355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 81)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 81 (всего у книги 91 страниц)

защиты с о д е р ж и м о г о а в т о р и з о в а н н ы м и п о л ь з о в а т е л я м и . Э т а л и ц е н з и я

определяет назначенные права доступа к документу. Когда д о к у м е н т о т к р ы -

вает другой авторизованный п о л ь з о в а т е л ь , с е р в е р о м п р е д о с т а в л я е т с я л и -

цензия на использование, к о т о р а я н а в с е г д а п р и к р е п л я е т с я к д о к у м е н т у .

• Корневой кластер Создается автоматически п р и у с т а н о в к е AD R M S . Э т о т

кластер обеспечивает в ы с о к у ю готовность с л у ж б ы A D R M S п р и у с т а н о в к е

других серверов. В лесу AD DS м о ж н о у с т а н о в и т ь л и ш ь о д и н к о р н е в о й

Практические задания 7Q9

к л а с т е р , о д н а к о д л я п о д д е р ж к и о п е р а ц и й A D R M S м о ж н о также создавать

к л а с т е р ы л и ц е н з и р о в а н и я .

Сценарий. Подготовка к работе с внешним кластером

AD RMS

В н а с т о я щ е м с ц е н а р и и н е о б х о д и м о п р и м е н и т ь полученные знания о службах

у п р а в л е н и я п р а в а м и A c t i v e Directory. О т в е т ы иа вопросы представлены в раз-

д е л е « О т в е т ы » в к о н ц е к н и г и .

Б у д у ч и с и с т е м н ы м а д м и н и с т р а т о р о м к о м п а н и и Contoso, Ltd, в ы недавно

з а к о н ч и л и п р о ц е с с р а з в е р т ы в а н и я AD R M S в организации, и пока все рабо-

т а е т н о р м а л ь н о . П о л ь з о в а т е л и в н у т р и и вне сети имеют доступ к политикам

у п р а в л е н и я п р а в а м и , г а р а н т и р у ю щ и м з а щ и т у содержимого.

Т е п е р ь п о л и т и к и з а щ и т ы п р а в доступа необходимо использовать совместно

с п а р т н е р с к о й о р г а н и з а ц и е й , р а з м е с т и в и н ф р а с т р у к т у р ы служб федерации.

О п и ш и т е с в о и в о з м о ж н о с т и .

Практические задания

Ч т о б ы п о д г о т о в и т ь с я к с е р т и ф и к а ц и о н н о м у экзамену, выполните предлагаемые

д а л е е у п р а ж н е н и я .

Работа с AD RMS

П о д а н н о й т е м е н а э к з а м е н е будет т о л ь к о один вопрос. Поэтому займитесь

п р а к т и ч е с к и м и у п р а ж н е н и я м и в с л е д у ю щ и х случаях:

• о п р е д е л е н и е т р е б о в а н и й у с т а н о в к и AD RMS;

• п р о ц е с с у с т а н о в к и и н а с т р о й к и к о р н е в ы х кластеров AD RMS;

• з а в е р ш е н и е п р о ц е с с а н а с т р о й к и корневого кластера;

• и с п о л ь з о в а н и е ш а б л о н о в п о л и т и к и прав доступа.

В ы т а к ж е д о л ж н ы и з у ч и т ь с е к ц и и консоли A D RMS. Все они доступны

в Д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) .

• У п р а ж н е н и е 1 П о д г о т о в ь т е т е с т о в у ю среду, руководствуясь инструкци-

я м и , п р и в е д е н н ы м и в р а з д е л е « П р е ж д е всего» в начале этой главы. По

в о з м о ж н о с т и и с п о л ь з у й т е д л я п о д д е р ж к и установки внешний сервер баз

д а н н ы х , ч т о б ы о т к о н ф и г у р и р о в а т ь р е а л ь н ы й корневой кластер. Затем со-

з д а й т е к л а с т е р и добавьте в него второй сервер, чтобы проследить за работой

к л а с т е р о в .

• У п р а ж н е н и е 2 П о с л е у с т а н о в к и кластера выполните в Диспетчере сервера

( S e r v e r M a n a g e r ) все о п е р а ц и и , необходимые д л я создания или модифика-

ц и и ш а б л о н а п о л и т и к и п р а в доступа. Эти шаблоны играют важную роль

в п р о ц е с с е а д м и н и с т р и р о в а н и я AD R M S .

О б я з а т е л ь н о п р о а н а л и з и р у й т е р е а л и з а ц и ю D R M в Windows Server 2008.

