AD FS.
Э т и х к о м п ь ю т е р о в будет в п о л н е достаточно, чтобы установить и настроить
о с н о в н ы е с л у ж б ы AD FS. А чтобы протестировать все возможности AD FS,
п о н а д о б я т с я т а к ж е клиентские машины.
28 Зак. 3399
8 4 2 Службы федерации Active Directory
Глава 17
Отметим, что для создания среды AD FS можно использовать меньше ком-
пьютеров, как описано в руководстве «Microsoft Step-by-Step Guide for AD FS»
no адресу http://xmtw.mkrosoftxom/downloads/deUiik.aspx?familyid-062F7382-
A82F-4428-9BBD-A103B9F27654&displaylang-en, однако AD FS не рекомендует-
ся устанавливать иа контроллере домена AD DS, поэтому такой тип установки
не описан в данной книге.
История из жизни
Даниэль Реет и Нельсон Реет
В 2005 году одному из наших клиентов, солидной организации в сфере здравоох-
ранения, потребовалось решение для проверю! подлинности. Необходимо было
создать систему, объединяющую докторов, фармацевтов, работников социальных
служб, больниц, частных клиник и т. д. в едином интегрированном решении
идентификации и доступа IDA (Identity and Access). Поскольку для проверки
подлинности и сетевого доступа большинство этих организаций использовали
внутренние каталоги Active Directory, за основу были взяты технологии Windows.
Цель заключалась в том, чтобы все члены системы могли проходить провер-
ку подлинности внутри нее. Это была довольно непростая задача. Хотя многие
крупные партнеры содержали собственные внутренние леса Active Directory,
большинство мелких партнеров не располагали такими возможностями. На-
пример, нельзя было объединить аптеки для единой проверки подлинности,
а частные клиники и врачи вообще не использовали такую технологию.
Первоначальное решение состояло п создании множества доверительных свя-
зей между всеми существующими лесами Active Directory. Затем для поддержки
членов системы без собственной службы каталогов планировалось создать абсо-
лютно новый каталог и локализовать его в сети по периметру, управляемой хос-
тннгооой организацией. Эта организация должна была выполнять роль внешней
службы провайдера услуг здравоохранения и поддерживать службу каталога.
У клиента возникло несколько вопросов относительно потенциального ре-
шения. Во-первых, более половины из 500 тыс. пользователей не содержали
службу каталога, а поддержка пнешнего каталога для них обходилась очень
дорого. Во-вторых, клиент не хотел перфорировать брандмауэры и поддержи-
вать всс порты, необходимые для доверия между лесами, тогда как стоимость
частной сети вообще не подлежала обсуждению. В-третьих, клиент не хотел
нести ответственность за все учетные записи в новом решении, несмотря на то,
что не возражал против того, чтобы все члены системы взаимодействовали через
единое решение для идентификации и доступа IDA.
Версии Windows Server 2008 тогда еще не было, и мы порекомендовали
Windows Server 2003 R2, поскольку в этом выпуске появился исходный релиз
служб федерации Microsoft. Кроме того, два года назад корпорация Microsoft
разработала технологию ADAM (Active Directory Application Mode), и этот
набор казался идеальным для интеграции трех технологий. Мы предложили
следующее:
• для того чтобы связать все существующие службы каталогов и централиза-
ции приложений в Веб, использовать службы федерации;
• разрешить каждому партнеру управлять своими внутренними службами
каталогов без вмешательства извне;
Занятие 1
Концепция служб федерации Active Directory 843
• чтобы предоставить службы проверки подлинности в сети по периметру,
применять экземпляры ADAM; клиент даже мог создать портал для само-
обслуживания, позволяющий членам обновлять свои записи, менять паро-
ли и т. д.;
• оставить на брандмауэре л и ш ь уже открытые, чаще всего используемые
порты.
Это предложение соответствовало потребностям клиента, а его реализация не
требовала больших затрат, к тому же можно было начать с пилотного проекта,
включающего один-два ключевых приложения, а затем постепенно добавлять
новых членов системы. В выпуске Windows Server 2008 корпорация Microsoft
объединила все предложенные нами технологии в Active Directory.