На в е б – с а й т е M i c r o s o f t T e c h N e t т а к ж е есть много информации о службах AD

R M S , к о т о р у ю по в о з м о ж н о с т и следует просмотреть и изучить.

Службы управления правами Active Directory

Глава 16

Пробный экзамен

Н а п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

т р е н и р о в о ч н ы х тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и т о л ь к о п о о д н о й т е м е

с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м ' т е м а м .

Тестирование м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы о н о п р о в о д и л о с ь к а к

экзамен, л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е в ы с м о ж е т е

после к а ж д о г о с в о е г о о т в е т а на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении, к д а н н о й книге.

Г Л А В А 1 7

Службы федерации Active Directory

Занятие 1. Концепция служб федерации Active Directory 843

Занятие 2. Настройка служб федерации Active Directory 866

С п о я в л е н и е м И н т е р н е т а о р г а н и з а ц и я м стало довольно сложно обеспечивать

б е з о п а с н о с т ь с в о и х сетей. О с н о в н о й п р и н ц и п защиты заключается в том, что

к а ж д а я о р г а н и з а ц и я , и с п о л ь з у ю щ а я и н т е р ф е й с между своей сетью и Интер-

нетом, т а к ж е р а с п о л а г а е т н е к о т о р ы м т и п о м сети периметра. Во многих слу-

ч а я х о р г а н и з а ц и и р е а л и з у ю т т а к и е специальные технологии безопасности,

к а к с и с т е м ы о б н а р у ж е н и я в т о р ж е н и й или межсетевого экранирования, где

н е о б х о д и м о о б е с п е ч и т ь м а к с и м а л ь н о возможную безопасность брандмауэров

в сети по п е р и м е т р у . Но к а к эти меры предосторожности влияют на потенци-

а л ь н ы е п а р т н е р с к и е с в я з и ?

Когда с о з д а в а л и с ь п е р в ы е д о м е н ы Microsoft Windows с системой Microsoft

W i n d o w s NT, к о р п о р а ц и я Microsoft предусмотрела возможность создания дове-

р и т е л ь н ы х о т н о ш е н и й между доменами с целью поддержки их взаимодействия.

С в ы х о д о м д о м е н н ы х с л у ж б Active Directory (Active Directory Domain Services,

AD D S ) в W i n d o w s 2000 к о р п о р а ц и я Microsoft внедрила концепцию доверия и

п о д д е р ж к и д о в е р и т е л ь н ы х о т н о ш е н и й между доменами. Домены в одном лесу

п р и м е н я л и а в т о м а т и ч е с к и е т р а н з и т и в н ы е доверия, а для совместного исполь-

з о в а н и я к о н т е к с т о в б е з о п а с н о с т и домены из других лесов применяли явные

д о в е р и т е л ь н ы е о т н о ш е н и я . С в ы х о д о м Microsoft Windows 2003 корпорация

M i c r o s o f t р а с ш и р и л а к о н ц е п ц и ю т р а н з и т и в н о г о доверия до уровня лесов и

р е а л и з о в а л а д о в е р и т е л ь н ы е о т н о ш е н и я между лесами. С помощью доверитель-

ных с в я з е й л е с о в п а р т н е р ы м о г л и расширять контексты безопасности своего

в н у т р е н н е г о леса с ц е л ь ю у с т а н о в л е н и я доверия с лесами других партнеров.

О д н а к о р е а л и з а ц и я д о в е р и т е л ь н ы х отношений лесов приводит к следующим

п о с л е д с т в и я м :

• в о – п е р в ы х , д л я п о д д е р ж к и т р а ф и к а доменных служб Active Directory (AD

D S ) в б р а н д м а у э р е н е о б х о д и м о открыть определенные порты;

• во-вторых, по м е р е р а с ш и р е н и я партнерских отношений станет довольно

с л о ж н о у п р а в л я т ь м н о ж е с т в о м доверительных связей (рис. 17-1).

' 838

Службы федерации Active Directory

Глава 17

Легенда

Доверие лесов

Рис. 17-1. Реализация доверительных связей между множеством лесов может представлять

очень сложную задачу

Использование д о в е р и т е л ь н ы х о т н о ш е н и й н е в с е г д а я в л я е т с я о п т и м а л ь н ы м

методом реализации п а р т н е р с т в а .

Назначение брандмауэра

Хотя доверительные с в я з и л е с о в б ы в а ю т о ч е н ь с л о ж н ы м и , о н и т а к ж е в л и я ю т

н а механизмы защиты. Н а п р и м е р , е с л и т р а ф и к A D D S п р о х о д и т ч е р е з T C P / I P -

порт389, используется п р о т о к о л L D A P ( L i g h t w e i g h t D i r e c t o r y A c c e s s P r o t o c o l )

или (рекомендуется) б е з о п а с н ы й п р о т о к о л L D A P ( L D A P / S ) ч е р е з п о р т 6 3 6 .

Кроме того, при н е о б х о д и м о с т и п е р е с ы л а т ь т р а ф и к г л о б а л ь н о г о к а т а л о г а п р и -

меняется порт 3 2 6 8 и л и ( р е к о м е н д у е т с я ) п о р т 3 2 6 9 с L D A P / S .

Однако б р а н д м а у э р ы п р е д н а з н а ч е н ы д л я б л о к и р о в а н и я н е ж е л а т е л ь н о г о

трафика. И х п е р ф о р и р о в а н и е п у т е м о т к р ы т и я б е с к о н е ч н о г о ч и с л а п о р т о в T C P /

I P н е решает проблему. В т р а д и ц и о н н ы х с е т я х п о п е р и м е т р у п р е д у с м о т р е н ы

два уровня защиты. С а м п е р и м е т р о б е с п е ч и в а е т м н о ж е с т в о т а к и х с е р в и с о в , к а к

службы с е р т и ф и к а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r v i c e s ,

A D CS), с л у ж б ы у п р а в л е н и я п р а в а м и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s

M a n a g e m e n t Services, A D R M S ) и в н е к о т о р ы х с л у ч а я х – с л у ж б ы A c t i v e

D i r e c t o r y о б л е г ч е н н о г о д о с т у п а к к а т а л о г а м ( A c t i v e D i r e c t o r y L i g h t w e i g h t

Directory Services, A D L D S ) . С л у ж б ы A D D S п р е д н а з н а ч е н ы и с к л ю ч и т е л ь н о

для в н у т р е н н и х сетей. И д е а л ь н ы й в н е ш н и й б р а н д м а у э р и с п о л ь з у е т т о л ь к о

один набор к л ю ч е в ы х п о р т о в .

• П о р т 5 3 д л я т р а ф и к а D N S ( D o m a i n T r a n s f e r P r o t o c o l ) Т р а ф и к D N S

обычно п р е д о с т а в л я е т с я т о л ь к о д л я ч т е н и я .

• П о р т 8 0 д л я п е р е д а ч и д а н н ы х H T T P ( H y p e r t e x t T r a n s f e r P r o t o c o l ) П о р т

80 обычно применяется с ц е л ы о п р е д о с т а в л е н и я д о с т у п а т о л ь к о д л я ч т е н и я ,

поскольку он не з а щ и щ е н .

Глава 17

илужвБГрЗДерацИи Active uirectory

– щ -

л П о р т 4 4 3 д л я S e c u r e H T T P и л и H T T P S ( H y p e r t e x t T r a n s f e r P r o t o c o l

S e c u r e ) К о м м у н и к а ц и и н а п о р т е 4 4 3 з а щ и щ е н ы с п о м о щ ь ю п р о т о к о л а S S L

( S e c u r e S o c k e t s L a y e r ) и л и T L S ( T r a n s p o r t Layer S e c u r i t y ) . Д л я ш и ф р о в а н и я

д а н н ы х о б а п р о т о к о л а и с п о л ь з у ю т с е р т и ф и к а т ы и з ц е н т р а с е р т и ф и к а ц и и

( C e r t i f i c a t e A u t h o r i t y ) , п о э т о м у к о м м у н и к а ц и и н а п о р т е 4 4 3 п о д д е р ж и в а ю т

о п е р а ц и и ч т е н и я / з а п и с и и л и б е з о п а с н о г о ч т е н и я д а н н ы х .

• П о р т 2 5 д л я п е р е д а ч и д а н н ы х S M T P ( S i m p l e M a i l T r a n s f e r P r o t o c o l ) Этот

п о р т н е о б х о д и м о о т к р ы т ь , п о с к о л ь к у н и к т о н е с м о ж е т р а б о т а т ь без доступа

к э л е к т р о н н о й п о ч т е .