Занятие 1. Концепция служб федерации Active Directory
Е с л и г о в о р и т ь в ц е л о м , AD FS п р е д с т а в л я е т собой единое я д р о механизма
с к в о з н о й п р о в е р к и п о д л и н н о с т и S S O (Single Sign-On), позволяющего поль-
з о в а т е л я м в н е ш н и х в е б – п р и л о ж е н и й получать доступ и проходить проверку
п о д л и н н о с т и с п о м о щ ь ю б р а у з е р а . Э т о решение немного похоже на принцип
и с п о л ь з о в а н и я в н е ш н е г о х р а н и л и щ а каталогов AD LDS, связанного с внут-
р е н н и м к а т а л о г о м . О д н а к о к л ю ч е в о й п р и н ц и п AD FS состоит в том, что для
п р о в е р к и п о д л и н н о с т и к л и е н т о в т е х н о л о г и я A D F S задействует внутреннее
х р а н и л и щ е д а н н ы х п р о в е р к и п о д л и н н о с т и собственного домена пользователя
и не с о д е р ж и т с о б с т в е н н о г о х р а н и л и щ а . Кроме того, она проходит исходную
п р о в е р к у п о д л и н н о с т и , к о т о р у ю к л и е н т п р о х о д и т в своей сети, и передает
п о л у ч е н н ы е д а н н ы е в с е м в е б – п р и л о ж е н и я м , интегрированным в AD FS.
П р е и м у щ е с т в а э т о й т е х н о л о г и и очевидны. Организациям нужно управлять
л и ш ь о д н и м х р а н и л и щ е м д а н н ы х проверки подлинности своих пользователей.
В с л у ч а е п р и м е н е н и я каталога AD L D S д л я проверки подлинности в экстрасети
д о б а в л я е т с я а д м и н и с т р а т и в н а я н а г р у з к а , поскольку организации нужно уп-
р а в л я т ь не т о л ь к о с в о и м в н у т р е н н и м хранилищем, но и внешним хранилищем
и л и х р а н и л и щ а м и , т а к ч т о п о л ь з о в а т е л я м приходится запоминать несколько
к о д о в д о с т у п а и п а р о л е й . Т е х н о л о г и я AD FS, осуществляющая федерирование
в н у т р е н н и х у д о с т о в е р е н и й п о л ь з о в а т е л е й AD DS во внешний мир, упрощает
э т и з а д а ч и , т а к ч т о п о л ь з о в а т е л я м н е о б х о д и м о пройти проверку подлинности
т о л ь к о о д н и р а з – п р и в х о д е в с в о ю сеть.
С п о м о щ ь ю AD FS без т р у д а ф о р м и р у ю т с я партнерские коммерческие от-
н о ш е н и я В 2 В ( b u s i n e s s – t o – b u s i n e s s ) . О р г а н и з а ц и и делятся иа две категории.
• О р г а н и з а ц и я р е с у р с о в Когда о р г а н и з а ц и и с такими открытыми ресур-
с а м и , к а к в е б – с а й т ы д л я э л е к т р о н н о й к о м м е р ц и и и л и совместного сотруд-
н и ч е с т в а , п р и н и м а ю т р е ш е н и е и с п о л ь з о в а т ь AD FS с целью упрощения
п р о ц е с с а п р о в е р к и п о д л и н н о с т и и предоставления доступа к этим ресур-
с а м и , о н и ф о р м и р у ю т п а р т н е р с к и е о т н о ш е н и я с д р у г и м и организация-
ми – п о с т а в щ и к а м и , п а р т н е р а м и и т. д. Организация, формирующая такое
партнерство, я в л я е т с я организацией ресурсов, поскольку управляет общими
р е с у р с а м и в сети по периметру.
. g 4 4 Службы федерации Active Directory
Глава 17
• О р г а н и з а ц и я у ч е т а Когда о р г а н и з а ц и и с т а н о в я т с я п а р т н е р а м и A D F S
о р г а н и з а ц и й ресурсов, о н и н а з ы в а ю т с я о р г а н и з а ц и я м и у ч е т а , п о с к о л ь к у
у п р а в л я ю т у ч е т н ы м и з а п и с я м и , и с п о л ь з у е м ы м и д л я п о л у ч е н и я д о с т у п а
к о б щ и м ресурсам в р е ш е н и и S S O .
Технология A D F S поддерживает д о п о л н и т е л ь н ы й р е ж и м п р о в е р к и п о д л и н -
ности. В р е ш е н и и S S O , п р е д н а з н а ч е н н о м д л я в е б – с л у ж б ы A D FS, в ы п о л н я ю т
проверку п о д л и н н о с т и п о л ь з о в а т е л е й в И н т е р н е т е , п о с л е ч е г о с л у ж б ы A D F S
а н а л и з и р у ю т п о л ь з о в а т е л ь с к и е а т р и б у т ы в к а т а л о г а х A D D S и л и A D L D S д л я
и д е н т и ф и к а ц и и у т в е р ж д е н и й , с п о м о щ ь ю к о т о р ы х п о л ь з о в а т е л и п р о х о д я т
проверку подлинности н п р и л о ж е н и и . Д л я п о д д е р ж к и э т о й ф е д е р а ц и и у д о с -
товерений в AD FS п р и м е н я ю т с я ч е т ы р е с л у ж б ы р о л е й .