В с е о с т а л ь н ы е п о р т ы в и д е а л е д о л ж н ы б ы т ь з а к р ы т ы . В н у т р е н н и й бранд-

м а у э р о т к р ы в а е т б о л ь ш е – в з а в и с и м о с т и о т т е х н о л о г и й , и с п о л ь з у е м ы х п о

п е р и м е т р у ( р и с . 1 7 – 2 ) . Н а п р и м е р , е с л и в п е р и м е т р е с ц е л ы о п р е д о с т а в л е н и я

с л у ж б п р о в е р к и п о д л и н н о с т и д л я в е б – п р и л о ж е н и й и с п о л ь з у е т с я A D LDS, т о

д л я п р е д о с т а в л е н и я у ч е т н ы х з а п и с е й в а ш и х п о л ь з о в а т е л е й н а в е р н я к а потребу-

е т с я о д н о с т о р о н н я я с и н х р о н и з а ц и я и з в н у т р е н н е г о к а т а л о г а A D DS, а в случае

п р и м е н е н и я I I S ( I n t e r n e t I n f o r m a t i o n S e r v i c e s ) – п е р е м е щ е н и е д а н н ы х в веб-

с а й т ы п о п е р и м е т р у . К р о м е т о г о , э л е к т р о н н ы е с о о б щ е н и я S M T P в п е р и м е т р е

н у ж н о п е р е д а в а т ь в о в н у т р е н н ю ю сеть. В э т о м с о с т о и т п р и н ц и п п р о е к т и р о в а -

н и я б е з о п а с н о г о п е р и м е т р а .

-Интернет

Сеть по периметру

Внутренняя: сеть

DNS AD LDS

25 —( .SMTP

Ретрансляция UgJ^J

SMTP

Рис. 17-2. Основой безопасного периметра является набор безопасных брандмауэров

Службы федерации Active Directory

С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y F e d e r a t i o n Services)

в ы п о л н я ю т ф у н к ц и и р а с ш и р е н и я п о л н о м о ч и й в н у т р е н н е й сети в о в н е ш н и й

м и р ( р и с . 1 7 – 3 ) , а н а л о г и ч н ы е д о в е р и ю л е с о в и л и я в н о м у д о в е р и ю , н о н е через

т р а д и ц и о н н ы е T C P / I P – п о р т ы L D A P , а через п о р т ы H T T P . В частности, исполь-

з у е т с я п о р т 4 4 3 , п о с к о л ь к у в с е д о в е р и т е л ь н ы е к о м м у н и к а ц и и A D F S я в л я ю т с я

б е з о п а с н ы м и и з а ш и ф р о в а н н ы м и и , т а к и м о б р а з о м , з а д е й с т в у ю т т е х н о л о г и ю

A D C S д л я п р е д о с т а в л е н и я с е р т и ф и к а т о в к а ж д о м у с е р в е р у в структуре A D FS,

8 4 0 Службы федерации Active Directory

Глава 17

с л у ж б ф е д е р а ц и и д л я у п р а в л е н и я и н т е л л е к т у а л ь н о й с о б с т в е н н о с т ь ю с р е д и

партнеров, а т а к ж е д л я р а с ш и р е н и я р а з в е р т ы в а н и я A D R M S .

Легенда

Интеграция технологий Active Directory

Потенциальные связи

Рис. 17-3. Службы AD FS расширяют полномочия внутреннего каталога AD DS

С целыо р а с ш и р е н и я в н у т р е н н и х п о л н о м о ч и й т е х н о л о г и я A D F S о б е с п е -

чивает р а с ш и р е н и я д л я в н у т р е н н и х л е с о в и п о з в о л я е т о р г а н и з а ц и я м с о з д а в а т ь

партнерские связи, не о т к р ы в а я на с в о и х б р а н д м а у э р а х д о п о л н и т е л ь н ы е Пор-

ты. С целыо предоставления в о з м о ж н о с т е й п р о в е р к и п о д л и н н о с т и д л я с л у ж б

экстрасети и п е р и м е т р а т е х н о л о г и я A D F S и с п о л ь з у е т в н у т р е н н и й к а т а л о г

A D D S каждого партнера. Когда п о л ь з о в а т е л ь п ы т а е т с я п р о й т и п р о в е р к у под-

линности в п р и л о ж е н и и , и н т е г р и р о в а н н о м в A D FS, д в и ж о к A D F S в ы п о л н и т

опрос внутреннего к а т а л о г а д л я п о л у ч е н и я д а н н ы х п р о в е р к и п о д л и н н о с т и .

Если в н у т р е н н и й каталог п р е д о с т а в л я е т д о с т у п , э т о т п о л ь з о в а т е л ь п о л у ч и т j

доступ и к в н е ш н е м у п р и л о ж е н и ю . Г л а в н о е п р е и м у щ е с т в о т а к о й м е т о д и к и

состоит в том, что к а ж д о й п а р т н е р с к о й о р г а н и з а ц и и н е о б х о д и м о у п р а в л я т ь

л и ш ь д а н н ы м и проверки п о д л и н н о с т и во в н у т р е н н е й с е т и – в с ю о с т а л ь н у ю

часть работы в ы п о л н я ю т с л у ж б ы ф е д е р а ц и и A D F S .

Короче говоря, A D F S следует и с п о л ь з о в а т ь д л я р е а л и з а ц и и п а р т н е р с т в а

с организациями, которые работают с в н у т р е н н и м и к а т а л о г а м и AD D S . Е с л и

же нужно предоставить с л у ж б ы п р о в е р к и п о д л и н н о с т и в сети по п е р и м е т р у ,

но пользователи и л и о р г а н и з а ц и и , с к о т о р ы м и н у ж н о в з а и м о д е й с т в о в а т ь , не

Прежде всего 841

располагают в н у т р е н н и м и каталогами AD DS или в партнерстве не планируется

р а з в е р т ы в а н и е AD FS, следует п р и м е н я т ь технологию AD LDS.

Т е м а э к з а м е н а :

• Н а с т р о й к а д о п о л н и т е л ь н ы х ролей сервера Active Directory.

• Н а с т р о й к а с л у ж б ф е д е р а ц и и Active Directory ( A D FS).

Прежде всего

Д л я в ы п о л н е н и я у п р а ж н е н и й этой главы необходимо оборудование, указанное

в списке. Строго рекомендуется использовать виртуальные машины, поскольку

п о н а д о б и т с я д о с т у п к ряду компьютеров. Если вы выполняли упражнения пре-

д ы д у щ и х глав, н е к о т о р ы е из т а к и х м а ш и н у ж е д о л ж н ы быть в вашей среде.

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 с именем SER-

V E R 0 1 – контроллер домена contoso.com. Конфигурация описана в главах 1 и 2.

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-

t i o n с и м е н е м S E R V E R 0 3 – рядовой сервер в домене contoso.com. Этот

к о м п ь ю т е р д о л ж е н у п р а в л я т ь внутренней ролью AD FS, которую вам не-

о б х о д и м о будет у с т а н о в и т ь и отконфигурировать в процессе выполнения

у п р а ж н е н и й .

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-

t i o n с и м е н е м S E R V E R 0 4 – рядовой сервер в домене contoso.com, который

б у д е т у п р а в л я т ь п р о к с и – с е р в е р о м AD FS.

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2003 Enterprise Edi-

t i o n с и м е н е м S E R V E R 0 5 – р я д о в о й сервер в домене contoso.com, предна-

з н а ч е н н ы й в д а н н о м случае д л я управления экземпляром Microsoft SQL

S e r v e r 2 0 0 5 с б а з о й д а н н ы х конфигурации и журналов AD RMS. Этот ком-

п ь ю т е р т а к ж е д о л ж е н содержать диск D объемом пе менее 10 Гбайт для

х р а н е н и я д а н н ы х S Q L Server. Мы выбрали версию Windows Server 2003,

п о с к о л ь к у д л я нее требуется меньше оперативной памяти, чем для Windows

Server 2008. О т м е т и м , что этот компьютер необязателен для выполнения

у п р а ж н е н и й д а н н о й главы, однако в случае его установки не будут возни-

к а т ь о ш и б к и A D R M S н а S E R V E R 0 4 .

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 с именем SER-

V E R 0 6 – к о н т р о л л е р домена woodgrovebank.com, который будет управлять

ролью сервера DNS, если создать новый каталог с именем woodgrovebanlc.com.

ш Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-

tion с и м е н е м S E R V E R 0 7 – рядовой сервер в домене woodgrovebank.com.

Этот к о м п ь ю т е р будет у п р а в л я т ь внутренней ролью AD FS, которую вы

у с т а н о в и т е и отконфигурируете, в ы п о л н я я задания данной главы.

• Ф и з и ч е с к а я и л и в и р т у а л ь н а я машина Windows Server 2008 Enterprise Edi-

tion с и м е н е м S E R V E R 0 8 – р я д о в о й сервер в домене woodgrovebank.com

д л я у п р а в л е н и я прокси-сервером AD FS.

Э т и х к о м п ь ю т е р о в будет в п о л н е достаточно, чтобы установить и настроить

о с н о в н ы е с л у ж б ы AD FS. А чтобы протестировать все возможности AD FS,

п о н а д о б я т с я т а к ж е клиентские машины.