• С л у ж б а ф е д е р а ц и и ( F e d e r a t i o n S e r v i c e ) Ф о р м и р у е т с я с е р в е р а м и , со-
вместно и с п о л ь з у ю щ и м и п о л и т и к у д о в е р и я . С е р в е р ф е д е р а ц и и м а р ш р у -
т и з и р у е т з а п р о с ы п р о в е р к и п о д л и н н о с т и в с о о т в е т с т в у ю щ и й и с х о д н ы й
каталог д л я генерирования м а р к е р о в б е з о п а с н о с т и п о л ь з о в а т е л е й , з а п р а -
шивающих доступ.
• П р о к с и – а г е н т с л у ж б ы ф е д е р п ц н н ( F e d e r a t i o n S e r v i c c P r o x y ) Ч т о б ы
получить запросы п р о в е р к и п о д л и н н о с т и о т п о л ь з о в а т е л я , с е р в е р ф е д е -
рации и с п о л ь з у е т л о к а л и з о в а н н ы й в с е т и п о п е р и м е т р у п р о к с и – с е р в е р ,
который собирает данные проверки п о д л и н н о с т и с б р а у з е р а п о л ь з о в а т е л я с
помощью протоколов W S – F c d e r a t i o n Passive R e q u e s t o r P r o f i l e ( W S – F P R P )
веб-службы AD FS и передает их с л у ж б е ф е д е р а ц и и .
• Агент, п о д д е р ж и в а ю щ и й у т в е р ж д е н и я ( C l a i m s – A w a r e A g e n t ) Р а с п о л а -
гается на веб-сервере и и н и ц и и р у е т з а п р о с ы с л у ж б ы ф е д е р а ц и и у т в е р ж -
дениями маркеров безопасности, к а ж д о е и з к о т о р ы х п р и м е н я е т с я д л я пре-
доставления и л и отказа в д о с т у п е к д а н н о м у п р и л о ж е н и ю . П р и л о ж е н и я
ASP.NET, которые могут а н а л и з и р о в а т ь р а з л и ч н ы е у т в е р ж д е н и я в м а р к е р е
безопасности AD FS п о л ь з о в а т е л я , о т н о с я т с я к п р и л о ж е н и я м , п о д д е р ж и -
вающим утверждения. Э т и п р и л о ж е н и я о б ы ч н о п р и м е н я ю т у т в е р ж д е н и я ,
чтобы определить доступ пользователя к п р и л о ж е н и ю . В к а ч е с т в е п р и м е р о в
п р и л о ж е н и й , п о д д е р ж и в а ю щ и х у т в е р ж д е н и я , м о ж н о п р и в е с т и A D R M S
и Microsoft Office S h a r e P o i n t Server 2007,
• Агент W i n d o w s на основе мпркеров ( W i n d o w s T o k e n – B n s e d A g e n t ) Альтер-
н а т и в н ы й агент, п р е о б р а з у ю щ и й м а р к е р б е з о п а с н о с т и A D F S в м а р к е р
доступа н а уровне о л и ц е т в о р е н и я W i n d o w s N T д л я п р и л о ж е н и й , и с п о л ь -
зующих механизм п р о в е р к и п о д л и н н о с т и W i n d o w s , а не м е т о д ы п р о в е р к и
подлинности в Веб.
Поскольку т е х н о л о г и я AD FS о с н о в а н а па с т а н д а р т н о й в е б – с л у ж б е , для
поддержки удостоверений ф е д е р а ц и и нет н е о б х о д и м о с т и о г р а н и ч и в а т ь с я толь-
ко службами AD DS. Участие и ф е д е р а ц и и у д о с т о в е р е н и й AD FS п р и н и м а е т
любая служба каталога, п о д д е р ж и в а ю щ а я с т а н д а р т W S – F e d e r a t i o n .
Службы федерации п о я в и л и с ь в в ы п у с к е W i n d o w s S e r v e r 2 0 0 3 R2, а в Win-
dows Server 2008 б ы л о з н а ч и т е л ь н о у л у ч ш е н о все, что к а с а е т с я у с т а н о в к и н
администрирования. Кроме того, AD FS п о д д е р ж и в а е т б о л ь ш е веб-приложсииИ.
чем предыдущая версия служб ф е д е р а ц и и .