28 Зак. 3399

8 4 2 Службы федерации Active Directory

Глава 17

Отметим, что для создания среды AD FS можно использовать меньше ком-

пьютеров, как описано в руководстве «Microsoft Step-by-Step Guide for AD FS»

no адресу http://xmtw.mkrosoftxom/downloads/deUiik.aspx?familyid-062F7382-

A82F-4428-9BBD-A103B9F27654&displaylang-en, однако AD FS не рекомендует-

ся устанавливать иа контроллере домена AD DS, поэтому такой тип установки

не описан в данной книге.

История из жизни

Даниэль Реет и Нельсон Реет

В 2005 году одному из наших клиентов, солидной организации в сфере здравоох-

ранения, потребовалось решение для проверю! подлинности. Необходимо было

создать систему, объединяющую докторов, фармацевтов, работников социальных

служб, больниц, частных клиник и т. д. в едином интегрированном решении

идентификации и доступа IDA (Identity and Access). Поскольку для проверки

подлинности и сетевого доступа большинство этих организаций использовали

внутренние каталоги Active Directory, за основу были взяты технологии Windows.

Цель заключалась в том, чтобы все члены системы могли проходить провер-

ку подлинности внутри нее. Это была довольно непростая задача. Хотя многие

крупные партнеры содержали собственные внутренние леса Active Directory,

большинство мелких партнеров не располагали такими возможностями. На-

пример, нельзя было объединить аптеки для единой проверки подлинности,

а частные клиники и врачи вообще не использовали такую технологию.

Первоначальное решение состояло п создании множества доверительных свя-

зей между всеми существующими лесами Active Directory. Затем для поддержки

членов системы без собственной службы каталогов планировалось создать абсо-

лютно новый каталог и локализовать его в сети по периметру, управляемой хос-

тннгооой организацией. Эта организация должна была выполнять роль внешней

службы провайдера услуг здравоохранения и поддерживать службу каталога.

У клиента возникло несколько вопросов относительно потенциального ре-

шения. Во-первых, более половины из 500 тыс. пользователей не содержали

службу каталога, а поддержка пнешнего каталога для них обходилась очень

дорого. Во-вторых, клиент не хотел перфорировать брандмауэры и поддержи-

вать всс порты, необходимые для доверия между лесами, тогда как стоимость

частной сети вообще не подлежала обсуждению. В-третьих, клиент не хотел

нести ответственность за все учетные записи в новом решении, несмотря на то,

что не возражал против того, чтобы все члены системы взаимодействовали через

единое решение для идентификации и доступа IDA.

Версии Windows Server 2008 тогда еще не было, и мы порекомендовали

Windows Server 2003 R2, поскольку в этом выпуске появился исходный релиз

служб федерации Microsoft. Кроме того, два года назад корпорация Microsoft

разработала технологию ADAM (Active Directory Application Mode), и этот

набор казался идеальным для интеграции трех технологий. Мы предложили

следующее:

• для того чтобы связать все существующие службы каталогов и централиза-

ции приложений в Веб, использовать службы федерации;

• разрешить каждому партнеру управлять своими внутренними службами

каталогов без вмешательства извне;

Занятие 1

Концепция служб федерации Active Directory 843

• чтобы предоставить службы проверки подлинности в сети по периметру,

применять экземпляры ADAM; клиент даже мог создать портал для само-

обслуживания, позволяющий членам обновлять свои записи, менять паро-

ли и т. д.;

• оставить на брандмауэре л и ш ь уже открытые, чаще всего используемые

порты.

Это предложение соответствовало потребностям клиента, а его реализация не

требовала больших затрат, к тому же можно было начать с пилотного проекта,

включающего один-два ключевых приложения, а затем постепенно добавлять

новых членов системы. В выпуске Windows Server 2008 корпорация Microsoft

объединила все предложенные нами технологии в Active Directory.

Занятие 1. Концепция служб федерации Active Directory

Е с л и г о в о р и т ь в ц е л о м , AD FS п р е д с т а в л я е т собой единое я д р о механизма

с к в о з н о й п р о в е р к и п о д л и н н о с т и S S O (Single Sign-On), позволяющего поль-

з о в а т е л я м в н е ш н и х в е б – п р и л о ж е н и й получать доступ и проходить проверку

п о д л и н н о с т и с п о м о щ ь ю б р а у з е р а . Э т о решение немного похоже на принцип

и с п о л ь з о в а н и я в н е ш н е г о х р а н и л и щ а каталогов AD LDS, связанного с внут-

р е н н и м к а т а л о г о м . О д н а к о к л ю ч е в о й п р и н ц и п AD FS состоит в том, что для

п р о в е р к и п о д л и н н о с т и к л и е н т о в т е х н о л о г и я A D F S задействует внутреннее

х р а н и л и щ е д а н н ы х п р о в е р к и п о д л и н н о с т и собственного домена пользователя

и не с о д е р ж и т с о б с т в е н н о г о х р а н и л и щ а . Кроме того, она проходит исходную

п р о в е р к у п о д л и н н о с т и , к о т о р у ю к л и е н т п р о х о д и т в своей сети, и передает

п о л у ч е н н ы е д а н н ы е в с е м в е б – п р и л о ж е н и я м , интегрированным в AD FS.

П р е и м у щ е с т в а э т о й т е х н о л о г и и очевидны. Организациям нужно управлять

л и ш ь о д н и м х р а н и л и щ е м д а н н ы х проверки подлинности своих пользователей.

В с л у ч а е п р и м е н е н и я каталога AD L D S д л я проверки подлинности в экстрасети

д о б а в л я е т с я а д м и н и с т р а т и в н а я н а г р у з к а , поскольку организации нужно уп-

р а в л я т ь не т о л ь к о с в о и м в н у т р е н н и м хранилищем, но и внешним хранилищем

и л и х р а н и л и щ а м и , т а к ч т о п о л ь з о в а т е л я м приходится запоминать несколько

к о д о в д о с т у п а и п а р о л е й . Т е х н о л о г и я AD FS, осуществляющая федерирование

в н у т р е н н и х у д о с т о в е р е н и й п о л ь з о в а т е л е й AD DS во внешний мир, упрощает

э т и з а д а ч и , т а к ч т о п о л ь з о в а т е л я м н е о б х о д и м о пройти проверку подлинности

т о л ь к о о д н и р а з – п р и в х о д е в с в о ю сеть.

С п о м о щ ь ю AD FS без т р у д а ф о р м и р у ю т с я партнерские коммерческие от-

н о ш е н и я В 2 В ( b u s i n e s s – t o – b u s i n e s s ) . О р г а н и з а ц и и делятся иа две категории.

• О р г а н и з а ц и я р е с у р с о в Когда о р г а н и з а ц и и с такими открытыми ресур-

с а м и , к а к в е б – с а й т ы д л я э л е к т р о н н о й к о м м е р ц и и и л и совместного сотруд-

н и ч е с т в а , п р и н и м а ю т р е ш е н и е и с п о л ь з о в а т ь AD FS с целью упрощения

п р о ц е с с а п р о в е р к и п о д л и н н о с т и и предоставления доступа к этим ресур-

с а м и , о н и ф о р м и р у ю т п а р т н е р с к и е о т н о ш е н и я с д р у г и м и организация-

ми – п о с т а в щ и к а м и , п а р т н е р а м и и т. д. Организация, формирующая такое

партнерство, я в л я е т с я организацией ресурсов, поскольку управляет общими

р е с у р с а м и в сети по периметру.

. g 4 4 Службы федерации Active Directory

Глава 17

• О р г а н и з а ц и я у ч е т а Когда о р г а н и з а ц и и с т а н о в я т с я п а р т н е р а м и A D F S

о р г а н и з а ц и й ресурсов, о н и н а з ы в а ю т с я о р г а н и з а ц и я м и у ч е т а , п о с к о л ь к у

у п р а в л я ю т у ч е т н ы м и з а п и с я м и , и с п о л ь з у е м ы м и д л я п о л у ч е н и я д о с т у п а

к о б щ и м ресурсам в р е ш е н и и S S O .

Технология A D F S поддерживает д о п о л н и т е л ь н ы й р е ж и м п р о в е р к и п о д л и н -

ности. В р е ш е н и и S S O , п р е д н а з н а ч е н н о м д л я в е б – с л у ж б ы A D FS, в ы п о л н я ю т

проверку п о д л и н н о с т и п о л ь з о в а т е л е й в И н т е р н е т е , п о с л е ч е г о с л у ж б ы A D F S

а н а л и з и р у ю т п о л ь з о в а т е л ь с к и е а т р и б у т ы в к а т а л о г а х A D D S и л и A D L D S д л я

и д е н т и ф и к а ц и и у т в е р ж д е н и й , с п о м о щ ь ю к о т о р ы х п о л ь з о в а т е л и п р о х о д я т

проверку подлинности н п р и л о ж е н и и . Д л я п о д д е р ж к и э т о й ф е д е р а ц и и у д о с -

товерений в AD FS п р и м е н я ю т с я ч е т ы р е с л у ж б ы р о л е й .

• С л у ж б а ф е д е р а ц и и ( F e d e r a t i o n S e r v i c e ) Ф о р м и р у е т с я с е р в е р а м и , со-

вместно и с п о л ь з у ю щ и м и п о л и т и к у д о в е р и я . С е р в е р ф е д е р а ц и и м а р ш р у -

т и з и р у е т з а п р о с ы п р о в е р к и п о д л и н н о с т и в с о о т в е т с т в у ю щ и й и с х о д н ы й

каталог д л я генерирования м а р к е р о в б е з о п а с н о с т и п о л ь з о в а т е л е й , з а п р а -

шивающих доступ.

• П р о к с и – а г е н т с л у ж б ы ф е д е р п ц н н ( F e d e r a t i o n S e r v i c c P r o x y ) Ч т о б ы

получить запросы п р о в е р к и п о д л и н н о с т и о т п о л ь з о в а т е л я , с е р в е р ф е д е -

рации и с п о л ь з у е т л о к а л и з о в а н н ы й в с е т и п о п е р и м е т р у п р о к с и – с е р в е р ,

который собирает данные проверки п о д л и н н о с т и с б р а у з е р а п о л ь з о в а т е л я с

помощью протоколов W S – F c d e r a t i o n Passive R e q u e s t o r P r o f i l e ( W S – F P R P )

веб-службы AD FS и передает их с л у ж б е ф е д е р а ц и и .

• Агент, п о д д е р ж и в а ю щ и й у т в е р ж д е н и я ( C l a i m s – A w a r e A g e n t ) Р а с п о л а -

гается на веб-сервере и и н и ц и и р у е т з а п р о с ы с л у ж б ы ф е д е р а ц и и у т в е р ж -

дениями маркеров безопасности, к а ж д о е и з к о т о р ы х п р и м е н я е т с я д л я пре-

доставления и л и отказа в д о с т у п е к д а н н о м у п р и л о ж е н и ю . П р и л о ж е н и я

ASP.NET, которые могут а н а л и з и р о в а т ь р а з л и ч н ы е у т в е р ж д е н и я в м а р к е р е

безопасности AD FS п о л ь з о в а т е л я , о т н о с я т с я к п р и л о ж е н и я м , п о д д е р ж и -

вающим утверждения. Э т и п р и л о ж е н и я о б ы ч н о п р и м е н я ю т у т в е р ж д е н и я ,

чтобы определить доступ пользователя к п р и л о ж е н и ю . В к а ч е с т в е п р и м е р о в

п р и л о ж е н и й , п о д д е р ж и в а ю щ и х у т в е р ж д е н и я , м о ж н о п р и в е с т и A D R M S

и Microsoft Office S h a r e P o i n t Server 2007,

• Агент W i n d o w s на основе мпркеров ( W i n d o w s T o k e n – B n s e d A g e n t ) Альтер-

н а т и в н ы й агент, п р е о б р а з у ю щ и й м а р к е р б е з о п а с н о с т и A D F S в м а р к е р

доступа н а уровне о л и ц е т в о р е н и я W i n d o w s N T д л я п р и л о ж е н и й , и с п о л ь -

зующих механизм п р о в е р к и п о д л и н н о с т и W i n d o w s , а не м е т о д ы п р о в е р к и

подлинности в Веб.

Поскольку т е х н о л о г и я AD FS о с н о в а н а па с т а н д а р т н о й в е б – с л у ж б е , для

поддержки удостоверений ф е д е р а ц и и нет н е о б х о д и м о с т и о г р а н и ч и в а т ь с я толь-

ко службами AD DS. Участие и ф е д е р а ц и и у д о с т о в е р е н и й AD FS п р и н и м а е т

любая служба каталога, п о д д е р ж и в а ю щ а я с т а н д а р т W S – F e d e r a t i o n .

Службы федерации п о я в и л и с ь в в ы п у с к е W i n d o w s S e r v e r 2 0 0 3 R2, а в Win-

dows Server 2008 б ы л о з н а ч и т е л ь н о у л у ч ш е н о все, что к а с а е т с я у с т а н о в к и н

администрирования. Кроме того, AD FS п о д д е р ж и в а е т б о л ь ш е веб-приложсииИ.

чем предыдущая версия служб ф е д е р а ц и и .


    Ваша оценка произведения:

Популярные книги за неделю